Beiträge von Stefan Hueg

Hallo Zusammen,

ich stehe kurz davor mir den Root Server L zu gönnen und habe vor, dort mehrere Applikations-LXC-Container zu starten. Der Leistungsverlust ist vernachlässigbar, bringt für mich aber den riesigen Vorteil der sauberen Separierung der Anwendungen. Das soll hier nicht zur Diskussion stehen

Allerdings habe ich noch folgende Fragen:

- Geht LXC überhaupt, und wenn ja gibt es spürbare Einschränkungen durch Nested Virtualization? Im Forum gibt es zwar hier und da Infos dazu, aber wie ist es aktuell?
- Kann ich problemlos BTRFS als Dateisystem verwenden?
- Wie schnell sind die SSDs? Wieviel IOPS kommen real ungefähr durch?
- Früher gab es mal Inklusiv-Domains, gibt es diese heutzutage nicht mehr?

Vielen Dank im Voraus,

Stefan Hueg

Hi Ihr,
da ich ja jetzt einen KVM Server habe und diesen über iptables absichern muss/soll/kann wollte ich euch kurz meine iptables-Config zur Überprüfung zeigen da das Thema noch relativ neu für mich ist. Belesen habe ich mich schon reichlich und der Generator unter IPTables - Tobias Bauer erstellt ja schon etwas ganz passables, aber ich dachte mir dass es etwas gestaucht werden könnte.

Was meint ihr? Beim ICMP bin ich mir noch unsicher und auch, ob die Verbindungen bei Fehlschlag ge"DROP"ed oder REJECTed werden sollten:

# alle Regeln löschen
$iptables -t nat -F
$iptables -t filter -F
$iptables -X




# neue Regeln erzeugen
$iptables -N garbage
$iptables -I garbage -p TCP -j LOG --log-prefix="TCP Drop: " --log-level 7
$iptables -I garbage -p UDP -j LOG --log-prefix="UDP Drop: " --log-level 7
$iptables -I garbage -p ICMP -j LOG --log-prefix="ICMP Drop: " --log-level 7




# Default Policy
$iptables -P INPUT DROP
$iptables -P OUTPUT ACCEPT
$iptables -P FORWARD DROP




# über Loopback alles erlauben
$iptables -I INPUT -i lo -j ACCEPT
$iptables -I OUTPUT -o lo -j ACCEPT




	# SSH, SMTP, WWW, POP3, IMAP, SSL, SVN
$iptables -I INPUT -i eth0 -p TCP -m multiport --dports 49152,25,80,110,143,443,8443 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$iptables -I OUTPUT -o eth0 -p TCP -m multiport --sports 49152,25,80,110,143,443,8443 -m state --state ESTABLISHED,RELATED -j ACCEPT




# NTP
$iptables -I INPUT -i eth0 -p UDP --dport 123 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$iptables -I OUTPUT -o eth0 -p UDP --sport 123 --dport 123 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT 




# Bittorrent Sync
$iptables -I INPUT -i eth0 -p UDP --dport 8500 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$iptables -I OUTPUT -o eth0 -p UDP --sport 8500 -m state --state ESTABLISHED,RELATED -j ACCEPT 
$iptables -I INPUT -i eth0 -p TCP --dport 8501 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$iptables -I OUTPUT -o eth0 -p TCP --sport 8501 -m state --state ESTABLISHED,RELATED -j ACCEPT 
$iptables -I OUTPUT -o eth0 -p UDP --sport 1024:65535 --dport 53 -d 46.38.225.230 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT




	# ICMP
$iptables -I INPUT -i eth0 -p ICMP --icmp-type echo-reply -m state --state ESTABLISHED,RELATED -j ACCEPT
$iptables -I OUTPUT -o eth0 -p ICMP --icmp-type echo-request -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$iptables -I INPUT -i eth0 -p ICMP --icmp-type echo-request -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$iptables -I OUTPUT -o eth0 -p ICMP --icmp-type echo-request -m state --state ESTABLISHED,RELATED -j ACCEPT




#####################################################
# Erweiterte Sicherheitsfunktionen
# SynFlood
$iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
# PortScan
$iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
# Ping-of-Death
$iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT




#####################################################
# bestehende Verbindungen akzeptieren
$iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT




#####################################################
# Garbage übergeben wenn nicht erlaubt
$iptables -A INPUT -m state --state NEW,INVALID -j garbage




#####################################################
# alles verbieten was bisher erlaubt war
$iptables -A INPUT -j garbage
$iptables -A OUTPUT -j garbage
$iptables -A FORWARD -j garbage

Danke an den Support, jetzt läuft es zuverlässig.

Hier noch ein kleiner Auszug aus der daemon.log:

Aug 3 17:21:41 v22010033505274299 dhclient: DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 15
Aug 3 17:21:56 v22010033505274299 dhclient: DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 16
Aug 3 17:22:12 v22010033505274299 dhclient: DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 18
Aug 3 17:22:30 v22010033505274299 dhclient: DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 2
Aug 3 17:22:32 v22010033505274299 dhclient: No DHCPOFFERS received.
Aug 3 17:22:32 v22010033505274299 dhclient: No working leases in persistent database - sleeping.
Aug 3 17:29:35 v22010033505274299 dhclient: DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 7
Aug 3 17:29:35 v22010033505274299 dhclient: DHCPREQUEST on eth0 to 255.255.255.255 port 67
Aug 3 17:29:35 v22010033505274299 dhclient: DHCPOFFER from 5.45.96.2
Aug 3 17:29:35 v22010033505274299 dhclient: DHCPACK from 5.45.96.2
Aug 3 17:29:35 v22010033505274299 dhclient: bound to 5.45.99.38 -- renewal in 37159 seconds.

...zu dem Zeitpunkt lief der Server aber schon eine ganze Weile. Er scheint wohl wirklich die Verbindung zu verlieren und verzweifelt zu versuchen eine neue IP zu erhalten.

Ok, ich glaube ihr versteht nicht was ich meine
Es sieht so aus als hätte der Server überhaupt keinen Internetzugang da ihm per DHCP keine IP zugewiesen wird und/oder das Netzwerk ansich instabil ist.

Inzwischen ist der Server wieder online, mal schauen wie lange es dauert bis er wieder nicht erreichbar ist.

Das tollste ist ja auch dass ich mich noch nicht mal via VNC einloggen kann da zwischendrin die Verbindung immer wieder abbricht; teilweise werden die Tastaturkommandos schnell, manchmal langsam übertragen.

Und nein, es liegt nicht an meiner Internetverbindung. Mit anderen Servern habe ich diese Probleme nicht.

Hier noch ein weiterer Screenie:

Zitat von vmk

Dein Screenshot zeigt einen Linux-Host beim runterfahren - An welcher Stelle brauchst du da Netzwerk? Wann/wie im normalen Betrieb hast du Netzwerkprobleme?

Mir war diese Nachricht nur beim runterfahren aufgefallen. Ansich kann ich den Server weder anpingen noch sonst irgendwie drauf zugreifen. Die einzige Verbindungsmöglichkeit ist via VNC, und das ist instabil.

Ich werde wohl mal ein Ticket schreiben.

wieso ist das Netzwerk so instabil? Mir wurde angeboten meinen alten vServer Gold zu einem KVM Server zu migrieren.

Nach langem Überlegen haben mich die Leistungen überzeugt, also setzte ich ein frisches Wheezy Minimal auf. Läuft alles super, ratzfatz installiert... und dann die Probleme.

Die VNC Konsole verliert ständig ihre Verbindung und jetzt kann ich den KVM Server noch nicht mal mehr erreichen. "Network unreachable" konnte ich via VNC noch rauslesen. Dieses Problem besteht seit meinen Versuchen der Migration.

Egal welches Image ich installiere es ist immer das gleiche. So geht das nicht. Was zur Hölle ist da los???

Hm also aufgefallen ist mir folgendes.
Ich hatte Probleme die Option für "FCGIWrapper" zu finden. Diese befindet sich unter Einstellungen -> Sicherheitseinstellungen -> Wrappereinbindung in Vhosts

Steht standardmäßig auf ScriptAlias und funktioniert nicht. Muss man auf FCGI-Wrapper umstellen.

Desweiteren muss man beim anlegen der Default-php.ini auf die Pfade aufpassen. Möchte man den eAccelerator z.B. einbinden ist der Standard-Temp Pfad auf /tmp gesetzt. Tritt die openBaseDir Direktive in kraft kann der User auf dieses Verzeichnis nicht zugreifen, Fehler treten auf.

Daher kann man die vorgefertigen Patterns nehmen, also:
eaccelerator.cache_dir="{TMP_DIR}"
Bin mir grad nicht sicher ob das Pattern richtig ist, sitze im Büro

Desweiteren hatte ich Probleme einen vHost für phpMyAdmin anzulegen (die Version die bei Debian Etch mitgeliefert wird)
Eine Deaktivierung der .htaccess in /var/www/phpmyadmin hat dann funktioniert.

Ist aber nicht so gut glaube ich, muss ich nochmal genauer untersuchen.
SysCP und alle anderen Scripte haben wunderbar funktioniert.

Mit einer korrekt angelegten php.ini muss ich beim Domain- bzw. Subdomain Anlegen nichts weiter beachten.

https://wiki.syscp.org/docs/fcgid-handbook

Hier nochmal der Link. Funktioniert echt gut.

Jut die deutsche Doku ist leider veraltet wie in der ersten Zeile steht. Da ich nun auch hier eine zufriedenstellende Antwort erhalten habe, habe ich auf FCGI umgerüstet. Hat zwar ein paar Stündchen gedauert bis wirklich alles lief aber das Resultat spricht für sich.

Lg

Bin jetzt nach folgender Anleitung durchgegangen alles auf fcgi umzustellen, erhalte aber folgende Fehlermeldung:

https://wiki.syscp.org/docs/fcgid-handbook

Invalid argument: mod_fcgid: can't get lock

Also was tun? Ist FastCGI wirklich die Einzige Möglichkeit die besteht?

777 ist nicht gerade sicher da dann jeder alles kann und man darauf wenn möglich verzichten sollte.

Hallo liebe netcup-Gemeinde,
ich hänge nun vor folgendem Problem. Ich besitze einen vServer Gold und bin gerade bei der Domainkonfiguration und Einrichtung. Klappt ja auch alles super.

Problematisch ist nur folgendes:
Angenommen mein erster Kunde hat die UID 10000 und die GID 10000. Lade ich Dateien per FTP hoch erhalten sie ja auch schön die GID und UID vom FTP User.

Nun das bekannte Problem ist ja das der Apache darauf keinen Zugriff hat da er als www-run:www-run läuft.

PHP läuft als Modul. Ich habe bereits über die Möglichkeit mit FCGI nachgedacht, jedoch ist die Konfiguration weitaus komplizierter und es soll wohl Probleme mit SysCP geben.

Weitere Möglichkeiten über die ich nachgedacht habe:
-Die Ordner des Kunden mit UID:www-run chmod-en
-ProFTPD in die Gruppe www-run packen (geht das?)
-Eine Gruppe erstellen in der www-run und eine ProFTPD-eigene Gruppe stecken
-Alles mit www-run chmodden (unsicher?!)

Oder gibt es noch andere Möglichkeiten? Bin mir unsicher vor allem was die Sicherheit angeht usw. und weiß grad nicht weiter.

Habe schon diverse Foreneinträge und Google durchsucht aber noch keine zufriedenstellende Antwort bekommen.

Wichtig ist wirklich das ich SysCP weiterhin verwenden kann.