Administration eines Webservers

[Stoegerbe]

Hallo,
ich möchte mich hier kurz vorstellen:
Mein Name: Bernhard Stöger
Wohnhaft: Österreich, in der nähe von Linz
Alter: die 30er sind in den nächsten Wochen vorbei


Ich betreibe seit mehreren Jahren einen Root-Webserver, der zur Zeit mit Linux Ubuntu 8.04, Apache, MySQL, Plesk 9.??? läuft. Diesen betreibe ich nebenberuflich und verwendete ihn nur um etwaige Webseiten zu hosten. Jetzt möchte ich (mit einem Kollegen) das aber etwas aufwändiger aufziehen, und konsequenter Webseiten, hauptsächlich mittels CMS, programmieren und designen. Diese Seiten werden ausschließlich auf meinem Server laufen.

Mich würde interressieren wie andere Admins ihre Webserver Warten und Administrieren. Meine Admin-Tätigkeit lag lädiglich darin Log-Dateien zu warten, Backups der Webseiten und Datenbanken anzulegen und diese auf meinen Home-Pc runterzuladen. Ist das Administration genug???

Ich Danke für jede Antwort, Bernd

[maxi89]

Per Definition heißt "Administration eines Webservers" in etwa:
Mache, dass der Server zuverlässig läuft, einigermaßen sicher ist und im Falle eines Falles schnell wieder einsatzbereit gemacht werden kann.

Mich täglich durch Logfiles oder Backups zu wühlen, mache ich schon lange nicht mehr.
Dafür habe ich mir Scripte geschrieben, die nach bestimmten Mustern in Logfiles suchen und bei Bedarf eine Mail an mich schicken.
Die Backups werden ebenfalls nachts um kurz vor vier per Script durchgeführt und auf mehrere externe Systeme verteilt.
Runterladen auf meinen Rechner? Tja, wenn ich die inzwischen 11,7 GB großen Datenbank-Sicherungen tatsächlich mal nach einem Systemcrash hochladen müsste, stehe ich mit den popeligen ~2 MBit/s Upload aber ziemlich lange da... Da ziehe ich mir sowas lieber vom Backupserver des Providers zurück, da habe ich 100 MBit/s Geschwindigkeit
Das Einzige, was ich damit zu tun habe ist, wenn eine Mail mit einer Fehlermeldung reinkommt - z.B. weil der Backupserver nicht erreichbar war.
Zusätzlich werden die IP-Adressen der Server überwacht, ob diese in Blacklisten auftauchen. Das führt dann dazu, dass ich sogar neben einer Mail eine SMS bekomme - weil das muss ASAP korrigiert werden.
Zwischendurch werden mal irgendwelche Sachen upgedated oder die Konfiguration angepasst. "Zwischendurch" im Sinne von "alle drei bis vier Wochen".

[Stoegerbe]

Hallo maxi89, Danke für die Antwort!

Also sollte es reichen wenn ich mir einen Backup-Server anlege (natürlich auf einer abgetrennten Hardware) und die Backups täglich auf diesen kopiere. Somit wäre natürlich das runterladen (z.Z. sinds ca. 3,4GB) der angelegten Backups hinfällig.
Ich bin in Linux leider kein Profi. Ich hab mir Ubuntu-Desktop zwar schon mehrmals an- und durchgesehen, hab mich aber nie intensiver damit beschäftigt.
Welche Scriptsprache verwendest Du, und wo lege ich diese ab?
Wie sehen die Muster aus die Du in den Logs sucht?
Wie überprüfst Du die IP-Adressen in den Blacklists?
Welche Blacklists überprüfst Du?
Welche Sachen Updates und Konfigurierst Du alle paar Wochen?
Verwendest Du zum SMS-Versand einen Externen Anbieter?
Zudem würde mich interressieren ob ich PHP 5.2 auf PHP 5.3 updaten sollte, oder ob ich mir die Arbeit sparen soll?

Gruß, Bernd

[maxi89]

Welche Scriptsprache verwendest Du, und wo lege ich diese ab?

Zu 95% sind das Bash-Scripte - also lediglich eine Ansammlung vorhandener Linux-Befehle, die dann aber zusammen was ganz tolles tun.
Z.B. automatisch die MySQL-Datendateien aus dem Verzeichnis ziehen, in ein Archiv packen, dieses komprimieren und verschlüsseln und dann über rsync oder FTP wegschubsen.
Das funktioniert mit ganz normalen Linux-Befehlen, die einfach nur hintereinander ausgeführt werden müssen

Wie sehen die Muster aus die Du in den Logs sucht?

z.B. lasse ich die Mail- und FTP-Logs nach Mustern wie "failed", "no such user" oder "error" durchsuchen. Funktioniert z.B. mit diesem einen Befehl:

Code:

grep -i "failed" /var/log/mail.info.0 -A 1 -B 1 | sendmail "hostmaster@...."

Ich lasse dieses Script immer automatisch nach dem Logrotate laufen - dann durchsuche ich nämlich ein vollständiges Logfile (entspricht bei mir immer 24 Stunden) und habe auch nicht die Gefahr, zweimal die selben Meldungen zu finden.

Wie überprüfst Du die IP-Adressen in den Blacklists?

Ich prüfe ja nur DNSBLs. Und dafür muss ich tatsächlich nur DNS-Abfragen stellen.

Hier ist mein Script:

Code:

#!/bin/bash
# BENÖTIGT:
# Sendmail bzw. Postfix - halt irgendwas, was eine funktionierende sendmail-Binary hat!
# Das Paket dnsutils, in dem sich "dig" befindet

OLDIFS=$IFS
IFS="."
IPPART=($1)
IFS=$OLDIFS

# IPv4-Adresse umdrehen
IPADDRESS=${IPPART[3]}'.'${IPPART[2]}'.'${IPPART[1]}'.'${IPPART[0]}
ORIGIP=$1

BLACKLISTS=`cat ./dnsbl-list.txt`

STATUSTEMPFILE="./dnsbl-mon-statustempfile.txt"
echo "" > $STATUSTEMPFILE

MAILTEMPFILE="./dnsbl-mon-mailtemp.txt"

BLACKLISTED=0

for BL in ${BLACKLISTS[@]};
do
        BLSTATUS=`/usr/bin/dig $IPADDRESS.$BL +short`

        if [ "$BLSTATUS" != "" ]; then
                TXTRESPONSE=`/usr/bin/dig TXT $IPADDRESS.$BL +short`
                echo "$BL:         *********** ACHTUNG: GELISTET ********* $TXTRESPONSE " >> $STATUSTEMPFILE
                BLACKLISTED=1
        else
                echo "$BL:         sauber" >> $STATUSTEMPFILE
        fi
done


echo "To: <DEINEMAILADRESSE>" > $MAILTEMPFILE
echo "From: dnsbl-monitor@DEINSERVERNAME" >> $MAILTEMPFILE
echo "Content-Type: text/plain; charset=utf-8" >> $MAILTEMPFILE

if [ "$BLACKLISTED" == 0 ]; then
        echo "Subject: DNSBL-Ueberwachung fuer $ORIGIP" >> $MAILTEMPFILE
else
        echo "Subject: ACHTUNG: BLACKLISTED!!! - DNSBL-Ueberwachung fuer $ORIGIP" >> $MAILTEMPFILE
        echo "X-Priority: 1 (Highest)" >> $MAILTEMPFILE
fi

echo "DNSBL-Ueberwachung fuer IP $ORIGIP" >> $MAILTEMPFILE
echo "=========================================" >> $MAILTEMPFILE
echo " " >> $MAILTEMPFILE
cat  $STATUSTEMPFILE >> $MAILTEMPFILE

cat $MAILTEMPFILE | /usr/sbin/sendmail -t

Das Script benötigt einen "Starter", hier isser.
dnsbl-monitor.sh ist die Datei von oben, die Zahl dahinter - O Wunder - die IPv4-Adresse, die du prüfen willst.

Code:

#!/bin/bash
cd /verzeichnis/wo/das/script/liegt

./dnsbl-monitor.sh 123.123.123.123
./dnsbl-monitor.sh 234.234.234.234
./dnsbl-monitor.sh 11.22.33.44

exit

Die Datei "dnsbl-list.txt" ist die Antwort auf die nächste Frage

Welche Blacklists überprüfst Du?

Praktisch alle
Dies ist die dnsbl-list.txt, die von meinem Überwachungsscript eingelesen wird.

Code:

bl.emailbasura.org
zombie.dnsbl.sorbs.net
combined.rbl.msrbl.net
ix.dnsbl.manitu.net
bl.spamcop.net
dsn.rfc-ignorant.org
multi.uribl.com
multi.surbl.org
black.uribl.com
bl.spamcannibal.org
dnsbl.njabl.org
cblless.anti-spam.org.cn
cblplus.anti-spam.org.cn
cbl.anti-spam.org.cn
hostkarma.junkemailfilter.com
blackholes.five-ten-sg.com
sorbs.dnsbl.net.au
dnsbl.sorbs.net
dnsbl.ahbl.org
zen.spamhaus.org
db.wpbl.info
rmst.dnsbl.net.au
dnsbl.kempt.net
blacklist.woody.ch
psbl.surriel.com
dnsbl-3.uceprotect.net
virbl.bit.nl
rot.blackhole.cantv.net
virus.rbl.jp
wormrbl.imp.ch
spamrbl.imp.ch
virus.rbl.msrbl.net
phishing.rbl.msrbl.net
images.rbl.msrbl.net
spam.rbl.msrbl.net
rbl.interserver.net
spamlist.or.kr
dyna.spamrats.com
dnsbl.abuse.ch
dnsbl.inps.de
dnsbl.dronebl.org
bl.deadbeef.com
ricn.dnsbl.net.au
forbidden.icm.edu.pl
probes.dnsbl.net.au
ubl.lashback.com
ips.backscatterer.org
ksi.dnsbl.net.au
dnsbl.othello.ch
uribl.swinog.ch
bsb.spamlookup.net
dob.sibl.support-intelligence.net
url.rbl.jp
dyndns.rbl.jp
bogons.cymru.com
relays.mail-abuse.org
omrs.dnsbl.net.au
osrs.dnsbl.net.au
orvedb.aupads.org
relays.nether.net
relays.bl.gweep.ca
smtp.dnsbl.sorbs.net
relays.bl.kundenserver.de
dialups.mail-abuse.org
rdts.dnsbl.net.au
dul.ru
duinv.aupads.org
pool.dnsbl.solid.net
dynablock.sorbs.net
residential.block.transip.nl
dynip.rothen.com
dul.blackhole.cantv.net
cdl.anti-spam.org.cn
short.rbl.jp
korea.services.net
fl.chickenboner.biz
mail.people.it
blacklist.sci.kun.nl
all.spamblock.unit.liu.se

Nicht alle nehme ich ernst - denn die Hauptzielgruppe meiner schönen E-Mails sitzt in Europa, da werden mit hoher Wahrscheinlichkeit keine taiwanesischen Blacklists abgefragt.

Welche Sachen Updates und Konfigurierst Du alle paar Wochen?

Zwischendurch mal SSH und OpenSSL. Dann auch gerne die Dienste, die am Meisten unter Beschuss stehen - wie FTP. Der Virenscanner aktualisiert seine Signaturen ja von selbst.
Auf heise.de werden immer wieder gerne kritische Sicherheitslücken berichtet, da gucke ich dann, ob mich das betrifft und ob ich vielleicht handeln sollte

Konfiguration beschränkt sich meist auf das Anlegen eines neuen Mailpostfachs oder einer Weiterleitung, Änderungen an vHosts oder halt auch mal schauen, wenn der liebe Benutzer ein Problem hat.

Letztens hat Hetzner IPv6 eingeführt, da musste ich natürlich ASAP handeln
Das hieß, dass ich unter der Einwirkung von koffeinhaltigen Heißgetränken stundenlang sämtliche Dienste IPv6-Fähig gemacht habe und nun stolzer Besitzer von per IPv6 erreichbaren Web-, Mail-, DNS- und SSH-Server bin

Verwendest Du zum SMS-Versand einen Externen Anbieter?

Ja, derzeit nutze ich da Sipgate - weil ich zu Hause bereits über den telefoniere und dann irgendwann gesehen habe, dass man auch per Webrequest SMS versenden kann.
Kostet ~7ct pro SMS, ich überlege aber ernsthaft, dafür irgendwann nach OVH zu wechseln. Der ist zwar 2ct teurer, aber dafür kann ich den Absendernamen anpassen, so dass ich bereits vor dem Öffnen weiß, ob das vom Monitoring-System kam und der Server gerade verreckt ist oder ob da nur wieder mal die Mailqueue zu voll ist.

Zudem würde mich interressieren ob ich PHP 5.2 auf PHP 5.3 updaten sollte, oder ob ich mir die Arbeit sparen soll?

Hehe, meine Lieblingsantwort: Kommt drauf an
Im Ernst: Bei PHP 5.3 hat es einige gravierende Veränderungen gegeben. Z.B. sind eine Befehle (hauptsächlich RegEx-Geschichten) rausgeflogen, die bereits in 5.2 deprecated waren. Dann werden jetzt auch register_globals endlich deprecated und den safe_mode wird es auch nicht mehr lange geben.
Das heißt, dass gerade was die entfernten Befehle angeht, das eine oder andere Script nicht mehr lauffähig sein könnte!
Das müsstest du in der Tat erstmal testen und dich dann entscheiden. Ich glaube aber gelesen zu haben, dass der Support für PHP 5.2 irgendwann noch in diesem Jahr eingestellt werden soll...

Hoffe, diese Informationsflut hilft dir weiter

Viele Grüße aus dem Tal
Max

[Stoegerbe]

Aber Hallo, das ist eine Pipifeine Antwort! Besten Dank dafür :-D

Also wenn ich mir das ansehe werde ich in den nächsten paar Tagen meinen Test-VMware-Ubuntu-Server ein bisschen Vergewaltigen, und diese Scripts ausprobieren, und für meinen öffentlichen Server anpassen.

Besten Dank, Bernd

[phpBuddy]

Praktisch alle
Dies ist die dnsbl-list.txt, die von meinem Überwachungsscript eingelesen wird.

Code:

[…]
zen.spamhaus.org
[…]

Tsetsetse, Du unterstützt wirklich diesen besch…eidenen Laden?
Mag sein das die jetzt sauber(er) sind, aber wie weit kann man so einem Anbieter noch vertrauen, der eine Vergangenheit hat mit willkürlich Anbieter sperren und nur gegen eine entsprechende Vergütung wieder whitelistet?! Der Volksmund nennt sowas glaube ich Erpressung.

[maxi89]

Ich unterstütze den nicht, ich frage nur ab, ob meine IP da gelistet ist
Der wird auch von meinem Mailserver nicht abgefragt, der fragt nur die PBL von Spamhaus und die c't-Liste (die ix.dnsbl.manitu.net) ab.