Archive for the ‘Dienste’ Category

status.uugrn.org

Sunday, June 23rd, 2013

Seit 2013-06-13 existiert unter status.uugrn.org (more…)

wiki.uugrn.org: Upgrade auf MediaWiki 1.21.1

Friday, June 21st, 2013

wiki.uugrn.org läuft nun mit der aktuellen Version Mediawiki 1.21.1.

Dafür mussten manche Extensions aktualisiert werden. Sollte es zu Problemen kommen, bitte um Info.

Have fun!

Raphael

Status Quo: Neuer Server / IPv6 Services bei UUGRN

Saturday, February 16th, 2013

Hallo zusammen,

die letzten Wochen habe ich den neuen UUGRN Vereinsserver fertig gemacht und weitgehend in Betrieb genommen. Der neue Server löst den Anfang 2006
gekaufen Server top.uugrn.org ab, der bis heute auf einem P4 mit 2GB RAM seinen Dienst verrichtet hat.

Auf dem alten Server war vieles “gewachsen” und wurde daher reichlich unflexibel, der Server läuft bis jetzt noch unter FreeBSD 7.4 (i386).

Der neue Server (top3.uugrn.org) läuft mit dem aktuellen FreeBSD 9.1 (amd64).

Migration Altsysteme

Ich wollte aufgrund der großen Differenzen keine alten Jails 1:1 auf dem neuen Server hochfahren, auch wenn dies vermutlich weitgehend
geklappt hätte. Aus diesem Grund habe ich alle UUGRN-Services und (fast) alle aktiven Mitglieder-Jails auf den neuen Server neu aufgebaut!

Mitglieder, die seit sehr langer Zeit gar nichts mehr mit ihren Jails gemacht haben wurden nicht migriert, die Jails sind aber noch offline vorhanden (Backup) und können auf Wunsch neu aufgebaut werden.

Jail vermisst? Einfach melden!

Neubau statt Migration

Da ich einen stark automatisierten Buildprozess für Packages und Images habe und jetzt außerdem auf ZFS aufsetzen kann, kann ich mit verhältnismäßig wenig Aufwand ein komplettes neues Jail anlegen.

IPv6

Die gesamte Migration bringt auch weitere Neuerungen: Alle Services, die wir über IPv4 anbieten, bieten wir prinzipiell jetzt auch unter IPv6 an. Es könnte irgendwo noch Ausnahmen geben, da wurde es schlichtweg noch nicht reinkonfiguriert.

Das bedeutet aber auch, dass Mitglieder mit Zugang auf shell.uugrn.org oder eigenen Jails nicht nur via IPv6 hinkommen, sondern auch von dort
wieder wegkommen.

Aktuelle Services/Jails

Aktuell haben wir folgende Jails am laufen:

  • shell.uugrn.org (Special: sshd auf port 443/tcp für Proxy-CONNECT)
  • web.uugrn.org (Wiki, Blogs, Planet, …)
  • irc.uugrn.org
  • lists.uugrn.org (Mailman und Web-Archive)
  • mail.uugrn.org (interner MTA, Mailrouting, Virtuser, outgoing-MX, …)
  • news.uugrn.org (demnächst, läuft noch auf dem alten Jail)
  • xmpp.uugrn.org (noch nicht in Betrieb)
  • mysql.uugrn.org
  • uugrn.uugrn.org (Vereinswebseite, Vorstand, Mitgliederverwaltung)
  • bnc.uugrn.org (IRC-Bouncer, User können eigene v6-Adressen bekommen, mit rDNS!)
  • ftp.uugrn.org (v4+v6, ftp, http, https)
  • fbsd9.uugrn.org (Buildsystem)
  • qa.uugrn.org (Qualitätssicherung, Testumgebung)
  • diverse Mitglieder-Jails.

Verluste

Bei der Migration der Dienste wurden manche Dinge nicht mit übernommen, beispielsweise ist der Webserver auf shell.uugrn.org ersatzlos entfallen mangels erkennbarer aktiver Nutzung. Sollte jemand einen Webserver benötigen richtige ich gerne ein eigenes Jail dafür ein.

Neue Jails

Es existieren folgende fertige Images, aus denen sich ad-hoc neue Jails anlegen lassen:

  • virgin: das enthält nur und ausschließlich das Ergebnis von “make installworld distribution” und ist so nicht nutzbar.
  • tiny: virgin plus zahlreiche Einstellungen, die ein Jails benutzbar machen, keine Packages!
  • small: tiny + bash coreutils sudo gsed findutils nano screen portupgrade pkg_cutleaves portaudit
  • medium: small + vim-lite emacs mc gnupg mutt slrn tin irssi lynx w3m wget rsync procmail figlet fetchmail”
  • large: medium + links rar unrar zip zsh gawk ksh93 pwgen unix2dos muh climm graphviz ImageMagick dovecot apache22 php5 php5-extensions
  • webstatic: tiny + apache22
  • webphp: webstatic + php5 php5-extensions ImageMagick

Das ist jeweils die Basis für ein neues Jail. Ein einmal installiertes Jail kann natuerlich per Packages oder durchselbst kompilieren von Ports (make install clean) beliebig verändert oder erweitert werden.

Mailrouting

Ich habe das Mailrouting (IMHO) vereinfacht und gewachsene Altlasten entsorgt. Da gab es teilweise arg verworrene, sich widersprechende Konfigurationen verteilt über mail/mx1, shell, verein und lists. Mailadressen wurden teilweise mit alias UND per virtusertable auf verschiedene Ziele konfiguriert etc.

Das “vereinfachte” Mailkonzept sieht so aus:

  • Incoming Mails via mx1 und mail (mx2 wird es bald auch einen geben), mailrouting anhand von Domains in die jeweiligen Jails (mailertable)
  • Outgoing-Mails einheitlich via mail.uugrn.org
  • @uugrn.org: Mails @uugrn.org werden nur via mx1.uugrn.org eingeliefert und gespamfiltert und weitergeleitet auf mail.uugrn.org und werden dort ausschließlich(!) per virtusertable weiter verteilt. Unbekannte Adressen @uugrn.org haben einen catch-all auf “error:5.7.0:550 Address invalid” umgeleitet.
  • Für Mitglieder bestehen idR Weiterleitungen auf externe Mailadressen oder auf user_at_shell.uugrn.org oder user_at_user.uugrn.org. Wer das nutzt, sollte prüfen, dass es jetzt noch tut.
  • @uugrn.de: Unter dieser Domain haben wir nur die allerwichtigsten Roleaccounts als Alias für die jeweiligen .org eingerichtet.
  • Mailinglisten (Listenadresse und alle Request-Adressen) grundsätzlich über @mailman.uugrn.org erreichbar, im Falle von UUGRN-eigenen Mailinglisten existieren passende Virtuser-Weiterleitungen in der Form listename@uugrn.org listename@mailman.uugrn.org
  • Mitglieder-Domains werden per Mailrouting direkt in die jeweiligen Mitglieder-Jails geroutet, der dortige MTA (sendmail) muss entsprechend Mails annehmen können.

DNS / Eigene Domains

Jedes Mitglied kann im eigenen Jail eigene Domains hosten. Entsprechendes Mailrouting gibts dann gratis dazu.

UUGRN hostet seine Domains (und diverse rDNS) im Vereinsjail “uugrn.uugrn.org” als Hidden Primary. Öffentliche DNS sind ns{1,2,3}.jpru.de, weitere (inoffizielle) slaves sind u.a. auf top3.uugrn.org, welcher auch gleichzeitig der primäre recursor für alle Jails ist, d.h. Änderungen an der Zone werden auf dem Server sofort
wirksam (also-notify) und sehr zeitnah auch an die öffentlichen DNS-Server notifiziert, Vorausgesetzt man hat die serial erhöht und die zone reloaded.

IRC/BNC/DNS/IPv6

Wer eine eigene Domain hat und damit ins IRC möchte, kann auf bnc.uugrn.org einen User und eine *persönliche* IPv6-Adresse mit rDNS auf einen Namen aus der eigenen Domain bekommen, also zB nickname!user_at_foo.example.com

Wer BNC will aber keine Domain hat, kann wahlweise mit nick!user_at_bnc.uugrn.org (v4+v6) oder nick!user_at_wunschname.uugrn.org (nur v6) auf einen oder mehrere IRC-Server eigener Wahl zugreifen und dazu die Vorteile eines BNC (wir bieten znc mit SSL) insgesamt nutzen.

Was fehlt?

  • VIMAGE: Jails können innerhalb eines vollkommen autonomen IP-Stacks betrieben werden, d.h. eigenes IP-Setup, Routing, Firewalling, …
  • ping ist weiterhin nicht möglich, sorry (raw sockets).
  • XMPP ist vorbereitet, tut aber noch nicht. Hilfe gesucht.
  • shared memory gibts auch noch nicht, AFAIK sind shared memory segmente (immernoch) nicht “jailbar” und stellen daher eine Sicherheitslücke zwischen den Jails dar. Möglicherweise kann ich Shared memory “per jail” erlauben und auf diese Weise ein dediziertes PostgreSQL betreiben. Es gibt da so Ansätze, mir fehlt die Zeit und die Motivation.
  • Eigene DNS-Server: Domains laufen bei uns idR via TWX/Jürgen Unger und somit über seine Server. Die Zonen können bei uns lokal editiert werden. Komplett eigene DNS würden uns unabhängiger/flexibler machen, birgt aber auch ein erhöhtes Ausfallrisiko und ggf. Kosten (verteilt aufgestellte Systeme). Ich kann mit dem aktuellen Stand gut leben.
  • mx2.uugrn.org … irgendwo ganz weit extern als Fallback für einen Totalausfall (Server, Netze, Standort). Wer könnte uns was mit sendmail hosten? FreeBSD oder debian willkommen, eigene root-Rechte erforderlich.
  • jailed-ZFS: Eigene Volumes im Jail managen, zB Snapshots, Rollback, … Müsste Out-of-the-Box funktionieren, ich hab nur noch nicht die richtigen Stellschrauben gefunden, um das (gefahrlos) für alle root@mitgliederjails zu aktivieren.
  • debian-kfreebsd Image: Ich habe irgendein altes RC von wheezy schon vorbereitet, aber da muss *nur* noch Finetuning passieren, damit die debian-Jails auch ordentlich funktionieren. Bootstrappen von debian/kfreebsd aus FreeBSD ist PITA, d.h. es funktioniert *etwas*. Der alternative Ansatz ist, ein zB in VirtualBox installiertes wheezy verwenden als Staging für den Bau der eigentlichen Images mittels debootstrap.
    Da ich das Ganze in meiner Freizeit baue, hatte ich bisher einfach keine Lust das Thema voranzutreiben. Wer gerne selbst ein Debian statt FreeBSD-Jail haben möchte, sollte sich einfach bei mir melden (zwecks Motivation) und außerdem suche ich noch Probanden, also experimentierfreudige Debian-Gurus, die das von mir gebaute auseinandernehmen oder reparieren und (nichtreligiöse) konstruktive Kritik anbringen können.
    Wenn sich jemand von euch die Zeit nimmt, nehme ich sie mir auch, das Thema “debian-Jail” habe ich schon seit sehr vielen Jahren auf dem Radar und hab es mangels Durchhaltevermögen und Motivation nie wirklich umgesetzt.
  • Menschen mit KnowHow, Engagement und Zeit, also Du!

Fragen? Anregungen?

Viele Grüße
Raphael

wiki.uugrn.org jetzt auf mediawiki-1.17.0beta1

Tuesday, May 10th, 2011

Ich habe wiki.uugrn.org auf die Version 1.17.0beta1 von MediaWiki upgedatet. Details zu diesem Release findet man in den RELEASE-NOTES.

Ich habe es jetzt nicht gründlich getestet und bin so realistisch, dass in einer beta1-Version noch Bugs stecken. Daher bitte Bugs an mich melden, wenn welche auftreten bzw. sichtbar werden.

Have fun!

Raphael

SSL für *.uugrn.org

Friday, April 15th, 2011

UUGRN e.V. hat sich ein richtiges Wildcard-Zertifikat für seine verschiedenen SSL basierten Dienste geleistet. Da wir davon ausgehen, dass dieses Zertifikat von nahezu allen Clients akzeptiert wird, haben wir alle SSL basierten Dienste darauf umgestellt.

Have fun!

Raphael

Update auf WordPress µ 2.8.6

Tuesday, December 8th, 2009

blogs.uugrn.org wurde erfolgreich auf WordPress µ 2.8.6 upgedated.

Sowohl die Basis-Installation als auch die Benutzer-Blogs wurden vom update-Script automatisch an die neue Version von WordPress angepasst, es ist also keine Benutzer-Interaktion mehr notwendig. Alle installierten Plugins und Themes sollten auch weiterhin ohne Probleme laufen.

Sollten dennoch Probleme oder Fragen auftauchen, bitte diese über die üblichen Wege den Admins mitteilen.

Update der WordPress µ Plugins

Monday, October 5th, 2009

Soeben wurde auf blogs.uugrn.org ein Stapel Plugins aktualisiert. Es sollte keine Beeinträchtigung des Betriebs gegeben haben.

Eine Liste der installierten und aktualisierten Plugins findet sich hier.

Update der WordPress µ Plugins

Wednesday, September 23rd, 2009

Soeben wurde auf blogs.uugrn.org ein Stapel Plugins aktualisiert. Es sollte keine Beeinträchtigung des Betriebs gegeben haben.

Eine Liste der installierten und aktualisierten Plugins findet sich hier.

Update der WordPress µ Plugins

Monday, August 31st, 2009

Soeben wurde auf blogs.uugrn.org ein Stapel Plugins aktualisiert. Es sollte keine Beeinträchtigung des Betriebs gegeben haben.

Eine Liste der installierten und aktualisierten Plugins findet sich hier.

Update auf WordPress µ 2.8.4a

Thursday, August 13th, 2009

blogs.uugrn.org wurde erfolgreich auf WordPress µ 2.8.4a upgedated.

Sowohl die Basis-Installation als auch die Benutzer-Blogs wurden vom update-Script automatisch an die neue Version von WordPress angepasst, es ist also keine Benutzer-Interaktion mehr notwendig. Alle installierten Plugins und Themes sollten auch weiterhin ohne Probleme laufen.

Sollten dennoch Probleme oder Fragen auftauchen, bitte diese über die üblichen Wege den Admins mitteilen.

In der Hoffnung, daß es sich um das letzte WordPress-Update diese Woche handelt…
   Sebastian

WordPress µ 2.8.3

Sunday, August 9th, 2009

blogs.uugrn.org wurde erfolgreich auf WordPress µ 2.8.3 upgedated.

Sowohl die Basis-Installation als auch die Benutzer-Blogs wurden vom update-Script automatisch an die neue Version von WordPress angepasst, es ist also keine Benutzer-Interaktion mehr notwendig. Alle installierten Plugins und Themes sollten auch weiterhin ohne Probleme laufen.

Sollten dennoch Probleme oder Fragen auftauchen, bitte diese über die üblichen Wege den Admins mitteilen.

Viel Spaß beim Bloggen!
   Sebastian

BIND named(8) dynamic update message remote DoS / FreeBSD-SA-09:12.bind

Sunday, August 2nd, 2009

Von der Verwundbarkeit von Bind durch DNS Update Nachrichten an bind (siehe dazu: FreeBSD-SA-09:12.bind) ist UUGRN nicht direkt betroffen. Wir betreiben zwar eigene primäre DNS Server in Jails für verschiedene Zonen, diese werden allerdings im Hidden Primary Betrieb verwendet und können lediglich durch die DNS-Server des Providers zugegriffen werden (Firewall). Die DNS-Server in den Jails sind daher nicht betroffen.

Eigene DNS-Requests werden über den DNS-Server auf top.uugrn.org aufgelöst. Der Zugriff ist aber auch hier durch den Firewall auf unseren eigenen IP-Adressraum beschränkt. Diese Rest-Lücke wurde durch das (empfohlene) Update auf 7.2-RELEASE-p3 geschlossen.

Die UUGRN DNS-Infrastruktur ist im Wiki ausführlicher beschrieben.

Gruß
Raphael

Update der WordPress µ Plugins

Sunday, August 2nd, 2009

Soeben wurde auf blogs.uugrn.org ein Stapel Plugins aktualisiert. Es sollte keine Beeinträchtigung des Betriebs gegeben haben.

Eine Liste der installierten und aktualisierten Plugins findet sich hier.

RSS-Feed der Mailingliste korrigiert

Sunday, July 26th, 2009

Ich habe den Feed der Mailingliste uugrn@uugrn.org endlich mal sauber gemacht. Bisher gabs bei Mails mit Latin1-Umlauten im Betreff immer Ärger deswegen. Das XML-encoding wurde entsprechend von iso-8859-1 auf utf-8 geändert. Damit sollte die Mailingliste jetzt auch sauber im planet.uugrn.org funktionieren.

Gruß
Raphael

WordPress µ 2.8.2

Wednesday, July 22nd, 2009

blogs.uugrn.org wurde erfolgreich auf WordPress µ 2.8.2 upgedated. Die kritischen Lücken die in der Version 2.8.1 aufgetaucht sind wurden mit dem Update geschlossen.

Sowohl die Basis-Installation als auch die Benutzer-Blogs wurden vom update-Script automatisch an die neue Version von WordPress angepasst, es ist also keine Benutzer-Interaktion mehr notwendig. Alle installierten Plugins und Themes sollten auch weiterhin ohne Probleme laufen.

Sollten dennoch Probleme oder Fragen auftauchen, bitte diese über die üblichen Wege den Admins mitteilen.

Viel Spaß beim Bloggen!
   Sebastian