plattform-migration:konzept_v2
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende ÜberarbeitungLetzte ÜberarbeitungBeide Seiten der Revision | ||
plattform-migration:konzept_v2 [2015/11/05 18:29] – [Vorgehen bei Ausfällen und Wartung] thomasb | plattform-migration:konzept_v2 [2015/11/18 18:56] – [DNS authoritativ] truniger | ||
---|---|---|---|
Zeile 57: | Zeile 57: | ||
^Typ der Auswertung ^Datenquelle ^Tool ^ | ^Typ der Auswertung ^Datenquelle ^Tool ^ | ||
- | | FIXME Bitte hier eine Liste der benötigten Statistiken bzw. Auswertungen einfügen. | + | | tägliche Auswertung |
+ | | Echtzeitauswertung der Webserver-Zugriffshäufigkeit | ||
+ | | Echtzeitauswertung der versandten Biere | Apache Logs | rrdtool, eigene Skripte | | ||
+ | | Echtzeitauswertung von Greylisting | / | ||
+ | | mehrfach-tägliche Auswertung der Mailserver-Nutzung | / | ||
+ | | mehrfach-tägliche Auswertung der Mailbox-Zugriffe | / | ||
+ | | Systemkennwerte | | statgrab, rrdtool, eigene Skripte | ||
===== Klassifizierung von virtuellen Maschinen, Daten und Zonen ===== | ===== Klassifizierung von virtuellen Maschinen, Daten und Zonen ===== | ||
Zeile 121: | Zeile 127: | ||
^Skript ^Ersatz ^ | ^Skript ^Ersatz ^ | ||
- | | add_alias.pl | FIXME | | + | | add_alias.pl | veraltet |
- | | add_mysqldb.pl | FIXME | | + | | add_mysqldb.pl | veraltet |
- | | add_user.sh | FIXME | | + | | add_user.sh | veraltet |
- | | add_virtserv.pl | FIXME | | + | | add_virtserv.pl | in Gebrauch |
- | | change_passwd.pl | FIXME | | + | | change_passwd.pl | in Gebrauch |
- | | change_passwd_nomail.pl | FIXME | | + | | change_passwd_nomail.pl | in Gebrauch |
- | | check_entry.pl | FIXME | | + | | check_entry.pl | veraltet |
- | | check_payments.pl | FIXME | | + | | check_payments.pl | veraltet |
- | | clean-db.pl | FIXME | | + | | clean-db.pl | veraltet |
- | | copy_mailaddr.sh | FIXME | | + | | copy_mailaddr.sh | in Gebrauch |
- | | correct.pl | FIXME | | + | | correct.pl | veraltet |
- | | delete_idle_nonmemb.pl | FIXME | | + | | delete_idle_nonmemb.pl | veraltet |
- | | delete_idle_nonmemb.txt | FIXME | | + | | delete_idle_nonmemb.txt | veraltet |
- | | delete_virtserv.pl | FIXME | | + | | delete_virtserv.pl | in Gebrauch |
- | | importdb.cgi | FIXME | | + | | importdb.cgi | veraltet |
- | | mgtest.log | FIXME | | + | | mgtest.log | veraltet |
- | | mod_account.sh | FIXME | | + | | mod_account.sh | in Gebrauch |
- | | mv2member.pl | FIXME | | + | | mv2member.pl | veraltet |
- | | mysql-create-root | FIXME | | + | | mysql-create-root | in Gebrauch |
- | | mysql-reset-root | FIXME | | + | | mysql-reset-root | in Gebrauch |
- | | nonmemberwerbung.pl | FIXME | | + | | nonmemberwerbung.pl | veraltet |
- | | priate_email.pl | FIXME | | + | | show_privmail.pl | in Gebrauch |
- | | show_address.pl | FIXME | | + | | autopatch.pl | veraltet |
- | | show_privmail.pl | FIXME | | + | | autopatch.sh | veraltet |
- | | truniger.pl | FIXME | | + | | backup-config.sh | veraltet |
- | | 2delete | FIXME | | + | | backup2local.sh | veraltet |
- | | autopatch.pl | FIXME | | + | | change-perm2trash.sh | veraltet |
- | | autopatch.sh | FIXME | | + | | check_cluster | veraltet |
- | | backup-config.sh | FIXME | | + | | check_expire | veraltet |
- | | backup2local.sh | FIXME | | + | | check_failed_sshd.pl | in Gebrauch |
- | | change-perm2trash.sh | FIXME | | + | | check_failed_sshd.pl.orig | veraltet |
- | | check_cluster | FIXME | | + | | check_homedir.pl | veraltet |
- | | check_expire | FIXME | | + | | check_mailsize.pl | veraltet |
- | | check_failed_sshd.pl | FIXME | | + | | check_quota.sh | in Gebrauch |
- | | check_failed_sshd.pl.bu | FIXME | | + | | check_sqlgrey | in Gebrauch |
- | | check_failed_sshd.pl.new | FIXME | | + | | check_syslogd | in Gebrauch |
- | | check_failed_sshd.pl.orig | FIXME | | + | | checkpw | veraltet |
- | | check_homedir.pl | FIXME | | + | | checkquota.sh | veraltet |
- | | check_mailsize.pl | FIXME | | + | | chng_pws.pl | veraltet |
- | | check_quota.sh | FIXME | | + | | clean_tmp.sh | veraltet |
- | | check_sqlgrey | FIXME | | + | | couriergraph.pl | in Gebrauch |
- | | check_syslogd | FIXME | | + | | cpu-load.sh | veraltet |
- | | checkpw | FIXME | | + | | date.sh | veraltet |
- | | checkquota.sh | FIXME | | + | | delete_old_beers.pl | veraltet |
- | | chng_pws.pl | FIXME | | + | | deletemail.sh | veraltet |
- | | clean_tmp.sh | FIXME | | + | | diskspace.mail | veraltet |
- | | couriergraph.pl | FIXME | | + | | dist2allusers.sh | veraltet |
- | | cpu-load.sh | FIXME | | + | | dot | veraltet |
- | | date.sh | FIXME | | + | | dspam_cssclean.sh | in Gebrauch |
- | | delete_old_beers.pl | FIXME | | + | | dump_mysql | in Gebrauch |
- | | deletemail.sh | FIXME | | + | | filecomp.sh | veraltet |
- | | diskspace.mail | FIXME | | + | | find-users2delete.pl | veraltet |
- | | dist2allusers.sh | FIXME | | + | | find_obsolete_home | in Gebrauch |
- | | dot | FIXME | | + | | find_setuid.sh | veraltet |
- | | dspam_cssclean.sh | FIXME | | + | | fix-modes | veraltet |
- | | dump_mysql | FIXME | | + | | grepmail.sh | veraltet |
- | | filecomp.sh | FIXME | | + | | kill_death_procs.sh | veraltet |
- | | find-users2delete.pl | FIXME | | + | | lastlogin | veraltet |
- | | find_obsolete_home | FIXME | | + | | log_prstat | veraltet |
- | | find_setuid.sh | FIXME | | + | | mail-mgmt | veraltet |
- | | fix-modes | FIXME | | + | | mailaccess.pl | in Gebrauch |
- | | grepmail.sh | FIXME | | + | | mailgraph.pl | in Gebrauch |
- | | kill_death_procs.sh | FIXME | | + | | mailstats.orig | veraltet |
- | | lastlogin | FIXME | | + | | mailstats.sh | veraltet |
- | | log_prstat | FIXME | | + | | make_anonftp.sh | in Gebrauch |
- | | mail-mgmt | FIXME | | + | | make_mailgraph.sh | in Gebrauch |
- | | mailaccess.pl | FIXME | | + | | make_snort.sh | veraltet |
- | | mailaccess.pl.20100101 | FIXME | | + | | make_sqlgraph.sh | in Gebrauch |
- | | mailaccess.pl.20110725 | FIXME | | + | | makesymlinks.claudio | veraltet |
- | | mailaccess.pl.bu | FIXME | | + | | makevirtusers.sh | veraltet |
- | | mailgraph.pl | FIXME | | + | | mbox_warn.ksh | veraltet |
- | | mailgraph.pl-old | FIXME | | + | | md5mon.sh | veraltet |
- | | mailstats.orig | FIXME | | + | | mmfold.py | veraltet |
- | | mailstats.sh | FIXME | | + | | monitor-server.pl | veraltet |
- | | make_anonftp.sh | FIXME | | + | | monitor-traffic.sh | veraltet |
- | | make_mailgraph.sh | FIXME | | + | | newdovecotlog | in Gebrauch |
- | | make_mailgraph.sh.20100101 | FIXME | | + | | newmaillog | in Gebrauch |
- | | make_snort.sh | FIXME | | + | | newspamdlog | in Gebrauch |
- | | make_sqlgraph.sh | FIXME | | + | | newsqlgreylog | in Gebrauch |
- | | makesymlinks.claudio | FIXME | | + | | ntop | in Gebrauch |
- | | makevirtusers.sh | FIXME | | + | | oldstuff | veraltet |
- | | mbox_warn.ksh | FIXME | | + | | reinject | veraltet |
- | | md5mon.sh | FIXME | | + | | renice_irc.sh | veraltet |
- | | mmfold.py | FIXME | | + | | restart_tomcat.sh | veraltet |
- | | monitor-server.pl | FIXME | | + | | rotatelogs.sh | in Gebrauch |
- | | monitor-traffic.sh | FIXME | | + | | rrd-create-base | in Gebrauch |
- | | newdovecotlog | FIXME | | + | | rrd-create-base.truniger | in Gebrauch |
- | | newmaillog | FIXME | | + | | rrd-httpdlog.pl | in Gebrauch |
- | | newspamdlog | FIXME | | + | | rrd-update.pl | in Gebrauch |
- | | newsqlgreylog | FIXME | | + | | satan-1.1.4exp | veraltet |
- | | ntop | FIXME | | + | | smtpstats | veraltet |
- | | oldstuff | FIXME | | + | | sqlgreygraph.pl | in Gebrauch |
- | | reinject | FIXME | | + | | sqlgreyparse.pl | in Gebrauch |
- | | renice_irc.sh | FIXME | | + | | start_ipv6.sh | veraltet |
- | | restart_tomcat.sh | FIXME | | + | | statgrab-5.5.php | in Gebrauch |
- | | rotatelogs.sh | FIXME | | + | | statgrab.php | veraltet |
- | | rrd-create-base | FIXME | | + | | status_check.sh | veraltet |
- | | rrd-create-base.truniger | FIXME | | + | | sync_passwd.sh | in Gebrauch |
- | | rrd-httpdlog.pl | FIXME | | + | | sysstats.sh | in Gebrauch |
- | | rrd-update.pl | FIXME | | + | | system-integrity.sh | in Gebrauch |
- | | satan-1.1.4exp | FIXME | | + | | tailwtmp.pl | veraltet |
- | | smtpstats | FIXME | | + | | tcpdstats | veraltet |
- | | sqlgreygraph.pl | FIXME | | + | | totallog.sh | veraltet |
- | | sqlgreyparse.pl | FIXME | | + | | traffic_archive.pl | veraltet |
- | | start_ipv6.sh | FIXME | | + | | traffic_stats.pl | veraltet |
- | | statgrab-5.5.php | FIXME | | + | | tuning-primer.sh | veraltet |
- | | statgrab.php | FIXME | | + | | update_dns.sh | in Gebrauch |
- | | statgrab.php.orig | FIXME | | + | | update_hosts.allow.sh | in Gebrauch |
- | | statgrab.php.truniger | FIXME | | + | | update_tinyroot.sh | veraltet |
- | | status_check.sh | FIXME | | + | | updatedb_wrapper.sh | veraltet |
- | | stinky-sync.tar | FIXME | | + | | user-stats.sh | veraltet |
- | | sync_passwd.sh | FIXME | | + | | userwarn.pl | veraltet |
- | | sysstats.sh | FIXME | | + | |
- | | system-integrity.sh | FIXME | | + | |
- | | tailwtmp.pl | FIXME | | + | |
- | | tcpdstats | FIXME | | + | |
- | | totallog.sh | FIXME | | + | |
- | | traffic_archive.pl | FIXME | | + | |
- | | traffic_stats.pl | FIXME | | + | |
- | | tuning-primer.sh | FIXME | | + | |
- | | update_dns.sh | FIXME | | + | |
- | | update_hosts.allow.sh | FIXME | | + | |
- | | update_tinyroot.sh | FIXME | | + | |
- | | updatedb_wrapper.sh | FIXME | | + | |
- | | user-mgmt | FIXME | | + | |
- | | user-stats.sh | FIXME | | + | |
- | | userwarn.pl | FIXME | | + | |
===== LDAP-Schema ===== | ===== LDAP-Schema ===== | ||
Zeile 309: | Zeile 300: | ||
Der bisherige DNS-Setup soll vereinfacht werden: Es gibt dazu noch zwei VMs mit einer bind-Instanz auf dem roten Interface. Eine VM ist Master, die andere beschafft sich Kopien der Zonen per AXFR. | Der bisherige DNS-Setup soll vereinfacht werden: Es gibt dazu noch zwei VMs mit einer bind-Instanz auf dem roten Interface. Eine VM ist Master, die andere beschafft sich Kopien der Zonen per AXFR. | ||
- | Neu wird standardmässig jede Zone per DNSSEC signiert. Mit Inline Signing (http:// | + | FIXME Neu wird standardmässig jede Zone per DNSSEC signiert. Mit Inline Signing (http:// |
+ | FIXME Alternativ kann weiterhin ZKT verwendet werden. | ||
+ | |||
+ | FIXME OTR: man könnte die Zonenfiles zone.db auch ins Homeverzeichnis der Benutzer verlinken, damit sie ihre eigenen Domains selbst editieren können. | ||
===== DNS rekursiv ===== | ===== DNS rekursiv ===== | ||
+ | |||
+ | === Intern === | ||
Rekursiver DNS wird für alle VM benötigt. Dazu wird auf den beiden VM für DNS auf dem grünen Interface eine unbound-Instanz betrieben (https:// | Rekursiver DNS wird für alle VM benötigt. Dazu wird auf den beiden VM für DNS auf dem grünen Interface eine unbound-Instanz betrieben (https:// | ||
VM der Klasse Other nutzen die rekursiven DNS von Init7, oder beliebige andere. | VM der Klasse Other nutzen die rekursiven DNS von Init7, oder beliebige andere. | ||
+ | |||
+ | === Öffentlich === | ||
+ | |||
+ | trash.net betreibt einen öffentliche DNS-Server, bei dem zur Zeit noch alle Clients über eine URL freigeschaltet werden müssen. | ||
+ | |||
+ | Auf der neuen Plattform wird auf die Freischaltung verzichtet und der Dienst generell ohne Filter betrieben. Dazu wird auf beiden NS-Servern je eine zusätzliche IP zugewiesen für den rekursiven DNS. | ||
+ | |||
+ | Analog zum internen, rekursiven DNS wird auch Unbound benutzt. Zum Schutz gegen Missbrauch wird ein Rate-Limiting umgesetzt (https:// | ||
+ | |||
+ | |||
===== Web ===== | ===== Web ===== | ||
Zeile 332: | Zeile 338: | ||
✘ Es wird weiterhin möglich sein, dass der Code von einem Benutzer (z.B. PHP oder CGI) die world-readable Files von anderen Benutzern lesen kann. Dazu gibt es keine Lösung. | ✘ Es wird weiterhin möglich sein, dass der Code von einem Benutzer (z.B. PHP oder CGI) die world-readable Files von anderen Benutzern lesen kann. Dazu gibt es keine Lösung. | ||
+ | |||
+ | ☝Die virtuellen Webseiten sind bisher als dedizierter VirtualHost-Block in Apache konfiguriert. Die Umstellung auf Links hat erstens den Vorteil, dass keine Synchronisation der Apache-Konfiguration zwischen den VM notwendig ist und zweitens, dass IPv4 und IPv6 nicht getrennt konfiguriert werden muss (es muss je ein v4 und v6 VirtualHost aufgesetzt werden, der dann anhand der Host-Header und Symlinks die richtige Seite abruft). | ||
+ | |||
+ | ☝Aufgrund der Symlinks werden die Pfade der Logfiles der virtuellen Webseiten nicht mehr in Apache konfiguriert. Apache piped seine Logs in ein Skript, welches die Logs anhand des dort spezifizierten Host-Headers in die richtigen Pfade ablegt. Deshalb muss das Schema der Pfade der Logs für jeden Benutzer identisch sein. Das Log-Format muss ebenfalls angepasst werden für den Split: Es wird zu Beginn ein neues Feld eingefügt, welches den Host-Header des Requests beinhaltet und für den Split genutzt wird. | ||
===== Webapplikationen von trash.net ===== | ===== Webapplikationen von trash.net ===== | ||
Zeile 342: | Zeile 352: | ||
* LDAP Account Manager | * LDAP Account Manager | ||
* Webmail | * Webmail | ||
- | * Owncloud | + | * Owncloud |
* ??? | * ??? | ||
Zeile 378: | Zeile 388: | ||
Auf den roten und grünen VM wird Postfix konfiguriert als Satellite (abgesehen natürlich von den Mail-VM). Ihre // | Auf den roten und grünen VM wird Postfix konfiguriert als Satellite (abgesehen natürlich von den Mail-VM). Ihre // | ||
+ | FIXME Wie werden die bestehenden Mailing-Listen integriert? Lokal oder durch Relaying in eine eigene Messaging-VM. Wo läuft das Webinterface zur Administration / Selbstadministration? | ||
===== Angebotene Dienste ===== | ===== Angebotene Dienste ===== | ||
Zeile 467: | Zeile 477: | ||
=== Netzwerk === | === Netzwerk === | ||
+ | |||
+ | == IP-Ranges == | ||
+ | |||
+ | VM von trash.net werden nicht mehr in 213.144.137.32/ | ||
+ | |||
+ | == Trennung rote und blaue Zone == | ||
+ | |||
+ | Die Unterscheidung zwischen der roten und blauen Zone ist rein administrativ. Die VM in den beiden Zonen sind in der selben Broadcast-Domain. | ||
== Zugriff auf Management-Boards == | == Zugriff auf Management-Boards == |
plattform-migration/konzept_v2.txt · Zuletzt geändert: 2015/11/24 16:56 von thomasb