Benutzer-Werkzeuge

Webseiten-Werkzeuge


plattform-migration:konzept_v2

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
plattform-migration:konzept_v2 [2015/11/05 18:42]
thomasb [Web]
plattform-migration:konzept_v2 [2015/11/24 16:56] (aktuell)
thomasb [Ressourcenauslastung]
Zeile 57: Zeile 57:
  
 ^Typ der Auswertung ^Datenquelle ^Tool ^ ^Typ der Auswertung ^Datenquelle ^Tool ^
-FIXME Bitte hier eine Liste der benötigten Statistiken bzw. Auswertungen einfügen. | - | - |+tägliche Auswertung der Webzugriffe pro Site Apache Logs | webalizer | 
 +| Echtzeitauswertung der Webserver-Zugriffshäufigkeit Apache Logs | rrdtool, eigene Skripte | 
 +| Echtzeitauswertung der versandten Biere | Apache Logs | rrdtool, eigene Skripte | 
 +| Echtzeitauswertung von Greylisting | /var/log/sqlgrey | Mailgraph modifiziert, eigene Skripte | 
 +| mehrfach-tägliche Auswertung der Mailserver-Nutzung | /var/log/maillog | Mailgraph modifiziert | 
 +| mehrfach-tägliche Auswertung der Mailbox-Zugriffe | /var/log/dovecot | Mailgraph modifiziert | 
 +| Systemkennwerte |  | statgrab, rrdtool, eigene Skripte |
 ===== Klassifizierung von virtuellen Maschinen, Daten und Zonen ===== ===== Klassifizierung von virtuellen Maschinen, Daten und Zonen =====
  
Zeile 121: Zeile 127:
  
 ^Skript ^Ersatz ^ ^Skript ^Ersatz ^
-| add_alias.pl | FIXME |  +| add_alias.pl | veraltet |  
-| add_mysqldb.pl | FIXME |  +| add_mysqldb.pl | veraltet |  
-| add_user.sh | FIXME |  +| add_user.sh | veraltet |  
-| add_virtserv.pl | FIXME |  +| add_virtserv.pl | in Gebrauch |  
-| change_passwd.pl | FIXME |  +| change_passwd.pl | in Gebrauch |  
-| change_passwd_nomail.pl | FIXME |  +| change_passwd_nomail.pl | in Gebrauch |  
-| check_entry.pl | FIXME |  +| check_entry.pl | veraltet |  
-| check_payments.pl | FIXME |  +| check_payments.pl | veraltet |  
-| clean-db.pl | FIXME |  +| clean-db.pl | veraltet |  
-| copy_mailaddr.sh | FIXME |  +| copy_mailaddr.sh | in Gebrauch |  
-| correct.pl | FIXME |  +| correct.pl | veraltet |  
-| delete_idle_nonmemb.pl | FIXME |  +| delete_idle_nonmemb.pl | veraltet |  
-| delete_idle_nonmemb.txt | FIXME |  +| delete_idle_nonmemb.txt | veraltet |  
-| delete_virtserv.pl | FIXME |  +| delete_virtserv.pl | in Gebrauch |  
-| importdb.cgi | FIXME |  +| importdb.cgi | veraltet |  
-| mgtest.log | FIXME |  +| mgtest.log | veraltet |  
-| mod_account.sh | FIXME |  +| mod_account.sh | in Gebrauch |  
-| mv2member.pl | FIXME |  +| mv2member.pl | veraltet |  
-| mysql-create-root | FIXME |  +| mysql-create-root | in Gebrauch |  
-| mysql-reset-root | FIXME |  +| mysql-reset-root | in Gebrauch |  
-| nonmemberwerbung.pl | FIXME |  +| nonmemberwerbung.pl | veraltet |  
-| priate_email.pl | FIXME |  +| show_privmail.pl | in Gebrauch |  
-| show_address.pl | FIXME |  +| autopatch.pl | veraltet 
-| show_privmail.pl | FIXME |  +| autopatch.sh | veraltet 
-| truniger.pl | FIXME |  +| backup-config.sh | veraltet 
-| 2delete | FIXME +| backup2local.sh | veraltet 
-| autopatch.pl | FIXME +| change-perm2trash.sh | veraltet 
-| autopatch.sh | FIXME +| check_cluster | veraltet 
-| backup-config.sh | FIXME +| check_expire | veraltet 
-| backup2local.sh | FIXME +| check_failed_sshd.pl | in Gebrauch 
-| change-perm2trash.sh | FIXME +| check_failed_sshd.pl.orig | veraltet 
-| check_cluster | FIXME +| check_homedir.pl | veraltet 
-| check_expire | FIXME +| check_mailsize.pl | veraltet 
-| check_failed_sshd.pl | FIXME | +| check_quota.sh | in Gebrauch 
-| check_failed_sshd.pl.bu | FIXME | +| check_sqlgrey | in Gebrauch 
-| check_failed_sshd.pl.new | FIXME +| check_syslogd | in Gebrauch 
-| check_failed_sshd.pl.orig | FIXME +| checkpw | veraltet 
-| check_homedir.pl | FIXME +| checkquota.sh | veraltet 
-| check_mailsize.pl | FIXME +| chng_pws.pl | veraltet 
-| check_quota.sh | FIXME +| clean_tmp.sh | veraltet 
-| check_sqlgrey | FIXME +| couriergraph.pl | in Gebrauch 
-| check_syslogd | FIXME +| cpu-load.sh | veraltet 
-| checkpw | FIXME +| date.sh | veraltet 
-| checkquota.sh | FIXME +| delete_old_beers.pl | veraltet 
-| chng_pws.pl | FIXME +| deletemail.sh | veraltet 
-| clean_tmp.sh | FIXME +| diskspace.mail | veraltet 
-| couriergraph.pl | FIXME +| dist2allusers.sh | veraltet 
-| cpu-load.sh | FIXME +| dot | veraltet 
-| date.sh | FIXME +| dspam_cssclean.sh | in Gebrauch 
-| delete_old_beers.pl | FIXME +| dump_mysql | in Gebrauch 
-| deletemail.sh | FIXME +| filecomp.sh | veraltet 
-| diskspace.mail | FIXME +| find-users2delete.pl | veraltet 
-| dist2allusers.sh | FIXME +| find_obsolete_home | in Gebrauch 
-| dot | FIXME +| find_setuid.sh | veraltet 
-| dspam_cssclean.sh | FIXME +| fix-modes | veraltet 
-| dump_mysql | FIXME +| grepmail.sh | veraltet 
-| filecomp.sh | FIXME +| kill_death_procs.sh | veraltet 
-| find-users2delete.pl | FIXME +| lastlogin | veraltet 
-| find_obsolete_home | FIXME +| log_prstat | veraltet 
-| find_setuid.sh | FIXME +| mail-mgmt | veraltet 
-| fix-modes | FIXME +| mailaccess.pl | in Gebrauch 
-| grepmail.sh | FIXME +| mailgraph.pl | in Gebrauch 
-| kill_death_procs.sh | FIXME +| mailstats.orig | veraltet 
-| lastlogin | FIXME +| mailstats.sh | veraltet 
-| log_prstat | FIXME +| make_anonftp.sh | in Gebrauch 
-| mail-mgmt | FIXME +| make_mailgraph.sh | in Gebrauch 
-| mailaccess.pl | FIXME | +| make_snort.sh | veraltet 
-| mailaccess.pl.20100101 | FIXME | +| make_sqlgraph.sh | in Gebrauch 
-| mailaccess.pl.20110725 | FIXME | +| makesymlinks.claudio | veraltet 
-| mailaccess.pl.bu | FIXME +| makevirtusers.sh | veraltet 
-| mailgraph.pl | FIXME | +| mbox_warn.ksh | veraltet 
-| mailgraph.pl-old | FIXME +| md5mon.sh | veraltet 
-| mailstats.orig | FIXME +| mmfold.py | veraltet 
-| mailstats.sh | FIXME +| monitor-server.pl | veraltet 
-| make_anonftp.sh | FIXME +| monitor-traffic.sh | veraltet 
-| make_mailgraph.sh | FIXME | +| newdovecotlog | in Gebrauch 
-| make_mailgraph.sh.20100101 | FIXME +| newmaillog | in Gebrauch 
-| make_snort.sh | FIXME +| newspamdlog | in Gebrauch 
-| make_sqlgraph.sh | FIXME +| newsqlgreylog | in Gebrauch 
-| makesymlinks.claudio | FIXME +| ntop | in Gebrauch 
-| makevirtusers.sh | FIXME +| oldstuff | veraltet 
-| mbox_warn.ksh | FIXME +| reinject | veraltet 
-| md5mon.sh | FIXME +| renice_irc.sh | veraltet 
-| mmfold.py | FIXME +| restart_tomcat.sh | veraltet 
-| monitor-server.pl | FIXME +| rotatelogs.sh | in Gebrauch 
-| monitor-traffic.sh | FIXME +| rrd-create-base | in Gebrauch 
-| newdovecotlog | FIXME +| rrd-create-base.truniger | in Gebrauch 
-| newmaillog | FIXME +| rrd-httpdlog.pl | in Gebrauch 
-| newspamdlog | FIXME +| rrd-update.pl | in Gebrauch 
-| newsqlgreylog | FIXME +| satan-1.1.4exp | veraltet 
-| ntop | FIXME +| smtpstats | veraltet 
-| oldstuff | FIXME +| sqlgreygraph.pl | in Gebrauch 
-| reinject | FIXME +| sqlgreyparse.pl | in Gebrauch 
-| renice_irc.sh | FIXME +| start_ipv6.sh | veraltet 
-| restart_tomcat.sh | FIXME +| statgrab-5.5.php | in Gebrauch 
-| rotatelogs.sh | FIXME +| statgrab.php | veraltet 
-| rrd-create-base | FIXME +| status_check.sh | veraltet 
-| rrd-create-base.truniger | FIXME +| sync_passwd.sh | in Gebrauch 
-| rrd-httpdlog.pl | FIXME +| sysstats.sh | in Gebrauch 
-| rrd-update.pl | FIXME +| system-integrity.sh | in Gebrauch 
-| satan-1.1.4exp | FIXME +| tailwtmp.pl | veraltet 
-| smtpstats | FIXME +| tcpdstats | veraltet 
-| sqlgreygraph.pl | FIXME +| totallog.sh | veraltet 
-| sqlgreyparse.pl | FIXME +| traffic_archive.pl | veraltet 
-| start_ipv6.sh | FIXME +| traffic_stats.pl | veraltet 
-| statgrab-5.5.php | FIXME +| tuning-primer.sh | veraltet 
-| statgrab.php | FIXME | +| update_dns.sh | in Gebrauch 
-| statgrab.php.orig | FIXME | +| update_hosts.allow.sh | in Gebrauch 
-| statgrab.php.truniger | FIXME +| update_tinyroot.sh | veraltet 
-| status_check.sh | FIXME | +| updatedb_wrapper.sh | veraltet 
-| stinky-sync.tar | FIXME +| user-stats.sh | veraltet 
-| sync_passwd.sh | FIXME +| userwarn.pl | veraltet |
-| sysstats.sh | FIXME +
-| system-integrity.sh | FIXME +
-| tailwtmp.pl | FIXME +
-| tcpdstats | FIXME +
-| totallog.sh | FIXME +
-| traffic_archive.pl | FIXME +
-| traffic_stats.pl | FIXME +
-| tuning-primer.sh | FIXME +
-| update_dns.sh | FIXME +
-| update_hosts.allow.sh | FIXME +
-| update_tinyroot.sh | FIXME +
-| updatedb_wrapper.sh | FIXME | +
-| user-mgmt | FIXME +
-| user-stats.sh | FIXME +
-| userwarn.pl | FIXME |+
  
 ===== LDAP-Schema ===== ===== LDAP-Schema =====
Zeile 309: Zeile 300:
 Der bisherige DNS-Setup soll vereinfacht werden: Es gibt dazu noch zwei VMs mit einer bind-Instanz auf dem roten Interface. Eine VM ist Master, die andere beschafft sich Kopien der Zonen per AXFR.  Der bisherige DNS-Setup soll vereinfacht werden: Es gibt dazu noch zwei VMs mit einer bind-Instanz auf dem roten Interface. Eine VM ist Master, die andere beschafft sich Kopien der Zonen per AXFR. 
  
-Neu wird standardmässig jede Zone per DNSSEC signiert. Mit Inline Signing (http://securityblog.switch.ch/2014/11/13/dnssec-signing-your-domain-with-bind-inline-signing/) sind keine Skripte oder Tools mehr dazu notwendig, bind kann die Erneuerung von Signaturen selber handhaben.+FIXME Neu wird standardmässig jede Zone per DNSSEC signiert. Mit Inline Signing (http://securityblog.switch.ch/2014/11/13/dnssec-signing-your-domain-with-bind-inline-signing/) sind keine Skripte oder Tools mehr dazu notwendig, bind kann die Erneuerung von Signaturen selber handhaben.
  
 +FIXME Alternativ kann weiterhin ZKT verwendet werden.
 +
 +FIXME OTR: man könnte die Zonenfiles zone.db auch ins Homeverzeichnis der Benutzer verlinken, damit sie ihre eigenen Domains selbst editieren können.
 ===== DNS rekursiv ===== ===== DNS rekursiv =====
 +
 +=== Intern ===
  
 Rekursiver DNS wird für alle VM benötigt. Dazu wird auf den beiden VM für DNS auf dem grünen Interface eine unbound-Instanz betrieben (https://unbound.net/). DNSSEC-Validierung ist auf dieser aktiviert. Rekursiver DNS wird für alle VM benötigt. Dazu wird auf den beiden VM für DNS auf dem grünen Interface eine unbound-Instanz betrieben (https://unbound.net/). DNSSEC-Validierung ist auf dieser aktiviert.
  
 VM der Klasse Other nutzen die rekursiven DNS von Init7, oder beliebige andere. VM der Klasse Other nutzen die rekursiven DNS von Init7, oder beliebige andere.
 +
 +=== Öffentlich ===
 +
 +trash.net betreibt einen öffentliche DNS-Server, bei dem zur Zeit noch alle Clients über eine URL freigeschaltet werden müssen.
 +
 +Auf der neuen Plattform wird auf die Freischaltung verzichtet und der Dienst generell ohne Filter betrieben. Dazu wird auf beiden NS-Servern je eine zusätzliche IP zugewiesen für den rekursiven DNS.
 +
 +Analog zum internen, rekursiven DNS wird auch Unbound benutzt. Zum Schutz gegen Missbrauch wird ein Rate-Limiting umgesetzt (https://unbound.net/documentation/unbound.conf.html, sh. Parameter jostle-timeout, incoming-num-tcp, msg-cache-size, num-queries-per-thread).
 +
 +
 ===== Web ===== ===== Web =====
  
Zeile 346: Zeile 352:
   * LDAP Account Manager   * LDAP Account Manager
   * Webmail   * Webmail
-  * Owncloud+  * Owncloud (Auth-Backend: LDAP -> s. [[https://doc.owncloud.org/server/8.2/admin_manual/configuration_user/user_auth_ldap.html]])
   * ???   * ???
  
Zeile 382: Zeile 388:
 Auf den roten und grünen VM wird Postfix konfiguriert als Satellite (abgesehen natürlich von den Mail-VM). Ihre //mydestination//-Konfiguration ist leer und sie senden alle Mail an die beiden Mail-VM. Auf den Mail-VM müssen dafür die Hostnamen sämtlicher VM als lokale Domain definiert sein. So können die Mails von Cronjobs o.ä. trotzdem an Mailboxen zugestellt werden. Es ist so auch möglich, dass Webapplikationen mit SMTP auf localhost verbinden oder direkt /usr/sbin/sendmail aufrufen können, um Mails zu versenden. Auf den roten und grünen VM wird Postfix konfiguriert als Satellite (abgesehen natürlich von den Mail-VM). Ihre //mydestination//-Konfiguration ist leer und sie senden alle Mail an die beiden Mail-VM. Auf den Mail-VM müssen dafür die Hostnamen sämtlicher VM als lokale Domain definiert sein. So können die Mails von Cronjobs o.ä. trotzdem an Mailboxen zugestellt werden. Es ist so auch möglich, dass Webapplikationen mit SMTP auf localhost verbinden oder direkt /usr/sbin/sendmail aufrufen können, um Mails zu versenden.
  
 +FIXME Wie werden die bestehenden Mailing-Listen integriert? Lokal oder durch Relaying in eine eigene Messaging-VM. Wo läuft das Webinterface zur Administration / Selbstadministration?
  
 ===== Angebotene Dienste ===== ===== Angebotene Dienste =====
Zeile 443: Zeile 449:
  
 Es kann davon ausgegangen werden, dass nur die VM von Mail+Web wirklich Load erzeugen. Es kann davon ausgegangen werden, dass nur die VM von Mail+Web wirklich Load erzeugen.
 +
 +Memory-Bedarf:
 +
 +^VM ^Memory ^
 +|Shellserver | 4GB |
 +|DNS-Server | 1GB |
 +|Mailserver | 4GB |
 +|Webserver 1 | 4GB |
 +|Webserver 2 | 4GB |
 +|DB/LDAP | 4GB |
 +|Proxy | 512MB |
 +|Messaging-Server | 1G |
 +|TOTAL pro Hypervisor | 19GB |
 +
  
 Deshalb sollte nochmals über den Ansatz von einer Unterteilung in einen stärkeren und schwächeren  Hypervisor unterschieden werden. Es hilft vermutlich nicht viel, eine der beiden Maschinen deutlich stärker auszulegen. Deshalb sollte nochmals über den Ansatz von einer Unterteilung in einen stärkeren und schwächeren  Hypervisor unterschieden werden. Es hilft vermutlich nicht viel, eine der beiden Maschinen deutlich stärker auszulegen.
Zeile 471: Zeile 491:
  
 === Netzwerk === === Netzwerk ===
 +
 +== IP-Ranges ==
 +
 +VM von trash.net werden nicht mehr in 213.144.137.32/29 platziert. Dieses Netz wird neu für die VM der blauen Zone verwendet.
 +
 +== Trennung rote und blaue Zone ==
 +
 +Die Unterscheidung zwischen der roten und blauen Zone ist rein administrativ. Die VM in den beiden Zonen sind in der selben Broadcast-Domain.
  
 == Zugriff auf Management-Boards == == Zugriff auf Management-Boards ==
plattform-migration/konzept_v2.1446748951.txt.gz · Zuletzt geändert: 2015/11/05 18:42 von thomasb