Beiträge von Roman

Roman · 11. Juni 2016

Hallo zusammen,

ich habe festgestellt, dass auf 2 Testsystemen, welche als LXC-Container unter CentOS 7 betrieben werden, der Autostart von Apache/HTTPD fehlschlägt:

Code

httpd.service - The Apache HTTP Server
   Loaded: loaded (/usr/lib/systemd/system/httpd.service; enabled; vendor preset: disabled)
   Active: failed (Result: exit-code) since Sa 2016-06-11 11:15:40 CEST; 1min 25s ago
     Docs: man:httpd(8)
           man:apachectl(8)
  Process: 862 ExecStop=/bin/kill -WINCH ${MAINPID} (code=exited, status=1/FAILURE)
  Process: 290 ExecStart=/usr/sbin/httpd $OPTIONS -DFOREGROUND (code=exited, status=1/FAILURE)
Main PID: 290 (code=exited, status=1/FAILURE)


Jun 11 11:15:40 test.example.org systemd[1]: httpd.service: main process exited, code=exited, status=1/FAILURE
Jun 11 11:15:40 test.example.org kill[862]: kill: cannot find process ""
Jun 11 11:15:40 test.example.org systemd[1]: httpd.service: control process exited, code=exited status=1
Jun 11 11:15:40 test.example.org systemd[1]: Failed to kill control group: Invalid argument
Jun 11 11:15:40 test.example.org systemd[1]: Failed to kill control group: Invalid argument
Jun 11 11:15:40 test.example.org systemd[1]: Failed to kill control group: Invalid argument
Jun 11 11:15:40 test.example.org systemd[1]: Failed to kill control group: Invalid argument
Jun 11 11:15:40 test.example.org systemd[1]: Failed to start The Apache HTTP Server.
Jun 11 11:15:40 test.example.org systemd[1]: Unit httpd.service entered failed state.
Jun 11 11:15:40 test.example.org systemd[1]: httpd.service failed.

Alles anzeigen

Der Fehler "Failed to kill control group: Invalid argument" sowie der fehlgeschlagene Kill sind mir bisher unter LXC unbekannt, deuten aber wohl darauf hin, dass irgendetwas mit cgroups getan werden soll, die unter LXC nicht zur Verfügung stehen.

Interessant ist, dass der Apache, sobald er manuell neu gestartet wird, wieder fehlerfrei funktioniert.

Da ich mich nun durch diverse Bugposts gewühlt habe, die allerdings alle keinen Erkenntnisgewinn mit sich brachten freue ich mich über jede Hilfe hier aus der Community.

Vielen Dank!

Roman · 25. April 2016

PHP in der Version 5.6.20.

Roman · 25. April 2016

Hallo und guten Tag

Ich habe dank der Hilfe von Herrn Keppler nun LiveConfig mit NGINX unter CentOS 7 in Betrieb nehmen können.

Nun stelle ich fest, dass die MBStrings-Erweiterung in PHP nicht geladen wird. Da ich bisher hauptsächlich unter Debian 7/8 gearbeitet habe wundert mich das schon sehr, zumal php-mbstring installiert ist:

Code

yum install php-mbstring
Geladene Plugins: fastestmirror
base                                                                                                                                                                                                                                                     | 3.6 kB  00:00:00     
epel                                                                                                                                                                                                                                                     | 4.3 kB  00:00:00     
extras                                                                                                                                                                                                                                                   | 3.4 kB  00:00:00     
liveconfig                                                                                                                                                                                                                                               |  951 B  00:00:00     
puppetlabs-deps                                                                                                                                                                                                                                          | 2.5 kB  00:00:00     
puppetlabs-products                                                                                                                                                                                                                                      | 2.5 kB  00:00:00     
remi                                                                                                                                                                                                                                                     | 2.9 kB  00:00:00     
remi-php56                                                                                                                                                                                                                                               | 2.9 kB  00:00:00     
remi-safe                                                                                                                                                                                                                                                | 2.9 kB  00:00:00     
updates                                                                                                                                                                                                                                                  | 3.4 kB  00:00:00     
(1/2): epel/x86_64/updateinfo                                                                                                                                                                                                                            | 540 kB  00:00:00     
(2/2): epel/x86_64/primary_db                                                                                                                                                                                                                            | 4.1 MB  00:00:00     
Loading mirror speeds from cached hostfile
 * base: mirror.eu.oneandone.net
 * epel: mirror.netcologne.de
 * extras: mirror.eu.oneandone.net
 * remi: mirror5.layerjet.com
 * remi-php56: mirror5.layerjet.com
 * remi-safe: mirror5.layerjet.com
 * updates: centos.mirrors.psw.services
Paket php-mbstring-5.6.20-1.el7.remi.x86_64 ist bereits in der neuesten Version installiert.
Nichts zu tun

Alles anzeigen

Muss die Erweiterung in LC selbst noch in die PHP-Einstellungen geschrieben werden? Würde ich dies nun manuell hinterlegen würde LC diese Einstellungen ja ggf. überschreiben...?

LG

Roman · 20. April 2016

Super!

Auf die CentOS-Unterstützung freue ich mich. Du kannst ja hier Bescheid geben, wenn es Änderungen gibt.

Roman · 19. April 2016

Hallo.

CSF ist tatsächlich eine Option, die ich in anderen Umgebungen auch schon einsetze. Im GuG bin ich damit auch recht zufrieden - ich bin mir da allerdings nicht sicher, wie ambitioniert hier weiter entwickelt wird.

Roman · 19. April 2016

Schöne Sache.

Toll wäre hier noch eine Unterstützung von CentOS, sowie ggf. die Übergabe eines Lizenzschlüssels.

Roman · 19. April 2016

Dovecot lief allerdings. Ich habe die Dovecot-Konfiguration erneut durch eine Änderung in LC überschrieben. Hier wurde auch ein Fehler in LC ausgegeben, der ausgab, dass die Konfiguration nicht geschrieben werden konnte (?) - nach einem Ändern eines beliebigen Parameters und einem Neustart von LC war alles wieder funktionsfähig.

Roman · 19. April 2016

Guten Morgen,

nach dem letzten LiveConfig-Update läuft der Mail-Server leider nicht mehr wie gewünscht:

Code

Apr 19 08:41:03 test postfix/smtpd[15233]: warning: SASL: Connect to private/auth failed: Connection refused
Apr 19 08:41:03 test postfix/smtpd[15233]: fatal: no SASL authentication mechanisms

Das ist nun verwunderlich - die Config wird durch LC verwaltet:

Code

#  _    _          ___           __ _     (R)
# | |  (_)_ _____ / __|___ _ _  / _(_)__ _
# | |__| \ V / -_) (__/ _ \ ' \|  _| / _` |
# |____|_|\_/\___|\___\___/_||_|_| |_\__, |
#                                    |___/
# Copyright (c) 2009-2016 Keppler IT GmbH.
# ----------------------------------------------------------------------------
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
authorized_flush_users = root, $mail_owner
authorized_mailq_users = root, $mail_owner
biff = no
broken_sasl_auth_clients = yes
disable_vrfy_command = yes
dovecot_destination_recipient_limit = 1
inet_protocols = all
mailbox_size_limit = 0
message_size_limit = 26214400
milter_default_action = accept
mydestination = localhost.localdomain, localhost, $myhostname
myhostname = test.example.org
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
myorigin = /etc/mailname
readme_directory = no
recipient_delimiter = +
relayhost = 
show_user_unknown_table_name = no
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtp_tls_loglevel = 1
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
smtp_tls_protocols = !SSLv2, !SSLv3
smtp_tls_security_level = may
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_banner = $myhostname ESMTP $mail_name
smtpd_client_restrictions =     permit_mynetworks,
    permit_sasl_authenticated,
    reject_invalid_hostname,
    reject_unknown_reverse_client_hostname
smtpd_discard_ehlo_keywords = silent-discard, dsn
smtpd_helo_required = yes
smtpd_helo_restrictions = reject_invalid_helo_hostname
smtpd_milters = unix:/var/run/clamav/clamav-milter.ctl
smtpd_recipient_limit = 250
smtpd_recipient_restrictions =     permit_mynetworks,
    permit_sasl_authenticated,
    reject_unauth_destination,
    reject_unknown_recipient_domain,
    check_recipient_access hash:/etc/postfix/recipient_access
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $mydomain
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous
smtpd_sasl_type = dovecot
smtpd_sender_restrictions =     permit_mynetworks,
    reject_unknown_address,
    reject_unknown_sender_domain,
    reject_non_fqdn_sender,
    check_sender_access hash:/etc/postfix/sender_access
virtual_alias_maps = hash:/etc/postfix/virtual_alias
virtual_gid_maps = static:8
virtual_mailbox_base = /var/mail
virtual_mailbox_domains = hash:/etc/postfix/virtual_domains
virtual_mailbox_maps = hash:/etc/postfix/virtual_alias
virtual_minimum_uid = 8
virtual_transport = dovecot
virtual_uid_maps = static:8
# <EOF>-----------------------------------------------------------------------

Alles anzeigen

Roman · 14. April 2016

Hallo Herr Keppler,

genau das ist hier meine Überlegung - eigentlich wäre hier eine entsprechende Einsatzmöglichkeit mit SELinux ja wünschenswert.

Ihr Installer gibt ja auch an, welche Sicherheitseinstellungen nachträglich durchgeführt werden sollen - denen bin ich hier gefolgt.

Aktuell erhalte ich folgendes in den Logs:

HTML

type=AVC msg=audit(1460626058.796:717): avc:  denied  { getattr } for  pid=4161 comm="php-cgi" path="/var/www/web1/htdocs" dev="dm-0" ino=777 scontext=system_u:system_r:httpd_sys_script_t:s0 tcontext=unconfined_u:object_r:user_home_t:s0 tclass=dir
type=SYSCALL msg=audit(1460626058.796:717): arch=c000003e syscall=4 success=no exit=-13 a0=7fc739f9c040 a1=7ffe9f39afb0 a2=7ffe9f39afb0 a3=1d items=0 ppid=3291 pid=4161 auid=4294967295 uid=10001 gid=10001 euid=10001 suid=10001 fsuid=10001 egid=10001 sgid=10001 fsgid=10001 tty=(none) ses=4294967295 comm="php-cgi" exe="/usr/bin/php-cgi" subj=system_u:system_r:httpd_sys_script_t:s0 key=(null)

Roman · 13. April 2016

Das funktioniert, vielen Dank.

Gibt es hier eine Möglichkeit, das Ganze mit aktivem SELinux zu nutzen?

Roman · 13. April 2016

Hallo Herr Keppler,

getenforce liefert "Enforcing" zurück.

Roman · 13. April 2016

Guten Abend,

ich bin mir fast sicher, dass ich eine Kleinigkeit übersehen habe - ich komme allerdings aktuell nicht darauf.

Ich habe LiveConfig sowie das dazu gehörige Meta-Paket unter CentOS 7 installiert.

Nun erhalte ich bei jedem Aufruf einer Seite eines Abonnements folgende Fehlermeldung in den Logs:

Code

tailf /var/log/httpd/error_log 
[Wed Apr 13 19:28:23.711156 2016] [negotiation:error] [pid 18740] (13)Permission denied: [client xxx.xxx.xxx.xxx:58191] AH00686: cannot read directory for multi: /var/www/web1/htdocs/

bzw

Code

[Wed Apr 13 19:32:59.733979 2016] [fcgid:warn] [pid 19012] (104)Connection reset by peer: [client xxx.xxx.xxx.xxx:58276] mod_fcgid: error reading data from FastCGI server
[Wed Apr 13 19:32:59.734028 2016] [core:error] [pid 19012] [client xxx.xxx.xxx.xxx:58276] End of script output before headers: test.php
/bin/sh: php-fcgi-starter: Permission denied
[Wed Apr 13 19:33:00.451672 2016] [fcgid:warn] [pid 19011] (104)Connection reset by peer: [client xxx.xxx.xxx.xxx:58278] mod_fcgid: error reading data from FastCGI server
[Wed Apr 13 19:33:00.451708 2016] [core:error] [pid 19011] [client xxx.xxx.xxx.xxx:58278] End of script output before headers: test.php

Nun wundert mich vor allem das "/bin/sh: php-fcgi-starter: Permission denied".

Die Zugriffsrechte für das Kunden-Verzeichnis sehen gut aus:

Code

drwxr-x---. 2 web1   apache  6 13. Apr 19:25 apps
drwxr-x---. 3 apache web1   17 13. Apr 19:25 conf
drwxr-x---. 3 web1   apache 35 13. Apr 19:32 htdocs
drwxr-x---. 3 apache web1   50 13. Apr 19:53 logs
drwxr-x---. 2 web1   web1    6 13. Apr 19:25 priv
drwxrwx---. 2 web1   apache  6 13. Apr 19:25 tmp

Und auch php-fcgi-startet ist vorhanden:

Code

/var/www/web1/conf/php5
insgesamt 12
-r-xr-x---. 1 web1 web1  215 13. Apr 19:32 php-fcgi-starter
-rw-r--r--. 1 root web1 5038 13. Apr 19:32 php.ini

Ich freue mich über jeden Denkanstoß

Roman · 23. März 2016

Hallo zusammen,

ich habe eine scheinbar einfach zu beantwortende Frage: Wie sichert ihr auf LC-Systemen die Webseiten eurer Kunden gegen Brute-Force-Angriffe?

Wir setzen hier aktuell auf Fail2Ban und ModSecurity - allerdings ist Fail2Ban meiner Erfahrung nach bei einem höheren Log-Volumen schnell ein echter Ressourcenvernichter.

Auch bieten ja einige Rechenzentren DDOS-Protections an, die z.B. einen Synflood erkennen und filtern, was allerdings bei BruteForces durch Botnetze in vielen Fällen wenig Erfolg verspricht.

Mich würde interessieren: Wie sieht das bei euch aus? Was hat sich bewährt, was läuft z.B. mit LiveConfig gut Hand in Hand und was hat sich nicht bewährt?

Beste Grüße und ein schönes Osterfest.

Roman · 14. März 2016

Guten Tag,

mir fällt auf, dass LC bei der Behandlung von FTP-Benutzern häufiger Pfade wie //priv oder //irgendein-ordner

Bei vielen Anwendern löst dies Unsicherheit aus. Ist dies ein Bug oder ein Feature?

Roman · 13. März 2016

+1 ebenfalls sehr interessiert.

Roman · 7. Februar 2016

Guten Abend,

Ich habe eine - derzeit noch theoretische - Frage:

Ich möchte zeitnah ein produktiv genutztes LC-Multiserver-Setup umsetzen.

LiveConfig gefällt mir wirklich enorm gut, daher würde ich gerne vollumfänglich darauf setzen. Hierfür muss allerdings ein Faktor gegeben sein oder zumindest ein Workaround existieren.

Es ist durchaus mittelfristig möglich, dass ein LCCLIENT von Rechenzentrum A zu B wechselt, während der LiveConfig-Master an der alten Stelle verbleibt.

Wie nun könnte ich ein Mitglied einer Multiserverumgebung auf diese Weise migrieren, ohne dass die Nutzerprofile verloren gehen? Könnte die IP eines Webservers dann beispielsweise einfach ersetzt werden?

Ebenfalls wichtig: Wie können Nutzer bzw deren Veträge einzeln bei Bedarf migriert werden?

Besten Dank für jede Meinung und jeden Ratschlag.

Roman · 14. Juli 2015

Hallo Herr Keppler,

das klingt phantastisch - auch finde ich es toll, dass Sie die API noch einmal in Angriff nehmen.

Auch über die überarbeitete Backup-Funktion freue ich mich sehr. Ein verfrühtes Weihnachtsgeschenk würden Sie mir machen, wenn die Backups auch bei Multi-Server-Installationen möglich wären.

Beste Grüße und einen schönen Abend

Roman · 11. Juli 2015

Nicht nur Massenhosting profitiert von Automatisierungen. Bitte vorher die Hintergründe prüfen.

Roman · 10. Juli 2015

Es mag ja sein, dass das so gedacht war - für den produktiven Einsatz im Bereich Webhosting kann ich zumindest nicht auf eine API verzichten.

Roman · 10. Juli 2015

Hallo,

danke für die Antwort.

Das ist auch nicht besonders elegant und lässt sich auch nicht über die API ansteuern :-/

Es wäre, um einen Betrieb im produktiven Rahmen zu ermöglichen, dringend anzuraten, dass eine Sperrung einzelner Verträge ermöglicht wird - idealerweise auch über die API.

Allein in diesem Forum finde ich dazu schon eine Menge Anfragen. Gibt es einen Grund, weswegen diese bisher nicht berücksichtigt wurden? Vielleicht liegt der Fehler ja auch in meiner Denkweise.

Beiträge von Roman

Apache unter CentOS7 (LXC) Autostart

NGINX mit MBSTRING

NGINX mit MBSTRING

Liveconfig Puppet-Modul

Brute-Force-Behandlung - Best Practices in Verbindung mit LiveConfig

Liveconfig Puppet-Modul

Nach LiveConfig-Update: fatal: no SASL authentication mechanisms

Nach LiveConfig-Update: fatal: no SASL authentication mechanisms

Internal Server Error unter CentOS 7

Internal Server Error unter CentOS 7

Internal Server Error unter CentOS 7

Internal Server Error unter CentOS 7

Brute-Force-Behandlung - Best Practices in Verbindung mit LiveConfig

FTP - Pfadangaben?

LiveConfig v2.1.1 freigegeben

LiveConfig - Migration bestehender Multiserver-LCCLIENTS in anderes RZ

PREVIEW: LiveConfig v1.9.1

Einzelnen Vertrag deaktivieren?

Einzelnen Vertrag deaktivieren?

Einzelnen Vertrag deaktivieren?