Beiträge von antondollmaier

Zitat von kk

Bei FastCGI gibt es zwangsweise mindestens eine laufende PHP-Instanz pro Vertrag und pro PHP-Version. FPM ist hier flexibler und ermöglicht es, auch den "ersten" benötigten PHP-Interpreter nur bei Bedarf zu starten. Bei Shared-Hosting ermöglicht das somit (theoretisch) eine höhere Kundendichte pro Server, insbesondere wenn der Trend zu vielen verschiedenen PHP-Versionen gleichzeitig geht.

Ich glaube, das sollte genau andersrum sein.

Bei Fcgid läuft normal kein einziger PHP-Prozess - solange, bis die erste Anfrage für den VirtualHost kommt.

Der FPM-Pool hat selbst im "onDemand"-Modus noch einen Haupt-Prozess aktiv, der immer läuft.

Oder bin ich komplett auf dem falschen Dampfer?

Zitat von RB-Media-Group

SuPHP lief bis zum Update ohne Probleme, mit FastCGI geht nun die Versionsauswahl wieder.

Wurde in der Richtung was verändert?

Nachdem suPHP gar nicht mehr verfügbar sein sollte, eben weil es "suphp-common" seit Jessie gar nicht mehr gibt, ist das doppelt interessant.

Einfach überall von suPHP auf FastCGI umstellen. Erspart einige Probleme, die suPHP hat(te).

Solange das Zertifikat nicht auf "localhost" ausegstellt ist (was ich vermute), wird das nicht funktionieren.

Daher sagte ich ja, dass RoundCube als SMTP-Server eben nicht "localhost" nehmen soll, sondern den Servernamen, auf den das SMTP-Zertifikat ausgestellt ist.

Zitat

Im smtp debug log steht:

Code

[17-Oct-2018 12:11:48 +0200]: <c9f83eph> Recv: 220 server1.xxx ESMTP
[17-Oct-2018 12:11:48 +0200]: <c9f83eph> Send: EHLO webmail.xxx
[17-Oct-2018 12:11:48 +0200]: <c9f83eph> Recv: 250-server1.xxx
[17-Oct-2018 12:11:48 +0200]: <c9f83eph> Recv: 250-PIPELINING
[17-Oct-2018 12:11:48 +0200]: <c9f83eph> Recv: 250-SIZE 104857600
[17-Oct-2018 12:11:48 +0200]: <c9f83eph> Recv: 250-ETRN
[17-Oct-2018 12:11:48 +0200]: <c9f83eph> Recv: 250-STARTTLS
[17-Oct-2018 12:11:48 +0200]: <c9f83eph> Recv: 250-ENHANCEDSTATUSCODES
[17-Oct-2018 12:11:48 +0200]: <c9f83eph> Recv: 250 8BITMIME
[17-Oct-2018 12:11:48 +0200]: <c9f83eph> Send: RSET
[17-Oct-2018 12:11:48 +0200]: <c9f83eph> Recv: 250 2.0.0 Ok
[17-Oct-2018 12:11:48 +0200]: <c9f83eph> Send: QUIT
[17-Oct-2018 12:11:48 +0200]: <c9f83eph> Recv: 221 2.0.0 Bye

Alles anzeigen

Postfix erfordert TLS/STARTTLS, andernfalls ist kein Versand möglich.

Also den SMTP-Server umstellen auf:

$config['smtp_server'] = 'tls://%h';

(oder auf was auch immer euer SSL-Zertifikat ausgestellt wurde)

Was passiert, wenn via "telnet -6 localhost 25" getestet wird?

Wird als Host in RoundCube wirklich "ssl://" oder "tls://" verwendet?

Zitat von RipClaw

Die erste, und mir liebste, wäre es überhaupt keine Großbuchstaben in den Hostingverträgen mehr zu erlauben.

Nachdem das tendentiell auch bei MySQL-Datenbanken/Benutzern zu Problemen führt: *signed*

Zitat von weltmeister

Die Ausgabe sagt folgendes

Ist das ein Debian Stretch? Oder noch Jessie? Bei Stretch sollte das so aussehen:

root@v5659:~# systemctl status proftpd
● proftpd.service - LSB: Starts ProFTPD daemon
   Loaded: loaded (/etc/init.d/proftpd; generated; vendor preset: enabled)
   Active: active (running) since Thu 2018-10-04 15:32:13 UTC; 2h 39min ago
     Docs: man:systemd-sysv-generator(8)
    Tasks: 1 (limit: 4915)
   CGroup: /system.slice/proftpd.service
           └─780 proftpd: (accepting connections)

Und da läuft der FTPd auch.

Aber gut:

- läuft der Dienst überhaupt auf Port 21 (lsof -i :21)?
- läuft proFTPd überhaupt (ps aux| grep -i ftp)
- was steht in der /var/log/proftpd/proftpd.log?

Wahrscheinlich läuft der FTP-Daemon nicht.

Zitat von weltmeister

Hat jemand einen Tipp?

Firewall, Prozess-Status, ...

Was steht denn in den Logs dazu?

Zitat von kk

Die Idee behalten wir mal im Hinterkopf, bei "normalem" Mass-Shared-Hosting schießt das eher über's Ziel hinaus.

Dort ergibt PHP-FPM aber IMHO - selbst mit "ondemand" - wenig Sinn.

Zitat von kk

Wer sich etwas tiefer mit Control Panels, Shared Hosting und FPM beschäftigt wird feststellen, dass FPM und insbesondere Caching (nicht nur Opcache, sondern auch APC) hierbei ein ernstzunehmendes Problem darstellen. Es gibt Control Panels, denen das völlig Schnuppe ist - LiveConfig zählt nicht dazu.

Die Alternative dazu ist, für jeden Benutzer einen komplett eigenen PHP-FPM-Prozess (und nicht nur einen eigenen Pool) zu erstellen.

Ob das den Aufwand Wert ist, sei dahingestellt.

Ansonsten - mal wieder - vielen Dank für die detailreichen Ausführungen!

Zitat von loswebos.de

Gilt dann halt nur für neu angelegte Accounts.

Oder über apache.configureVHost() und LC.fs.is_dir().

Muss kurz einhaken:

Zitat von kk

Ich dachte eigentlich dass LiveConfig das erledigt, werden wir prüfen...

Nope, da wird nicht aufgeräumt. Hier sind es auch SEHR viele Validierungs-Dateien, die noch rumliegen.

So - habe einen Fehler gefunden, der leider größere Auswirkungen hatte.

Mit 5.6.37 (den neuen Paketen) ist per Default suhosin aktiv, das zuvor deaktiviert war:

./php-5.6-opt_5.6.35-1+stretch1_amd64/opt/php-5.6/etc/conf.d/suhosin.ini.disabled
./php-5.6-opt_5.6.36-1+stretch1_amd64/opt/php-5.6/etc/conf.d/suhosin.ini.disabled
./php-5.6-opt_5.6.37-3+stretch1_amd64/opt/php-5.6/etc/conf.d/suhosin.ini
./php-5.6-opt_5.6.37-5+stretch1_amd64/opt/php-5.6/etc/conf.d/suhosin.ini

Das hätte definitiv als "breaking change" ins Changelog müssen.

Wir haben die "max_input_vars" erhöht - durch das aktive Suhosin wurde der Wert zwar übernommen, Suhosin hat über "suhosin.post.max_vars" bzw "suhosin.request.max_vars" die Änderung effektiv blockiert.

Da auch keinerlei Logging aktiv ist, gab es keinerlei Hinweise auf die Änderung.

:o

Jetzt fehlt mir beim AutoDeploy nur noch das gleiche - aber für den Client, so dass der auch noch automatisch im Business-Server konfiguriert wird.

Zitat von Citytow

Da bin ich bei euch, bei mir Funktioniert der Externe ZUGRIFF gar nicht.

Das eine hat mit dem anderen wenig zu tun - bitte getrennten Thread aufmachen (und MySQL-Dokumentation zum Thema "bind address" befragen).

Zitat von taenzerme

Wenn's so einfach und wirtschaftlich wäre etwas wie LiveConfig selber zu entwickeln (Know-How wäre hier vorhanden) hätten wir's auch selber gemacht. Ist es aber eben nicht. Bin daher dankbar für den Ist-Zustand und gebe einfach die Hoffnung nicht auf, dass der "Rest" auch noch kommt.

Genau das unterschreibe ich hier mal genau so wie geschrieben.

XEN ... migriert doch einfach auf KVM?

Wenn wir aber schon das Thema haben: das Update auf Stretch 9.5 sollte man vermeiden, oder den Apache vorher von mpm_prefork auf worker/event umstellen. Andernfalls ist HTTP/2 nämlich auch weg:

Zitat von http://metadata.ftp-master.debian.org/changelogs/main/a/apache2/apache2_2.4.25-3+deb9u5_changelog

apache2 (2.4.25-3+deb9u5) stretch; urgency=medium

* Upgrade mod_http and mod_proxy_http2 to the versions from 2.4.33. This
fixes
- CVE-2018-1302: mod_http2: Potential crash w/ mod_http2
- Segfaults in mod_http2 (Closes: #873945)
- mod_http2 issue with option "Indexes" and directive "HeaderName"
(Closes: #850947)
Unfortunately, this also removes support for http2 when running on
mpm_prefork.
* mod_http2: Avoid high memory usage with large files, causing crashes on
32bit archs. Closes: #897218
* Make the apache-htcacheclean init script actually look into
/etc/default/apache-htcacheclean for its config. Closes: #898563

-- Stefan Fritsch <sf@debian.org> Sat, 02 Jun 2018 10:01:13 +0200

Alles anzeigen

Zitat von Neumann

Die sichert aber nicht die Benutzeroberfläche selbst ab, oder? Dafür braucht man doch nach wie vor ein gekauftes Zertifikat, oder sehe ich das falsch?

Weiterleitung, Typ Proxy, https://localhost:8443.