Admins Log

Das ist peinlich: Dieser Server wurde vom Hoster abgeklemmt, weil die Kiste für einen DDoS via Nameserver missbraucht wurde. Und ich wunderte mich,warum die Kiste so hohe Last hatte, hatte das aber auf den Webserver und einige blöde Skripte geschoben. Ausserdem habe ich gestern ausnahmsweise mal nicht meine Mails abgerufen, dann wäre mir der Abusereport natürlich auch nicht entgangen.
Nun ja, die Sache ist geklärt, der Nameserver wird nun von fail2ban überwacht und ich gehe mal davon aus, dass die Liste der gesperrten IP-Adressen inzwischen recht lang ist.

Irrlicht ist eine Grafikbibliothek, mit der man u.a. hübsche Spiele schreiben kann.

Daran habe ich mich jetzt mal gewagt und angefangen, ein uraltes Projekt von mir wiederzubeleben. Ganz am Anfang habe ich die SDL-Bibliothek verwendet, zwischendurch auch mal ClanLib, das alles per CVS verwaltet, inzwischen aber - wie gesagt - Irrlicht und git als Versionssystem.

Im Moment hakt es bei mir noch mit den Eventhandlern, aber es macht Spass, mit der Bibliothek zu arbeiten. Ausserdem hilft es mir, im C++-Training zu bleiben.

Serendipity habe ich auf dieser Webseite heute aktualisiert, jetzt läuft hier Version 1.7.3.

Völlig entspannt habe ich das Update zunächst auf meinem Heimrechner in einem neuen git Branch getestet, dann per git auf den Webserver hochgeladen.

Ja, so einfach kann es gehen!

Ich bin tatsächlich im neuen Jahrtausend angekommen!
Jahrelang habe ich meine Projekte mit CVS verwaltet, weil ich es praktisch fand, die Versionshistorie einer jeden Datei zu kennen. Dennoch hatte CVS mehrere Nachteile, über die ich hier nicht schreiben will, da man sie mit ein wenig Recherche im Web finden kann.
Jedenfalls bin ich zu Git gewechselt und habe mir dann auch gleich Gitweb und Gitolite eingerichtet. Gitolite, weil ich schlichtweg zu faul bin, mir großartig Arbeit mit dem Anlegen von Repos zu machen.

Oh, hey, ich habe mir dann auch gleich ein Projekt eingerichtet, mit dem typischen Anwendungsfall: Update der Webseite aus dem Repository. Dazu habe ich ein wenig rumgesucht (Btw: Mit DuckDuckGo) und mir dann folgenden Hook (post-receive) gebastelt:

#!/bin/sh

echo "Processing $0..."

DIR="/www/webseite.domain/htdocs"

cd $DIR

git --work-tree="$DIR" --git-dir="$DIR/.git" pull origin master

find . -type f -exec chmod a+r "{}" \;

find ./* -type d -exec chmod a+rx "{}" \;

Dazu habe ich - als Benutzer "git" das Projekt per "git clone /pfad/zum/repository.git" ausgecheckt (Der Benutzer "git" muss natürllich Schreibrecht in diesem Verzeichnis haben). Sicherlich hätte ich das auch als Bennutzer "www-data" machen können, aber das war dieses Mal nur ein erster Test. Letztendllich war es wichtig, dass es generell funktioniert.
Ach ja: Die beiden find Befehle sind dazu da, um die Leserechte korrekt zu setzen (womit ich wieder beim Thema wäre, dass man besser als "www-data" auscheckt (wozu dieser wiederum in der Ggruppe "git" sein muss), wenn man diesen Webkram macht).

Na ja, jetzt führe ich einen Push auf dem Master aus und schwupps, ist die Webseite aktuell!

So, ich blogge mal wieder was aus meinem Maschinenraum:
Gestern hatte ich festgestellt, dass unser Backupserver recht viel CPU-Power unter der Haube hat...die er gar nicht benötigt, während einer unserer Proxmoxserver viel Speicher aber weniger CPU-Power hat.

In Zahlen:
Der Backupserver hat 16 Kerne und 8 GB RAM, der Proxmoxserver hat 8 Kerne und 24 GB RAM!

Fazit:
Der Proxmoxserver bekommt 16 Kerne und 24 GB RAM, der Backupserver 8 Kerne und 8 GB RAM.
Dazu muss ich bei Gelegenheit die beiden Rechner runterfahren, Platten und Speicher austauschen und dann die Kisten einfach wieder anwerfen (Ja, unter Linux geht das alles einfacher, liebe Kinder),

Jetzt muss ich mit meinen Kollegen, die den Proxmoxserver nutzen (bzw. die darauf laufenden virtuellen Server), nur noch einen Termin vereinbaren.

Weil es mir auf den Keks ging, bei neuen Mailusern in meinem Mailsystem, bestehend aus Postfix und Cyrus, zunächst die User in der saslauthdb und im System anzulegen, dann zum Cyrus zu wechseln, um dort die Mailboxen zu erzeugen, habe ich mein Mailsystem in den letzten Tagen umgebaut.
Jetzt werkelt eine PostgreSQL Datenbank zur Benutzerverwaltung. Dazu habe ich dem saslauthd dann PAM beigebracht und in /etc/pam.d/ die Dateien imap, pop und smtp angelegt, die zunächst gucken, ob der User im System vorhanden ist und dann in der DB nachguckt, sollte PAM im System nicht fündig werden. Die Dateien sehen alle so aus:

#  First we look in the system database
auth    sufficient pam_unix.so
account sufficient pam_unix.so

# Then we look in the database
auth required pam_pgsql.so user=dbuser passwd=secret host=localhost db=dbtable table=accountuser usercolumn=username passwdcolumn=password crypt=1 logtable=log logmsgcolumn=msg logusercolumn=user loghostcolumn=host logpidcolumn=pid logtimecolumn=time
account sufficient pam_pgsql.so user=dbuser passwd=secret host=localhost db=dbtable table=accountuser usercolumn=username passwdcolumn=password crypt=1 logtable=log logmsgcolumn=msg logusercolumn=user loghostcolumn=host logpidcolumn=pid logtimecolumn=time

Der Umstand, dass zuerst im System nachgeguckt wird, liegt in der Vergangenheit. Es war zunächst ein privates System, was sich aber inzwischen geändert hat.

Als Verwaltungswerkzeug für Maildomains und Mailadressen, nutze ich web-cyradm.
Das muss ich mir noch ein wenig anpassen, da ich als Webmailer Roundcubemail einsetze und es gerne hätte, wenn bei den Benutzern der richtige Name erscheint.

So langsam jedenfalls wird die Arbeit einfacher.

Durch den Plattencrash vor einiger Zeit ist auch unser internes Backupsystem hopps gegangen.

Das System (Bacula) habe ich inzwischen weitgehend wieder hergestellt, nur machen noch diverse Rechner Probleme, die dummerweise mit dem zusammengebastelten Frickelsystem aus Redmond bestückt sind. Vielleicht sollte ich diesen Softwaremüll einfach nach /dev/null sichern.

Vergangene Woche ist mir ein Server mit einer Datenbank gecrasht.

Die Daten habe ich zunächst extern auf eine andere Festplatte geschrieben und dann habe ich nach und nach die Daten wieder restauriert. Heute nachmittag hatte ich dann etwa 95% der Daten wieder hergestellt. Den Rest gebe ich verloren, was aber nicht weiter tragisch ist, da es alte, archivierte Daten waren.

Uih! Heute sind bei einem Backupsystem zwei Festplatten gecrasht! Da über mehrere Platten ein LVM lag, hat es wohl eine Menge Daten zerlegt. Das Backup war jetzt nicht so übermässig wichtig (sonst hätten wir keine Platten verwendet), aber ärgerlich ist es doch.

Mal gucken was ich von den Daten noch retten kann.

Einen neuen Server in Betrieb zu nehmen, ist eigentlich bei uns nichts weltbewegendes, aber die Aufgabe dieses Servers ist eine besondere: Er gehört zu einer (noch kleinen) Gruppe von Servern, die mit OpenVZ, bzw. Proxmox laufen.
Der neue Server nutzt aber das sog. "Bonding", d.h. die Bündelung mehrerer Netzwerkinterfaces. Eigentlich wollte ich Round Robin verwenden, aber als ich der Bridge von OpenVZ eine IPv6-Adresse zugewiesen hatte, konnte ich eben jene nicht anpingen. Per IPv4 lief alles wunderbar. Nach einiger Zeit kam ich dann darauf, einen anderen Modus zu verwenden und als ich mit dem Modus "balance-alb" unterwegs war, lief alles wunderbar.
Der Grund ist wohl im Switch zu suchen, der mit dem Round-Robin-Modus nicht klar kam.