Überarbeitetes Install- Script ....

[Armadillo]

Ah dankeschön, dann werd ich das mal so in die Conf im VHCS Paket übernehmen!

//UPDATE:
So, zum ABschluss des Tages habe ich noch ne neuer Version des Scripts veröffentlicht, weil ich doch einige kleine Veränderungen gemacht.

@ yavhcsu: Ich habe bei der proftpd.conf den user übrigens mal auf "proftpd" gestellt, weil ich gesehen habe, dass der tatsächlich noch auf nobody stand, hab ich leider net vorher gemerkt, weil Debian das trotzdem als proftpd ausgeführt hat. Wie das jetzt dann bei Ubuntu geht weis ich net, musste selber mal gucken.

Alle Änderungen können natürlich wieder hier eingesehen werden:
http://mirrors.penguinfriends.org/VHCS2/

 

[CentY]

Also ich hab das nochmal überprüft und auf einem Produktivsystem getestet. Hier treten keinerlei Probleme mit den smtpd_sender_restrictions auf und die User können nicht mehr mit beliebigen Absendern verschicken. Die Mails werden dann zurück gewiesen mit folgender Meldung (EMail Aliase funktionieren auch weiterhin):

[88.217.9.101]: 553 <jaskdhwdh@moep.org>: Sender address rejected: not by user bla@mydomain; from=<jaskdhwd@moep.org>

Hier nochmal die Regel die du einfügen musst (nachträglich für alle die schon installiert haben):

smtpd_sender_login_maps = hash:/etc/postfix/vhcs2/aliases

smtpd_sender_restrictions =
  reject_sender_login_mismatch

Beachtet dass das Ganze _VOR_ smtpd_recipient_restricions stehen muss.

Gruß

 

[Heart]

...nochmal wg. proftpd: scheinbar passt hier irgendetwas mit dem vftp-user nicht. Wenn ich in der conf

SQLConnectInfo vhcs2@localhost root meinpasswort
anstatt
SQLConnectInfo vhcs2@localhost vftp meinpasswort

eintrage, funktioniert der ftp-Login endlich wieder. Wie müssen wo die Rechte für "vftp" gesetzt sein?

proftpd-mysql-log

Oct 11 20:30:55 mod_sql/4.2.1[27108]: using SQLBackend 'mysql'
Oct 11 20:30:55 mod_sql/4.2.1[27108]: backend module 'mod_sql_mysql/4.05'
Oct 11 20:30:55 mod_sql/4.2.1[27108]: backend api    'mod_sql_api_v2'
Oct 11 20:30:55 mod_sql/4.2.1[27108]: >>> sql_sess_init
Oct 11 20:30:55 mod_sql/4.2.1[27108]: entering  mysql cmd_defineconnection
Oct 11 20:30:55 mod_sql/4.2.1[27108]:  name: 'default'
Oct 11 20:30:55 mod_sql/4.2.1[27108]:  user: 'vftp'
Oct 11 20:30:55 mod_sql/4.2.1[27108]:  host: 'localhost'
Oct 11 20:30:55 mod_sql/4.2.1[27108]:    db: 'vhcs2'
Oct 11 20:30:55 mod_sql/4.2.1[27108]:  port: '3306'
Oct 11 20:30:55 mod_sql/4.2.1[27108]:   ttl: '0'
Oct 11 20:30:55 mod_sql/4.2.1[27108]: exiting   mysql cmd_defineconnection
Oct 11 20:30:55 mod_sql/4.2.1[27108]: entering  mysql cmd_open
Oct 11 20:30:57 mod_sql/4.2.1[27108]: exiting   mysql cmd_open
Oct 11 20:30:57 mod_sql/4.2.1[27108]: unrecoverable backend error
Oct 11 20:30:57 mod_sql/4.2.1[27108]: error: '1045'
Oct 11 20:30:57 mod_sql/4.2.1[27108]: message: 'Access denied for user 'vftp'@'localhost' (using password: YES)'

 

[yavhcsu]

...nochmal wg. proftpd: scheinbar passt hier irgendetwas mit dem vftp-user nicht. Wenn ich in der conf

SQLConnectInfo vhcs2@localhost root meinpasswort
anstatt
SQLConnectInfo vhcs2@localhost vftp meinpasswort

eintrage, funktioniert der ftp-Login endlich wieder. Wie müssen wo die Rechte für "vftp" gesetzt sein?

Log Dich in die Datenbank als mysql-root mit

mysql -uroot -p

und passendem Passwort ein.

Gib im mysql-Prompt

show grants for vft@localhost;

ein (Semikolon nicht vergessen, mit quit gehts wieder raus)

Der Benutzer vftp sollte dann erscheinen und diverse Rechte auf einige Dateien der Datenbank vhcs2 haben.

Wenn nicht, dann hast Du offensichtlich bei Neuinstallation im setup bei der Frage nach dem ftp-admin anstelle des Standardwerts vftp root angegeben.

Bei falschem bzw. vergessenem Passwort kannst Du grundsätzlich so ändern:

set password for 'vftp'@'localhost' = password('meinpasswort');

Das geht so auch für den mysql root.

 

[Heart]

Die Rechten sahen so aus:

mysql> show grants for vftp@localhost;
+--------------------------------------------------------------------------------------+
| Grants for vftp@localhost                                                            |
+--------------------------------------------------------------------------------------+
| GRANT USAGE ON *.* TO 'vftp'@'localhost'                                             |
| GRANT SELECT, INSERT, UPDATE, DELETE ON `vhcs2`.`ftp_group` TO 'vftp'@'localhost'    |
| GRANT SELECT, INSERT, UPDATE, DELETE ON `vhcs2`.`ftp_users` TO 'vftp'@'localhost'    |
| GRANT SELECT, INSERT, UPDATE, DELETE ON `vhcs2`.`quotalimits` TO 'vftp'@'localhost'  |
| GRANT SELECT, INSERT, UPDATE, DELETE ON `vhcs2`.`quotatallies` TO 'vftp'@'localhost' |
+--------------------------------------------------------------------------------------+
5 rows in set (0.00 sec)

...es hat also scheinbar das/ein Passwort gefehlt

Gesetzt, proftpd.conf abgeändert und restarted und siehe da, es klappt jetzt auch mit dem vftp-Nutzer!

Danke Dir

 

[yavhcsu]

@Centy:
Also, jetzt wird es kompliziert. Ich habe den Code wie vorgeschlagen ins postfix eingebaut.
Bei ungültigen Absendeadresse trotz erfolgtes SMTP-AUTH schreit z.B. Outlook schon beim Versuch, die email zu senden (Unzustellbar). Im Log sieht man klar folgendes (wurde verfremdet):

Oct 12 11:50:05 s1 postfix/smtpd[21397]: connect from mister-x.dip.t-dialin.net[0.0.0.0]
Oct 12 11:50:05 s1 postfix/smtpd[21397]: NOQUEUE: reject: RCPT from mister-x.dip.t-dialin.net[0.0.0.0]: 553 <phantasie@adresse.local>: Sender address rejected: not by user webmaster@meine-domain.local; from=<phantasie@adresse.local> to=<hier-soll-es-hin@andere-domain.local> proto=ESMTP helo=<mister-x-pc>
Oct 12 11:50:05 s1 postfix/smtpd[21397]: disconnect from mister-x.dip.t-dialin.net[0.0.0.0]

Wenn jedoch alles richtig ist, wird die email zwar entgegengenommen, jedoch erhalte ich später eine email von postfix mit u.a folgendem Inhalt (die IP-Adresse des loopback Adapter steht da tatsächlich):

hier-soll-es-hin at andere-domain.local>: host 127.0.0.1[127.0.0.1] said: 553 5.1.0
Failed, id=04173-10, from MTA([127.0.0.1]:10025): 553
<webmaster@meine-domain.local>: Sender address rejected: not logged in (in
reply to end of DATA command)

Folgendes steht im Log:

Oct 12 11:49:19 s1 postfix/smtpd[21397]: connect from mister-x.dip.t-dialin.net[0.0.0.0]
Oct 12 11:49:19 s1 postfix/smtpd[21397]: D45D8254670: client=mister-x.dip.t-dialin.net[0.0.0.0], sasl_method=LOGIN, sasl_username=webmaster@meine-domain.local
Oct 12 11:49:19 s1 postfix/cleanup[21400]: D45D8254670: message-id=<000001c80cb5$4191d7b0$fe78a8c0@mister-x-pc>
Oct 12 11:49:19 s1 postfix/qmgr[21395]: D45D8254670: from=<webmaster@meine-domain.local>, size=721, nrcpt=1 (queue active)
Oct 12 11:49:20 s1 postfix/smtpd[21397]: disconnect from mister-x.dip.t-dialin.net[0.0.0.0]

OK, die email wurde akzeptiert, alles klar. Aber dann soll der amavis noch mal drüber laufen:

Oct 12 11:49:20 s1 postfix/smtpd[21403]: connect from der-mailserver.local[127.0.0.1]
Oct 12 11:49:20 s1 postfix/smtpd[21403]: NOQUEUE: reject: RCPT from der-mailserver.local[127.0.0.1]: 553 <webmaster@meine-domain.local>: Sender address rejected: not logged in; from=<webmaster@meine-domain.local> to=<hier-soll-es-hin@andere-domain.local> proto=ESMTP helo=<localhost>
Oct 12 11:49:20 s1 amavis[4173]: (04173-10) mail_via_smtp: DATA skipped, no valid recips, 0
Oct 12 11:49:20 s1 amavis[4173]: (04173-10) FWD via SMTP: <webmaster@meine-domain.local> -> <hier-soll-es-hin@andere-domain.local>, 553 5.6.0 Failed, id=04173-10, from MTA([127.0.0.1]:10025): 553 5.1.0 Failed, id=04173-10, from MTA([127.0.0.1]:10025): 553 <webmaster@meine-domain.local>: Sender address rejected: not logged in
Oct 12 11:49:20 s1 amavis[4173]: (04173-10) Blocked CLEAN, [0.0.0.0] [0.0.0.0] <webmaster@meine-domain.local> -> <hier-soll-es-hin@andere-domain.local>, Message-ID: <000001c80cb5$4191d7b0$fe78a8c0@mister-x-pc>, mail_id: aKmAZpwfsuFv, Hits: -, 96 ms
Oct 12 11:49:20 s1 postfix/smtpd[21403]: disconnect from der-mailserver.local[127.0.0.1]

Das restliche Log, wo ich die Antwort von Postfix bekomme, lasse ich mal weg.

Hat jemand auf Anhieb ne Idee, wo das Problem liegt. Ich weiss, ist vieleicht etwas off-topic, wenn die Einstellung jedoch ins Script kommt, von wo aus auch der hack für amavis drin ist, kann es doch noch wichtig hierfür sein.

 

[CentY]

Hi,

sieht wirklich sehr nach einem Amavis Problem aus das jetzt primär nichts mit dem Postfix zu tun hat. Das komische ist ich habe auch amavis am laufen und nichts dergleichen passiert bei mir. Ich werd nochmal meine Logs durchschauen ob das mal vorkam.

 

[yavhcsu]

@ yavhcsu: Ich habe bei der proftpd.conf den user übrigens mal auf "proftpd" gestellt, weil ich gesehen habe, dass der tatsächlich noch auf nobody stand, hab ich leider net vorher gemerkt, weil Debian das trotzdem als proftpd ausgeführt hat. Wie das jetzt dann bei Ubuntu geht weis ich net, musste selber mal gucken.

Da die proftpd.conf von VHCS beim mir nicht lief, kann ich Dir das für ubuntu auch nicht sagen.

 

[Armadillo]

Naja selbst wenn net, bin ich da relativ machtlos, das kommt halt durch das Paket was installiert wird. Wenn Ubuntu da nobody als User einträgt, dann is das deren Sache.
Deshalb is Ubuntu auch net grad so dolle für Server.

OT: Wenn du übrigends mal richtigen longterm support sehen willst, dann geh mal zu CentOS, die supporten CentOS 5, was vor nem Jahr rauskam bis 2020. ;-) Und bei Slackware werden jetzt immernoch neue Pakete für Slackware 8 gebaut, aktuelle Version ist hier 12. Also der Longterm Support von Ubuntu is da relativ lächerlich gegen.

 

[yavhcsu]

Ja, ja, ist schon klar. Aber man kann ja wie Du schon sagtest, nicht alle Distros durchgehen

Ich bin von SUSE auf Ubuntu gekommen. Warum, nun die letzten Modifikationen von Novell an der Distro fanden für den Betrieb eines Server nicht so recht meine Zustimmung. Ist ja klar, die wollen ihre Server Versionen verkaufen. Allerdings arbeite ich gerne mit SUSE als Desktop Version, die Pakete sind umfangreich und recht gut abgestimmt.

So bin ich zunächst auf Debian als einer der Ur-Linux Distros gestoßen. Von hier aus auf Ubuntu, hier war mir der LTS für 5 Jahre sowie IMHO beserer Support bei Fragen und Problemen wichtig. Bei SUSE hingegen wird mir all zu oft auf die Server Version verwiesen. Das ist nicht sehr hilfreich..

Und was Slackware angeht, nun ja, ich habe mich mal mit der Version 2.201 rumgeschlagen - Kernel 1.2.8 (!) - die steht immer noch bei mir im Regal. Dann kam SUSE mit YAST und alles war schlagartig "einfacher". Also, ist Slackware für mich mit Vorurteilen behaftet

Aber nochmal zurück zu der Geschichte mit dem User nobody. Ich glaub Du hast mich da nicht so recht verstanden:

Es war die von VHCS mitgelieferte proftpd.conf worin als user nobody eingetragen war. Die proftpd von ubuntu war schon in Ordnung.

Jetzt sehe ich erst mal zu, dass ich ubuntu korrekt ans Laufen bekomme.

 

[Armadillo]

Und was Slackware angeht, nun ja, ich habe mich mal mit der Version 2.201 rumgeschlagen - Kernel 1.2.8 (!) - die steht immer noch bei mir im Regal. Dann kam SUSE mit YAST und alles war schlagartig "einfacher". Also, ist Slackware für mich mit Vorurteilen behaftet

Öhm ja... also die Version dürfte wohl über 10-15 Jahre alt sein, wer da noch mit Vorurteilen behaftet is... no comment.^^

Aber nochmal zurück zu der Geschichte mit dem User nobody. Ich glaub Du hast mich da nicht so recht verstanden:

Es war die von VHCS mitgelieferte proftpd.conf worin als user nobody eingetragen war. Die proftpd von ubuntu war schon in Ordnung.

Genau das wollte ich doch zwischendrin mal wissen, warum haste das net genau so geasgt? Lustig is nur, dass ich das ja beim ProFTPd unter Debian auch hatte in der Config mit user nobody und er hat trotzdem den user proftpd benutzt, also könnte es durchaus trotzdem am Ubuntu-Paket liegen, weil es vermutlich den User nimmt der in der Conf steht und nicht explizit proftpd als user vorgibt.

 

[yavhcsu]

Installscript und Ubuntu 6.06 Dapper Drake

Testergebnis:

Ich habe die letzte Version des Installationsscripts (1.2.1a) nochmal im Rahmen einer kompletten Neuinstallation getestet. VHCS2 läuft, Domänen können angelegt werden, wunderbar.

In der VHCS 2.4.7 inkl. Login-Fix sind mir derzeit noch einige Probs aufgefallen, auf die ich aufmerksam machen möchte:

• Siehe den Thread Webmailer-Problem
• VHCS arbeitet komplett mit safe_mode off, der filemanger sogar mit register_globals on, daher meine Empfehlung hier zumindest beim filemanager mit .htaccess und .htpasswd Freizeit-Hackern einen generellen Riegel vorzuschieben.
• Die Fehlerseiten liegen im gui-Verzeichnis. Da das GUI nur für den Webmaster gedacht und nicht für den Rest der Welt, sollte man IMHO darauf achten, dies unverzüglich bei Neuanlage eines Kunden/Domäne entsprechend zu ändern.
• Der im Script optional enthaltene Hack für clamav, amavis und spamassassin funzt nicht korrekt. Ich bin aber dabei zu schauen, ob ich es zumindest vom Grund her sinnvoll zum Laufen bringe.

Wenn gewünscht, kann ich z.B. die Maßnahmen mit .htpasswd, etc. mal in ein TUT packen.

 

[Armadillo]

Ich werd mich mal drum kümmern und schauen, was ich alles verbessern kann.

Ich arbeite auch grad noch an der Installation für das neue Ubuntu 7.10 allerdings ist das bei mir ziemlich kaputt, deshalb muss ich das erstma zum laufen bringen, bevor ichs da testen kann^^

 

[yavhcsu]

Wie? Ubuntu 7? Ja ist denn schon Weihnachten?

So, nun noch ein Nachtrag zu postfix. In der main.cf sollte zumindestens folgendes ergänzt werden:

smtpd_sender_restrictions =
[COLOR=Red]    permit_mynetworks,[/COLOR]
    reject_sender_login_mismatch

Der Parameter permit_mynetworks sorgt dafür, dass eine Weiterleitung innerhalb des Servers (z.B. amavis und andere email-Scanner) überhaupt noch möglich ist. Ohne diesen Parameter wird hier z.B. beim Scan durch amavis-new, gemault, siehe Post bezüglich amavis

Allerdings bin ich mit amavis in der jetzigen Einstellung noch längst nicht zufrieden. Der schreibt mir derzeit überflüssige header in die email rein. Ausserdem scheint die spamassassin Konfiguration nicht zu greifen. Mal sehen

Noch eine Kleinigkeit, deren Auswirkung ich noch nicht klar habe:

smtpd_sasl_local_domain = vhcs.net

Hier sollte doch besser $myhostname oder $mydomain stehen. Auch wenn diese Direktive offensichtlich nicht besonders wichtig zu sein scheint.

 

[CentY]

Nimm anstatt Amavis und Spamassasin lieber policy-weight erstens erkennt das Spam schon vor dem Queue => effizienter und zweitens arbeitet es weitaus zuverlässiger als Spamassasin

 

[Armadillo]

Wie? Ubuntu 7? Ja ist denn schon Weihnachten?

http://www.ubuntu.com/getubuntu/download
Ich wurde von einem Russen angeschrieben, der es benutzen will mit VHCS2, deshalb.

So, nun noch ein Nachtrag zu postfix. In der main.cf sollte zumindestens folgendes ergänzt werden:

smtpd_sender_restrictions =
[COLOR=Red]    permit_mynetworks,[/COLOR]
    reject_sender_login_mismatch

Werd ich einbauen in der nächsten Version.

Noch eine Kleinigkeit, deren Auswirkung ich noch nicht klar habe:

smtpd_sasl_local_domain = vhcs.net

Hier sollte doch besser $myhostname oder $mydomain stehen. Auch wenn diese Direktive offensichtlich nicht besonders wichtig zu sein scheint.

Kein Plan, guck ich mir mal an.

 

[yavhcsu]

Nimm anstatt Amavis und Spamassasin lieber policy-weight erstens erkennt das Spam schon vor dem Queue => effizienter und zweitens arbeitet es weitaus zuverlässiger als Spamassasin

Kenn ich noch nicht. Hast Du mal ein Link parat?

http://www.ubuntu.com/getubuntu/download
Ich wurde von einem Russen angeschrieben, der es benutzen will mit VHCS2, deshalb.

Ja, ja, im Osten sitzen die wahren Open Source User

 

[Armadillo]

In der VHCS 2.4.7 inkl. Login-Fix sind mir derzeit noch einige Probs aufgefallen, auf die ich aufmerksam machen möchte:

• Siehe den Thread Webmailer-Problem

Da der Webmailer insgesamt nicht so wirklich toll ist, habe ich schon überlegt, ob ich ihn nicht durch eine Alternative, wie z.B. Roundcube, den wir selber produktiv einsetzen, ersetze.

• VHCS arbeitet komplett mit safe_mode off, der filemanger sogar mit register_globals on, daher meine Empfehlung hier zumindest beim filemanager mit .htaccess und .htpasswd Freizeit-Hackern einen generellen Riegel vorzuschieben.

Auch hier habe ich schon überlegt einen anderen Filemanager einzubauen, weil der von VHCS auch bei vielen Leuten Probleme macht. Welchen ich hier genau verwenden will weis ich noch nicht. Eventuell Net2FTP, weil er auch von ISPCP benutzt wird, aber mla sehen.^^

• Die Fehlerseiten liegen im gui-Verzeichnis. Da das GUI nur für den Webmaster gedacht und nicht für den Rest der Welt, sollte man IMHO darauf achten, dies unverzüglich bei Neuanlage eines Kunden/Domäne entsprechend zu ändern.

Ok, das versteh ich nicht so ganz...

• Der im Script optional enthaltene Hack für clamav, amavis und spamassassin funzt nicht korrekt. Ich bin aber dabei zu schauen, ob ich es zumindest vom Grund her sinnvoll zum Laufen bringe.

Wenn gewünscht, kann ich z.B. die Maßnahmen mit .htpasswd, etc. mal in ein TUT packen.

Woran liegt es denn, dass sie nicht laufen? Geht die Installation nicht, oder ist es ein Konfigurationsproblem?

 

[yavhcsu]

Da der Webmailer insgesamt nicht so wirklich toll ist, habe ich schon überlegt, ob ich ihn nicht durch eine Alternative, wie z.B. Roundcube, den wir selber produktiv einsetzen, ersetze.

Ich kenne noch keinen Kunden, der nicht nach einem Webmailer gefragt hat. Grund kann mal sein, dass Outlook mit einer dubiosen Meldung die Arbeit verweigert oder man mal am Urlaubsort im Internetcafe mal in seine emails reinschauen möchte. Auch mal eben ein Urlaubsfoto von Stick via email ist ganz schick. Darum wäre hier was vernüftiges also sinnvoll.

Auch hier habe ich schon überlegt einen anderen Filemanager einzubauen, weil der von VHCS auch bei vielen Leuten Probleme macht. Welchen ich hier genau verwenden will weis ich noch nicht.

Jau, die Direktive beweist, dass der filemanger hoffnungslos veraltet ist. Aber ich habe allerdings hier keinen Überblick, welcher filemanger was taugt bzw. einfach zu integrieren wäre.

Ok, das versteh ich nicht so ganz...

Na, dann mach mal das gui mal mit .htaccess und .htpasswd zu und probier mal auf einer der gehosteten Domänen, eine nicht existierende Seite aufzurufen.

Ok, manche meinen, was soll denn das mit dem doppelten Zugriffsschutz. Wenn man sich aber mit den jeweiligen PHP-Projekten (Mambo, Joomla, usw.) beschäftigt, fallen einem immer wieder die Tips der Profis zum Thema Sicherheit auf, wobei der Adminbereich (-verzeichnis) mit vorgenannten Massnahmen gerne abgeriegelt wird und so den Gelegenheits-Hackern der Spass genommen wird.

Woran liegt es denn, dass sie nicht laufen? Geht die Installation nicht, oder ist es ein Konfigurationsproblem?

Also amavis läuft und scant fleissig emails, eingehende wie ausgehende. Die Konfiguration scheint auf den ersten Blick auch OK. Aber von den hunderten von spam mails erhält keiner ein spam-flag. Da ich bisher spam-assassin auf einem anderen Server direkt via milter und sendmail eingesetzt habe, weiss ich dass eine Menge emails die Bewertung von 4 (ist hier so vorgegeben) bei weitem überschreiten. Es ist wohl ein Konfigurationsproblem. Ich finde amavis nicht besonders übersichtlich, aber was solls.
Ich habe jetzt erst einmal noch ein paar Türen in postfix zugemacht, checke die nächste Tage die logs, machen noch paar weiter Türen zu, danach kommt amavis dran. Das Ergebnis werde ich hier posten. Dann kann man ja überlegen, das noch zu integrieren. Es gibt IMHO eine Vielzahl an Direktiven in postfix, die für einen "produktiven" Server schon Standard sein sollten. VHCS ist ja wohl eher für Server in der "freien" Wildbahn, als für Inhouse-Lösungen, oder?

 

[CentY]

Link zu policy-weight => http://www.policyd-weight.org/ und direkt zum Howto: http://www.policyd-weight.org/howto.html

Wird wohl auch in ISPCP aufgenommen auf meinen Vorschlag hin.