Also, ich bin nun zu Hetzner (DS5000) gezogen und soweit steht fast alles. Die ersten Anläufe waren zwar doch ein »holprig«, weil Grub mir eine ganze Menge Schwierigkeiten bereitete, aber mit Hilfe von S. aus G. und K. aus G., haben wir es letzten Endes dann doch noch geschafft: Henrietta lebt.
Wie nicht anders zu erwarten, habe ich natürlich wieder ein Xen Setup verwendet. Dank der 2GB Ram und 2x 320GB Festplattenspeicher, mehr als Empfehlenswert. Henrietta (Dom0) läuft auf Raid1 und der Rest des Speichers (md2) wurde dem LVM hinzugefügt. Dieser Speicher wurden dann natürlich den Gästen, Rico (Jabber), Triela (Web), Angelica (Mail) und Hitomi (privates Streaming) zugewiesen. Da man nie weiß, was mit den Platten passiert, wenn sie dochmal getauscht werden sollten, liegen die Daten natürlich auf verschlüsselten Volumes. Die Engländer haben damit ganz sicher im Augenblick ein Problem, fragt sich nur, wann die hiesige Stasi 2.0 ebenfalls auf diese glorreiche Idee kommen wird.
Hetzner stellt ein sehr nettes Interface bereit, welches es mir ermöglicht, recht einfach Domains zu beantragen. Ein wenig blöd ist es allerdings, wenn sich auch der Eigentümer ändert. Da heißt, man muß erst ein wenig raten, um dann auf die Idee zu kommen, einen »Handle« zu generieren, der mit dem alten Eigentümer übereinstimmt, um diesen dann nach der erfolgreichen Übernahme wieder zu ändern.
Noch dümmer ist es, auf eine ».net« Domain ewig zu warten, bis die Domain übertragen wird. Diese werden wohl aus Gründen der Überprüfung von Hand bearbeitet. Das habe ich natürlich nicht bedacht, als ich das Mailsystem auf diese Domain fixiert habe. Egal, ich habe die IP bei Schlund einfach geändert. Zwar funktionieren dann keine Webseiten auf dieser Domain, aber Mail geht schon mal.
Apropos Mail, auch noch eine Sache, wo ich sehr lang mit mir gerungen habe. Fest stand die Software unten drunter: Postfix, Cyrus, Amavis. Nicht fest stand die Software, mit denen ich die virtuellen Domains verwalten würde. Es standen die Postfix Tools zur Debatte, über eine Textdatei, web-cyradm, mit der ich bisher recht gut auskam (aber die Entwicklung schläft zur Zeit), OpenLDAP Setups, die mir aber zu kompliziert waren, und dann war da noch OpenMailAdmin. Letzteres schien mir recht nett zu sein und habe es nun im Einsatz. Allerdings bedarf es einer Portion Geduld, bis man so halbwegs verstanden hat, wie die Anwendung funktioniert. Auch jetzt habe ich nicht alles verstanden, was aber an dem Aufbau der Oberfläche liegt. Ich bereue es nicht da ich so langsam hinter das Geheimnis komme 
. Eine gute Anleitung findet sich hier, die ich bei Gelegenheit mal übersetzen und von Fehlern befreie werde.
Da ich Mail und Web von einander getrennt habe, muss ich leider ein paar Einschnitte hinnehmen, wie z.B. bei Mailgraph. Auch wenn ich über OpenMailAdmin Filter für reguläre Ausdrücke erstelle, muss ich die vorher auf den Webserver packen, damit ich sie dann von Angelica per wget ins Postfix Verzeichnis packen kann. NFS oder scp mag ich nicht verwenden. Aber solang IMP mit Horde anständig funktioniert … Naja, für Mailman musste ich noch ein paar Klimmzüge bewerkstelligen, damit das Webinterface und der Mail-Krempel funktioniert.
Wo ich ebenfalls noch heftig am grübeln bin, ist Rico, der Jabber Server. Zwar läuft Ejabberd soweit schon, aber dieser verdammter ICQ Transport treibt mir erneut die Tränen ins Gesicht. Am liebsten würde ich den ganzen Schrott rauswerfen, aber die Freunde, die diesen Transport nutzen, will man ja nun doch nicht vor den Kopf stoßen. Also wird der Jabber Dienst vorerst noch nicht umziehen und Rico wird sich noch ein wenig langweilen müssen. So leid es mir für sie tut.
Tja, dann wären da noch so ein paar Firewall Kleinigkeiten, die mir noch nicht so recht passen, od um es genauer zu sagen, die SNAT Regeln. Intern werden nämlich auch die externen IPs verwendet, was Blödsinn ist. Aber das bekomme ich auch noch hin.
Soweit so gut. Es kann sich nur noch um ein paar Tage handeln, bis alles abgeschlossen ist.
Deine IP ist:
38.107.191.81
2 Kommentare
Bringt es denn wirklich einen solchen Sicherheitsgewinn, Web- und Mailserver zu trennen? Das System erscheint ja wirklich so, als sei es entweder sehr komplex oder sehr eingeschränkt.
Das Cryptoverbot kommt in Deutschland mit absoluter Sicherheit. Zur Not wird mal wieder eine angebliche “Terrorzelle” ausgehoben, bei der dann halt alles verschlüsselt war. Und die braven Bürger, die “nichts zu verbergen”(tm) haben, finden’s alle gut.
Nun, es hat zwei Gründe für diese Trennung.
1. Ja, ich denke das es der Sicherheit hilft, beide von einander zu trennen. Wird einer von ihnen gekarpert, so bleiben die anderen davon unberührt. Und es mag kompliziert aussehen, ist es in Wirklichkeit aber nicht, sieht man man von der Firewall ab. Die klappt aber bereits wie gewünscht.
2. Kann ich Konfigurations- Änderungen vornehmen, ohne Gefahr zu laufen, sämtliche Dienste hopps gehen zu lassen. Ich kann die Server unabhängig von einander neustarten und Benutzerdaten sind besser von einander getrennt.
Was das Crypto verbot angeht, bin ich mittlerweile auch sehr pessimistisch, aber warten wir es ab. Wobei es eine solche Diskussion bereits gab, wenn ich mich recht entsinne. Ich denke, Google und Generalschlüssel führen sicher zum Erfolg.