---

Hej,

Jeg står og skal til at sætte en server op.
Jeg vil gerne have gjort det ordentligt fra starten denne gang.
Det skal være godt dokumenteret og der skal være fokus på sikkerhed fra
starten.

Da jeg ikke er særlig erfaren i at skrive dokumentation af server setups så
vil jeg gerne have nogle råd.
Jeg vil også meget gerne se eksempler på dokumentation af server setups.
(evt. noget efter FAKIR-modellen?)

Jeg vil forsøge at beskrive serverens rolle kort:
Serveren som kører debian stable kommer til at stå som gateway mellem
internettet og LAN.
Til at route internet til LAN bruger jeg iptables.
Iptables skal desuden også nat'e nogle enkelte porte ind til en workstation
på LANet.
Den kommer til at køre Apache webserver med mod_perl og PHP4.
Der vil blive en del virtual hosts til Apache.
Her vil jeg gerne have nogle råd for hvordan dette gøres smartest.
Jeg tænker her på ting som hvor skal de ligge i filsystemet?
Som jeg har det på min nuværende webserver ligger alle virtual hosts i:
/var/www/vhosts/<virtualhostname>
herunder ligger der så:
/var/www/vhosts/<virtualhostname>/htdocs
DocumentRoot for virtual host.

/var/www/vhosts/<virtualhostname>/log
Logfiler for vhost'en

/var/www/vhosts/<virtualhostname>/etc
Forskellige ting. Fx. password fil til .htaccess passwordbeskyttelse.

Men jeg er lidt i tvivl om dette er en god måde at gøre det på?
Fx. er jeg i tvivl om logfilerne for hver vhost burde ligge i
/var/log/Apache/.....???
En anden ting er at /var/www er Apaches DocumentRoot. Bør virtual hosts
ligge under DocumentRoot?
Hvordan klarer I dette?

Jeg vil gerne have at homedirs ikke kan læses af andre end ejeren.

Det var planen at der skulle køre mailserver med pop3 og imap som
understøtter virtuelle brugere.
Jeg har før brugt postfix sammen med mysql til mailserver med virtuelle
brugere, men blev aldrig helt tilfreds med det.
Derfor hælder jeg nu mere til qmail/vpopmail.
Hvad vil I anbefale her?

På LANsiden af serveren er det planen at der skal køre samba.
Jeg ville gerne kunne køre samba server med ActiveDirectories. Er dette
muligt? Eller er det stadig kun på teststadiet?
Nogen af jer der har erfaringer med dette?

Det er meget tidligt og min hjerne er vist ikke helt bootet op endnu, så jeg
håber at jeg har formuleret mig nogenlunde forståeligt.

På forhånd tak.


--
Med venlig hilsen
Thomas D
http://tdn.peps.dk
Musikere tjener penge på ulovligt kopieret software.

---

Thomas D wrote:
>
> Jeg står og skal til at sætte en server op.
> Jeg vil gerne have gjort det ordentligt fra starten denne gang.
> Det skal være godt dokumenteret og der skal være fokus på sikkerhed fra
> starten.
>
> Jeg vil forsøge at beskrive serverens rolle kort:
> Serveren som kører debian stable kommer til at stå som gateway mellem
> internettet og LAN.

[...]

> Den kommer til at køre Apache webserver med mod_perl og PHP4.

[...]

> Det var planen at der skulle køre mailserver med pop3 og imap som
> understøtter virtuelle brugere.

[...]


> På LANsiden af serveren er det planen at der skal køre samba.

[...]

Jeg vil da gerne komme med en kommentar: Er du sikker paa at du oensker
at koere alle disse services paa samme maskine - som samtidigt fungerer
som gateway/firewall mellem LAN og Internet?

Ja vidst afhaenger det af dit budget og dit krav til sikkerhed - vaer
blot opmaerksom paa at jo flere services du har koerende sammen - og paa
din firewall - jo hoejere sandsynlighed for at hvis noget gaar galt det
river andre services med sig ned. Eller hvis en service kompromitteres -
at det ogsaa gaar ud over din firewall.

Vh,

--
Ole Michaelsen, Darmstadt, Germany
http://www.fys.ku.dk/~omic

---

Ole Michaelsen wrote:
[...]
> Jeg vil da gerne komme med en kommentar: Er du sikker paa at du
> oensker at koere alle disse services paa samme maskine - som
> samtidigt fungerer som gateway/firewall mellem LAN og Internet?
[...]

Desværre ja.
Jeg er fattig studerende og har ikke råd til at købe en maskine mere.
Hvis jeg havde råd ville jeg meget hellere køre en maskine som dedikeret
firewall, en maskine som dedikeret mailserver og en som webserver. Det har
jeg imidlertid ikke ;-(


--
Med venlig hilsen
Thomas D
http://tdn.peps.dk
Musikere tjener penge på ulovligt kopieret software.

---

On Tue, 5 Aug 2003 18:18:14 +0200, Thomas D <merlin@sprex.dk> wrote:

> Jeg er fattig studerende og har ikke råd til at købe en maskine
> mere. Hvis jeg havde råd ville jeg meget hellere køre en maskine
> som dedikeret firewall, en maskine som dedikeret mailserver og en
> som webserver. Det har jeg imidlertid ikke ;-(

Du kunne køre flere (billige) virtuelle maskiner på din fysiske
maskine og på den måde adskille dine services. Jeg formoder, at du vil
få brug for en del RAM og harddisk plads.

<http://user-mode-linux.sourceforge.net/>
<http://uml.openconsultancy.com/umld/>

--
Michael Wojciechowski

With every light is born a shadow.

---

Michael Wojciechowski wrote:
> On Tue, 5 Aug 2003 18:18:14 +0200, Thomas D <merlin@sprex.dk> wrote:
>
>> Jeg er fattig studerende og har ikke råd til at købe en maskine
>> mere. Hvis jeg havde råd ville jeg meget hellere køre en maskine
>> som dedikeret firewall, en maskine som dedikeret mailserver og en
>> som webserver. Det har jeg imidlertid ikke ;-(
>
> Du kunne køre flere (billige) virtuelle maskiner på din fysiske
> maskine og på den måde adskille dine services. Jeg formoder, at du vil
> få brug for en del RAM og harddisk plads.
>
> <http://user-mode-linux.sourceforge.net/>
> <http://uml.openconsultancy.com/umld/>

har desværre hverken masser af RAM eller diskplads.



--
Med venlig hilsen
Thomas D
http://tdn.peps.dk
Musikere tjener penge på ulovligt kopieret software.

---

Michael Wojciechowski <wojci@stofanet.dk> writes:

> Du kunne køre flere (billige) virtuelle maskiner på din fysiske
> maskine og på den måde adskille dine services. Jeg formoder, at du vil
> få brug for en del RAM og harddisk plads.

Jeg har kigget lidt på vserver-pakken der findes i Debian, og den ser
ud til at give mulighed for at genanvende mange af de filer der er ens
i de forskellige virtuelle maskiner, så på den måde spares en del
harddiskplads.

> <http://user-mode-linux.sourceforge.net/>
> <http://uml.openconsultancy.com/umld/>

Er det det samme princip som vserver?
<http://www.solucorp.qc.ca/miscprj/s_context.hc>

Er der nogen der har et overblik over hvor sikre de løsninger er mod
hackere der udnytter fejl i kernen til at få root ud fra et lokalt
login?

--
Kim Hansen | |\ _,,,---,,_ | Det er ikke
Dalslandsgade 8, A708 | /,`.-´` -. ;:-. | Jeopardy.
2300 København S | |,4- ) )-,_. ,\ ( `'-' | Svar _efter_
Tlf: 32 88 60 86 | '---''(_/--' `-'\_) | spørgsmålet.

---

On 06 Aug 2003 21:39:49 +0200, Kim Hansen <k-spam2003@oek.dk> wrote:

> Jeg har kigget lidt på vserver-pakken der findes i Debian, og den
> ser ud til at give mulighed for at genanvende mange af de filer der
> er ens i de forskellige virtuelle maskiner, så på den måde spares en
> del harddiskplads.

Du kan gøre noget i den stil med UML - prøv at læse lidt af howto'en,
hvis du er interesseret.

> Er det det samme princip som vserver?

Umiddelbart synes jeg at UML er en lidt mere generel løsning. Jeg har
tidliggere kigget på vserver. Jeg har valgt at ikke anvende det, da
det ser ud til at være alt for kompliceret at sætte op og
vedligeholde.

--
Michael Wojciechowski

With every light is born a shadow.

---

On Tue, 5 Aug 2003 18:02:19 +0200
"Thomas D" <merlin@sprex.dk> wrote:

> Jeg står og skal til at sætte en server op.
> Jeg vil gerne have gjort det ordentligt fra starten denne gang.
> Det skal være godt dokumenteret og der skal være fokus på sikkerhed
> fra starten.

Husk altid at angive OS.....
Jeg går snart igang med at skrive et program til FreeBSD, som er en
slags automatisk security checklist. Jeg har fået afvide at
http://www.bastille-linux.org/ skulle minde lidt om det jeg har tænkt
mig at lave, så bruger du linux kan du jo tage et kik på bastille.
Bruger du FreeBSD, og kan ikke vente til jeg har skrevet programmet, kan
jeg anbefale: http://sddi.net/FBSDSecCheckList.html

mvh
socketd

---

Socketd wrote:
> On Tue, 5 Aug 2003 18:02:19 +0200
> "Thomas D" <merlin@sprex.dk> wrote:
>
>> Jeg står og skal til at sætte en server op.
>> Jeg vil gerne have gjort det ordentligt fra starten denne gang.
>> Det skal være godt dokumenteret og der skal være fokus på sikkerhed
>> fra starten.
>
> Husk altid at angive OS.....

hmm det har jeg skam gjort:
> Serveren som kører debian stable kommer til at stå som gateway mellem
^^^^^^^^^^^^^^^^^^^

> Jeg går snart igang med at skrive et program til FreeBSD, som er en
> slags automatisk security checklist. Jeg har fået afvide at
> http://www.bastille-linux.org/ skulle minde lidt om det jeg har tænkt
> mig at lave, så bruger du linux kan du jo tage et kik på bastille.
> Bruger du FreeBSD, og kan ikke vente til jeg har skrevet programmet,
> kan jeg anbefale: http://sddi.net/FBSDSecCheckList.html

Jaeh men jeg vil nu alligevel gerne have nogle råd til hvordan jeg
dokumenterer de forskellige ting osv.

--
Med venlig hilsen
Thomas D
http://tdn.peps.dk
Musikere tjener penge på ulovligt kopieret software.

---

On Tue, 5 Aug 2003 21:18:11 +0200, Socketd <db@NO_SPAM_traceroute.dk> wrote:

> Husk altid at angive OS.....
> Jeg går snart igang med at skrive et program til FreeBSD, som er en
> slags automatisk security checklist. Jeg har fået afvide at
> http://www.bastille-linux.org/ skulle minde lidt om det jeg har tænkt
> mig at lave, så bruger du linux kan du jo tage et kik på bastille.
> Bruger du FreeBSD, og kan ikke vente til jeg har skrevet programmet, kan
> jeg anbefale: http://sddi.net/FBSDSecCheckList.html

Undskyld, men jeg synes efterhånden at det er forsøgt mange gange nu og
det hver gang er blevet noget problematisk noget at anvende. Hvordan kan
du diktere hvad en server skal køre? Det er muligt at lave det
semi-modulært, men det vindes der ikke noget ved. Er du igang med at
skrive en (dårligere?) udgave af hvad bastille-linux har gjort? Er du
igang med at skrive en ny udgave af cfengine (_det_ kunne vi godt
bruge).

Jeg vil tro at årsagen til det ikke er gjort er at der er for
forskellige krav fra forskellige steder. Så noget overordnet
konfigurationssprog såsom cfengine ville være et meget stærkere værktøj
at have. Ikke bare for de sikkerhedsinkarnerede men også i høj grad for
dem, der vil konfigurere store maskinparker (læs: mig :).


--
Jesper

---

Thomas D <merlin@sprex.dk> wrote:
> Hej,
>
> Jeg står og skal til at sætte en server op.
> Jeg vil gerne have gjort det ordentligt fra starten denne gang.
> Det skal være godt dokumenteret og der skal være fokus på sikkerhed fra
> starten.

Der er jo OSS'en for dk.edb.sikkerhed der omtaler visse aspekter af
dette.

http://a.area51.dk/sikkerhed/

Med dine oensker for funktionalitet (PHP, mod_perl, Apache) er det kun
et spoergsmaal om tid foer du ikke faar patchet i tide og nogen kommer
ind.

Jeg kan derfor kraftigt anbefale at du pakker Apache ind i systrace,
saaledes at et sikkerhedshul ikke kan bruges til noget, skulle det blive
udnyttet.

http://www.citi.umich.edu/u/provos/systrace/

http://packages.debian.org/unstable/admin/systrace.html

Jeg vil ogsaa fremhaeve revisions kontrol af alle configfiler, da det
drastisk oeger dine muligheder for hurtig recovery:

Smid din alle vigtige config filer i f.eks. CVS.
Saet CVS op saa config filer bliver aktiveret ved commit.
Hav en backup af dit CVS repository.

I noedstilfaelde kan du saa rebuilde maskinen og "slippe" dit repository
loes paa maskinen igen, lave et checkout af dit infrastruktur modul der
soerger for at installere pakker, kopiere configfiler, oprette brugere,
tilrette permisssions, etc.

> Som jeg har det på min nuværende webserver ligger alle virtual hosts i:
> /var/www/vhosts/<virtualhostname>
> herunder ligger der så:
> /var/www/vhosts/<virtualhostname>/htdocs
> DocumentRoot for virtual host.

God plan. Helt praecist hvad du kalder de forskellige dirs er ikke saa
vigtigt, dog ville jeg ikke tillade .htaccess -- hvis brugerne vil
noget, maa de spoerge paent og saa vil det blive implementeret i
httpd.conf hvor der er styr paa tingene.

> En anden ting er at /var/www er Apaches DocumentRoot. Bør virtual hosts
> ligge under DocumentRoot?
> Hvordan klarer I dette?

Som du beskrev ovenfor: /var/www/vhost1, /var/www/vhost2, etc -- soerg
for at vhostX er ejet af den rette bruger. Undlad at bruge Apache's
UserDir, benyt i stedet vhosts.

> Jeg vil gerne have at homedirs ikke kan læses af andre end ejeren.

Simpelt. Hvis du ikke kan det uden vores hjaelp, boer du nok overveje om
du virkeligt vil saette din egen server paa nettet.

> Det var planen at der skulle køre mailserver med pop3 og imap som
> understøtter virtuelle brugere.
> Jeg har før brugt postfix sammen med mysql til mailserver med virtuelle
> brugere, men blev aldrig helt tilfreds med det.
> Derfor hælder jeg nu mere til qmail/vpopmail.
> Hvad vil I anbefale her?

Er det ikke ligemeget hvad vi vil anbefale hvis du allerede er utilfreds
med Postfix? Baade Postfix og qmail er fremragende som MTA'er. Hvis du
ikke kan lide den ene maa du jo proeve den anden.

> På LANsiden af serveren er det planen at der skal køre samba.
> Jeg ville gerne kunne køre samba server med ActiveDirectories. Er dette
> muligt? Eller er det stadig kun på teststadiet?

Ingen ide, men benyt Samba's "host allow" og "interfaces" saaledes der
virkelig kun *er* LAN adgang. Og pak smbd og nmbd ind i systrace!

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

Alex Holst wrote:
> Thomas D <merlin@sprex.dk> wrote:
>> Hej,
>>
>> Jeg står og skal til at sætte en server op.
>> Jeg vil gerne have gjort det ordentligt fra starten denne gang.
>> Det skal være godt dokumenteret og der skal være fokus på sikkerhed
>> fra starten.
>
> Der er jo OSS'en for dk.edb.sikkerhed der omtaler visse aspekter af
> dette.
>
> http://a.area51.dk/sikkerhed/
>

tak den vil jeg straks kigge på.


> Med dine oensker for funktionalitet (PHP, mod_perl, Apache) er det kun
> et spoergsmaal om tid foer du ikke faar patchet i tide og nogen kommer
> ind.

er de specielt usikre da?
jeg havde faktisk indtryk af at de var ret sikre.


> Jeg kan derfor kraftigt anbefale at du pakker Apache ind i systrace,
> saaledes at et sikkerhedshul ikke kan bruges til noget, skulle det
> blive udnyttet.
>
> http://www.citi.umich.edu/u/provos/systrace/
>
> http://packages.debian.org/unstable/admin/systrace.html
>

det vil jeg kigge på.


> Jeg vil ogsaa fremhaeve revisions kontrol af alle configfiler, da det
> drastisk oeger dine muligheder for hurtig recovery:
>
> Smid din alle vigtige config filer i f.eks. CVS.
> Saet CVS op saa config filer bliver aktiveret ved commit.
> Hav en backup af dit CVS repository.
>
> I noedstilfaelde kan du saa rebuilde maskinen og "slippe" dit
> repository loes paa maskinen igen, lave et checkout af dit
> infrastruktur modul der soerger for at installere pakker, kopiere
> configfiler, oprette brugere, tilrette permisssions, etc.
>

meget smart!
havde jeg ikke lige tænkt på.
dog har jeg ikke de store erfaringer med cvs (endnu), men det vil jeg da
helt sikkert kigge nærmere på!


>> Som jeg har det på min nuværende webserver ligger alle virtual hosts
>> i: /var/www/vhosts/<virtualhostname>
>> herunder ligger der så:
>> /var/www/vhosts/<virtualhostname>/htdocs
>> DocumentRoot for virtual host.
>
> God plan. Helt praecist hvad du kalder de forskellige dirs er ikke saa
> vigtigt,

hmm.... nej det var nu osse nærmere placeringerne af dem jeg var
interesseret i at få kommenteret.
hvor ligger I jeres virtual hosts?
og hvad med hvis de ligger i den struktur men så fx at
/var/www/vhosts/enbruger.dk/htdocs er et symlink til
/home/enbruger/vhosts/enbruger.dk ?


> dog ville jeg ikke tillade .htaccess -- hvis brugerne vil
> noget, maa de spoerge paent og saa vil det blive implementeret i
> httpd.conf hvor der er styr paa tingene.
>

ok.


>> En anden ting er at /var/www er Apaches DocumentRoot. Bør virtual
>> hosts ligge under DocumentRoot?
>> Hvordan klarer I dette?
>
> Som du beskrev ovenfor: /var/www/vhost1, /var/www/vhost2, etc -- soerg
> for at vhostX er ejet af den rette bruger. Undlad at bruge Apache's
> UserDir, benyt i stedet vhosts.

altså /~/public_html/ skal jeg holde mig helt fra at give mine brugere
adgang til?


>> Jeg vil gerne have at homedirs ikke kan læses af andre end ejeren.
>
> Simpelt. Hvis du ikke kan det uden vores hjaelp, boer du nok overveje
> om du virkeligt vil saette din egen server paa nettet.

Det var ikke så meget det *hvordan* jeg gør det.
det er ikke noget problem.
Det var mere om det er en god idé?
Og hvis jeg gør det så vil jeg jo få et problem med det jeg beskrev ovenfor
med hvor en brugers virtual hosts ligger i hans homedir og så
/var/www/vhosts/bruger/htdocs bare er et symlink dertil.
Det ville også blive et problem med /~/public_html/, men det kan jeg forstå
at jeg skal holde mig fra?


>> Det var planen at der skulle køre mailserver med pop3 og imap som
>> understøtter virtuelle brugere.
>> Jeg har før brugt postfix sammen med mysql til mailserver med
>> virtuelle brugere, men blev aldrig helt tilfreds med det.
>> Derfor hælder jeg nu mere til qmail/vpopmail.
>> Hvad vil I anbefale her?
>
> Er det ikke ligemeget hvad vi vil anbefale hvis du allerede er
> utilfreds med Postfix? Baade Postfix og qmail er fremragende som
> MTA'er. Hvis du ikke kan lide den ene maa du jo proeve den anden.

jaeh ok. det var lidt tidligt på morgenen jeg skrev posten.
jeg tror at det jeg mener er at jeg gerne vil høre om folks erfaringer med
qmail/vpopmail på debian?
Det er fordi at postfix er jo "understøttet" i debian. Altså der findes en
officiel pakke.
det gør der jo ikke med qmail og vpopmail.
Jeg vil egentlig gerne køre postfix igen.
Det er i hvert fald slet ikke sådan at jeg ikke vil køre det.
Jeg står nok lidt 50/50 mellem de to.
Jeg tror faktisk bare at jeg måske kørte en forkert popsever, men hvilke
popservere vil I anbefale til brug med postfix?


>> På LANsiden af serveren er det planen at der skal køre samba.
>> Jeg ville gerne kunne køre samba server med ActiveDirectories. Er
>> dette muligt? Eller er det stadig kun på teststadiet?
>
> Ingen ide, men benyt Samba's "host allow" og "interfaces" saaledes der
> virkelig kun *er* LAN adgang. Og pak smbd og nmbd ind i systrace!

Ok. Ja jeg bruger osse interfaces og hosts allow nu.


--
Med venlig hilsen
Thomas D
http://tdn.peps.dk
Musikere tjener penge på ulovligt kopieret software.

---

Thomas D <merlin@sprex.dk> wrote:
>> Med dine oensker for funktionalitet (PHP, mod_perl, Apache) er det kun
>> et spoergsmaal om tid foer du ikke faar patchet i tide og nogen kommer
>> ind.
>
> er de specielt usikre da?
> jeg havde faktisk indtryk af at de var ret sikre.

De er store og komplexe, ergo ikke sikre. Apache 1.3.x har kun haft faa
alvorlige sikkerhedsfejl i de sidste mange aar, men PHP og mod_perl (og
hjemmeskrevet kode) er stadigt noget slam.

> hvor ligger I jeres virtual hosts?

Mine virtual hosts ligger i /var/www/<vhost>/htdocs

>> Som du beskrev ovenfor: /var/www/vhost1, /var/www/vhost2, etc -- soerg
>> for at vhostX er ejet af den rette bruger. Undlad at bruge Apache's
>> UserDir, benyt i stedet vhosts.
>
> altså /~/public_html/ skal jeg holde mig helt fra at give mine brugere
> adgang til?

Du skal hvert fald undlade at lade Apache laese fra /home -- der sker
ikke noget ved at lave ~/public_html et symlink til
/var/www/users/<username> da det jo blot goer livet lettere for
brugeren.

Speaking of lusers .. hvordan har du taenkt dig at give dem adgang til
systemet?

>>> Jeg vil gerne have at homedirs ikke kan læses af andre end ejeren.
[..]
> Og hvis jeg gør det så vil jeg jo få et problem med det jeg beskrev ovenfor
> med hvor en brugers virtual hosts ligger i hans homedir og så
> /var/www/vhosts/bruger/htdocs bare er et symlink dertil.

Lad vaere med det. Der er ingen grund til at Apache laeser uden for
/var/www hvis det kan undgaas. Det goer det ogsaa lettere at systrace
den.

> Jeg tror faktisk bare at jeg måske kørte en forkert popsever, men hvilke
> popservere vil I anbefale til brug med postfix?

Jeg kunne ikke finde paa at koere POP3 da protokollen ikke understoetter
to-faktor validering af brugere, men hvis nogen trak en pistol og tvang
mig til det, ville jeg nok koere Solar Designer's popa3d.

http://www.openwall.com/popa3d/

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

Alex Holst wrote:
> Thomas D <merlin@sprex.dk> wrote:
>>> Med dine oensker for funktionalitet (PHP, mod_perl, Apache) er det
>>> kun
>>> et spoergsmaal om tid foer du ikke faar patchet i tide og nogen
>>> kommer ind.
>>
>> er de specielt usikre da?
>> jeg havde faktisk indtryk af at de var ret sikre.
>
> De er store og komplexe, ergo ikke sikre. Apache 1.3.x har kun haft
> faa alvorlige sikkerhedsfejl i de sidste mange aar, men PHP og
> mod_perl (og hjemmeskrevet kode) er stadigt noget slam.
>

ok.
Hmm altså det er ikke Apache som er problemet. (Er det rigtigt forstået?)
Men i stedet de phpscripts/perlscripts som mine brugere laver?
Gælder det både mod_perl og php?
Det er sådan set kun php som alm. users har adgang til.
Ellers bruges mod_perl kun på enkelte virtual hosts til brug af
Apache::Gallery (url: <http://apachegallery.dk>).
Hvad kan jeg evt. gøre for at minimere risikoen ved dette?
Kan jeg sikre mig, at hvis en bruger har noget usikkert kode, så kan det kun
udgøre en risiko for den pågældende brugers data?


>> hvor ligger I jeres virtual hosts?
>
> Mine virtual hosts ligger i /var/www/<vhost>/htdocs
>

okay!



>>> Som du beskrev ovenfor: /var/www/vhost1, /var/www/vhost2, etc --
>>> soerg for at vhostX er ejet af den rette bruger. Undlad at bruge
>>> Apache's UserDir, benyt i stedet vhosts.
>>
>> altså /~/public_html/ skal jeg holde mig helt fra at give mine
>> brugere adgang til?
>
> Du skal hvert fald undlade at lade Apache laese fra /home -- der sker
> ikke noget ved at lave ~/public_html et symlink til
> /var/www/users/<username> da det jo blot goer livet lettere for
> brugeren.

okay.
det er noteret!


> Speaking of lusers .. hvordan har du taenkt dig at give dem adgang til
> systemet?
>

ssh med password og med rsa keys.


>>>> Jeg vil gerne have at homedirs ikke kan læses af andre end ejeren.
> [..]
>> Og hvis jeg gør det så vil jeg jo få et problem med det jeg beskrev
>> ovenfor med hvor en brugers virtual hosts ligger i hans homedir og så
>> /var/www/vhosts/bruger/htdocs bare er et symlink dertil.
>
> Lad vaere med det. Der er ingen grund til at Apache laeser uden for
> /var/www hvis det kan undgaas. Det goer det ogsaa lettere at systrace
> den.
>

okay.


>> Jeg tror faktisk bare at jeg måske kørte en forkert popsever, men
>> hvilke popservere vil I anbefale til brug med postfix?
>
> Jeg kunne ikke finde paa at koere POP3 da protokollen ikke
> understoetter to-faktor validering af brugere, men hvis nogen trak en
> pistol og tvang
> mig til det, ville jeg nok koere Solar Designer's popa3d.
>
> http://www.openwall.com/popa3d/

hehe okay.
der er godt nok ikke nogen der truer mig med en pistol
så jeg er sådan set osse villig til at bruge imap hvis du mener det er
bedre.
jeg skal bare kunne tilbyde mine brugere et pålideligt mailsystem, som for
min egen skyld er nogenlunde overskueligt at administrere.

hvad vil du selv anbefale at bruge som mailløsning?


--
Med venlig hilsen
Thomas D
http://tdn.peps.dk
Musikere tjener penge på ulovligt kopieret software.

---

Thomas D skrev:

> ok.
> Hmm altså det er ikke Apache som er problemet. (Er det rigtigt forstået?)
> Men i stedet de phpscripts/perlscripts som mine brugere laver?
> Gælder det både mod_perl og php?
> Det er sådan set kun php som alm. users har adgang til.
> Ellers bruges mod_perl kun på enkelte virtual hosts til brug af
> Apache::Gallery (url: <http://apachegallery.dk>).
> Hvad kan jeg evt. gøre for at minimere risikoen ved dette?
> Kan jeg sikre mig, at hvis en bruger har noget usikkert kode, så kan det
> kun udgøre en risiko for den pågældende brugers data?

Du kan sætte php i safemode i hvert fald... det skulle sikre dig lidt mere,
kig på www.dk.php.net for info om det. De fleste hosting-firmaer køre med
safemode tror jeg.
--
Mvh. Peter.
___________________________________
www.SepstrupNET.dk & www.PHP-FAQ.dk

---

Peter Sepstrup wrote:
> Thomas D skrev:
>
>> ok.
>> Hmm altså det er ikke Apache som er problemet. (Er det rigtigt
>> forstået?) Men i stedet de phpscripts/perlscripts som mine brugere
>> laver?
>> Gælder det både mod_perl og php?
>> Det er sådan set kun php som alm. users har adgang til.
>> Ellers bruges mod_perl kun på enkelte virtual hosts til brug af
>> Apache::Gallery (url: <http://apachegallery.dk>).
>> Hvad kan jeg evt. gøre for at minimere risikoen ved dette?
>> Kan jeg sikre mig, at hvis en bruger har noget usikkert kode, så kan
>> det kun udgøre en risiko for den pågældende brugers data?
>
> Du kan sætte php i safemode i hvert fald... det skulle sikre dig lidt
> mere, kig på www.dk.php.net for info om det. De fleste
> hosting-firmaer køre med safemode tror jeg.

Det har jeg nu gjort.
Hvad med mod_perl og mysql?
Jeg har læst på mysql.com/documentation om at mysqld også kan køres i en
safe-mode, men jeg døjer lidt med at se hvad jeg opnår ved dette.
Er det noget der anbefales?

--
Med venlig hilsen
Thomas D
http://tdn.peps.dk
Musikere tjener penge på ulovligt kopieret software.

---

Den Wed, 06 Aug 2003 22:49:14 +0200. skrev Thomas D:

> hvad vil du selv anbefale at bruge som mailløsning?

Tillader mig lige at komme med et indspark. Prøv at kigge på
http://www.probsd.net/vmail/ og se om det ikke er værd at give
postfix/mysql en chance mere. Bruger den selv og det fungerer fortrinligt
til mit behov.

--
Mvh
Tonni Aagesen
<agent29 AT stofanet DOT dk>

---

Tonni Aagesen wrote:
> Den Wed, 06 Aug 2003 22:49:14 +0200. skrev Thomas D:
>
>> hvad vil du selv anbefale at bruge som mailløsning?
>
> Tillader mig lige at komme med et indspark. Prøv at kigge på
> http://www.probsd.net/vmail/ og se om det ikke er værd at give
> postfix/mysql en chance mere. Bruger den selv og det fungerer
> fortrinligt til mit behov.

den har jeg set på.
det ser lovende ud.

--
Med venlig hilsen
Thomas D
http://tdn.peps.dk
Musikere tjener penge på ulovligt kopieret software.

---

[...]
> Lad vaere med det. Der er ingen grund til at Apache laeser uden for
> /var/www hvis det kan undgaas. Det goer det ogsaa lettere at systrace
> den.

Hmm ok...
Men hvad så med hvor den må skrive?
Fx. logging?
Hvor skal den logge til?
Altså default logger den jo til /var/log/apache/ i /var/log/apache/error.log
og /var/log/apache/access.log, men skal jeg lade den logge alle virtual
hosts til disse filer?
Er det ikke smartere at specificere en logfil for hver virtual host?
Hvordan er det smartest at gøre dette?
Hvordan gør du/I dette?

Hvad med:
/var/log/apache/vhosts/<virtual_host_name>-access.log
/var/log/apache/vhosts/<virtual_host_name>-error.log
(sådan har jeg det nu)
eller
/var/log/apache/<virtual_host_name>/access.log
/var/log/apache/<virtual_host_name>/error.log
(synes jeg egentlig virker smartere)
?


--
Med venlig hilsen
Thomas D
http://tdn.peps.dk
Musikere tjener penge på ulovligt kopieret software.

---

Alex Holst wrote:
> God plan. Helt praecist hvad du kalder de forskellige dirs er ikke saa
> vigtigt, dog ville jeg ikke tillade .htaccess -- hvis brugerne vil
> noget, maa de spoerge paent og saa vil det blive implementeret i
> httpd.conf hvor der er styr paa tingene.
>

Hmm... ok.
Hvis jeg styrer det hele fra httpd.conf, hvor skal jeg så lægge
passwd/group-filerne til mine brugeres authentication sider?
Før kunne de jo selv vælge det i .htaccess. Det kan jeg selvfølgelig godt se
at det ikke er smart, hvis det er politikken, at apache kun må læse indenfor
/var/www. Men så må der jo være en eller anden politik med at hver virtual
host har et etc/ dir eller noget i den stil, hvor sådanne filer kan blive
lagt, og hvor så brugeren har adgang til at læse/skrive til.
Og det må andre jo ikke have adgang til at læse i. Fordi så kan de jo
bruteforce sig frem til passwords osv., men apachen skal jo stadig kunne
læse det.
Hmm... Er ikke helt sikker på hvordan den skal knækkes, eller griber jeg det
helt forkert an?


>> En anden ting er at /var/www er Apaches DocumentRoot. Bør virtual
>> hosts ligge under DocumentRoot?
>> Hvordan klarer I dette?
>
> Som du beskrev ovenfor: /var/www/vhost1, /var/www/vhost2, etc -- soerg
> for at vhostX er ejet af den rette bruger. Undlad at bruge Apache's
> UserDir, benyt i stedet vhosts.
>
>> Jeg vil gerne have at homedirs ikke kan læses af andre end ejeren.
>
> Simpelt. Hvis du ikke kan det uden vores hjaelp, boer du nok overveje
> om du virkeligt vil saette din egen server paa nettet.
>
>> Det var planen at der skulle køre mailserver med pop3 og imap som
>> understøtter virtuelle brugere.
>> Jeg har før brugt postfix sammen med mysql til mailserver med
>> virtuelle brugere, men blev aldrig helt tilfreds med det.
>> Derfor hælder jeg nu mere til qmail/vpopmail.
>> Hvad vil I anbefale her?
>
> Er det ikke ligemeget hvad vi vil anbefale hvis du allerede er
> utilfreds med Postfix? Baade Postfix og qmail er fremragende som
> MTA'er. Hvis du ikke kan lide den ene maa du jo proeve den anden.
>
>> På LANsiden af serveren er det planen at der skal køre samba.
>> Jeg ville gerne kunne køre samba server med ActiveDirectories. Er
>> dette muligt? Eller er det stadig kun på teststadiet?
>
> Ingen ide, men benyt Samba's "host allow" og "interfaces" saaledes der
> virkelig kun *er* LAN adgang. Og pak smbd og nmbd ind i systrace!

--
Med venlig hilsen
Thomas D
http://tdn.peps.dk
Musikere tjener penge på ulovligt kopieret software.

---

On Tue, 5 Aug 2003 23:55:47 +0200
"Thomas D" <merlin@sprex.dk> wrote:

> > Husk altid at angive OS.....
>
> hmm det har jeg skam gjort:
> > Serveren som kører debian stable kommer til at stå som gateway
> > mellem
> ^^^^^^^^^^^^^^^^^^^

Damn, jeg er blind idag, my bad!

mvh
socketd

---

Socketd wrote:

>>> Husk altid at angive OS.....
>>
>> hmm det har jeg skam gjort:
>>> Serveren som kører debian stable kommer til at stå som gateway
>>> mellem
>> ^^^^^^^^^^^^^^^^^^^
>
> Damn, jeg er blind idag, my bad!

Hmm ... Men Debian kan også køre med NetBSD og FreeBSD (og snart også
HURD) kerner. Gør det ikke i princippet systemet til et andet OS? OK,
det var vist lidt for pedantisk

--
PeKaJe

Reformed, n.:
A synagogue that closes for the Jewish holidays.

---

Thomas D wrote:
> Hej,
>
> Jeg står og skal til at sætte en server op.
> Jeg vil gerne have gjort det ordentligt fra starten denne gang.
> Det skal være godt dokumenteret og der skal være fokus på sikkerhed
> fra starten.
>
> Da jeg ikke er særlig erfaren i at skrive dokumentation af server
> setups så vil jeg gerne have nogle råd.
> Jeg vil også meget gerne se eksempler på dokumentation af server
> setups. (evt. noget efter FAKIR-modellen?)

Er der ikke nogen der kan hjælpe mig med dette?
Det er nok egentlig det jeg allerhelst vil have hjælp til.
Nemlig at skrive noget dokumentation på den.
Har I ikke nogle eksempler på dokumentation af jeres servere?

--
Med venlig hilsen
Thomas D
http://tdn.peps.dk
Musikere tjener penge på ulovligt kopieret software.

---

On Tue, 5 Aug 2003 18:02:19 +0200, Thomas D <merlin@sprex.dk> wrote:

> Jeg tænker her på ting som hvor skal de ligge i filsystemet?
> /var/www/vhosts/<virtualhostname>
> /var/www/vhosts/<virtualhostname>/htdocs
> /var/www/vhosts/<virtualhostname>/log
> /var/www/vhosts/<virtualhostname>/etc
>
> Men jeg er lidt i tvivl om dette er en god måde at gøre det på?

Det lyder fornuftigt. Husk at dokumentere dit filsystemslayout og
specielt hvor du har data og hvor du har programmer, så man ved hvad man
skal tage backup af.

> Fx. er jeg i tvivl om logfilerne for hver vhost burde ligge i
> /var/log/Apache/.....???

Tjah, så længe at det beskrives

> Jeg har før brugt postfix sammen med mysql til mailserver med virtuelle
> brugere, men blev aldrig helt tilfreds med det.
> Derfor hælder jeg nu mere til qmail/vpopmail.
> Hvad vil I anbefale her?

Hvis qmail dækker dine behov sammen med vpopmail er det fornuftigt. Du
skal dog være opmærksom på at qmail smadrer det meste af min
hierstruktur, da den er besværlig at flytte væk fra /var/qmail. Det har
det problem at du ikke kan mounte /var noexec, hvilket er kedeligt.


--
Jesper

---

Jesper Louis Andersen wrote:
> On Tue, 5 Aug 2003 18:02:19 +0200, Thomas D <merlin@sprex.dk> wrote:
>
>> Jeg tænker her på ting som hvor skal de ligge i filsystemet?
>> /var/www/vhosts/<virtualhostname>
>> /var/www/vhosts/<virtualhostname>/htdocs
>> /var/www/vhosts/<virtualhostname>/log
>> /var/www/vhosts/<virtualhostname>/etc
>>
>> Men jeg er lidt i tvivl om dette er en god måde at gøre det på?
>
> Det lyder fornuftigt. Husk at dokumentere dit filsystemslayout og
> specielt hvor du har data og hvor du har programmer, så man ved hvad
> man skal tage backup af.
>

okay det var godt.
har du evt. et eksempel eller en template eller model eller noget af en
dokumentation af filsystemslayout, som jeg kan se?


>> Fx. er jeg i tvivl om logfilerne for hver vhost burde ligge i
>> /var/log/Apache/.....???
>
> Tjah, så længe at det beskrives

ok.
hvor ligger du dine?


>> Jeg har før brugt postfix sammen med mysql til mailserver med
>> virtuelle brugere, men blev aldrig helt tilfreds med det.
>> Derfor hælder jeg nu mere til qmail/vpopmail.
>> Hvad vil I anbefale her?
>
> Hvis qmail dækker dine behov sammen med vpopmail er det fornuftigt. Du
> skal dog være opmærksom på at qmail smadrer det meste af min
> hierstruktur, da den er besværlig at flytte væk fra /var/qmail. Det
> har det problem at du ikke kan mounte /var noexec, hvilket er
> kedeligt.

ja, ok. det kan jeg godt se.
det er ikke så fedt.
jeg er også stadig ret meget i tvivl om det er qmail eller postfix det
bliver.


--
Med venlig hilsen
Thomas D
http://tdn.peps.dk
Musikere tjener penge på ulovligt kopieret software.

---

On Mon, 11 Aug 2003 12:18:48 +0200, Thomas D <merlin@sprex.dk> wrote:

> okay det var godt.
> har du evt. et eksempel eller en template eller model eller noget af en
> dokumentation af filsystemslayout, som jeg kan se?

*BSD har hier(7) man-siden der beskriver deres layout. Jeg ved ikke om
Linux har noget tilsvarende. Jeg vil råde dig til at placere data i
/var/<site> og programmer du selv installerer i /usr/local/<site> eller
lignende. Så er de ihvertfald pakket af vejen for resten af dit
operativsystem og interfererer ikke med nogle af de systemer jeg kender,
skulle du senere have behov for at udvide din maskinpark med andre OS.

>> Tjah, så længe at det beskrives
>
> ok.
> hvor ligger du dine?

Normalt i /var/www/<vhost>/logs, som du foreslår

Eller i /var/www/logs, så man kan lave chroot() af apache ind i /var/www

>> Hvis qmail dækker dine behov sammen med vpopmail er det fornuftigt. Du
>> skal dog være opmærksom på at qmail smadrer det meste af min
>> hierstruktur, da den er besværlig at flytte væk fra /var/qmail. Det
>> har det problem at du ikke kan mounte /var noexec, hvilket er
>> kedeligt.
>
> ja, ok. det kan jeg godt se.
> det er ikke så fedt.
> jeg er også stadig ret meget i tvivl om det er qmail eller postfix det
> bliver.

Jeg benytter udelukkende postfix. Blandt andet pga ovenstående, fordi
jeg ikke finder det intelligent at et program skal diktere hvor det selv
vil ligge.

--
Jesper

---

Jesper Louis Andersen wrote:
> On Mon, 11 Aug 2003 12:18:48 +0200, Thomas D <merlin@sprex.dk> wrote:
>
>> okay det var godt.
>> har du evt. et eksempel eller en template eller model eller noget af
>> en dokumentation af filsystemslayout, som jeg kan se?
>
> *BSD har hier(7) man-siden der beskriver deres layout. Jeg ved ikke om
> Linux har noget tilsvarende. Jeg vil råde dig til at placere data i
> /var/<site> og programmer du selv installerer i /usr/local/<site>
> eller lignende. Så er de ihvertfald pakket af vejen for resten af dit
> operativsystem og interfererer ikke med nogle af de systemer jeg
> kender, skulle du senere have behov for at udvide din maskinpark med
> andre OS.
>

ok, jeg vil kigge på noget i stil med hier.
hvad er det præcist du mener med <site> ?


>>> Tjah, så længe at det beskrives
>>
>> ok.
>> hvor ligger du dine?
>
> Normalt i /var/www/<vhost>/logs, som du foreslår

ok


> Eller i /var/www/logs, så man kan lave chroot() af apache ind i
> /var/www

ok, dvs. aldrig i /var/logs/apache som den slev foreslår?


>>> Hvis qmail dækker dine behov sammen med vpopmail er det fornuftigt.
>>> Du skal dog være opmærksom på at qmail smadrer det meste af min
>>> hierstruktur, da den er besværlig at flytte væk fra /var/qmail. Det
>>> har det problem at du ikke kan mounte /var noexec, hvilket er
>>> kedeligt.
>>
>> ja, ok. det kan jeg godt se.
>> det er ikke så fedt.
>> jeg er også stadig ret meget i tvivl om det er qmail eller postfix
>> det bliver.
>
> Jeg benytter udelukkende postfix. Blandt andet pga ovenstående, fordi
> jeg ikke finder det intelligent at et program skal diktere hvor det
> selv vil ligge.

nej, ok.
det kan jeg godt se.


--
Med venlig hilsen
Thomas D
http://tdn.peps.dk
Musikere tjener penge på ulovligt kopieret software.

---

On Fri, 15 Aug 2003 20:56:42 +0200, Thomas D <merlin@sprex.dk> wrote:
> ok, jeg vil kigge på noget i stil med hier.
> hvad er det præcist du mener med <site> ?

Hedder din virksomhed eksempeltvist xyz, så kunne man placere ting i

/usr/local/xyz/ ...

osv.

--
Jesper

---

Jesper Louis Andersen wrote:
> On Fri, 15 Aug 2003 20:56:42 +0200, Thomas D <merlin@sprex.dk> wrote:
>> ok, jeg vil kigge på noget i stil med hier.
>> hvad er det præcist du mener med <site> ?
>
> Hedder din virksomhed eksempeltvist xyz, så kunne man placere ting i
>
> /usr/local/xyz/ ...
>

hmm... tænker du på hvis jeg fx. downloader og compiler Apache::Gallery, så
skal jeg compile det i
/usr/local/mitfirma/ApacheGallery ??
eller hvad?

--
Med venlig hilsen
Thomas D
http://tdn.peps.dk
Musikere tjener penge på ulovligt kopieret software.