rootpack@invis-server-org

Das „rootpack“ ist eine kleine Sammlung Shell-Scripts zur Verwaltung eines Rootservers, hat also mit dem invis Server an sich nichts zu tun. Entstanden ist es als Nebenprodukt der Arbeit am Buch „Root-Server – Einrichten und Absichern“ welches im September 2010 im Open-Source-Press Verlag erschienen ist. Zum rootpack gibt es unter http://rootpack.invis-server.org eine eigene Internet-Seite, über die es auch kostenfrei heruntergeladen werden kann. Das rootpack steht wie alle anderen invis-Projekt-Komponenten unter GPLv3.

Stand: August 2011

• Aufgabe: Kunden anlegen - Script: mkcustomer
• Aufgabe: DNS-Zone anlegen - Script: mkzone
• Aufgabe: VHost anlegen - Script: mkvhost
• Aufgabe: Mailkonto o. Mailalias anlegen - Script: mkmailaccount
• Aufgabe: Mailkonto o. Mailalias für virtuelle Dovecot-Konten anlegen - Script: mkvmailaccount
• Aufgabe: Datenbank anlegen - Script: mkdatabase
• Aufgabe: Spamabwehr kontrollieren - Script: spamstat
• Aufgabe: Datensicherung - Script: allbackup
• Aufgabe: Firewall - Script: rootwall
• Aufgabe: Schlüssel & Zertifikate erstellen - Script: buildkeys
• Aufgabe: Schlüssel DDNS-Authorisierung erstellen - Script: mkddnskeys

Details folgen…..

Oft wird openSUSE als untauglich für produktive Server-Installationen dargestellt, dies meist aufgrund von Vorurteilen und vor allem der leider inzwischen auf 18 Monate begrenzten Maintenance. Mit den Vorurteilen muss sich eigentlich niemand auseinandersetzen, es sind schlicht Vorurteile. Technisch hat openSUSE allemal das Zeug zum Server-Betriebssystem und braucht keinesfalls den Vergleich mit anderen freien Distributionen zu scheuen. Traurig und ein echtes Problem ist der kurze Maintenance-Zeitraum, der sich dennoch nicht wesentlich von fedora oder Ubuntu unterscheidet. Allerdings können die Anhänger Red Hat- oder Debian-ähnlicher Distributionen auf Centos, Ubuntu LTS oder Debian selbst ausweichen. Etwas Vergleichbares gibt es für Freunde der SUSE-Distributionen nicht, auch wenn dies Gegenstand vieler Diskussionen war und ist.

Trotzdem kann eine openSUSE-Server-Installation auch nach Ablauf der Maintenance weiter betrieben werden. Alternativ ist auch das Upgrade auf die Folgeversion (meist) möglich. Hilfe zur Selbsthilfe heißt hier das Stichwort. Technische Unterstützung kommt in Form des „Open Build Service“ (OBS) daher. Der OBS erlaubt es Software-Pakete auch gegen ausgelaufene Versionen bauen. Die Strategie umfasst zwei Schritte.

Grundvoraussetzung für den weiteren Betrieb einer Installation über den Maintenance Zeitraum hinaus ist das Umstellen der Software-Repositories. Kurze Zeit nach Ablauf der Maintenance werden alle Repositories einer Version vom Download-Server entfernt und dabei die Standard-Repos „oss“, „non-oss“ und „update“ in den Discontinued-Zweig verschoben. Diese verschobenen Repositories stehen weiterhin über zahlreiche Spiegelserver zur Verfügung. Änderungen werden daran allerdings nicht mehr vorgenommen. D.h. in das Update-Repo fließen keine neuen Updates mehr ein.

Der wohl bekannteste Spiegelserver für openSUSE dürfte wohl „ftp5.gwdg.de“ sein. Hier die Einstellungen für YaST bezogen auf openSUSE 11.2:

Protokoll: ftp

Server: ftp5.gwdg.de

Pfad Standard-Repos: /pub/opensuse/discontinued/distribution/11.2/repo/oss (bzw.: non-oss)

Pfad Update-Repo: /pub/opensuse/discontinued/update/11.2/

Die Namesgebung der Repos kann nach eigenem Gefallen erfolgen.

Legen Sie diese Repositories neu an und löschen Sie alle vorher vorhanden.

Ist dies fehlerfrei geschehen, sollten mittels:

linux:~ # zypper refresh
linux:~ # zypper up

letztmalig Updates eingespielt werden.

Das hauptsächliche Problem neben fehlender Updates nach Ablauf der Maintenance ist die fehlende Möglichkeit Software nachzuinstallieren, die sich nicht in den Standard-Repositories befindet. So z.B. das beliebte „phpMyAdmin“ oder auch „Roundcubemail“.

Um dies weiterhin zu ermöglichen und derartige Software auch auf aktuellem Stand zu halten lässt sich im OBS ein eigenes Projekt erstellen, in dem dann die benötigte Software gegen die ausgelaufene Version gebaut wird. Da dies nicht unbedingt einfach ist und es keinen Sinn macht allzuviele Projekte mit überschneidenden Inhalten im OBS anzulegen, habe ich die Arbeit einfach mal übernommen. Enstanden ist dabei eine Art „Rootserver-Essentials-Repository“ in dem wichtige für Root/Webserver relevante Software in aktueller Version für ausgelaufene Versionen gebaut wird.

Es ist dennoch Vorsicht geboten. Dabei handelt es sich nicht um ein Update-Repository für alte openSUSE Versionen sondern eher um einen „Rolling-Distribution“ Ansatz. D.h. es werden immer aktuelle Versionen der enthaltenen Software erzeugt. Nochmal der Unterschied:

• Update: Patches werden eingespielt die Version einer Software bleibt dabei gleich.
• Upgrade: Es werden keine Patches eingespielt, sondern neue Programmversionen.

Neue Programmversionen enthalten in der Regel zwar die notwendigen Patches, können aber Unterschiede in der Konfiguration zu ihren Vorgängern oder andere Software-Abhängigkeiten aufweisen. D.h. das Rolling-Distribution-Prinzip beinhaltet die Gefahr, dass nach einem Upgrade Fehler im System auftreten, beispielsweise nicht startende Dienste.

Um dieses Risiko begrenzt zu halten beschränkt sich das Software-Angebot im Repository lediglich auf für einen Web- und Mailserver wesentliche Software. Auf Wunsch nehme ich allerdings gerne weitere Pakete auf. Mithilfe bei der Pflege des Repositories ist natürlich auch erwünscht.

Zur Minimierung des Risikos dieser Herangehensweise, empfiehlt es sich eine lokale Installation (etwa als VM) vorzuhalten, die dem eigenen Server entspricht und Upgrades dort zu testen, bevor sie auf der Produktivinstallation eingespielt werden.

Hier noch die Repo-Datei:

[rootserver_essentials]
name=Rootserver Essentials for discontinued openSUSE Versions (DISCONTINUED_openSUSE_11.2_standard)
type=rpm-md
baseurl=http://download.opensuse.org/repositories/home:/flacco:/discontinued/DISCONTINUED_openSUSE_11.2_standard/
gpgcheck=1
gpgkey=http://download.opensuse.org/repositories/home:/flacco:/discontinued/DISCONTINUED_openSUSE_11.2_standard/repodata/repomd.xml.key
enabled=1

Die gezeigte Datei, kann sowohl über den OBS als auch die Rootpack-Seite herunter geladen werden.