tipps_und_tricks

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
tipps_und_tricks [2018/12/15 13:18]
flacco [Deeplinks verhindern]
tipps_und_tricks [2018/12/15 14:05] (aktuell)
flacco [Nein Danke Zensursula]
Zeile 38: Zeile 38:
 Verlassen wird es einfach mit //​**exit**//​ Verlassen wird es einfach mit //​**exit**//​
  
 +===== Nein Danke Zensursula =====
 +//​**Hinweis:​** Der folgende Text ist nicht ganz neutral geschrieben. Er enthält persönliche Meinungsäußerungen. Ich bitte dies zu entschuldigen.//​
  
 +2010 trat das Web-Sperren-Gesetz gegen die Verbreitung von Kinderpornographie in Kraft. Dieses Gesetz ging, trotz des sicherlich aufrichtigen Ansatzes, am Thema vorbei und ermöglichte es allenfalls eine Zensurinfrastruktur nebst dazu passenden Überwachungsmöglichkeiten im Internet zu etablieren. Auch wenn das Gesetzt bereits ein Jahr später wieder aufgehoben wurde, zeigen wir hier eine Möglichkeit auf, es zu umgehen. Dass solch simple Wege die Umgehung DNS-basierter Web-Sperren ermöglichen,​ zeigt eigentlich auch die Sinnlosigkeit solcher Techniken.
  
 +Auch wenn es nicht um die Umgehung von Websperren geht, ist es eine kluge Entscheidung vertrauenswürdige DNS-Server zu nützen. Ein frei zugänglicher DNS-Server wie etwa der von Google angebotene "​8.8.8.8"​ ist sicherlich auch nicht der Weisheit letzter Schluss. Hier bietet ein Mega-Konzern,​ dessen Kerngeschäft die gewinnbringende Nutzung von Informationen ist, einen kostenfreien Dienst an. Dass dies nicht einfach dem Wohle der Menschheit dient liegt nahe. Schließlich lassen sich mit der Auswertung von DNS-Daten Unmengen spannende Daten der Nutzer gewinnen. ​
  
 +Wer einen invis-Server im eigenen Netz betreibt und sich (zumindest vorerst) sicher sein möchte, dass seine Nameserver-Abfragen nicht von "​manipulierten"​ oder "​schnüffelnden"​ Nameservern beantwortet werden, kann dies (wenn nicht bereits im Verlauf der Server-Installation geschehen) durch Ändern der "​forwarders"​ in der Konfiguration des lokalen Nameservers "​bind"​ umgehen.
  
- +Ändern ​Sie einfach in der Datei "/​etc/​named.conf" ​die Einträge hinter "​forwarders"​:
-===== Zarafa License-Daemon im Eigenbau ===== +
- +
-Offiziell wird openSUSE als Basis einer Zarafa-Version nicht unterstützt,​ was unter anderem dazu führt, dass weder Zarafa-Backup noch der License-Daemon dafür zur Verfügung stehen. Beide Tools enthalten Closed-Source-Komponenten und sind damit nicht Bestandteil der Open-Source-Pakete die wir in unserem Build-Service-Repository vorhalten. +
- +
-Sie sind aber Bestandteil der Free-Edition und können somit kostenlos genutzt werden, allerdings nur auf unterstützten Plattformen,​ wie etwa Ubuntu LTS. +
- +
-Problematisch ist grundsätzlich,​ dass Zarafa seine eigene Software meist statisch gegen vorhandene System-Libraries linkt. Da sich diese von Distribution zu Distribution in Ihren Versionen unterscheiden,​ ist es nicht möglich SLES oder RedHat-Pakete ​einfach ​unter openSUSE zu nutzen. +
- +
-Möglich ist aber den License-Daemon in einer Art Sandbox laufen zu lassen, ​in der er alle Libraries hat, die er benötigtDie folgende Beschreibung erläutert den Aufbau der Sandbox auf einem Ubuntu-LTS System +
- +
-==== VM einrichten ==== +
-Zunächst muss dafür ein Ubuntu-LTS System installiert werden, hier empfiehlt sich die Arbeit mit Virtualbox. Entgegen der Angaben im Zarafa-Wiki spielt die Architektur der Sandbox sehr wohl eine Rolle. Da wir unsere invis-Server immer als 64Bit Systeme installieren,​ nutzen wir entsprechend auch ein 64Bit Ubuntu als Basis. +
- +
-Zusätzlich zur einfachen Standard-Installation wird das Software-Paket **mklibs** benötigt:+
  
 <​code>​ <​code>​
-heinz@ubuntu:​~$ sudo apt-get install mklibs +        # The forwarders record contains a list of servers to which queries 
-</​code>​+        # should be forwarded. ​ Enable this line and modify the IP address to 
 +        # your provider'​s name server. ​ Up to three servers may be listed. 
 +        # Die folgende Zeile ist um die IP-Adresse des fuer Sie zustaendigen DNS 
 +        # zu erweitern.
  
-Wenn Sie Ihre Sandbox unter SLES bauen möchten, werden Sie feststellen,​ dass es für SUSE-Linuxe das Paket **mklibs** nicht gibtAbhilfe schaft ein gleichnamiges Shellscript:​ [[https://​github.com/​blunderer/​mklibs]] +        forwarders { 194.25.2.129; 192.168.178.1;​ };
-==== Zarafa-Pakete herunterladen und entpacken ====+
  
-Benötigt wird die zur installierten VM passende Zarafa Free-Edition,​ zu finden auf dem Zarafa-Download-Server:​ http://​download.zarafa.com/​community+        # Enable the next entry to prefer usage of the name server declared in 
 +        # the forwarders section.
  
-<​code>​ +        forward first;
-heinz@ubuntu:​~$ wget http://​download.zarafa.com/​community/​final/​7.0/​7.0.8-35178/​zcp-7.0.8-35178-ubuntu-10.04-x86_64-free.tar.gz +
-.... +
-heinz@ubuntu:​~$ tar -xzvf zcp-7.0.8-35178-ubuntu-10.04-x86_64-free.tar.gz+
 </​code>​ </​code>​
  
-==== Zarafa-Pakete installieren ==== +Tragen Sie statt des T-Online Nameservers und etwa dem einer Fritzbox (wie hier gezeigt) frei nutzbare **vertrauenswürdige** DNS-Server als Forwarder einZu empfehlen sind hier die DNS-Server von Cloudflare (1.1.1.1) und Quad9 (9.9.9.9). Alternativ können Sie auch Nameserver aus der unter [[http://​www.ungefiltert-surfen.de]] zu findenden Liste verwenden. Starten Sie anschließend ​**//bind//** mit:
- +
-In diesem Schritt müssen vorbereitend einige Zarafa-Pakete installiert werdenBenötigt werden +
- +
-  * zarafa-licensed +
-  ​zarafa-common +
-  ​zarafa-client +
-  ​zarafa-server+
  
 <​code>​ <​code>​
-heinz@ubuntu:~$ cd zcp-7.0.8-35178-ubuntu-10.04-x86_64/​ +invis:~ # systemctl restart named.service
-heinz@ubuntu:​~/​zcp-7.0.8-35178-ubuntu-10.04-x86_64$ sudo dpkg -i zarafa-licensed_7.0.8-35178_amd64.deb zarafa-common_7.0.8-35178_amd64.deb zarafa-client_7.0.8-35178_amd64.deb zarafa-server_7.0.8-35178_amd64.deb+
 </​code>​ </​code>​
  
-Es ist nicht notwendig vorherige Versionen zu deinstallieren,​ das erledigt //​**dpkg**//​ automatisch. +neu. 
- +
-==== Sandbox aufbauen ==== +
- +
-Vor dem Bau einer neuen Sandbox sollte die Ubuntu (oder was auch immer) Version aktualisiert werden: +
- +
-<​code>​ +
-heinz@ubuntu:​~$ sudo apt-get update +
-heinz@ubuntu:​~$ sudo apt-get upgrade +
-</​code>​ +
- +
-Jetzt muss eine entsprechende Verzeichnisstruktur erzeugt werden. Eingerichtet wird diese (weitgehend FHS-konform) unter "/​opt":​ +
- +
-<​code>​ +
-heinz@ubuntu:​~$ sudo mkdir -p /​opt/​zarafa-licensed-7.0.8/​lib +
-heinz@ubuntu:​~$ sudo mkdir -p /​opt/​zarafa-licensed-7.0.8/​bin +
-</​code>​ +
- +
-Anschließend werden die benötigten Zarafa-Komponenten in diese Verzeichnisse kopiert: +
- +
-<​code>​ +
-heinz@ubuntu:​~$ sudo cp -p /​usr/​bin/​zarafa-licensed /​opt/​zarafa-licensed-7.0.8/​bin/​ +
-heinz@ubuntu:​~$ sudo cp -p /​usr/​bin/​zarafa-report /​opt/​zarafa-licensed-7.0.8/​bin/​ +
-heinz@ubuntu:​~$ sudo cp -p /​usr/​bin/​zarafa-ssm /​opt/​zarafa-licensed-7.0.8/​bin/​ +
-heinz@ubuntu:​~$ sudo cp -p /​usr/​lib/​libzarafaclient.so /​opt/​zarafa-licensed-7.0.8/​lib +
-</​code>​ +
- +
-Abschließend müssen alle von "​zarafa-licensed"​ benötigten System-Libraries in der Sandbox installiert werden: +
- +
-<​code>​ +
-heinz@ubuntu:​~$ sudo mklibs-copy -d /​opt/​zarafa-licensed-7.0.8/​lib/​ /​opt/​zarafa-licensed-7.0.8/​bin/​* +
-</​code>​ +
-...oder unter SLES mit oben genanntem Script: +
- +
-<​code>​ +
-sles:~ # mklibs -L/​usr/​lib64 -L/lib64 -o/​opt/​zarafa-licensed/​lib /​opt/​zarafa-licensed/​bin/​* +
-</​code>​ +
- +
-Ist dies abgeschlossen,​ kann die Verzeichnisstruktur in ein tar.gz-Archiv gepackt und auf den Zielserver verfrachtet werden. Empfehlenswert ist es natürlich sich für openSUSE ein init-Script zum Start des Dienstes zu erzeugen und auch die Konfigurationsdatei <​file>/​etc/​zarafa/​licensed.cfg</​file>​ auf den Zielserver zu kopieren. +
- +
-Auf dem Zielserver muss noch das Verzeichnis <​file>/​etc/​zarafa/​license</​file>​ angelegt werden. Hierin werden erworbene Lizenzschlüssel geschrieben. Ohne Lizenzschlüssel können mit laufendem License-Daemon aber immerhin 3 Outlook-Clients angebunden werden, was somit der Free-Edition entspricht. +
- +
-//​**Hinweis:​** Fertige Pakete (zld4invis) für den License-Daemon auf invis-Servern stehen unter **[[http://​invis.invis-server.org/​index.php?​page=invis-7-2]]** zum Download bereit. Sie enthalten bereits alle notwendigen Komponenten inkl. init-Script.//​ +
-===== Linux-Clients und NFS-Fileserver ===== +
-Die Gruppen-basierte Zusammenarbeit auf einem Linux-Fileserver gestaltet sich schwierig, wenn diese per NFS auf den Fileserver zugreifen. Zwar lassen sich mit gesetztem SGID-Bit auf den Freigabe-Verzeichnissen Gruppen-Besitzrechte auf alle Objekte im Ordner vererben, nicht aber die Zugriffsrechte. Letztere sind von der "​umask"​ abhängig. +
- +
-Auf openSUSE-Systemen ist die vorgegebene umask "​022",​ was bedeutet, das neu angelegte Dateien und Verzeichnisse für die besitzende Gruppe kein Schreibrecht gewähren:​ +
- +
-<​code>​ +
-Verzeichnis +
-         | u | g | o | +
----------------------- +
-Default ​ | 7 | 7 | 7 | +
-umask    | 0 | 2 | 2 | +
----------------------- +
-Ergebnis | 7 | 5 | 5 | = rwx,​r-x,​r-x +
- +
-Datei +
-Default ​ | 6 | 6 | 6 | +
-umask    | 0 | 2 | 2 | +
----------------------- +
-Ergebnis | 6 | 4 | 4 | = rw-,​r--,​r-- +
-</​code>​ +
- +
-Um pauschal auch für die besitzende Gruppe Schreibrecht zu gewähren muss die umask auf den Wert "​002"​ geändert werden: +
- +
-<​code>​ +
-Verzeichnis +
-         | u | g | o | +
----------------------- +
-Default ​ | 7 | 7 | 7 | +
-umask    | 0 | 0 | 2 | +
----------------------- +
-Ergebnis | 7 | 7 | 5 | = rwx,​rwx,​r-x +
- +
-Datei +
-Default ​ | 6 | 6 | 6 | +
-umask    | 0 | 0 | 2 | +
----------------------- +
-Ergebnis | 6 | 6 | 4 | = rw-,​rw-,​r-- +
-</​code>​ +
- +
-Die umask ist prinzipiell Benutzer-bezogen. Sie kann an mehreren Stellen im System geändert werden. Wichtig dabei ist, dass die Änderung auf dem Fileserver-Client wirksam ist. Eine Änderung auf dem Server selbst, etwa in /​etc/​profile o.ä. bleibt wirkungslos. +
- +
-Da openSUSE mit dem "​pam_umask"​ Modul arbeitet, kann die umask auch in den Einstellungen der einzelnen Benutzerkonten vorgenommen werden. Eingetragen wird eine persönliche umask in das "​Gecos-Feld"​. Hier ein Auszug aus einer entsprechend angepassten passwd-Datei:​ +
- +
-<​code>​ +
-... +
-stefan:​x:​10000:​100:​Stefan Schäfer,​umask=002:/​local/​home/​stefan:/​bin/​bash +
-... +
-</​code>​ +
- +
-Da invis Server eine LDAP-basierte zentrale Benutzerverwaltung anbieten, **muss** die gezeigte Anpassung selbstverständlich im LDAP-Verzeichniseintrag der einzelnen Benutzer vorgenommen werden. +
- +
-Melden Sie sich dazu über den Link "​Verzeichnisdienst"​ auf der Administrationsseite des Portals am LDAP-Verzeichnis an und ändern Sie das Feld "​gecos"​ betroffenen Benutzereinträge wie folgt ab: +
- +
-DN: uid=**username**,​ou=Users,​ou=Benutzerverwaltung,​dc=**invis-net**,​dc=loc +
- +
-Von: "​System User" zu "​System User,​umask=002"​ +
- +
-Ab invis Version 6.7-R3 entspricht dies der Vorgabe, wenn Benutzer über das invis-Portal angelegt werden. Die Vorgabe kann in der Datei "/​srv/​www/​htdocs/​portal/​config.php"​ an die eigenen Wünsche angepasst werden.+
  
 ===== Speicherüberlauf Cyrus Index-DB ===== ===== Speicherüberlauf Cyrus Index-DB =====
Zeile 247: Zeile 130:
  
 Danach kann man sich wieder als Benutzer "​config"​ mit dem Passwort "​config"​ anmelden. Danach kann man sich wieder als Benutzer "​config"​ mit dem Passwort "​config"​ anmelden.
- 
- 
-===== Nein Danke Zensursula ===== 
-**Achtung, der folgende Text ist nicht ganz neutral. Er enthält persönliche Meinugsäußerungen. Ich bitte dies zu entschuldigen.** 
- 
-Ab Oktober 2009 soll das Web-Sperren-Gesetz gegen die Verbreitung von Kinderpornographie in Kraft treten. Da dieses Gesetzt, trotz des sicherlich aufrichtigen Ansatzes, am Thema vorbei geht und allenfalls eine Zensurinfrastruktur im Internet etabliert, zeigen wir hier eine Möglichkeit auf, es zu umgehen. Möglicherweise hilft das ja dabei die Wirkungslosigkeit dieses Gesetzes zu verdeutlichen. 
- 
-Wer einen invis-Server im eigenen Netz betreibt und sich (zumindest vorerst) sicher sein möchte, dass seine Nameserverabfragen nicht von "​manipulierten"​ Nameservern beantwortet werden, kann dies durch Ändern der "​forwarders"​ in der bind-Konfiguration umgehen. 
- 
-Ändern Sie einfach in der Datei "/​etc/​named.conf"​ die Einträge hinter "​forwarders":​ 
- 
-<​code> ​       # The forwarders record contains a list of servers to which queries 
-        # should be forwarded. ​ Enable this line and modify the IP address to 
-        # your provider'​s name server. ​ Up to three servers may be listed. 
-        # Die folgende Zeile ist um die IP-Adresse des fuer Sie zustaendigen DNS 
-        # zu erweitern. 
- 
-        forwarders { 194.25.2.129;​ 192.168.178.1;​ }; 
- 
-        # Enable the next entry to prefer usage of the name server declared in 
-        # the forwarders section. 
- 
-        forward first; 
-</​code>​ 
- 
-Tragen Sie statt des T-Online Nameservers und etwa dem einer Fritzbox (wie hier gezeigt) bis zu drei Nameserver aus der unter [[http://​www.ungefiltert-surfen.de]] zu findenden Liste ein und starten Sie **//​bind//​** mit: 
- 
-<​code>​ 
-Kommandozeile:​ /​etc/​init.d/​named restart 
-</​code>​ 
- 
-neu.  
- 
  
 ===== Faxgate-Client unter Linux nutzen ===== ===== Faxgate-Client unter Linux nutzen =====
  • tipps_und_tricks.1544879894.txt.gz
  • Zuletzt geändert: 2018/12/15 13:18
  • von flacco