Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
|
tipps_und_tricks [2018/12/15 13:19] flacco [Linux-Clients und NFS-Fileserver] |
tipps_und_tricks [2018/12/15 14:05] (aktuell) flacco [Nein Danke Zensursula] |
||
|---|---|---|---|
| Zeile 38: | Zeile 38: | ||
| Verlassen wird es einfach mit //**exit**// | Verlassen wird es einfach mit //**exit**// | ||
| + | ===== Nein Danke Zensursula ===== | ||
| + | //**Hinweis:** Der folgende Text ist nicht ganz neutral geschrieben. Er enthält persönliche Meinungsäußerungen. Ich bitte dies zu entschuldigen.// | ||
| + | 2010 trat das Web-Sperren-Gesetz gegen die Verbreitung von Kinderpornographie in Kraft. Dieses Gesetz ging, trotz des sicherlich aufrichtigen Ansatzes, am Thema vorbei und ermöglichte es allenfalls eine Zensurinfrastruktur nebst dazu passenden Überwachungsmöglichkeiten im Internet zu etablieren. Auch wenn das Gesetzt bereits ein Jahr später wieder aufgehoben wurde, zeigen wir hier eine Möglichkeit auf, es zu umgehen. Dass solch simple Wege die Umgehung DNS-basierter Web-Sperren ermöglichen, zeigt eigentlich auch die Sinnlosigkeit solcher Techniken. | ||
| + | Auch wenn es nicht um die Umgehung von Websperren geht, ist es eine kluge Entscheidung vertrauenswürdige DNS-Server zu nützen. Ein frei zugänglicher DNS-Server wie etwa der von Google angebotene "8.8.8.8" ist sicherlich auch nicht der Weisheit letzter Schluss. Hier bietet ein Mega-Konzern, dessen Kerngeschäft die gewinnbringende Nutzung von Informationen ist, einen kostenfreien Dienst an. Dass dies nicht einfach dem Wohle der Menschheit dient liegt nahe. Schließlich lassen sich mit der Auswertung von DNS-Daten Unmengen spannende Daten der Nutzer gewinnen. | ||
| + | Wer einen invis-Server im eigenen Netz betreibt und sich (zumindest vorerst) sicher sein möchte, dass seine Nameserver-Abfragen nicht von "manipulierten" oder "schnüffelnden" Nameservern beantwortet werden, kann dies (wenn nicht bereits im Verlauf der Server-Installation geschehen) durch Ändern der "forwarders" in der Konfiguration des lokalen Nameservers "bind" umgehen. | ||
| - | + | Ändern Sie einfach in der Datei "/etc/named.conf" die Einträge hinter "forwarders": | |
| - | ===== Zarafa License-Daemon im Eigenbau ===== | + | |
| - | + | ||
| - | Offiziell wird openSUSE als Basis einer Zarafa-Version nicht unterstützt, was unter anderem dazu führt, dass weder Zarafa-Backup noch der License-Daemon dafür zur Verfügung stehen. Beide Tools enthalten Closed-Source-Komponenten und sind damit nicht Bestandteil der Open-Source-Pakete die wir in unserem Build-Service-Repository vorhalten. | + | |
| - | + | ||
| - | Sie sind aber Bestandteil der Free-Edition und können somit kostenlos genutzt werden, allerdings nur auf unterstützten Plattformen, wie etwa Ubuntu LTS. | + | |
| - | + | ||
| - | Problematisch ist grundsätzlich, dass Zarafa seine eigene Software meist statisch gegen vorhandene System-Libraries linkt. Da sich diese von Distribution zu Distribution in Ihren Versionen unterscheiden, ist es nicht möglich SLES oder RedHat-Pakete einfach unter openSUSE zu nutzen. | + | |
| - | + | ||
| - | Möglich ist aber den License-Daemon in einer Art Sandbox laufen zu lassen, in der er alle Libraries hat, die er benötigt. Die folgende Beschreibung erläutert den Aufbau der Sandbox auf einem Ubuntu-LTS System | + | |
| - | + | ||
| - | ==== VM einrichten ==== | + | |
| - | Zunächst muss dafür ein Ubuntu-LTS System installiert werden, hier empfiehlt sich die Arbeit mit Virtualbox. Entgegen der Angaben im Zarafa-Wiki spielt die Architektur der Sandbox sehr wohl eine Rolle. Da wir unsere invis-Server immer als 64Bit Systeme installieren, nutzen wir entsprechend auch ein 64Bit Ubuntu als Basis. | + | |
| - | + | ||
| - | Zusätzlich zur einfachen Standard-Installation wird das Software-Paket **mklibs** benötigt: | + | |
| <code> | <code> | ||
| - | heinz@ubuntu:~$ sudo apt-get install mklibs | + | # The forwarders record contains a list of servers to which queries |
| - | </code> | + | # should be forwarded. Enable this line and modify the IP address to |
| + | # your provider's name server. Up to three servers may be listed. | ||
| + | # Die folgende Zeile ist um die IP-Adresse des fuer Sie zustaendigen DNS | ||
| + | # zu erweitern. | ||
| - | Wenn Sie Ihre Sandbox unter SLES bauen möchten, werden Sie feststellen, dass es für SUSE-Linuxe das Paket **mklibs** nicht gibt. Abhilfe schaft ein gleichnamiges Shellscript: [[https://github.com/blunderer/mklibs]] | + | forwarders { 194.25.2.129; 192.168.178.1; }; |
| - | ==== Zarafa-Pakete herunterladen und entpacken ==== | + | |
| - | Benötigt wird die zur installierten VM passende Zarafa Free-Edition, zu finden auf dem Zarafa-Download-Server: http://download.zarafa.com/community | + | # Enable the next entry to prefer usage of the name server declared in |
| + | # the forwarders section. | ||
| - | <code> | + | forward first; |
| - | heinz@ubuntu:~$ wget http://download.zarafa.com/community/final/7.0/7.0.8-35178/zcp-7.0.8-35178-ubuntu-10.04-x86_64-free.tar.gz | + | |
| - | .... | + | |
| - | heinz@ubuntu:~$ tar -xzvf zcp-7.0.8-35178-ubuntu-10.04-x86_64-free.tar.gz | + | |
| </code> | </code> | ||
| - | ==== Zarafa-Pakete installieren ==== | + | Tragen Sie statt des T-Online Nameservers und etwa dem einer Fritzbox (wie hier gezeigt) frei nutzbare **vertrauenswürdige** DNS-Server als Forwarder ein. Zu empfehlen sind hier die DNS-Server von Cloudflare (1.1.1.1) und Quad9 (9.9.9.9). Alternativ können Sie auch Nameserver aus der unter [[http://www.ungefiltert-surfen.de]] zu findenden Liste verwenden. Starten Sie anschließend **//bind//** mit: |
| - | + | ||
| - | In diesem Schritt müssen vorbereitend einige Zarafa-Pakete installiert werden. Benötigt werden: | + | |
| - | + | ||
| - | * zarafa-licensed | + | |
| - | * zarafa-common | + | |
| - | * zarafa-client | + | |
| - | * zarafa-server | + | |
| <code> | <code> | ||
| - | heinz@ubuntu:~$ cd zcp-7.0.8-35178-ubuntu-10.04-x86_64/ | + | invis:~ # systemctl restart named.service |
| - | heinz@ubuntu:~/zcp-7.0.8-35178-ubuntu-10.04-x86_64$ sudo dpkg -i zarafa-licensed_7.0.8-35178_amd64.deb zarafa-common_7.0.8-35178_amd64.deb zarafa-client_7.0.8-35178_amd64.deb zarafa-server_7.0.8-35178_amd64.deb | + | |
| </code> | </code> | ||
| - | Es ist nicht notwendig vorherige Versionen zu deinstallieren, das erledigt //**dpkg**// automatisch. | + | neu. |
| - | + | ||
| - | ==== Sandbox aufbauen ==== | + | |
| - | + | ||
| - | Vor dem Bau einer neuen Sandbox sollte die Ubuntu (oder was auch immer) Version aktualisiert werden: | + | |
| - | + | ||
| - | <code> | + | |
| - | heinz@ubuntu:~$ sudo apt-get update | + | |
| - | heinz@ubuntu:~$ sudo apt-get upgrade | + | |
| - | </code> | + | |
| - | + | ||
| - | Jetzt muss eine entsprechende Verzeichnisstruktur erzeugt werden. Eingerichtet wird diese (weitgehend FHS-konform) unter "/opt": | + | |
| - | + | ||
| - | <code> | + | |
| - | heinz@ubuntu:~$ sudo mkdir -p /opt/zarafa-licensed-7.0.8/lib | + | |
| - | heinz@ubuntu:~$ sudo mkdir -p /opt/zarafa-licensed-7.0.8/bin | + | |
| - | </code> | + | |
| - | + | ||
| - | Anschließend werden die benötigten Zarafa-Komponenten in diese Verzeichnisse kopiert: | + | |
| - | + | ||
| - | <code> | + | |
| - | heinz@ubuntu:~$ sudo cp -p /usr/bin/zarafa-licensed /opt/zarafa-licensed-7.0.8/bin/ | + | |
| - | heinz@ubuntu:~$ sudo cp -p /usr/bin/zarafa-report /opt/zarafa-licensed-7.0.8/bin/ | + | |
| - | heinz@ubuntu:~$ sudo cp -p /usr/bin/zarafa-ssm /opt/zarafa-licensed-7.0.8/bin/ | + | |
| - | heinz@ubuntu:~$ sudo cp -p /usr/lib/libzarafaclient.so /opt/zarafa-licensed-7.0.8/lib | + | |
| - | </code> | + | |
| - | + | ||
| - | Abschließend müssen alle von "zarafa-licensed" benötigten System-Libraries in der Sandbox installiert werden: | + | |
| - | + | ||
| - | <code> | + | |
| - | heinz@ubuntu:~$ sudo mklibs-copy -d /opt/zarafa-licensed-7.0.8/lib/ /opt/zarafa-licensed-7.0.8/bin/* | + | |
| - | </code> | + | |
| - | ...oder unter SLES mit oben genanntem Script: | + | |
| - | + | ||
| - | <code> | + | |
| - | sles:~ # mklibs -L/usr/lib64 -L/lib64 -o/opt/zarafa-licensed/lib /opt/zarafa-licensed/bin/* | + | |
| - | </code> | + | |
| - | + | ||
| - | Ist dies abgeschlossen, kann die Verzeichnisstruktur in ein tar.gz-Archiv gepackt und auf den Zielserver verfrachtet werden. Empfehlenswert ist es natürlich sich für openSUSE ein init-Script zum Start des Dienstes zu erzeugen und auch die Konfigurationsdatei <file>/etc/zarafa/licensed.cfg</file> auf den Zielserver zu kopieren. | + | |
| - | + | ||
| - | Auf dem Zielserver muss noch das Verzeichnis <file>/etc/zarafa/license</file> angelegt werden. Hierin werden erworbene Lizenzschlüssel geschrieben. Ohne Lizenzschlüssel können mit laufendem License-Daemon aber immerhin 3 Outlook-Clients angebunden werden, was somit der Free-Edition entspricht. | + | |
| - | + | ||
| - | //**Hinweis:** Fertige Pakete (zld4invis) für den License-Daemon auf invis-Servern stehen unter **[[http://invis.invis-server.org/index.php?page=invis-7-2]]** zum Download bereit. Sie enthalten bereits alle notwendigen Komponenten inkl. init-Script.// | + | |
| ===== Speicherüberlauf Cyrus Index-DB ===== | ===== Speicherüberlauf Cyrus Index-DB ===== | ||
| Zeile 189: | Zeile 130: | ||
| Danach kann man sich wieder als Benutzer "config" mit dem Passwort "config" anmelden. | Danach kann man sich wieder als Benutzer "config" mit dem Passwort "config" anmelden. | ||
| - | |||
| - | |||
| - | ===== Nein Danke Zensursula ===== | ||
| - | **Achtung, der folgende Text ist nicht ganz neutral. Er enthält persönliche Meinugsäußerungen. Ich bitte dies zu entschuldigen.** | ||
| - | |||
| - | Ab Oktober 2009 soll das Web-Sperren-Gesetz gegen die Verbreitung von Kinderpornographie in Kraft treten. Da dieses Gesetzt, trotz des sicherlich aufrichtigen Ansatzes, am Thema vorbei geht und allenfalls eine Zensurinfrastruktur im Internet etabliert, zeigen wir hier eine Möglichkeit auf, es zu umgehen. Möglicherweise hilft das ja dabei die Wirkungslosigkeit dieses Gesetzes zu verdeutlichen. | ||
| - | |||
| - | Wer einen invis-Server im eigenen Netz betreibt und sich (zumindest vorerst) sicher sein möchte, dass seine Nameserverabfragen nicht von "manipulierten" Nameservern beantwortet werden, kann dies durch Ändern der "forwarders" in der bind-Konfiguration umgehen. | ||
| - | |||
| - | Ändern Sie einfach in der Datei "/etc/named.conf" die Einträge hinter "forwarders": | ||
| - | |||
| - | <code> # The forwarders record contains a list of servers to which queries | ||
| - | # should be forwarded. Enable this line and modify the IP address to | ||
| - | # your provider's name server. Up to three servers may be listed. | ||
| - | # Die folgende Zeile ist um die IP-Adresse des fuer Sie zustaendigen DNS | ||
| - | # zu erweitern. | ||
| - | |||
| - | forwarders { 194.25.2.129; 192.168.178.1; }; | ||
| - | |||
| - | # Enable the next entry to prefer usage of the name server declared in | ||
| - | # the forwarders section. | ||
| - | |||
| - | forward first; | ||
| - | </code> | ||
| - | |||
| - | Tragen Sie statt des T-Online Nameservers und etwa dem einer Fritzbox (wie hier gezeigt) bis zu drei Nameserver aus der unter [[http://www.ungefiltert-surfen.de]] zu findenden Liste ein und starten Sie **//bind//** mit: | ||
| - | |||
| - | <code> | ||
| - | Kommandozeile: /etc/init.d/named restart | ||
| - | </code> | ||
| - | |||
| - | neu. | ||
| - | |||
| ===== Faxgate-Client unter Linux nutzen ===== | ===== Faxgate-Client unter Linux nutzen ===== | ||