Technik

Gestern Abend ging kurzzeitig gar nichts mehr bei mir.
Passenderweise war ich gerade zufällig auf dem Router am arbeiten und sah das Debakel im Syslog - scheint als passiert mir solch ein Zufall öfter: Praktisch!

Ich bin dann sofort in meinen kleinen Serverraum gestürmt und sah das Unglück: Das DSL-Modem zeigt ein kleines rotes Lämpchen. Böse, sehr böse - immerhin hab ich all meine Rechnungen bezahlt und die Telekom sollte gar keinen Grund haben mich anzurufen.

Naja... Erfahrungsgemäß hab ich das DSL-Modem mal für 5 Minuten abgeschaltet und sich ausruhen lassen. Danach ging es eigentlich wieder Flux weiter - sogar offene Verbindungen bestanden noch!

Danke TCP, danke statische IP!

Immerhin hab ich in meiner Panik nicht gleich die Polizei gerufen - obwohl mir danach war, und wenn das nicht, dann mindestens den Nachbar meines Papas.

Ich hab ja Verständnis dafür, dass nicht jeder den iPod mag - auch ich hab längste Zeit zu seinen Gegnern gezählt. Aber nach einer Woche im Besitz eines iPod nanos muss ich sagen:

Riesengroßes Lob an Apple!

Nicht, weil der iPod so gut MP3s abspielen würde - ehrlich gesagt, das hat er bei mir maximal 5 Minuten lang getan. Sondern weil der sooo unverwüstlich ist.

Ich habe bestimmt schon auf 5-10 Weisen die Firmware von dem kleinen Gerätchen geschrottet, sogar so sehr, dass das Gerät kaputt zu sein schien oder nur noch ein Fall für den technischen Support, der den dann aufmacht und mit nem seriellen Kabel dran geht, wäre. Aber nein!

Es gibt auch ohne Firmware immer ein paar Tricks, die man anwenden kann um das Gerät halbwegs zum arbeiten zu bekommen.

Ehrlich? Das schaft auf keinen Fall ein Windows, aber ein Linux auch nicht...

Heute war es endlich soweit: Ich habe offiziellen SSL-Support für mein Webhosting.

Ich hatte mir schon mitte letzten Monats ein "offizielles" Zertifikat gekauft und von Hand in meinen Server eingepflegt, doch war dies sicherlich keine Lösung, die sich auf Dauer halten lässt - zumal dies eine ziemlich unsaubere Umsetzung war.

Heute habe ich mein Hosting-Framework um die fehlende SSL-Funktionalität erweitert, was heißt, dass auch dies nun vollkommen automatisch funktioniert - auf allen Servern

Sogar die SSL-Zertifikate werden bei bedarf auf den entsprechenden Server repliziert. Praktisch!

Ich war ganz Stolz darauf mich endlich um mein Spamassassin-Setup zu kümmern.

Aber wenn ich so ins Maillog blicke, dann scheint mir das relativ umsonst gewesen zu sein.
Neben meinen Update-Bemühungen hatte ich auch an meinem Mailserver selbst herumgedoktert und unter anderem folgende Regeln für den SMTP-HELO eingefügt:

smtpd_helo_restrictions =
        [...]
#       reject_non_fqdn_hostname,
        reject_invalid_hostname,
        [...]

Das "reject_non_fqdn_hostname" musste ich leider bereits aufgrund einger Probleme bei wenigen Kunden rausnehmen, doch gegen Spam hat sich die Direktive "reject_invalid_hostname" als höchst Effektiv erwiesen.

Ich frag mich, wie lange es wohl dauert, bis Spamer mal gelernt haben Standardkonforme-Mailprgramme zu schreiben...

Heute ist wahrlich alles alt bei mir und wird neu gemacht. Ein Freund und Kunde wies mich eben darauf hin, dass er sich per SSH auf einem Server einloggen kann, auf dem er gar nicht gehostet ist und sein Home-Verzeichnis "/" sei - verständlich, wenn sein eigentliches Verzeichnis gar nicht existiert.

Ein Sicherheitsrisiko entsteht dadurch nicht, glaube ich zumindest

Tatsache ist, dass ich (wohl wissentlich) auf dieser Maschine noch einen herkömmlichen SSH-Server laufen hatte, wohingegen auf allen anderen Servern eine etwas modifizierte Version läuft. Da der Server ohnehin nicht für Kunden mit SSH-Option vorgesehen war, war es eigentlich überflüssig. Ich hab dennoch noch einmal in meinen SSH-Server-Code geguckt und ihn dann auch auf diesem System installiert.

Bei dieser Gelegenheit ist mir gleich mal aufgefallen, dass es schon lange kein OpenSSH-Update mehr gab... Erstaunlich. Kann ich mich jetzt zu 90% sicher fühlen? :hmm: (Wohl kaum)

Schon seit einiger Zeit habe ich mich gewundert, warum einige Prozesse, wie zum Beispiel das Verbinden via SSH zu anderen Maschinen von meinem Verwaltungsserver aus, besonders lange dauert.

Als ich gerade im Zuge meines Mailserver-Updates das Perl-Package Mail::SPF::Query upgedatet habe, hat der Test doch geschlagene 30 Minuten gedauert - Viel zu lang! Da SPF primär auf DNS basiert, habe ich mal in der Nameserver-Konfiguration nachgeschaut und doch tatsächlich eine Karteileiche gefunden.

Spasseshalber hab ich den Test nochmal gemacht und er war in weniger als 60 Sekunden fertig... :hmm:

Ich gebe es zu: Das Spam-Problem war eines, was ich schon lange nicht mehr angegangen bin. Mein ganzes Mail-Server-Setup war bis dato ein wenig lasch und Massen von Spam sind durchgekommen...

Man mag meinen, dies sei akzeptabel, da es genug andere Hoster gibt, die für Spam-Filter Geld nehmen - aber ich halte so etwas nicht für gerechtfertigt und denke es ist eine Sache guten Services es auch so anzubieten.

Drum gilt meine heutige freie Zeit ganz und gar meinem Mailserver.

Momentan bin ich dabei die "ganz normalen" Regeln ein wenig zu straffen und strenger zu gestalten - für den normalen Versand einer Mail sollte das aber natürlich nicht hinderlich sein. Weiterhin werde ich noch ein SPF-Schutz für eingehende Mails einbauen. Jeder meiner gehosteten Domains verfügt bereits seit langem über SPF-Datensätze, aber mein Mailserver hat sie noch nie verstanden.

Nachdem das alles geschafft ist, werde ich SpamAssassin ein Update verpassen. Bleibt nur noch die Frage, wie ich mit als Spam identifizierten Mails umgehen soll...? Nach /dev/null verschieben, nur als Spam markieren und dennoch zustellen oder gar in eine separate Mailbox des Kunden legen?

Ich finde es sehr heikel, wenn es darum geht an Mails meiner Kunden herumzuspielen. Es besteht immer die Gefahr der "false positives" und nachher gehen noch wichtige Daten verloren... Spätestens heute Abend aber, werde ich wohl hierauf eine Antwort haben.

All meine Serverdaten kommen aus einer Datenbank, die zentral verwaltet werden kann und sich selbst auf alle Maschinen repliziert.

Die beste Datenbank nützt allerdings gar nichts, wenn es nicht ein paar Programme gibt, die mit diesen Datenbeständen arbeiten bzw. sie umsetzen. Eben diese kleinen Progrämmchen - auf die ich z.T. sehr Stolz bin - habe ich bisher immer auf den Servern selbst entwickelt. Eigentlich hatte ich mal den Plan sie zentral auf meinem "Hauptserver" zu entwickeln, aber irgendwie habe ich das nicht durchgehalten.

Heute abend bin ich dann ein wenig brutal geworden - habe einfach mal ein zentrales Verzeichnis angelegt, dass sich regelmäßig (bei ungleichheiten) auf die Server repliziert. Und änder ich doch mal was auf dem Server - lasse ich in Zukunft die Keule auspacken und der Server setzt es auf die zentrale Version zurück Na, ob ich das durchhalte? Ich hoffe doch!

Ich hab den einen oder anderen Kunden, der gerne zu Hause einen eigenen DNS-Server betreiben will - natürlich mit "richtigen" Domains.

Ein Problem gibt es dann spätestens, wenn es um .de-Domains geht, denn die DeNIC verlangt mindestens zwei redundant angebundene Nameserver - einer zu viel für so manchen Kunden. Drum werde ich heute ein wenig C programmieren um meinen DNS-Server Slave-tauglich zu machen, d.h. DNS-Datensätze von anderen DNS-Servern via AXFR zu importieren.

Eigentlich nix neues - nur, dass in meiner DNS-Datenbank noch recht viele Benutzer-Informationen gespeichert werden, die natürlich nicht via AXFR rein kommen. :hmm:

Wohnzimmerhoster wie ich sind nicht wirklich erwachsen. Nein, im Gegenteil: Wir sind richtige Kinder und brauchen ständig Spielzeug.

Heute hab ich mein neustes bekommen: Ein iPod nano - ganz für mich allein!

Werd mal schauen, wie ich den gescheit mit Linux verwalten kann - oder ob ich gleich (was ja angeblich funtionieren soll) ein Linux darauf installiere

Heute morgen hatte ich (wie immer) Post in meiner Box.

Diesmal aber nicht das übliche blabla, sondern Post von der Postfix-Mailinglist: Postfix 2.2.8 ist raus!
Da Postfix meine beiden Mailserver antreibt, ist der Gedanke wohl nicht fern, einfach mal upzugraden.

Auf der anderen Seite heißt es, man soll kein laufendes System anfassen und das sind ja meine Mailserver: Vor einiger Zeit hatte sie hier und dort mal eine Fehlfunktion, das ist aber auch schon lange Vergangenheit und sie tuen heute sehr zuverlässig ihre Arbeit.

Ich werd jetzt in die Stadt gehen und auf dem Weg dorthin gründlich darüber nachdenken... Das ist schließlich immer soooo viel Arbeit mit dem compilieren, installieren und testen... *ächtz*

Ich habe mir zu Weihnachten ein neues Telefon schenken lassen. Aber es sollte schon eines dieser Modell ohne RJ11-Stecker aber mit RJ45-Stecker - ist es zu meiner Freude auch geworden

Heute war der große Tag: Das erste mal IP-Telefonie gemacht

Ich muss schon sagen - ist ne tolle Sache. Wahrscheinlich werde ich mich - wenn es die Zeit zulässt - ein wenig in SIP einarbeiten und vielleicht eine gelungenere Implementation hier in meinem Wohnzimmer schaffen.

Über mein Telefon, das Grandstream GXP2000, lässt sich bisher nur sagen, das der Funktionsumfang gering aber für kleinere Anforderungen ausreichend ist. Das Bedienfeld ist übersichtlich und selbst wenn ich dicke Patsche-Fingerchen hätte, wäre es leicht zu bedienen.

Ich hoffe und erwarte, dass sich der Funktionsumfang mit einem der nächsten Firmware-Updates erweitern wird.

Besonders toll finde ich als Hoster die Möglichkeit Telefonkonfiguration sowie Klingeltöne zentral auf einem HTTP- oder TFTP-Server ablegen zu können. Auch der eingebaute DHCP- und NTP-Client ist sehr nützlich.

Der Manuel hat vor kurzem festgestellt, wie sehr etwas, das gar nicht (mehr) vorhanden ist, doch weh tun kann. Heute durfte ich (mal wieder) eine ähnliche Erfahrung machen.

Ich habe heute die Chance bekommen gleich mehrmals mein neues SQL-Template testen zu dürfen - abgesehen von einem vergessenen Komma schien es perfekt zu funktionieren und die Zeitersparnis hat sich gleich ausgezahlt.

Nun ist es so, dass die DeNIC bei Konnektierung einer neuen Domain oder Änderung ihrer Daten die Nameserver auf korrekte Angaben hin überprüft - schlägt dies fehl, wird auch an der Domain nichts geändert.
Früher hab ich mich geärgert wenn sowas passierte, heute war ich recht dankbar eine Mail von der DeNIC in meiner Box zu haben. Nach einigen kurzen Nachforschungen war ganz schnell klar: Ein böser kleiner Punkt wars!

Ein Punkt, der einfach nicht da war. Was zur Folge hatte, dass meine Nameserver die Änderungen selbst nicht publiziert haben...

Bei allen Betroffenen - einige lesen hier mit - möchte ich mich für die ca. 2 Stunden Verzögerung entschuldigen!

Ich hab schon mal erwähnt, dass ich für ein neuen Kunden eigentlich nur an meine Datenbank ran muss - der Rest geschieht vollkommen automatisch.

Was ich bisher nicht geschafft hatte, war ein entsprechendes SQL-Template dafür aufzusetzen, welches mir auch diesen Schritt erleichtert - bis gerade eben. Ich hab die ersten 20 Minuten meines Arbeitstages einfach mal dazu genutzt ein wenig SQL zu schreiben, sodass ein neues Kunde samt DNS-, Mail- und Webserver nun nur noch einem SELECT-Statement bedarf. Ich bin gespannt, ob das funktioniert!

Ich würde ja gerne einen Auszug hier posten, nur scheint mir das dann doch ein wenig zu "intim" zu sein :hmm:

Ich nehm mein Laptop nicht mit zur Arbeit im BHZ... Würde glaube ich nicht gut ankommen, wenn ich es täte. Da ich aber damit gerechnet habe, dass ich heute morgen ein paar Daten von der Platte brauche, habe ich ihn heute morgen vor dem Verlassen der Wohnung des Kundencenters einfach mal angeschaltet.

Zu dumm, dass ich gestern Nacht das Netzteil aus der Steckdose gezogen habe und heute morgen nicht daran gedacht habe. Jetzt, wo ich die Dateien brauche, ist er natürlich aus... :hmm:

Meine Rettung: Die Mailbox! Die liegt nämlich nicht auf dem Laptop, sondern ist via IMAP stehts auf einem anderen Server erreichbar - ein Glück, dass ich die Daten via Mail bekommen habe...

Nachtrag:

Die Dateien habe ich mittlerweile aus meiner Mailbox bekommen - nur enthalten sie leider gar nicht das, was ich mir erhofft hatte. Ich kann die gar nicht brauchen...