Ein paar Fragen zu Froxlor

[monumentum 49]

Hallo,

 

Ich will bald einen Server f?r Mail und Web aufsetzen, und ein Interface wie Froxlor macht es da f?r den DAU einfacher. Ich als Admin bevorzuge aber immer noch die Shell. Es geht eben gerade darum, ein paar nicht so versierten Freunden M?glichkeiten zu geben.

 

Ich nummeriere mal ganz frei:

 

1. Wie sieht das mit BIND aus? Wenn ich eine Zone um eigene Records erg?nzen will, ?berschreibt es die immer wieder. Gibts da einen Weg, um Froxlor managen zu lassen (ist einfacher, wenn eine neue Subdomain nicht immer von Hand rein muss) UND eigene SRVs und TXTs zu nutzen?

 

2. Ich m?chte alles per SSL nutzen, bis auf FTP, da geht das ja nicht wirklich so toll. Ich kann doch mit einem StartSSL Free-Cert Apache und PostFix/Dovecot absichern?

 

3. Sollte ich lieber FCGID oder PHP-FPM nutzen?

 

4. Wenn eine Webanwendung bei Nutzer "max" kompromittiert wurde, wie kann ich dann weitesgehend einen ?bergriff auf die Accountinhalte von "hans" oder gar Systemdaten (z.B. Froxlor-DB, /etc/passwd...) verhindern?

 

5. Kann ich die Standard php.ini bearbeiten, die genommen wird, wenn dem Nutzer keine eigene php.ini zugwiesen wurde? Wenn ja, die ganz normale /etc/php5/apache/php.ini?

 

6. Macht es Probleme, Fail2Ban f?r ProFTd und Postfix/dovecot/HTTP-Auth zu nutzen?

 

7. Gibt es einen "Auto-Updater" f?r das Webinterface? Wenn ich per apt-get froxlor installiere, bekomme ich haufenweise Pakete wie apache2, aber das WI muss ich trotzdem herunterladen...

 

Ich finde trotzdem Froxlor eine tolle Sache, m?chte es halt blo? sicher nutzen.

 

Vielen Dank f?r die Beantwortung meiner vielen Fragen

monumentum

[d00p 140]

1. Wie sieht das mit BIND aus? Wenn ich eine Zone um eigene Records erg?nzen will, ?berschreibt es die immer wieder. Gibts da einen Weg, um Froxlor managen zu lassen (ist einfacher, wenn eine neue Subdomain nicht immer von Hand rein muss) UND eigene SRVs und TXTs zu nutzen?

z.Z. sind nur die standard-eintr?ge m?glich. Umfangreiche DNS-Verwaltung ist erst f?r die Zukunft geplant, durch den Einsatz von z.B. PowerDNS o.?.

2. Ich m?chte alles per SSL nutzen, bis auf FTP, da geht das ja nicht wirklich so toll. Ich kann doch mit einem StartSSL Free-Cert Apache und PostFix/Dovecot absichern?

ansich ja

 

3. Sollte ich lieber FCGID oder PHP-FPM nutzen?

Was dir besser gef?llt - z.Z. hast du bei php-fpm allerdings noch keine m?glichkeit Domain-Spezifische php.ini's zu definieren. bei FCGID schon. F?r php-fpm steht das auf der TODO

4. Wenn eine Webanwendung bei Nutzer "max" kompromittiert wurde, wie kann ich dann weitesgehend einen ?bergriff auf die Accountinhalte von "hans" oder gar Systemdaten (z.B. Froxlor-DB, /etc/passwd...) verhindern?

Da kann dir Froxlor nicht helfen - das solltest du dann schon selber wissen. Services aus - Fehlerquelle finden - bereinigen. Im Falle, dass es durch eine L?cke in Froxlor dazu kam: mail an team@froxlor.org

5. Kann ich die Standard php.ini bearbeiten, die genommen wird, wenn dem Nutzer keine eigene php.ini zugwiesen wurde? Wenn ja, die ganz normale /etc/php5/apache/php.ini?

Wenn du FCGID nutzt kannst du auch die Default-Config nat?rlich nach belieben anpassen. Ansonsten h?lt dich Froxlor nicht davon ab die php.ini's in /etc/ anzupassen. Diese werden von Froxlor nicht ver?ndert.

6. Macht es Probleme, Fail2Ban f?r ProFTd und Postfix/dovecot/HTTP-Auth zu nutzen?

Mir sind keine bekannt

 

7. Gibt es einen "Auto-Updater" f?r das Webinterface? Wenn ich per apt-get froxlor installiere, bekomme ich haufenweise Pakete wie apache2, aber das WI muss ich trotzdem herunterladen...

Wenn du via debian paket installierst, bzw aktualisierst und du die geforderten Pakete schon installiert hast, installiert er die nicht noch einmal, es sei denn, auch von diesen gibt es neue Versionen. Du kannst also ein normales update mit apt-get install froxlor machen

[monumentum 49]

Hallo d00p,

 

Danke f?r die Antwort. Das klingt ja schonmal gut, ABER: Ich verstehe das Konzept mit FCGID und suexec nicht ganz. Wie l?uft das, wenn Nutzer max und heinz Froxlor mit dieser Software nutzen? Was macht vor allen Dingen suhosin? Meines Wissens soll suexec ja da diverses blocken, nur wie und was genau?

 

Viele Gr??e

monumentum

[d00p 140]

es geht nich darum, wie das l?uft wenn max und heinz Froxlor damit nutzen, sondern es geht schlichtweg darum, dass die php-prozesse auf dem server unter dem entsprechendem kunden-user ausgef?hrt wird und daher weitaus weniger berechtigungen hat als z.B. www-data. suhosin ist glaube ich schon sowas von veraltet...das hab ich seit Jahre nicht mehr gesehen.

SuExec sorgt nur daf?r, dass du in einem bestimmten Verzeichnis bleibst, z.B. unterhalb von /var/www - so dass Zugriffe auf z.B. /etc/passwd nicht m?glich sind

[Gunny 2]

F?r die Verzeichniseinsperrung greift viel eher das OpenBaseDir welches man in PHP definieren kann, was bei suexec in der Regel das DocRoot des Users (nicht unbedingt das DocRoot der Domains) ist.

 

@monumentum Suhosin wird beim Hersteller recht gut erkl?rt  http://www.hardened-php.net/suhosin/

[monumentum 49]

Hallo,

 

suhosin h?ngt in den Paketen noch mit drin. Wer ist denn dann der Kundenuser? Wenn man der Anleitung um Wiki folgt, wird ja nur der Nutzer froxlorlocal angelegt. Ich habe gerade diese Anleitung durch das Mobilger?t nicht zur Hand, aber ist das dann der User oder in Anderer?

 

Viele Gr??e

monumentum

[madmuffin 47]

Hallo monomentum,

 

willkommen in der Froxlor Welt!

 

mit suexec wird quasi f?r jeden Kunden ein eigener User angelegt. Der froxlorlocal-User hat die entsprechenden Rechte, um das Panel auszuf?hren.

Die Scripte von max werden dann von einem User max ausgef?hrt, die Scripte von peter von einem User peter. Damit k?nnen die zwei sich kaum mehr in die Quere kommen.

 

Am besten liest du dir ein paar Grundlagen an, z.B. http://uberspace.de/dokuwiki/webserver:suexec scheint mir ganz hilfreich f?r den Anfang.

[monumentum 49]

Hallo,

 

Was suexec macht war mir von uberspace her bekannt, bin selber Ubernaut . Nur halt die Frage, ist der User SSH-Tauglich? Oder kann man immer z.B. /bin/false als Shell setzen lassen?

[d00p 140]

man kann manuell in der Datenbank eine Shell setzen, mehr aber auch nicht, denn daf?r ist Froxlor ansich nicht gedacht und wir raten auch von der Vergabe von Shell-Zug?ngen ab. Wenn du das nur f?r deine Freunde und dich nutzt und da alles O.K. ist, bzw. du weisst was du tust, es ist dein Server Wir halten dich von nix ab.

[monumentum 49]

Es geht mi gerade drum, die Shell zu verbieten

[d00p 140]

Default haben die Kunden nat?rlich keinen Shell-Zugriff.

[hasekin 1]

Hi,

mal eine Frage dazu. Da ich aktuell einen neuen Server aufsetzen muss wollte ich nachfragen ob ich die bisherige Froxlor-Version verwenden soll oder noch warten sollte bis die neue Version

erscheint? Vielleicht k?nnte mir jemand einen Tip geben. M?chte nicht unbedingt gleich wieder ein Update machen...

 

vG

Andy

[d00p 140]

warte auf die 0.9.28-rc1 - dann ist die Datenbank von vorne herein UTF-8 und muss nich umkonvertiert werden (w?rde Froxlor zwar selbst?ndig machen, aber ein sauberer anfang ist immer was sch?nes)

 

edit: wenn dir ein RC zu "heikel" ist - musst du ggfls noch ein paar Tage l?nger warten

[hasekin 1]

Hi,

danke f?r die schnelle Antwort. Sehe ich auch so. Ein sauberen Anfang wollte ich schon! Dann lieber etwas warten wenn man zeit hat :-)

 

Wie kann ich ein RC am besten installieren?

[d00p 140]

Genauso wie jede andere Version auch, allerdings ist die 0.9.28-rc1 noch nicht ver?ffentlicht...dauert noch 1-2-3 tage

[hasekin 1]

Ok,

werde mich also gedulden m?ssen....

 

vG

Andy

[monumentum 49]

Ich halte es f?r sinnvoller die Stables zu nutzen.

[d00p 140]

Ich halte es f?r sinnvoller die Stables zu nutzen.

 

so ein riesen unterschied von der RC zur stable ist es dann auch wieder nicht. Au?erdem kann er doch problemlos updaten von rc zu stable

[DBA 0]

Nabend,

 

wollte grad mal Debian wheezy testen (RC1) und Froxlor per APT installieren ... irgendwie fehlen die Packete ... gibts mit der neuen Version auch welche f?r wheezy?

 

LG DBA

 

PS: Super das es weiter geht!

[d00p 140]

Hallo DBA,

 

zun?chst mal - willkommen hier im Forum.

 

Debian Wheezy wird unterst?tzt sobald es "stable" ist. F?r die kommende 0.9.28 wird es also leider nicht mehr mit dabei sein.

 

d00p

[madmuffin 47]

Hallo DBA und willkommen im Froxlor Forum.
 

wollte grad mal Debian wheezy testen (RC1) und Froxlor per APT installieren ... irgendwie fehlen die Packete ... gibts mit der neuen Version auch welche f?r wheezy?

du kannst probieren einfach die Quellen f?r squeeze einzutragen. Das hat beim Umstieg von Lenny auf Squeeze auf jeden Fall funktioniert.
W?re an dem Ergebnis auf jeden Fall interessiert!
 
LG
madmuffin

[Dargoth 0]

Hallo DBA und willkommen im Froxlor Forum.

 

 

du kannst probieren einfach die Quellen f?r squeeze einzutragen. Das hat beim Umstieg von Lenny auf Squeeze auf jeden Fall funktioniert.

W?re an dem Ergebnis auf jeden Fall interessiert!

 

LG

madmuffin

 

Die Squeeze Configs passen im gro?en ganzen, wenn mich nicht alles t?uscht, das einzige was auf jeden Fall nicht hinhaut ist postfix/dovecot da in wheezy dovecot2 (dovecot-common_2.1.7-7) beinhaltet ist.

 

Gru?

Dargoth

[monumentum 49]

Mein Froxlor spinnt etwas, zumindest Postfix und Dovecot. Sollte ich nur die beiden neu konfigurieren oder lieber das ganze Froxlor? Als MySQL-Host lieber 127.0.0.1 oder localhost f?r die Mailserverconfigs?

[d00p 140]

Mein Froxlor spinnt etwas, zumindest Postfix und Dovecot.

Bitte ordentliche Fehlerbeschreibungen / Fehlermeldungen. Mit "mein Froxlor spinnt" kann niemand etwas anfangen, geschweige denn helfen.