Ich möchte vorweg darauf hinweisen, das es bei mir bei dem Update heute nacht um 3 Uhr etwas turbulent zur Sache ging. Keine der Anleitungen die ich online gefunden hatte hatten ihr Froxlor Installationen nach dem Upgrade von SysCP überprüft. Keine dieser Anleitungen verlief Fehlerlos bzw. ohne Folgefehler durch Konfigurationsfehler. Der Server sollte natürlich bis morgens wieder für Hosting Kunden nutzbar funktionieren. Ich hoffe dieser Ärger bleibt euch mit diesem Tutorial erspart.

Vorwort

• Es wird eine funktionsfähige Hetzner SysCP Image Installtion benötigt (SysCP Root: /var/syscp/web/)
• Der gesamte Installationsvorgang findet über eine SSH Verbindung auf dem Server statt
• Allgemein gilt in diesem Tutorial immer durch die entsprechenden Werte zu ersetzen

Update Vorbereitungen

• SysCP sichern
  Zunächst sollten alle Daten von SysCP gesichert werden. Ebenso machen wir ein Backup von /etc/ da wir hier im zuge des Upgrades auch Änderungen vornehmen werden. Wir nutzen für das SysCP Datenbank Backup die Option “–add-drop-table” um ein löschen der alten Inhalte vor dem einspielen der neuen auszulösen. Diese Option benötigen wir da wir im zuge des Updates den veränderten SysCP SQL Dump in diese selbe Datenbank wieder einspielen. Eure MySQL Zugangsdaten findet ihr in der SysCP Konfiguration (/var/syscp/lib/userdata.inc.php /).

  EMP-S:~# cp -rp /etc/ /root/etc_bak/
  EMP-S:~# cd /var/syscp/web/
  EMP-S:/var/syscp/web/# cp -rp * ../../syscp_bak/
  EMP-S:/var/syscp/web/# mysqldump --databases --opt -Q -u<USERNAME> -p<PASSWORT> --add-drop-table syscp > ../../syscp_bak/db.sql

• sources.list erweitern

Die Datei /etc/apt/sources.list um erweitern um:

deb      http://debian.froxlor.org lenny main
deb-src  http://debian.froxlor.org lenny main

Kommando zum öffnen der Datei (erspart Tipparbeit):

EMP-S:~# nano /etc/apt/sources.list

• SysCP Cronjobs deaktivieren
  Durch auskommentieren der Konfiguration deaktivieren wir die SysCP Cronjobs.
  Kommando zum öffnen der Datei:

  EMP-S:~# nano /etc/cron.d/syscp

  Dateinhalt nach der Bearbeitung:

  #
  # Set PATH, otherwise restart-scripts won't find start-stop-daemon
  #
  # PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
  #
  # Regular cron jobs for the syscp package
  #
  #00 */1 * * *   root    /usr/bin/php5 -q /var/syscp/web/scripts/cron_tasks.php
  #0 0 * * *      root    /usr/bin/php5 -q /var/syscp/web/scripts/cron_traffic.php
  #30 0 * * *     root    /usr/bin/php5 -q /var/syscp/web/scripts/cron_ticketarchive.php
  #0 1 * * *      root    /usr/bin/php5 -q /var/syscp/web/scripts/cron_used_tickets_reset.php
  #00 */1 * * *   root    /usr/bin/php5 -q /var/syscp/web/scripts/cron_autoresponder.php
  #00 */1 * * *   root    /usr/bin/php5 -q /var/syscp/web/scripts/cron_apsinstaller.php
  #*/15 * * * *   root    /usr/bin/php5 -q /var/syscp/web/scripts/cron_apsupdater.php

• SQL Dump für Froxlor aufbereiten
  Hierbei ersetzen wir den Pfad /var/syscp/web/ mit /var/www/froxlor/ und den Pfad /var/syscp/ mit /var/www/ in einer Kopie unseren SysCP SQL Dumps.

  EMP-S:~# cd /var/sycp_bak/
  EMP-S:/var/sycp_bak/# cp db.sql db_new.sql
  EMP-S:/var/sycp_bak/# sed -i 's/\/var\/syscp\/web\//\/var\/www\/froxlor\//g' db_new.sql
  EMP-S:/var/sycp_bak/# sed -i 's/\/var\/syscp\//\/var\/www\//g' db_new.sql

Froxlor Installieren

• Froxlor Installation über APT Paketmanagement System

  EMP-S:~# apt-get update
  EMP-S:~# apt-get install froxlor

• Besitzer und Gruppe des Froxlor Verzeichnisses anpassen

  EMP-S:~# chown -R www-data:www-data /var/www/froxlor/

• Alte SysCP Konfiguration in Froxlor nutzen

  EMP-S:~# cp /var/syscp_bak/lib/userdata.inc.php /var/www/froxlor/lib/

• Bearbeitete Kopie der SysCP Datenbank für Froxlor einspielen

  EMP-S:~# mysql -u<USERNAME> -p<PASSWORT>
  mysql> use syscp  
  mysql> source /var/syscp_bak/db_new.sql

• Symlinks für phpMyAdmin und Squirrelmail erstellen

  EMP-S:~# ln -s /usr/share/phpmyadmin/ /var/www/phpmyadmin
  EMP-S:~# ln -s /usr/share/squirrelmail/ /var/www/squirrelmail

• Verzeichnisse kopieren
  Wichtig ist hierbei Rechte und Benutzer beizubehalten. Die User Unterverzeichnise in fcgi/ logs/, tmp/ und webs/ sollten den entsprechenden fcgi Benutzer (Kunden) gehören. Das Verzeichnis mails/ dem Benuter vmail. Das bewirkt die Option -p beim Kopieren mit cp.

  EMP-S:~# cp -rp /var/syscp/fcgi/ /var/www/
  EMP-S:~# cp -rp /var/syscp/logs/ /var/www/
  EMP-S:~# cp -rp /var/syscp/mails/ /var/www/
  EMP-S:~# cp -rp /var/syscp/tmp/ /var/www/
  EMP-S:~# cp -rp /var/syscp/webs/ /var/www/
  EMP-S:~# cp -rp /var/syscp/squirrelmail/ /var/www/

• Apache Konfiguration für Froxlor anpassen
  Hierbei muss der Pfad /var/syscp/web/ in /var/www/froxlor geändert werden. Der Ordnung halber ist es empfehlenswert die Konfigurationsdatei entsprechend umzubenennen und den Symbolischen Link auf die Konfiguration zu ändern.

  EMP-S:~# sed -i 's/\/var\/syscp\/web\//\/var\/www\/froxlor\//g' /etc/apache2/sites-available/syscp
  EMP-S:~# mv /etc/apache2/sites-available/syscp /etc/apache2/sites-available/froxlor
  EMP-S:~# rm /etc/apache2/sites-enabled/00-syscp
  EMP-S:~# ln -s /etc/apache2/sites-available/froxlor /etc/apache2/sites-enabled/froxlor

• Suexec Pfade für Froxlor anpassen
  In der Datei /etc/apache2/suexec/www-data den Pfad /var/syscp/ in /var/www/ ändern.

  EMP-S:~# sed -i 's/\/var\/syscp\//\/var\/www\//g' /etc/apache2/suexec/www-data

• Postfix Konfiguration für Froxlor anpassen
  Konfigurations Option virtual_mailbox_base in /etc/postfix/main.cf von /var/syscp/mails/ in /var/www/mails/ ändern.

  EMP-S:~# sed -i 's/\/var\/syscp\/mails\//\/var\/www\/mails\//g' /etc/postfix/main.cf

• Squirrelmail Konfiguration für Froxlor anpassen
  Die Pfade /var/syscp/squirrelmail/data/ und /var/syscp/squirrelmail/attach/ müssen in der Datei auf /var/www/squirrelmail/*/ angepasst werden.

  EMP-S:~# sed -i 's/\/var\/syscp\//\/var\/www\//g' /etc/squirrelmail/config.php

  Anmerkung
  In dieser Datei können Providername, Logo und dergleichen für Squirrelmail angepasst werden. Nutzt die Gelegenheit sonst macht ihr das nie.

• Froxlor Cronjob erstellen
  Wir erstellen die Datei /etc/cron.d/froxlor

  EMP-S:~# nano /etc/cron.d/froxlor

  und füllen sie mit den Werten für die Froxlor Cronjobs:

  #
  # Set PATH, otherwise restart-scripts won't find start-stop-daemon
  #
  PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
  #
  # Regular cron jobs for the froxlor package
  #
  */1 * * * *     root    /usr/bin/php5 -q /var/www/froxlor/scripts/froxlor_master_cronjob.php

Apache und Postfix neu starten

EMP-S:~# /etc/init.d/apache2 restart
EMP-S:~# /etc/init.d/postfix restart

Froxlor Konfiguration

Froxlor ist nun unter Eurer IP:Euerm Port (Standard 81) erreichbar.

• Installationsassistent
  Ich empfehle Froxlor nicht als fcgi auszuführen. Google sagte mir das es dabei Probleme geben soll. Den neuen Prozess Spawn Manager habe ich auch nicht aktiviert. Ich warte erstmal ein paar Erfahrungsberichte ab.
• Fehlerquelle: php.ini Settings
  Die Zeile

  open_basedir = "{OPEN_BASEDIR}"

  sollte in den php.ini Konfigurationen durch

  {OPEN_BASEDIR_C}open_basedir = "{OPEN_BASEDIR}"

  ersetzt werden. Ansonsten könnte es zu Fehlern in PHP Applikationen kommen. Im Falle Magento bekommt man die Ausgabe “No input file specified”.

SysCP entfernen

Prüft nochmals alle Funktionen bevor ihr euer SysCP vom Server entfernt.

• SysCP löschen
  Das “immutable” Attribut von den fcgi Scripts entfernen (chattr -i) und den SysCP Ordner vom Dateisystem löschen.

  EMP-S:~# chattr -i -R /var/syscp/fcgi/
  EMP-S:~# rm -r /var/syscp/

  Vergesst die Backups nicht. /root/etc_bak/ und /var/syscp_bak/. Aufheben oder löschen. Wie es euch lieb ist.

• Jagd nach Überlebenden
  Wer lustig ist kann nun noch nach überbleibseln von SysCP auf dem Server suchen und diese beseitigen. Den Datenbankname könnte man noch von syscp auf froxlor ändern. Ebenso den Unix Benutzer syscp. Weitere Überbleibsel findet man auch mit dem Kommando:

  grep -r syscp *

Froxlor ist nun via Debian APT Paketmangement Software updatebar installiert und konfiguriert. Ich hoffe bei euch läuft das mit Hilfe der Anleitung weniger turbulent und stressig. Abweichung und weitere Tipps sind erwünscht. Möchte jemand das Tutorial zu einem Update Script zusammenfassen?

Das Beenden bzw. killen von Prozessen unter Linux / Unixoiden Systemen erfolgt in der Regel über das kill-Kommando in der Konsole. Bevor dieses Kommando zum “killen” des Prozessen benutzbar ist muss jedoch die Prozess ID ermittelt werden. Für das ermitteln der Prozess ID empfehle ich die Konsolen-Kommando Kombination:

ps aux | grep <PROZESSNAME>

<PROZESSNAME> ist mit dem Prozess Name zu ersetzen. Beispielsweise “apache”. Das “apache” Beispiel beschert mir auf einem Server diese Ausgabe:

www-data 18148  0.0  0.1 232000  8664 ?        S    Nov18   0:00 /usr/sbin/apache2 -k start
www-data 18158  0.0  0.1 232000  8688 ?        S    Nov18   0:00 /usr/sbin/apache2 -k start

Es ist auch möglich, sofern der genaue Prozessename bekannt ist, das Kommando “pidof” zu nutzen.

pidof <PROZESSNAME>

Der Output zu diesem Befehl enthält die Prozess ID’s oder die Prozess ID je nach Anzahl der laufenden Prozesse mit dem selben Namen.

8664 8688

Der zweite Schritt ist das eigentliche Beenden des Prozesses mit Hilfe des Kommandos kill.

kill <PROZESSID> <PROZESSID>

Prozess ID’s können mit einem Leerzeichen separiert angegeben werden. Sollte sich auf diesem Wege ein Prozess nicht beenden lassen kann mit der Option “-9″ des Befehls kill entgegen gewirkt werden.

kill -9 <PROZESSID>

In diesem Fall wird der Prozess “hart” beendet. Es können ebenfalls mehrere ID’s mit einem Leerzeichen separiert werden.
Eine andere Art mehrere Prozesse auf einen Streich zu terminieren stellt der Befehl killall da.

killall -i <PROZESSNAME>

Der Parameter “-i” sorgt dafür das vor dem Beenden jedes Prozesses nochmals nachgefragt wird ob man ihn wirklich beenden möchte. Weitere wichtige Optionen sind die Befehle:

• -u <UNIXUSERID> beendet die Prozesse des gewählen UNIX Benutzers
• -g <PROZESSGRUPPENID> beendet die Prozesse der gewählten Prozessgruppe

Die Möglichkeit mehrere Prozesse mit einem Befehl zu beenden hat mir persönlich oft weitergeholfen als Server Dienste am spinnen waren. Schönes Wochenende.

EDIT: Beachte das du zum killen einiger Prozesse als root angemeldet sein musst.

Beim studieren der Server Logs meines Debian Lenny Servers fiehl mir auf das sehr viele fehlgeschlagene authentifizierungs Versuche am SMTP Daemon von Postfix statt gefunden hatten. Folgende Meldung wiederholte sich mehrfach:

Apr 28 15:33:56 mail postfix/smtpd[8110]: warning: unknown[218.248.1.181]: SASL CRAM-MD5 authentication failed: PDM2NjYyMjQ0OTU5OTE5MTMuMTI3MjQ2MTYzNUBFTVAtUz4=

Mich wunderte das die IP Adresse nicht nach 3 Versuchen von Fail2ban (Version 0.8.3-2sid1) gebannt wurde. Es hat sich herausgestellt das der Reguläre Ausdruck den Fail2ban für das erkennen Fehlgeschlagener authentifizierungs Versuche nicht mit der Log-Nachricht übereinstimmt. Ein Entfernen des $ am Ende des Regulären Ausdrucks (failregex) in der Datei /etc/fail2ban/filter.d/sasl.conf reichte aus um die Logs passend zu filtern.

Warum das $ entfernen?
Das $ steht in einem Regulären Ausdruck für das Ende der zu suchenden Zeichenkette. Da aber nach “authentication failed” in dem Log Eintrag weitere Zeichen folgen passt der Reguläre Ausdruck nicht zum Logeintrag.

failregex = : warning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed

Ist meine aktueller Eintrag um fehlgeschlagene authentifizierungs Versuche am Postfix SMTP Daemon zu erkennen.

Spamassassin füllte meine Logs zum selben Zeitpunkt mit:

Apr 28 00:31:27 mail spamd[21987]: spamd: creating default_prefs: /nonexistent/.spamassassin/user_prefs
Apr 28 00:31:27 mail spamd[21987]: config: cannot write to /nonexistent/.spamassassin/user_prefs: No such file or directory
Apr 28 00:31:27 mail spamd[21987]: spamd: failed to create readable default_prefs: /nonexistent/.spamassassin/user_prefs

Eine weitere Lösung musste her… Da Spamassassin bei mir unter dem Benutzer nobody läuft und dieser zu diesem Zeitpunkt kein gültiges Heimatverzeichnis in der /etc/passwd Datei hinterlegt hatte blieben mir sinnvolle 2 Möglichkeiten. Zum einen das Eintragen eines gültigen Heimatverzeichnisses in die Datei /etc/passwd. (Platzhalter: <VERZEICHNIS>)

nobody:x:65534:65534:nobody:<VERZEICHNIS>:/bin/false

Zum Anderen gab es die Möglichkeit Spamassassin durch eine Änderung in /etc/defaults/spamassassin mit einem virtuellen Verzeichnis zu starten. Hier mein Aktueller Eintrag für standard Startoptionen von Spamassassin: (Platzhalter: <VERZEICHNIS>)

OPTIONS="--create-prefs --max-children 5 --helper-home-dir -u nobody -x --virtual-config-dir=<VERZEICHNIS>"

Ich entschied mich für die zweite Möglichkeit (Verzeichnis: /var/spool/spamassassin).

Shellzugriff aus dem Browser heraus ist nicht nur geschickt sondern in streng konfigurierten Netzwerken auch die einzige Möglichkeit Shellzugriff auf den Server zu bekommen. Hierfür kann ich dir PHP Shell empfehlen. Shellkommandos lassen sich damit ausführen und die Ergebnisse der Kommandos ansehen.

Leider lassen sich Programme wie Nano mit der PHP Shell nicht ausführen. Autovervollständigung mittels TAB unterstützt das Shell Werkzeug ebenfalls nicht.

Neben dem starten des PHP Shell Scriptes als root ist es eine weitere Vorraussetzung “Safe Mode” zu deaktivieren und das Ausführen der Funktion proc_open() zu erlauben.

Ich kann euch diese kleine Webapplikation nur ans Herz legen.

Links:

• Projektseite auf Sourceforge

Jeder Daemon auf einem Linux System führt eine Log Datei im Verzeichnis /var/log. Ab einer gewissen Laufzeit finden sich dort mehere Megabyte an archivierten Log Dateien. Das händische löschen von archivierten Log Datein ist eine nervige Sache. Um mir Nerven und Zeit zu ersparen habe ich mir ein Script geschrieben das mir diese Arbeit abnimmt.

#!/bin/sh
 
## Author: Tobias Jäck
## License: GPL version 3
 
## Logfile
LOGFILE="/var/log/cleanup.log"
 
find /var/log/ -iname *.gz -type f -exec rm -fv {} \; >> $LOGFILE 2>&1
 
if [ $? -ne 0 ]; then		
	exit 1
else	
	exit 0
fi

Das Script sucht mit “find” im Verzeichnis /var/log nach archivierten Log Dateien (Dateien mit der Endung .gz) und entfernt diese. Ironischer Weise legt das Script ebenfalls eine Log Datei an (/var/log/cleanup.log) in der gelöschte Dateien und Probleme niedergeschrieben werden.

Durch das Verstecken von Informationen macht man es Angreifern schwieriger etwas über das System herauszufinden. Der Apache2 zeigt dem Angreifer beim Aufruf einer nicht vorhandenen Datei vom Server welche Apache2 Server Version installiert ist, welche Patches verwendet werden und welche Interpreter auf dem Server installiert sind. Diese Informationen reichen aus um in Exploit Datenbanken nach passenden Exploits zu suchen. Das ausblenden dieser Information geht leicht von der Hand. Es gibt also keine Grund diese nicht zu verstecken.

Meine Wahl fällt dabei auf das erstellen einer weiteren Konfigurationsdatei in /etc/apache2/conf.d. Dateien in diesem Verzeichnis werden automatisiert eingelesen und für die Apache2 Einstellungen verwendet. In der Datei wird die Option ServerSignature verwendet um, wie schon am Optionsname zu erkennen, die Server Signatur auszublenden. Der Inhalt der Datei, benannt server_signature, gestaltet sich beim mir so:

ServerSignature Off
ServerTokens Prod

Es kann auch die Datei /etc/apache2/httpd.conf um diesen Eintrag zu erweitert werden anstatt eine separate Konfigurationsdatei anzulegen. Ebenfalls ist es möglich nur Teile der Server Signatur auszublenden. Mehr dazu findest du hier. Interessant ist, das die Server Variable $_SERVER['SERVER_SIGNATURE'] in PHP sich mit der Änderung der ServerSignature ändert. In den gängigen Webapplikationen wird diese Variable nicht verwendet. Ich wüsste auch keinen Einsatzbereich für diese.

ServerTokens setzt die Signatur des Servers im HTTP Response Header auf ein Minimum. Die Ausgabe beim Parameter “Prod” ist lediglich “Apache”. Ein entfernen aller Informationen zum Server ist nur mit dem editieren des Apache2 Quellcodes oder über die Erweiterung mod_security möglich. Jedoch bin nichtmal ich so paranoid diese Möglichkeit zu nutzen.