Vorwort

• Es wird eine funktionsfähige Hetzner SysCP Image Installtion benötigt (SysCP Root: /var/syscp/web/)
• Der gesamte Installationsvorgang findet über eine SSH Verbindung auf dem Server statt
• Allgemein gilt in diesem Tutorial immer durch die entsprechenden Werte zu ersetzen

Update Vorbereitungen

• SysCP sichern
  Zunächst sollten alle Daten von SysCP gesichert werden. Ebenso machen wir ein Backup von /etc/ da wir hier im zuge des Upgrades auch Änderungen vornehmen werden. Wir nutzen für das SysCP Datenbank Backup die Option “–add-drop-table” um ein löschen der alten Inhalte vor dem einspielen der neuen auszulösen. Diese Option benötigen wir da wir im zuge des Updates den veränderten SysCP SQL Dump in diese selbe Datenbank wieder einspielen. Eure MySQL Zugangsdaten findet ihr in der SysCP Konfiguration (/var/syscp/lib/userdata.inc.php /).

  EMP-S:~# cp -rp /etc/ /root/etc_bak/
  EMP-S:~# cd /var/syscp/web/
  EMP-S:/var/syscp/web/# cp -rp * ../../syscp_bak/
  EMP-S:/var/syscp/web/# mysqldump --databases --opt -Q -u<USERNAME> -p<PASSWORT> --add-drop-table syscp > ../../syscp_bak/db.sql

• sources.list erweitern

Die Datei /etc/apt/sources.list um erweitern um:

deb      http://debian.froxlor.org lenny main
deb-src  http://debian.froxlor.org lenny main

Kommando zum öffnen der Datei (erspart Tipparbeit):

EMP-S:~# nano /etc/apt/sources.list

• SysCP Cronjobs deaktivieren
  Durch auskommentieren der Konfiguration deaktivieren wir die SysCP Cronjobs.
  Kommando zum öffnen der Datei:

  EMP-S:~# nano /etc/cron.d/syscp

  Dateinhalt nach der Bearbeitung:

  #
  # Set PATH, otherwise restart-scripts won't find start-stop-daemon
  #
  # PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
  #
  # Regular cron jobs for the syscp package
  #
  #00 */1 * * *   root    /usr/bin/php5 -q /var/syscp/web/scripts/cron_tasks.php
  #0 0 * * *      root    /usr/bin/php5 -q /var/syscp/web/scripts/cron_traffic.php
  #30 0 * * *     root    /usr/bin/php5 -q /var/syscp/web/scripts/cron_ticketarchive.php
  #0 1 * * *      root    /usr/bin/php5 -q /var/syscp/web/scripts/cron_used_tickets_reset.php
  #00 */1 * * *   root    /usr/bin/php5 -q /var/syscp/web/scripts/cron_autoresponder.php
  #00 */1 * * *   root    /usr/bin/php5 -q /var/syscp/web/scripts/cron_apsinstaller.php
  #*/15 * * * *   root    /usr/bin/php5 -q /var/syscp/web/scripts/cron_apsupdater.php

• SQL Dump für Froxlor aufbereiten
  Hierbei ersetzen wir den Pfad /var/syscp/web/ mit /var/www/froxlor/ und den Pfad /var/syscp/ mit /var/www/ in einer Kopie unseren SysCP SQL Dumps.

  EMP-S:~# cd /var/sycp_bak/
  EMP-S:/var/sycp_bak/# cp db.sql db_new.sql
  EMP-S:/var/sycp_bak/# sed -i 's/\/var\/syscp\/web\//\/var\/www\/froxlor\//g' db_new.sql
  EMP-S:/var/sycp_bak/# sed -i 's/\/var\/syscp\//\/var\/www\//g' db_new.sql

Froxlor Installieren

• Froxlor Installation über APT Paketmanagement System

  EMP-S:~# apt-get update
  EMP-S:~# apt-get install froxlor

• Besitzer und Gruppe des Froxlor Verzeichnisses anpassen

  EMP-S:~# chown -R www-data:www-data /var/www/froxlor/

• Alte SysCP Konfiguration in Froxlor nutzen

  EMP-S:~# cp /var/syscp_bak/lib/userdata.inc.php /var/www/froxlor/lib/

• Bearbeitete Kopie der SysCP Datenbank für Froxlor einspielen

  EMP-S:~# mysql -u<USERNAME> -p<PASSWORT>
  mysql> use syscp  
  mysql> source /var/syscp_bak/db_new.sql

• Symlinks für phpMyAdmin und Squirrelmail erstellen

  EMP-S:~# ln -s /usr/share/phpmyadmin/ /var/www/phpmyadmin
  EMP-S:~# ln -s /usr/share/squirrelmail/ /var/www/squirrelmail

• Verzeichnisse kopieren
  Wichtig ist hierbei Rechte und Benutzer beizubehalten. Die User Unterverzeichnise in fcgi/ logs/, tmp/ und webs/ sollten den entsprechenden fcgi Benutzer (Kunden) gehören. Das Verzeichnis mails/ dem Benuter vmail. Das bewirkt die Option -p beim Kopieren mit cp.

  EMP-S:~# cp -rp /var/syscp/fcgi/ /var/www/
  EMP-S:~# cp -rp /var/syscp/logs/ /var/www/
  EMP-S:~# cp -rp /var/syscp/mails/ /var/www/
  EMP-S:~# cp -rp /var/syscp/tmp/ /var/www/
  EMP-S:~# cp -rp /var/syscp/webs/ /var/www/
  EMP-S:~# cp -rp /var/syscp/squirrelmail/ /var/www/

• Apache Konfiguration für Froxlor anpassen
  Hierbei muss der Pfad /var/syscp/web/ in /var/www/froxlor geändert werden. Der Ordnung halber ist es empfehlenswert die Konfigurationsdatei entsprechend umzubenennen und den Symbolischen Link auf die Konfiguration zu ändern.

  EMP-S:~# sed -i 's/\/var\/syscp\/web\//\/var\/www\/froxlor\//g' /etc/apache2/sites-available/syscp
  EMP-S:~# mv /etc/apache2/sites-available/syscp /etc/apache2/sites-available/froxlor
  EMP-S:~# rm /etc/apache2/sites-enabled/00-syscp
  EMP-S:~# ln -s /etc/apache2/sites-available/froxlor /etc/apache2/sites-enabled/froxlor

• Suexec Pfade für Froxlor anpassen
  In der Datei /etc/apache2/suexec/www-data den Pfad /var/syscp/ in /var/www/ ändern.

  EMP-S:~# sed -i 's/\/var\/syscp\//\/var\/www\//g' /etc/apache2/suexec/www-data

• Postfix Konfiguration für Froxlor anpassen
  Konfigurations Option virtual_mailbox_base in /etc/postfix/main.cf von /var/syscp/mails/ in /var/www/mails/ ändern.

  EMP-S:~# sed -i 's/\/var\/syscp\/mails\//\/var\/www\/mails\//g' /etc/postfix/main.cf

• Squirrelmail Konfiguration für Froxlor anpassen
  Die Pfade /var/syscp/squirrelmail/data/ und /var/syscp/squirrelmail/attach/ müssen in der Datei auf /var/www/squirrelmail/*/ angepasst werden.

  EMP-S:~# sed -i 's/\/var\/syscp\//\/var\/www\//g' /etc/squirrelmail/config.php

  Anmerkung
  In dieser Datei können Providername, Logo und dergleichen für Squirrelmail angepasst werden. Nutzt die Gelegenheit sonst macht ihr das nie.

• Froxlor Cronjob erstellen
  Wir erstellen die Datei /etc/cron.d/froxlor

  EMP-S:~# nano /etc/cron.d/froxlor

  und füllen sie mit den Werten für die Froxlor Cronjobs:

  #
  # Set PATH, otherwise restart-scripts won't find start-stop-daemon
  #
  PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
  #
  # Regular cron jobs for the froxlor package
  #
  */1 * * * *     root    /usr/bin/php5 -q /var/www/froxlor/scripts/froxlor_master_cronjob.php

Apache und Postfix neu starten

EMP-S:~# /etc/init.d/apache2 restart
EMP-S:~# /etc/init.d/postfix restart

Froxlor Konfiguration

Froxlor ist nun unter Eurer IP:Euerm Port (Standard 81) erreichbar.

• Installationsassistent
  Ich empfehle Froxlor nicht als fcgi auszuführen. Google sagte mir das es dabei Probleme geben soll. Den neuen Prozess Spawn Manager habe ich auch nicht aktiviert. Ich warte erstmal ein paar Erfahrungsberichte ab.
• Fehlerquelle: php.ini Settings
  Die Zeile

  open_basedir = "{OPEN_BASEDIR}"

  sollte in den php.ini Konfigurationen durch

  {OPEN_BASEDIR_C}open_basedir = "{OPEN_BASEDIR}"

  ersetzt werden. Ansonsten könnte es zu Fehlern in PHP Applikationen kommen. Im Falle Magento bekommt man die Ausgabe “No input file specified”.

SysCP entfernen

Prüft nochmals alle Funktionen bevor ihr euer SysCP vom Server entfernt.

• SysCP löschen
  Das “immutable” Attribut von den fcgi Scripts entfernen (chattr -i) und den SysCP Ordner vom Dateisystem löschen.

  EMP-S:~# chattr -i -R /var/syscp/fcgi/
  EMP-S:~# rm -r /var/syscp/

  Vergesst die Backups nicht. /root/etc_bak/ und /var/syscp_bak/. Aufheben oder löschen. Wie es euch lieb ist.

• Jagd nach Überlebenden
  Wer lustig ist kann nun noch nach überbleibseln von SysCP auf dem Server suchen und diese beseitigen. Den Datenbankname könnte man noch von syscp auf froxlor ändern. Ebenso den Unix Benutzer syscp. Weitere Überbleibsel findet man auch mit dem Kommando:

  grep -r syscp *

Froxlor ist nun via Debian APT Paketmangement Software updatebar installiert und konfiguriert. Ich hoffe bei euch läuft das mit Hilfe der Anleitung weniger turbulent und stressig. Abweichung und weitere Tipps sind erwünscht. Möchte jemand das Tutorial zu einem Update Script zusammenfassen?

ps aux | grep <PROZESSNAME>

<PROZESSNAME> ist mit dem Prozess Name zu ersetzen. Beispielsweise “apache”. Das “apache” Beispiel beschert mir auf einem Server diese Ausgabe:

www-data 18148  0.0  0.1 232000  8664 ?        S    Nov18   0:00 /usr/sbin/apache2 -k start
www-data 18158  0.0  0.1 232000  8688 ?        S    Nov18   0:00 /usr/sbin/apache2 -k start

Es ist auch möglich, sofern der genaue Prozessename bekannt ist, das Kommando “pidof” zu nutzen.

pidof <PROZESSNAME>

Der Output zu diesem Befehl enthält die Prozess ID’s oder die Prozess ID je nach Anzahl der laufenden Prozesse mit dem selben Namen.

8664 8688

Der zweite Schritt ist das eigentliche Beenden des Prozesses mit Hilfe des Kommandos kill.

kill <PROZESSID> <PROZESSID>

Prozess ID’s können mit einem Leerzeichen separiert angegeben werden. Sollte sich auf diesem Wege ein Prozess nicht beenden lassen kann mit der Option “-9″ des Befehls kill entgegen gewirkt werden.

kill -9 <PROZESSID>

In diesem Fall wird der Prozess “hart” beendet. Es können ebenfalls mehrere ID’s mit einem Leerzeichen separiert werden.
Eine andere Art mehrere Prozesse auf einen Streich zu terminieren stellt der Befehl killall da.

killall -i <PROZESSNAME>

Der Parameter “-i” sorgt dafür das vor dem Beenden jedes Prozesses nochmals nachgefragt wird ob man ihn wirklich beenden möchte. Weitere wichtige Optionen sind die Befehle:

• -u <UNIXUSERID> beendet die Prozesse des gewählen UNIX Benutzers
• -g <PROZESSGRUPPENID> beendet die Prozesse der gewählten Prozessgruppe

Die Möglichkeit mehrere Prozesse mit einem Befehl zu beenden hat mir persönlich oft weitergeholfen als Server Dienste am spinnen waren. Schönes Wochenende.

EDIT: Beachte das du zum killen einiger Prozesse als root angemeldet sein musst.

Apr 28 15:33:56 mail postfix/smtpd[8110]: warning: unknown[218.248.1.181]: SASL CRAM-MD5 authentication failed: PDM2NjYyMjQ0OTU5OTE5MTMuMTI3MjQ2MTYzNUBFTVAtUz4=

Mich wunderte das die IP Adresse nicht nach 3 Versuchen von Fail2ban (Version 0.8.3-2sid1) gebannt wurde. Es hat sich herausgestellt das der Reguläre Ausdruck den Fail2ban für das erkennen Fehlgeschlagener authentifizierungs Versuche nicht mit der Log-Nachricht übereinstimmt. Ein Entfernen des $ am Ende des Regulären Ausdrucks (failregex) in der Datei /etc/fail2ban/filter.d/sasl.conf reichte aus um die Logs passend zu filtern.

Warum das $ entfernen?
Das $ steht in einem Regulären Ausdruck für das Ende der zu suchenden Zeichenkette. Da aber nach “authentication failed” in dem Log Eintrag weitere Zeichen folgen passt der Reguläre Ausdruck nicht zum Logeintrag.

failregex = : warning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed

Ist meine aktueller Eintrag um fehlgeschlagene authentifizierungs Versuche am Postfix SMTP Daemon zu erkennen.

Spamassassin füllte meine Logs zum selben Zeitpunkt mit:

Apr 28 00:31:27 mail spamd[21987]: spamd: creating default_prefs: /nonexistent/.spamassassin/user_prefs
Apr 28 00:31:27 mail spamd[21987]: config: cannot write to /nonexistent/.spamassassin/user_prefs: No such file or directory
Apr 28 00:31:27 mail spamd[21987]: spamd: failed to create readable default_prefs: /nonexistent/.spamassassin/user_prefs

Eine weitere Lösung musste her… Da Spamassassin bei mir unter dem Benutzer nobody läuft und dieser zu diesem Zeitpunkt kein gültiges Heimatverzeichnis in der /etc/passwd Datei hinterlegt hatte blieben mir sinnvolle 2 Möglichkeiten. Zum einen das Eintragen eines gültigen Heimatverzeichnisses in die Datei /etc/passwd. (Platzhalter: <VERZEICHNIS>)

nobody:x:65534:65534:nobody:<VERZEICHNIS>:/bin/false

Zum Anderen gab es die Möglichkeit Spamassassin durch eine Änderung in /etc/defaults/spamassassin mit einem virtuellen Verzeichnis zu starten. Hier mein Aktueller Eintrag für standard Startoptionen von Spamassassin: (Platzhalter: <VERZEICHNIS>)

OPTIONS="--create-prefs --max-children 5 --helper-home-dir -u nobody -x --virtual-config-dir=<VERZEICHNIS>"

Ich entschied mich für die zweite Möglichkeit (Verzeichnis: /var/spool/spamassassin).

Leider lassen sich Programme wie Nano mit der PHP Shell nicht ausführen. Autovervollständigung mittels TAB unterstützt das Shell Werkzeug ebenfalls nicht.

Neben dem starten des PHP Shell Scriptes als root ist es eine weitere Vorraussetzung “Safe Mode” zu deaktivieren und das Ausführen der Funktion proc_open() zu erlauben.

Ich kann euch diese kleine Webapplikation nur ans Herz legen.

Links:

• Projektseite auf Sourceforge

#!/bin/sh
 
## Author: Tobias Jäck
## License: GPL version 3
 
## Logfile
LOGFILE="/var/log/cleanup.log"
 
find /var/log/ -iname *.gz -type f -exec rm -fv {} \; >> $LOGFILE 2>&1
 
if [ $? -ne 0 ]; then		
	exit 1
else	
	exit 0
fi

Das Script sucht mit “find” im Verzeichnis /var/log nach archivierten Log Dateien (Dateien mit der Endung .gz) und entfernt diese. Ironischer Weise legt das Script ebenfalls eine Log Datei an (/var/log/cleanup.log) in der gelöschte Dateien und Probleme niedergeschrieben werden.

Meine Wahl fällt dabei auf das erstellen einer weiteren Konfigurationsdatei in /etc/apache2/conf.d. Dateien in diesem Verzeichnis werden automatisiert eingelesen und für die Apache2 Einstellungen verwendet. In der Datei wird die Option ServerSignature verwendet um, wie schon am Optionsname zu erkennen, die Server Signatur auszublenden. Der Inhalt der Datei, benannt server_signature, gestaltet sich beim mir so:

ServerSignature Off
ServerTokens Prod

Es kann auch die Datei /etc/apache2/httpd.conf um diesen Eintrag zu erweitert werden anstatt eine separate Konfigurationsdatei anzulegen. Ebenfalls ist es möglich nur Teile der Server Signatur auszublenden. Mehr dazu findest du hier. Interessant ist, das die Server Variable $_SERVER['SERVER_SIGNATURE'] in PHP sich mit der Änderung der ServerSignature ändert. In den gängigen Webapplikationen wird diese Variable nicht verwendet. Ich wüsste auch keinen Einsatzbereich für diese.

ServerTokens setzt die Signatur des Servers im HTTP Response Header auf ein Minimum. Die Ausgabe beim Parameter “Prod” ist lediglich “Apache”. Ein entfernen aller Informationen zum Server ist nur mit dem editieren des Apache2 Quellcodes oder über die Erweiterung mod_security möglich. Jedoch bin nichtmal ich so paranoid diese Möglichkeit zu nutzen.

Ebenso erstellt das Script SQL Dumps von allen MySQL Datenbanken des Servers und läd das gesamte Backup, verschlüsselt oder nur komprimiert, optional auch auf einen FTP Space übertragen. Wichtig ist das das Verzeichnis das in OUTDIR eingetragen ist exisitert. Sowohl bei lokalem speichern des Backups als auch beim remote Backup Vorgang auf den FTP Space. Eine Übertragung auf einen FTP Backup Space erfolgt nur, wenn FTP Zugangsdaten hinterlegt sind. Sollte etwas in die Option BACKUPPASS eingetragen sein verschlüsselt das Script die Daten mit GnuPG.

Die Kommentare im Script habe ich in englisch gehalten. Damit sollte eigentlich jeder zurecht kommen und ich muss das Script nicht mehrsprachig kommentiert online stellen. Auf alle Konfigurationsoptionen möchte ich hier im Text nicht weiter eingehen. Die Variablenbezeichnungen sowie die Kommentare sollten alles erklären.

#!/bin/sh
 
## Author: Tobias Jäck
## License: GPL version 3
 
##
## <Configuration>
##
 
## Backup prefix
PREFIX="yourprefix_"
 
## Dirs which should be backed
TOBACKUP="/root/ /home/ /etc/ /var/ /usr/local/"
 
## Dirs which shouldn't be backed
TOEXCLUDE="/yourdirstoexclude/"
 
## MySQL login data
MYSQLUSER="yoursqluser"
MYSQLPASS="yoursqlpass"
MYSQLHOST="yoursqlhost"
 
## Dir to save backup
OUTDIR="yourdirtosave"
 
## FTP login form the backup FTP server (optional)
FTPHOST="optionalyourftphost"
FTPUSER="optionalyourftpuser"
FTPPASS="optionalyourftppss"
 
## Backup password (optional)
BACKUPPASS="optionalyourpassword"
 
## Working dir
WORKINGDIR="/tmp/"
 
## Logfile
LOGFILE="/var/log/${PREFIX}backup.log"
 
##
## </Configuration>
##
 
if [ -n "$OUTDIR" ]; then
 
	## Set prozess priority
	renice -19 -p $$ 1> /dev/null 2>> $LOGFILE
 
	## Set I/O priority
	ionice -c2 -n1 -p $$ 1> /dev/null 2>> $LOGFILE
 
	## Date and time
	DATE=$(date "+%Y-%m-%d-%H-%M-%S")
 
	## Create and enter working dir
	mkdir ${WORKINGDIR}${PREFIX}${DATE}
	cd ${WORKINGDIR}${PREFIX}${DATE}
 
	## Save version
	uname -a > "uname.txt"
	TOBACKUP="${TOBACKUP} uname.txt"
 
	## Create a list with installed deb pakets
	dpkg --get-selections > "deb.list"
	TOBACKUP="${TOBACKUP} deb.list"
 
	## Create MySQL dump environment
	mkdir mysqldumps/
	TOBACKUP="${TOBACKUP} mysqldumps/"
 
	## Create MySQL dumps from all databases
	DBS="$(mysql  -h $MYSQLHOST -u $MYSQLUSER -p$MYSQLPASS -Bse 'show databases' 2>> $LOGFILE)"	
	if [ $? -ne 0 ]; then
 
		## Delete temporary files
		rm -r ${WORKINGDIR}${PREFIX}${DATE}
		exit 1
	fi
	for DB in $DBS; do
		mysqldump -h $MYSQLHOST -u $MYSQLUSER -p$MYSQLPASS $DB > "mysqldumps/${DB}.sql"
	done
 
        ## Exclude dirs
	if [ -n "$TOEXCLUDE" ]; then
 
		TOEXCLUDE="--exclude ${TOEXCLUDE}"
	fi
 
	## Compress and / or encrypt files
	if [ -n "$BACKUPPASS" ]; then	
 
		VAR_EXTENSION=".tar.bz2.gpg"
		tar -cf - $TOBACKUP $TOEXCLUDE 2> /dev/null | gpg --symmetric --bzip2-compress-level 9 --passphrase ${BACKUPPASS}  > "${PREFIX}${DATE}${VAR_EXTENSION}"
	else
 
		VAR_EXTENSION=".tar.bz2"
		tar -cf - $TOBACKUP $TOEXCLUDE 2> /dev/null | bzip2 -c --best > "${PREFIX}${DATE}${VAR_EXTENSION}"
	fi
 
	if [ -n "$FTPHOST" ] && [ -n "$FTPUSER" ] && [ -n "$FTPPASS" ]; then
 
		## Save backup on FTP server
		ncftpput -u $FTPUSER -p $FTPPASS $FTPHOST $OUTDIR "${PREFIX}${DATE}${VAR_EXTENSION}" 2>> $LOGFILE
 
	else
 
		## Save backup lokal
		cp "${PREFIX}${DATE}${VAR_EXTENSION}" "$OUTDIR" 2>> $LOGFILE
	fi
 
	## Delete temporary files
	rm -r ${WORKINGDIR}${PREFIX}${DATE}
 
	if [ $? -ne 0 ]; then		
		exit 1
	else	
		exit 0
	fi
else
	echo "Error: Output dir is empty" >> $LOGFILE 
	exit 1
fi

Der Name des komprimierten Backups setzt sich wie folgt zusammen: %Präfix%%Jahr%-%Monat%-%Tag%-%Stunde%-%Minute%-%Sekunde%.tar.bz2. Die Log Datei des Scripts findest du unter /var/log/%Präfix%backup.log. Enthalten sind dort Statistiken und Fehler zur FTP Übertragung sowie kritische Konfigurationsfehler.

Im Script werden Prozess und I/O Priorität angepasst um den Server nicht an seiner regulären Arbeit zu hindern. Beachte dabei das ein Ausführen von nice nur mit root Rechten möglich ist.

Mögliche Probleme mit Paketabhängigkeiten sollten sich nach dem erfolgreichen ausführen dieses Befehls erledigt haben:

sudo apt-get install ncftp bzip2 gnupg

Sowohl date als auch tar, nice, ionice dpkg und mysql / mysqldump sind normalerweise auf dem Server vorhanden.

Bei Fragen oder Problemen scheue nicht die Kommentarfunktion zu verwenden.