CBlog

Prosit Neujahr und alles Gute für 2010! Dieser Artikel enthält einiges, das ich schon 2009 bloggen wollte, und außerdem eine kleine Neujahrsüberraschung von SpamAssassin ;-)

Happy New Year! This article contains some things I wanted to blog about in 2009 already, and a little new year surprise from SpamAssassin ;-)

• PostfixAdmin 2.3 wurde im Oktober 2009 releast, RPMs gibt es natürlich im openSUSE Build Service
  PostfixAdmin 2.3 was released in october 2009, RPMs are available in the openSUSE Build Service


• Postfixadmin 2.4 (oder 3.0?) wird Smarty für die Templates verwenden
  PostfixAdmin 2.4 (or 3.0?) will use smarty for the templates


• PostfixAdmin 2.3.1 (alle Bugfixes seit dem 2.3-Release, aber ohne Smarty) ist in Arbeit
  PostfixAdmin 2.3.1 (with all bugfixes since 2.3 release, but without smarty) is under development


• openSUSE 11.2 wurde im November 2009 releast, und auch gleich von uns (Jan, Jan-Simon und mir) auf der Open Source Expo in Karlsruhe präsentiert
  openSUSE 11.2 was released in november 2009, and presented by us (Jan, Jan-Simon and me) at the Open Source Expo in Karlsruhe


• und die Neujahrsüberraschung von SpamAssassin: 2010 bekommt jede Mail erstmal 3.188 Punkte... - Bugreport
  and the new year surprise from SpamAssassin: every mail in 2010 gets 3.188 points... - Bugreport
  

"AppArmor in der Praxis" - unter diesem Titel hielt ich einen Vortrag auf dem LinuxTag, der trotz des eher trockenen Themas (Security!) recht gut besucht war. Ich habe versucht, den Vortrag so unterhaltsam wie möglich zu halten - ob mir das gelungen ist, darf gern in den Kommentaren vermerkt werden ;-)

Ein Seifenkisten-Rennen und fast zwei Wochen später gibt es meine Präsentation zum Download. (Die Originaldatei im OpenDocument-Format ist auf Anfrage erhältlich.) Eine Video-Aufzeichnung des Vortrags müsste demnächst im openSUSE-Wiki verfügbar sein.

"AppArmor in practise" is the title of the talk I gave at LinuxTag which was received quite well despite the "pedestrian" security topic. Nevertheless I tried to make the talk as lively as possible - feel free to add a comment if this worked out ;-)

One soap box race and nearly two weeks later, I managed to upload my presentation (german). (The original file in OpenDocument format is available on request.) A video recording of my talk should be available on the openSUSE wiki soon.

Download:apparmor-in-der-praxis.pdf

Wie gerade in meinem Vortrag "AppArmor in der Praxis" versprochen gibt es hier meine AppArmor-Profile, die ich auf meinem 11.1-Server benutze. Hinweis: Viele Profile sind im complain-Mode - mit aa-enforce können sie in den enforce-Mode versetzt werden. (Die Präsentation lade ich in den nächsten Tagen hoch.)

As just proposed in my "AppArmor in der Praxis" talk at LinuxTag, here are the AppArmor profiles I use on my 11.1 server. Note that many of them are in complain mode - use aa-enforce to switch them to enforce mode. (I'll upload my presentation in some days.)

Download: apparmor-profiles-111.tar.bz2

Mit etwas Verspätung (wegen Zeitmangel), dafür aber mit Grüßen vom Osterhasen veröffentliche ich heute die SQL-Abfragen, um die Mailkonfiguration von Qmail / Plesk nach Postfix mit MySQL-Backend zu migrieren. Einige der Queries haben durchaus Chancen auf den Longest-SQL-Query-of-the-year-Award ;-)

Alle Queries wurden bei einer echten Migration getestet und funktionieren. Zur Verwaltung der Mailkonfiguration nach der Migration zu Postfix empfehle ich Postfixadmin (RPMs), bei dem ich auch seit einiger Zeit mitprogrammiere.

A bit late (because a lack of time), but with greetings from the easter-bunny, I publish the SQL queries that are needed to migrate from Qmail / Plesk to Postfix with MySQL backend. Some of the queries have good chances to win the longest-SQL-query-of-the-year award ;-)

All queries were tested while a real server migration and work. To manage your mail addresses after migrating to postfix, I recommend Postfixadmin (RPMs) on which I'm co-developer since some time.

Die SQL-Queries und einige Details stehen im vollständigen Artikel - bitte weiterlesen...

The SQL queries and some more details are available in the full article - read on...

Mein erster Commit ins Zypp SVN: patch2mail. Ich nutze diese Gelegenheit gleich mal, um das Ganze bekanntzumachen ;-)

Server-Administratoren kennen das Problem: Es gibt kein gutes und einfaches Werkzeug, um per Mail benachrichtigt zu werden, sobald es neue Updates gibt. Mein patch2mail füllt diese Lücke und verschickt die gewünschte Mail.

Da Admins eh englisch können müssen, ist der Rest dieses Eintrags auf englisch ;-)

My first commit to the Zypp SVN: patch2mail. I'll use this opportunity to announce this little tool ;-)

Server admins know the problem: There's no good and simple tool available to get an email notification when new security updates are available.

patch2mail is a simple tool that fills this gap and mails you whenever new updates are available.

In theory, you could use

zypper lu | mail -s updates root

but this will also send a mail if no update is available.

I was annoyed by that and therefore wrote this little tool, consisting of a shell script and a XSLT file to transform the zypper XML output to text.

Usage is easy: Download the RPM from the buildservice (http://software.opensuse.org/search?q=patch2mail, it's in home:cboltz) and install it on your server. Make sure you receive mails for root (for example setup mail forwarding in /etc/aliases). That's it. The script directly installs to /etc/cron.daily and will inform you when new updates are available.

patch2mail is available for openSUSE 10.2 and 10.3. (might work on 11.0 alpha also, but I didn't test it yet)

If you want to know in advance how the update notification mails look, have a look at this example mail:

Subject: <servername> updates

=== foobar-libs - Patch 1234-0 (security) ===

foobar-libs: fixed security issue when doing foo.

This patch contains the fix for a security problem when
doing foo. [... long patch description continues ...]

Weihnachten - das ist die Zeit von Ruhe und Besinnlichkeit.

Es sei denn, man ist Admin eines Servers, der sich just an Heiligabend verabschiedet. Dann wird es nämlich recht hektisch.

So "durfte" ich dann kurzerhand die Postfächer von rund 100 Domains auf einen anderen Server umziehen. Dazu noch ein paar datenbanklastige Webseiten (Typo3 und ein paar Spezialitäten). Naja, immerhin war ich vor der Bescherung fertig *g*

Das Gute daran: Der Umzug hat recht schmerzfrei geklappt (die nötigen SQL-Queries hatte ich zum Glück schon vor längerer Zeit vorbereitet) und die betroffenen Kunden haben jetzt sogar ein (fast) spamfreies Postfach, was der vorherige Server (Plesk, Qmail) nicht geschafft hat. Und ich weiß jetzt, dass (entgegen meiner Erwartung und früherer Erfahrung) die meisten Spammer ihne DNS-Einträge nicht cachen - ich hatte nach der MX-Umstellung innerhalb einer Stunde eine Reject-Rate von 50 Mails/Minute statt vorher 3 ;-)

Das "Migration von Plesk zu Postfix/MySQL HOWTO" zur Migration der Mailuser-Datenbank gibt es demnächst an dieser Stelle. Soviel verrate ich jetzt schon: Hauptbestandteil ist eine SQL-Query, die eine DIN A4-Seite für sich braucht.

Was meint Ihr - soll ich das HOWTO auch im Plesk Forum posten? Wäre doch bestimmt ein Spaß ;-)

Trotz allem wünsche ich frohe Rest-Weihnachten und schonmal einen guten Rutsch!

(this text describes how to avoid that your computer switches off itsself on shutdown - english version available in the openSUSE wiki as SDB article)

Auch wenn der Wunsch etwas ungewöhnlich ist: mein Server soll sich nach dem Shutdown nicht automatisch ausschalten.

Der Grund ist einfach: ich schalte den Strom mit einer abschaltbaren Steckdose an und aus und möchte nicht jedesmal den Power-Button des Servers betätigen. Das Problem ist, dass das BIOS nicht die Option bietet, bei Rückkehr der Stromversorgung den Rechner hochzufahren. Immerhin erinnert sich der Rechner an den letzten Status - nach einem Stromausfall (auch wenn er über die abschaltbare Steckdose simuliert wurde ;-) fährt er also wieder hoch.

Die Lösung ist einfach, sobald man sie kennt: In /etc/sysconfig/shutdown muss die Variable HALT="halt" gesetzt werden (Voreinstellung ist "auto").

Bei dieser Gelegenheit sollte man auch gleich einen HALT_SOUND in derselben Datei setzen, damit der Rechner nach dem Shutdown piept. Damit kann man ein zu frühes Abschalten der Stromversorgung vermeiden.

(Der Dank geht an Stefan Seyfried, der mich auf die Configdatei hingewiesen hat.)

Ob heute schon Weihnachten ist?

Eigentlich nicht, aber ich habe trotzdem ein vorgezogenes Geschenk: Die AppArmor-Profile dieses Servers. Im Einzelnen sind das Profile für:

• Postfix (Mailuser in MySQL)
• maildrop (Maildirs in /home/mailbox/)
• Mailman
• Amavisd
• ClamAV
• SQLgrey
• Courier (Mailuser in MySQL)
  
• vsftpd
• diverser "Kleinkram"

Der Vorteil meiner Profile gegenüber den in SUSE Linux 10.1 mitgelieferten ist schlicht, dass meine Profile durchgetestet sind und (zumindest bei meiner Konfiguration) auch alle nötigen Aktionen erlauben. Das nervige Nacharbeiten der Profile und "warum blockt er das jetzt?" fällt also weg ;-)

Außerdem habe ich für einige Programme (Mailman, Courier, maildrop, vsftpd, SQLgrey, ClamAV) die Profile komplett selbst erstellt. (Bei vsftpd können Anpassungen der Pfade je nach Struktur der Homedirs nötig sein, außerdem ist /home/mailbox/ als Mail-Verzeichnis fest in den maildrop- und Courier-Profilen verdrahtet.)

Einige Profile sind nach /etc/apparmor/profiles/extra/ verlinkt - diese Profile funktionieren entweder im Originalzustand oder ich habe das entsprechende Programm noch nie gebraucht ;-)

Download: apparmor-profiles-20061220.tgz

Installation: nach /etc/apparmor.d/ entpacken, rcapparmor reload aufrufen und schon ist das System ein gutes Stück sicherer.

Die Weitergabe und Verwendung der AppArmor-Profile ist unter den Bedingungen der GPL erlaubt.

Und ich wünsche an dieser Stelle schon mal Sichere ;-) und Frohe Weihnachten!

Das ist die Mailstatistik dieses Servers der letzten Woche. Die großen Ausschäge in der "Rejected"-Kurve stammen im Wesentlichen aus "Relay access denied" von einer einzigen IP.

Falls jemand gern Rätsel löst, hätte ich ein paar Fragen:

• Wann ist ein neuer Kunde dazugekommen?
• Ist es ein Privat- oder ein Geschäftskunde?
• Wann hat er endlich geglaubt, dass er SMTP Auth aktivieren muss? ;-)

Anhand der Grafik sollte die Lösung recht leicht zu finden sein. *g*

UPDATE (11.12.2006): Wie sich inzwischen herausgestellt hat, hat die Firewall die SMTP-Authentifizierung rausgefiltert...

Ich habe seit einiger Zeit versucht, Pakete für courier-authlib-mysql in SUSE Linux integriert zu bekommen, nachdem diese des öfteren nachgefragt werden. Obwohl nur eine Änderung im Specfile erforderlich ist, endeten entsprechende Feature Requests bisher immer mit "wontfix".

Aber: Es geschehen noch Zeichen und Wunder ;-)

Auf dem kleinen Dienstweg (Mail an AJ) habe ich jetzt erreicht, dass es ab SUSE 10.2 (das dann übrigens openSUSE 10.2 heißt) ein courier-authlib-mysql Paket gibt - und nebenbei auch -pgsql und -pipe Pakete :-)

Übrigens: courier-authlib-mysql-Pakete für SUSE Linux 10.1 habe ich unter software.opensuse.org/download/home:/cboltz/ im Angebot - einzige Änderung zum Originalpaket der 10.1 ist die Aktivierung des -mysql-Pakets im Specfile.

Der Server, auf dem auch dieses Blog liegt, hatte in der Vergangenheit öfter Schluckauf mit der Zeit:

• die Voreinstellung von 1&1 war "lokale Zeit", also ohne automatische Sommerzeitumstellung und grundsätzlich eine Stunde daneben
• auch nach der Umstellung auf UTC wollte sich die Uhr nicht automatisch auf Sommerzeit umstellen
• komischerweise hat ein Aufruf von yast2 timezone ohne irgendeine Änderung die Zeit immer korrigiert
• xntpd hat sich wegen einer Stunde "Zeitverschiebung" gleich nach dem Start verabschiedet

Nach längerer Zeit der Verwunderung habe ich endlich das Problem gefunden:

# rpm -V timezone
S.5....T   /usr/share/zoneinfo/Europe/Berlin

Nach Neuinstallation des timezone-Pakets bin ich die Zeitverschiebung endlich los.

Wer oder was die Datei überschrieben hat? Keine Ahnung - ich wäre aber nicht überrascht, wenn Plesk mal wieder seine Finger im Spiel gehabt hat.

(Hatte ich eigentlich schon erwähnt, was ich von Plesk halte? ;-)

Update: Zur Sicherheit sollte man auch noch die Zeitzone in den PHP-Scripten angeben:

<?php putenv( "TZ=Europe/Berlin" ); ?>