Als kleine Firma wird man sich schwerlich eine wirklich revisionssichere Speicherung von Emails leisten können, mit ein wenig Bastelarbeit am Server und einem sehr schönen Hilfsprogramm der Firma deepinvent Software GmbH aus Viersen, gerade einen Katzensprung von hier entfernt, wird die Speicherung nicht nur zum Kinderspiel, sondern macht auch noch Spaß!

Rechtliche Grundlagen

Eine pauschale Speicherung aller Emails Ihres Unternehmens darf nur dann durchgeführt werden, wenn den Mitarbeitern die Nutzung der Firmenemail für private Zwecke ganz offiziell verboten wird. Denn die Privatemail der Mitarbeiter unterliegt dem Fernmeldegeheimnis, hier darf der Chef keinesfalls schnüffeln und automatisiert Kopien dieser Daten für ein Jahrzehnt speichern. Es ist auch gewiß nicht verkehrt, den Angestellten diese Erklärung “zur Kenntnisnahme” schriftlich vorzulegen und sich den Empfang dieser Regeln mit einer Unterschrift quittieren zu lassen. Dies kann in Streitfällen zusätzliche Rechtssicherheit schaffen.

Serversoftware

Um eine umfassende Speicherung aller ein- und ausgehenden Emails zu erreichen, muß eine Manipulation des Mailservers (“MTA”) vorgenommen werden. Durch eine solche Speicherung werden nicht nur Emails aus Outlook & Co. erfaßt, sondern auch eventuell durch einen Webserver versandte Registrierungsemails, zum Beispiel für Forensysteme. Es liegt auf der Hand, daß der dadurch entstehende Datenbestand hochsensible Daten enthält und daher auf keinen Fall öffentlich zugänglich sein sollte. Im Idealfall sollten die gespeicherten Emails verschlüsselt und die fertig gebrannten Archivdatenträger sicher verschlossen abgelegt werden.

Eine einfache Manipulation der Konfiguration des sehr häufig eingesetzten MTA “Postfix” schiebt jeder empfangenen und versandten Email einen weiteren BCC-Empfänger unter. BCC steht für “Blind Carbon Copy”, was soviel bedeutet wie “Unsichtbarer Durchschlag”.

Wechseln Sie in das Verzeichnis /etc/postfix und erstellen Sie die folgenden Dateien:

Dateiname: recipient_bcc
Dateiname: sender_bcc

Diese Dateien beinhalten die Informationen, welche Domains, oder E-Mailadressen von dieser Weiterleitung betroffen sind und wohin die Kopien der Emails gespeichert werden sollen. Die Datei recipient_bcc verarbeitet die eingehenden Daten, während sender_bcc sich mit den ausgehenden Daten befaßt. Das Zielpostfach sollte sich in einer anderen Domain befinden, um eine Rekursion und damit einen Absturz des Mailservers zu vermeiden. (Dieses Fehlverhalten ist schon seit langer Zeit behoben, aber sicher ist sicher!)

In den folgenden Beispielen verwende ich den Domainnamen “purzel.de”. Ersetzen Sie “purzel.de” durch Ihren eigenen Domainnamen.

Tragen Sie in die Datei recipient_bcc folgendes ein:

@purzel.de          store1@anderedomain.de

Ebenso verfahren Sie in der Datei sender_bcc:

@purzel.de         store1@anderedomain.de

Sie müssen nun schließlich Postfix mitteilen, was es mit den beiden Dateien machen soll. Dazu editieren Sie in der Datei main.cf folgende Zeilen:

recipient_bcc_maps = hash:/etc/postfix/recipient_bcc
sender_bcc_maps = hash:/etc/postfix/sender_bcc

Schließlich müssen Sie nun noch einen Index der beiden Dateien erstellen. Dies geht mit dem Dienstprogramm postmap:

postmap /etc/postfix/recipient_bcc
postmap /etc/postfix/sender_bcc

Diesen Hash müssen Sie jedesmal neu erstellen, wenn Sie die Konfigurationsdateien verändern. Und endlich wird Postfix neu gestartet, um die veränderten Einstellungen einzulesen. Wenn Sie alles richtig gemacht haben, werden nun alle gesendeten, oder empfangenen E-Mails von und an purzel.de in dem externen Postfach gespeichert:

/etc/init.d/postfix restart

Da wir ab sofort ein funktionierendes Archiv haben, müssen wir dieses nun durchsuchbar und vor allem unveränderbar ablegen. Sie können einerseits die E-Mails einfach auf eine CD brennen, dann haben Sie aber keine Suchfunktion. Dies ist für kleine Selbständige, deren Kassen notorisch klamm sind, sicherlich schon eine praktikable Lösung.

Clientsoftware

Komfortabler geht es aber mit der Software MailStore Server der deepinvent Software GmbH. Die Software ist laut Webseite ab 295,- Euro erhältlich und gestattet eine Archivierung beliebiger Mengen von E-Mails, inklusive komfortabler Suchfunktion und Brennsoftware. Für Privatanwender ist eine kostenfreie Home-Version erhältlich, die nur unerhebliche Einschränkungen vorweist, müssen Privatanwender doch keinerlei gesetzliche Bestimmungen einhalten. In meinem Test der Home-Version speicherte ich in einer mehrstündigen Aktion mehr als 282.000 private Emails. Trotz eines Datenbestandes von mehr als 2,2 GB dauerte die Suche nach einem Begriff keine drei Sekunden.

Leider darf MailStore Home nicht in kommerziellem Umfeld eingesetzt werden, so daß ich einen genaueren Testbericht leider schuldig bleiben muß. Für Einzelunternehmer mit einer einzigen E-Mail-Adresse ist die Speicherung der .msg-Dateien auf CD/DVD absolut ausreichend. Bitte achten Sie aber darauf, daß eine gebrannte CD/DVD keine 10 Jahre hält, Sie müssen die Datenträger alle 2-3 Jahre kopieren – aber das trifft auch für MailStore-Archive zu.

Zugegeben, das Erstellen von Zertifikaten generell, oder Code Signing im speziellen ist nicht ganz so einfach. Daher folgt hier ein Kochkurs: Wie backe ich ein Code Signing Certificate?

Die Zutaten: Eine Kreditkarte mit $50 Guthaben und eine lauffähige Installation von OpenSSL.

Schritt 1: Anmeldung bei StartSSL und Durchführung der Zertifizierung gemäß “StartSSL™ Verified“

Sie benötigen für diesen Vorgang zwei der folgenden drei Dokumente als Scan:

1. Personalausweis (Vorder- und Rückseite)
2. Reisepass (Alle Seiten)
3. Führerschein (Alle Seiten)

Außerdem benötigen Sie eine auf Ihren Namen ausgestellte Telefonrechnung. Die Durchführung der Registrierung auf StartSSL.com überlasse ich dem Leser als Übungsaufgabe.

Schritt 2: Erstellen des Zertifikats

Das Code Signing Certificate besteht aus einen privaten und einem öffentlichen Schlüssel. Es ist unbedingt notwendig, den privaten Schlüssel vollständig und unter allen Umständen geheimzuhalten. Aus diesem Grunde müssen wir das Schlüsselpärchen auf unserem Computer berechnen und den Schlüssel von StartSSL signieren lassen, was quasi einer Unterschrift gleichkommt. Öffnen Sie eine Konsole und wechseln Sie in das OpenSSL-Verzeichnis. Alternativ tut es auch, aus Bequemlichkeitsgründen, ein Webserver mit Shellzugang.

Als Kennwörter sollten Sie grundsätzlich sehr sichere Kennwörter verwenden, ein Mix aus 20 Buchstaben, Zahlen und ein oder zwei Sonderzeichen sollte genügen. Sollte Ihre Datei abhanden kommen, kann sie mißbraucht werden, um schädliche Software unter Ihrem Namen in Umlauf zu bringen.

openssl genrsa -des3 -out codesign.key 4096
openssl req -new -key codesign.key -out codesign.csr

Codesign.key enthält nun das Zertifikat und in codesign.csr findet sich der “Code Signing Request”, also die Aufforderung an die Zertifizierungsbehörde StartSSL, unser Zertifikat zu unterschreiben. Denn: An StartSSL können wir unsere codesign.key ja nicht schicken, denn in dem Moment wäre sie ja zumindest theoretisch bekannt.

Ich gehe nun davon aus, daß Sie aus dem ersten Schritt noch bei StartSSL angemeldet sind und sich in Ihrem Control Panel befinden.

Rufen Sie den Certificate Wizard auf und wählen Sie als Option (Drop-Down Liste): Object Code Signing Certificate (beta). Im nächsten Bild kopieren Sie den Inhalt der Datei “codesign.csr” in das Eingabefeld. Sie erhalten als Dankeschön eine Ausgabedatei, zum Beispiel “codesign.crt”, die das öffentliche Zertifikat darstellt.

Schritt drei: Kombinieren von öffentlichem und privatem Schlüssel für den Signaturvorgang

In der Konsole:

openssl pkcs12 -export -out codesign.pfx -inkey codesign.key -in codesign.crt

Es entsteht eine Datei codesign.pfx, die durch das Microsoftsche Tool “signtool.exe” verwendet werden kann. Für den eigentlichen Signaturvorgang (hier als Beispiel möchten wie eine Datei “software.exe” signieren.

signtool.exe sign /f Codesign.pfx /p <IHRKENNWORT> /tr “http://www.startssl.com/timestamp” software.exe

Durch die Verwendung von /tr “http://www.startssl.com/timestamp” als Parameter wird das jetzige Datum und die Uhrzeit durch StartSSL.com signiert und in die ausführbare Datei geschrieben. Der Sinn liegt darin, daß eine Datei auch dann gültig signiert sein soll, wenn das verwendete Zertifikat abgelaufen ist – solange nur der Signaturvorgang innerhalb des Gültigkeitszeitraums des Zertifikats durchgeführt wurde.

Worauf Sie nun achten müssen: Die Dateien “codesign.key” und “codesign.pfx” sind als unantastbar zu betrachten. Sie enthalten den nicht-öffentlichen, geheimen Schlüssel. Daher ist es wirklich notwendig, sichere Kennwörter zu verwenden.

Hat es geklappt?

Sie können die korrekte Signatur im Dialogfenster “Eigenschaften” mit einem Rechtsklick auf die signierte Datei überprüfen.

Ich wünsche viel Spaß beim coden!

Eine einfache Lösung ist, die Daten einfach bei sich zu behalten, zum Beispiel durch eine freie Analysesoftware, die die Daten Ihrer Besucher unter Kontrolle hält.

So empfiehlt das “Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein” (ULD) in der frei verfügbaren Analysesoftware Piwik eine rechtlich einwandfreie Alternative zum Google Analytics – sofern die Datenschutzgesetze vollständig eingehalten werden. (Quelle: Heise News)

IT-Consult Stenzel bietet Piwik bereits seit Januar 2009 auf allen verwalteten Internetpräsenzen kostenfrei an. Wichtig ist, daß der Code zur Zählung der Besucher auf allen Webseiten der Präsenz eingefügt ist. Im Falle des “managed Hosting” übernehmen wir die Einbindung des Codes. In diesem Fall informieren Sie uns bitte bei Änderungen in Ihrem Template. Wenn Sie Ihre Internetpräsenz selber verwalten, müssen Sie den Code selber in Ihr Template einfügen.

Des Weiteren stehen Ihnen zur Analyse die Rohdaten (“Logdateien”) des Webservers, sowie auf Wunsch eine tabellarische Auswertung zur Verfügung.

Rufen Sie im Zweifelsfall einfach an und lassen Sie sich kostenlos beraten.

ReverseRename kehrt diese Dateinamen um und erlaubt auch hier eine Zusammenfassung von Logdateien mit Hilfe von ConcatLog.

Diese Logdateien enthalten alle Zugriffe auf nicht konfigurierte Bereiche eines Webserver und sind somit eine sehr gute Quelle, um Fehler in eigener, oder fremder Software aufzuspüren. Auch Angriffe auf den Webserver Apache werden meist hier protokolliert. Daher ist eine Analyse dieser Dateien für Programmierer sehr wertvoll.

Interessierte Serverbetreiber finden die LogTools unter der Kategorie “Software“.

Die Lizenz ist Freeware.

Häufig weiß ich die Antwort auf diese Fragen, diese sind aber hier leider noch nicht zu finden. Die Suchenden gehen also leider leer aus. Vielleicht hilft aber die Antwort dem nächsten Besucher, daher beantworte ich heute Suchbegriffe.

wo sehe ich den speicherbedarf von typo3

Sehr gute Frage, den Speicherbedarf kann man leider nirgendwo sehen, sofern php nicht als cgi-bin ausgeführt wird. TYPO3 startet während seiner Arbeit etliche Programme, an prominenter Stelle steht hier ImageMagick, eine Bildbearbeitung die je nach Bild gerne ein paar Dutzend MB verbraucht. Außerdem hat jede TYPO3-Version unterschiedliche Add-ons installiert, die den Speicherbedarf weiter in die Höhe treiben.

Generell is TYPO3 für den Betrieb auf Shared Servern (sog. “virtual server”, oder “v-server”) nicht besonders gut geeignet. Kleinere Internetpräsenzen kann man mit 2 GB Arbeitsspeicher gut versorgen, sofern nur wenige Anfragen pro Sekunde kommen. Große Präsenzen, wie z.B. buffed.de würde ich gleich mit mindestens 16 GB und einem Lastverteiler versehen.

Genauere Antworten müßte man an Ihrer Präsenz ausmessen, indem man den freien Hauptspeicher im laufenden Betrieb misst.

programme updaten open source

Es gibt dafür unter Windows leider immer noch kein Patentrezept. Die Lösung zum Problem, alle OpenSource Programme auf einem Computer gleichzeitig zu aktualisieren lautet: Linux (Ubuntu) installieren. Ab sofort können Sie mit folgendem Befehl alle Anwendungen des Computers gleichzeitig aktualisieren:

apt-get update; apt-get -y upgrade

Dennoch ist eine der häufigsten Anfragen: Wie kann ich im Verzeichnis typo3temp großreinemachen?

Die meisten TYPO3-Erweiterungen mögen es nicht, wenn ihnen ihre Datenverzeichnisse unter den Füßen weggezogen werden. Die Programmierer ersparen sich hier die Prüfung auf Existenz des Verzeichnisses – denn dieses wurde bei der Installation der Erweiterung ja unweigerlich angelegt, dafür sorgt das TYPO3-Framework. Löscht nun der Anwender diese Verzeichnisse, brechen Scripte ab und legen damit TYPO3 lahm.

Einfach alle Dateien in typo3temp zu löschen ist auch keine gute Idee – dort hinein gehören zumindest die Dateien index.html und .htaccess. Die Datei index.html enthält Code, der einen Besucher auf die Homepage führen soll. Klickt jemand auf einen fehlerhaften Link und gelangt auf ein nicht mehr existierendes Bild in typo3temp, wird er automatisch auf die Startseite der Internetpräsenz umgelitten. Die Datei .htaccess enthält oft den Code: “Options -indexes”, welcher die automatische Erstellung einer Dateiliste durch den Webserver ausschaltet. Diese Dateien dürfen natürlich nicht gelöscht werden.

Also kurz: Um typo3temp aufzuräumen dürfen darin nur Dateien gelöscht werden, die weder “index.html”, noch “.htaccess” heißen. Sind diese nicht da, wäre es ratsam sie wie oben genannt zu erstellen. Das zu automatisieren, dazu dient das folgende Script. Es ist nur ein Parameter einzustellen: Das zu säubernde TYPO3 Verzeichnis.

Wichtig: Nach Reinigung des typo3temp Verzeichnisses muß unbedingt im TYPO3 Backend die Funktion “Alle Caches leeren” angewendet werden, damit TYPO3 nämlich diese Temporärdaten neu erstellt.

Noch eine Warnung: Bei umfangreichen Seiten, insbesondere auf “Virtual Servern” oder “Shared Servern” wird eine enorme Systemlast verursacht, da alle Arbeiten von nun an neu erstellt werden müssen. Insbesondere bei grafiklastigen Seiten eine Katastrophe – daher: Anwendung nur auf eigene Gefahr!

Letzte Warnung: Dieses Script löscht DATEIEN! Anwendung auf eigene Gefahr! Absolut gar keine Garantie! Getestet nur auf Ubuntu 8.04 LTS Server!

Download: t3clean script for Linux

Mögliche Änderung: Wenn man die Zeile vor “rm $DATEI” wie folgt ändert, werden alle bereits existierenden Dateien “index.html” und “.htaccess” zurückgesetzt:

if [ -f "$DATEI" ]; then

Ubuntu gibt bei ‘ls’ normalerweise nicht die Verzeichnisnamen “.” und “..” aus. Dennoch ist diese Abfrage da – das Script löscht Dateien. Risiken: Das Script könnte durch einen symbolischen Verzeichnislink aus dem typo3temp Verzeichnis ausbrechen und die komplette Festplatte löschen. TYPO3 selber legt so etwas nicht an, aber von Hand ist es möglich. Daher: aufpassen!

Häufig weiß ich die Antwort auf diese Fragen, diese sind aber hier leider noch nicht zu finden. Die Suchenden gehen also leider leer aus. Vielleicht hilft aber die Antwort dem nächsten Besucher, daher beantworte ich heute Suchbegriffe.

Suchbegriff: Sicherungsscript komplette Festplatte

Geht es hier um Microsoft Windows? Dann kann ich das Freeware (Closed Source) Programm “Macrium Reflect” empfehlen, welches schon mal ganz gut funktioniert. Ganz gut, weil es auch erlaubt, Daten auf einfache Weise zurückzuspielen – sogar, wenn das Betriebssystem gar nicht mehr funktioniert. Eine kostenlose Linux-basierte Rettungs-CD kann heruntergeladen werden und funktioniert auf den meisten handelsüblichen Computern.

Sollte es hier um Linux gehen, dann reicht wohl ein tar-Befehl. Der Suchbegriff sagt “Sicherungsscript” und Scripte sollen wohl selbständig und unbeobachtet laufen. Wichtig ist, daß alle Dienste beendet werden, ansonsten werden zum Beispiel Datenbanken in geöffnetem Zustand gespeichert und das wäre beim Rückspielen schadhaft. Man benötigt eine zweite Festplatte, oder Festplattenpartition, da eine Sicherung nicht auf der zu sichernden Festplatte durchgeführt werden kann, denn dies würde ja die Sicherung mitsichern und in einer Endlosschleife enden.

Unix-Komplettsicherungen sind eigentlich unüblich. Dies gilt vor allem, da sich das Betriebssystem nicht regelmäßig von selber zerlegt. Außerdem ist das Rückspielen einer solchen Sicherung nicht trivial. Des Weiteren erhält man alle benötigte Software auf der Installations-DVD und kann sie mit dem Betriebssystem komfortabel mitinstallieren und auch aktualisieren. Es reicht also die Sicherung von /etc/* und /home/* um eine Linux-Installation mit vertretbarem Aufwand wiederherzustellen – es sei denn man ist ein Bastler, der seine eigene Software kompiliert, ein Vorgang den ich in der Linux-Welt auf dem Desktop immer seltener beobachte.

Tip: Mit der Macrium Reflect Rettungs-CD kann man auch Linux-Installationen sichern.

Suchbegriff: typo3 extern clear cache

Hier scheint es darum zu gehen, wie man von “außerhalb” den TYPO3-Cache löschen kann, also das physikalische Äquivalent von “Clear All” im Backend.

Ohne vorher zu tief in die Materie eingestiegen zu sein, habe ich gute Erfahrungen mit folgenden Schritten gemacht:

1. Alle Dateien in /typo3temp löschen, ausgenommen die folgenden: .htaccess und index.html (die man aber auch später wieder neuerstellen kann)
2. In der Datenbank alle Tabellen leeren , die mit cache_ beginnen. (Wichtig! Nicht: löschen! Leeren ist etwas anderes, siehe “SQL TRUNCATE”)
3. Löschen der Dateien typo3conf/temp_*

Das Erstellen eines Script überlasse ich meinen Besuchern als Übungsaufgabe.

Soll nur das TYPO3-Verzeichnis für ein platzsparendes Backup vorbereitet werden, empfehle ich meinen Artikel “Eine intelligentere Sicherung“, welcher sich mit dem Problem genauer befasst und auch einige Codeschnipsel enthält.

Suchbegriff: wie kann man die dateiliste bei typo 3 ausdrucken oder exportieren

Tja hm, gute Frage. In der TYPO3 Extension Repository (TER) findet sich auf den ersten Blick ein Add-On namens file_list, welches Listen bestimmter Verzeichnisse anbietet. Also generell brauchbar, solange man nur eine Repository verwendet. Es ist leider ein Frontend Plugin, aber man kann den Zugriff auf diese Seite ja schützen. Hilft das?

Häufig weiß ich die Antwort auf diese Fragen, diese sind aber hier leider noch nicht zu finden. Die Suchenden gehen also leider leer aus. Vielleicht hilft aber die Antwort dem nächsten Besucher, daher beantworte ich heute Suchbegriffe.

Suchbegriff: typo3temp neu anlegen

Da hat sich wohl jemand sein typo3temp Verzeichnis gelöscht. Dumm gelaufen.

TYPO3-Extensions haben die Möglichkeit, sich in typo3temp für Dateiuploads ein Unterverzeichnis anzulegen. Dieses geschieht automatisch bei der Installation der entsprechenden Extension. Leider kommen viele Erweiterungen nicht damit zurecht, wenn dieses Verzeichnis fehlt. Daher: Niemals ein Unterverzeichnis in typo3temp löschen! Immer nur die darin enthaltenen Dateien löschen (ausgenommen “.htaccess” und “index.html”).

Wie man trotzdem eine platzsparende Sicherung macht, umreisse ich in meinem Artikel “Eine intelligentere Sicherung“.

Wenn es nun schon zu spät ist, zum Beispiel nach dem Rücksichern einer Sicherung ohne typo3temp Verzeichnis hilft nur:

1. typo3temp aus dem originalen TYPO3-Archiv wiederherstellen
2. Einloggen ins Backend und alle Extensions zunächst deinstallieren und dann sogleich neu installieren um die übrigen Verzeichnisse zu erstellen.
3. Im Backend alle Caches löschen.
4. Ordentliche Leute räumen danach gleich die Config-Datei auf, da der Extension manager da ziemlich drin rummüllt.

Suchbegriff: avg beschleunigen

AVG Antivirus ist dafür bekannt, sehr großzügig mit Ressourcen umzugehen. Da es aber bei den Werbeeinblendungen sehr gutmütig ist, ziehe ich es dennoch anderen Scannern vor. Wenn man über einen langsameren PC verfügt, z.B. ein Netbook, ist man vielleicht mit Avira Antivirus Free besser bedient.

Unter Windows XP kann man AVG während des Bootvorgangs ausschalten und somit den Bootvorgang erheblich beschleunigen. Dazu wird das Laden von AVG während des Bootvorgangs unterbunden und dieser nach Beendigung des Bootens nachgestartet. Genauere Informationen und die dazu notwendige Software nur für Windows XP findet sich in meinem Artikel Windows-Start beschleunigen mit AVG Antivirus.

Hoffe geholfen zu haben

Häufig weiß ich die Antwort auf diese Fragen, diese sind aber hier leider noch nicht zu finden. Die Suchenden gehen also leider leer aus. Vielleicht hilft aber die Antwort dem nächsten Besucher, daher beantworte ich heute Suchbegriffe.

Suchbegriff: typo3 drop die ganze db per konsole

Ein Klassiker. Man kann jede beliebige MySQL-Datenbank mit dem Dienstprogramm mysqldump in eine Textdatei schreiben. Besser wäre es allerdings, die Tabellen welche mit “cache_” beginnen nicht mit zu sichern. Diese werden von TYPO3 automatisch neu erstellt. Dazu habe ich bereits einen Artikel “Eine intelligentere Sicherung” geschrieben. Einfach das Verzeichnis /var/lib/mysql/<datenbankname> zu sichern reicht nämlich leider nicht. Enthält die Datenbank nämlich Tabellen im Format “InnoDB”, befinden sich die Daten dieser Tabellen in der Datei /var/lib/mysql/ibdata1 – vermischt mit allen anderen InnoDB Tabellen aller anderer Datenbanken.

Syntax des Befehls mysqldump:

mysqldump -e -C --add-drop-table -u <benutzer> --password=<kennwort> -h localhost <datenbank> | gzip --best > sicherung.gz

Hier ist ein Benutzername mit Zugriffsrechten auf die zu sichernde Datenbank inklusive Kennwort anzugeben. “Localhost” ist, bei entfernten Servern, mit der IP-Adresse oder dem Domainnamen des Datenbankservers zu ersetzen. Der Benutzer muss dann allerdings auch vom Internet aus Zugriffsrechte haben. Wie man die Cache-Tabellen von der Sicherung ausschließt, siehe in meinem Artikel.

Suchbegriff: ubuntu 10.4 nat

Network access translation ist bei der Standardinstallation von Ubuntu ausgeschaltet. >Man muß zunächst dem Kernel erlauben, Pakete weiterzuleiten:

echo "1" > /proc/sys/net/ipv4/ip_forward

Erst jetzt kann man iptables dazu bringen Pakete POSTROUTING weiterzureichen. Nächstes Problem für den Hilfesuchenden: Wie zum Teufel funktioniert iptables?!?

Suchbegriff: wie beende ich mittels tastenkombination ubuntu 10.4

Wenn eine Konsole gerade offen ist, folgenden Befehl eingeben und mit der Eingabetaste abschließen:

shutdown -h now

Naja, das war aber sicher anders gemeint…

Nun im Ernst: Ubuntu hat ein Applet namens “Keyboard shortcuts”. Man erreicht es über das Hauptmenü “System>Einstellungen>Tastaturkürzel” (oder so ähnlich). Dort sind alle Einstellungen hinterlegt und können auch geändert werden. Sollte sich dort keine Einstellung finden lassen, hat der Einsteiger leider Pech gehabt.

Man kann sich ja ein Script anlegen (Mit suid-Flag!) und das mit einer Tastenkombination belegen:

#!/bin/sh
sudo shutdown -h now

Aber Achtung: shutdown macht genau das. Es verfügt nicht über die Genade und Langsamkeit von Windows™. Also vorher alles Speichern!

Obwohl Amazon AWS teurer als vergleichsweise Services ist, sind diese an feste Vertragslaufzeiten gekoppelt. Das Anmieten eines richtigen Webservers mit garantierter Leistung kostet zwar nur um die 40-80 Euro, die Vertragsmindestlaufzeit beträgt aber oft 12 oder 24 Monate, insbesondere, wenn auf die Einrichtungsgebühr verzichtet werden soll.

Der riesige Vorteil an S3 liegt nun bei der Möglichkeit einer stundenweisen Anmietung eines Rechners irgendwo im Internet. Amazons Preispolitik “zahle nur was du verbrauchst” ermöglicht hier nette Anwendungen.

Schon einmal irgendwo im Internet die Meldung bekommen: “Dieser Inhalt ist aus urheberrechtlichen Gründen für Ihr Land gesperrt”?

Da hätte ich einen Vorschlag zu machen!

Benötigt wird:

1. Ein Amazon AWS Account mit den freigeschalteten Services S3 und EC2.
2. Eine funktionsfähige Server- und Clientkonfiguration des hervorragenden VPN-Tools “OpenVPN” auf Ubuntu (Serverkonfiguration) Die Zertifikate müssen in /etc/openvpn/zertifikate/ sein.

Das Verzeichnis /etc/openvpn mit 7-zip kennwortgeschützt (wichtig!) zusammenpacken. Das Archiv unter dem Namen “i.7z” auf Amazon S3 in einem Bucket ablegen. Die “Access Control List” muß auf “Zugriff für jeden” eingestellt werden. Ansonsten muß man ein Dienstprogramm von AWS, z.B. s3cmd installieren, was einen erheblichen Aufwand bedeutet.

Kochbuch:

1. Neue Instanz von Ubuntu der Größe “m1.small” starten. Das geht auch mit der “Spot-Markt-Version” ab etwa 4 US-Cent. Dazu nehmen wir die folgende AMI: ami-2d4aa444 (Ubuntu 10.4 “Lucid Lynx” Server-Edition, x86)
2. Mittels Putty dort an der Konsole anmelden (Benutzer: ubuntu, Lucid Lynx unterstützt keine Anmeldung als root).
3. Das Script von unten in einen Texteditor editieren, kopieren und mit Klick auf die rechte Maustaste in der neuen Instanz ausführen. Dieses Script installiert 7zip und OpenVPN, lädt die Zertifikate, entpackt sie und startet dann OpenVPN.
4. Der lokalen (Windows-)Installation von OpenVPN muß nun nur noch mitgeteilt werden, wo der frisch gemietete Amazon-Server steht. Dazu wird die IPv4 in der Zeile mit “remote” eingetragen. Fertig sollte das in etwa so aussehen: “remote ec2-174-129-76-38.compute-1.amazonaws.com”.
5. Verbinden und die neue, anonyme Verbindung genießen.

Die Preise: Server pro Stunde der Aktivität: ab 8,5 US-Cent (US East). Eingehender Traffic: US$ 0,15 pro GB. Ausgehender Traffic: US$ 0,10 pro GB (zur Zeit IMHO noch einige Zeit kostenfrei. Stand: Mai 2010). Pro Monat (gerundet) US$ 0,01 für das Archiv von etwa 10-20kb auf S3.

Nachteile:

• Hoher einmaliger Installationsaufwand von etwa 1 Stunde – wenn man sich mit OpenVPN einigermassen auskennt.
• Die in der OpenVPN-Konfiguration eingetragenen DNS-Server müssen von Amazon auch erreichbar sein. Da der gesamte Traffic vom Start des VPN-Tunnels über denselben geht, sind die heimischen DNS-Server nicht mehr erreichbar. Lehnt der eigene ISP die Verbindung vom Amazon-Server durch eine Firewall ab, funktioniert die Namensauflösung ansonsten nicht mehr. Eventuell muss hier der DNS des Amazon Servers konfiguriert werden.
• Nach dem Beenden der Instanz sind alle Daten futsch, inklusive der Logdateien.

Vorteile:

• Durch die “händische” Installation von OpenVNP haben wir volle Kontrolle über die Verschlüsselung. Es kann ganz, ganz bestimmt niemand mitlesen.
• Durch die Wahl der Region, in der die Instanz des Servers gestartet wird, können wir geographische Hürden nehmen.
• Alle Dienste stehen voll zur Verfügung, so auch Videokonferenz, als auch Filesharing.
• Wir nutzen direkt die Ubuntu AMI von Canonical – keine Speicherkosten für EBS und Snapshots, somit auch kein Gefummle mit Elasticfox.
• Nach dem Beenden der Instanz sind alle Daten futsch, inklusive der Logdateien.

Achtung! Nach wie vor ist der Anwender für alle ein- und ausgehenden Datenströme voll verantwortlich. Und: Amazon hat eure Adresse! Diese “Pseudoanonymität” sollte niemanden dazu ermutigen, über ein VPN Straftaten zu begehen. Ihr seid nicht anonym!

Hier die Installationsbefehle. Die Zeilen mit “7z” sind mit dem Kennwort des Archives zu versehen. Das Subnetz habe ich auf 10.10.0.0/24 gewählt, so daß ihr 254 Clientverbindungen schalten könntet. Evtl müßt ihr euer Subnetz aus der OpenVPN-Konfiguration anpassen. Keine Sorge wegen des Klartext-Kennwortes im Installationsscript ganz am Ende dieses Artikels: Die Konsolenverbindung zum Amazon-Server ist verschlüsselt. Die Befehle werden beim Einfügen direkt ausgeführt – daher sind auch keine Tests und Schleifen programmiert.

sudo /bin/bash
apt-get -y install p7zip-full openvpn
rm i.7z
wget http://hus-srv-install.s3.amazonaws.com/i.7z
7z -p{passwort_hier_eintragen} x i.7z
mv zertifikate /etc/openvpn
mv openvpn_ssl.conf /etc/openvpn/
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -F
iptables -t nat -A POSTROUTING -s 10.10.0.0/24 -o eth0 -j MASQUERADE
./openvpn start

Ich hoffe, irgendjemand kann etwas mit diesen Anweisungen anfangen. Wer den Aufwand der Erstkonfiguration scheut, kann diese Zertifikate und Konfigurationsdateien natürlich auch von mir beziehen (ca. 1 Arbeitsstunde), das ist aber nicht empfohlen, da ich dann Zugriff auf Ihre Serverzertifikate gehabt habe und Sie nicht vollständig sicher sein können, daß diese nicht in fremde Hände gelangt sind.