Allgemeines
Gemeinschaftsprojekt von ThomasWaldmann, PetricFrank, JochenSchnürle und BastianBlank: ein eigener Server im Internet - für LinuxWiki, LugLudwigsburg und was sonst noch so anliegt.
aktueller Stand
Rechner ist online und funktioniert
nächste Schritte
- Doku!
- review / doku packetfilter und kernel (schlecht remote zu ändern!)
- packetfilter: dns nach aussen offen, eigene Zones definieren (wenn IPs)
- exim-Konfiguration Rescue-System (IPs siehe unten)
- UML für virtual hosting
Ideen
- Trafficnotbremse mit iptables bauen (PF)
virtual server / vserver oder usermode linux (TW)
- vserver: getrennte Prozess-Sichtbarkeit, je nach "Bereich". Es laeuft nur ein einziger Kernel, aber verschiedene Benutzer sehen sich gegenseitig nicht. Trennung nach IP-Adresse. root-Benutzer unter vserver ist beschraenkt in den capabilities: kein ifconfig anderer interfaces, kein (u)mount usw.
- Probleme:
- modif. Initscripts (offiziell nur fuer Redhat?)
- BB: vserver ist nicht ipv6-kompatibel
- Probleme:
- vserver: getrennte Prozess-Sichtbarkeit, je nach "Bereich". Es laeuft nur ein einziger Kernel, aber verschiedene Benutzer sehen sich gegenseitig nicht. Trennung nach IP-Adresse. root-Benutzer unter vserver ist beschraenkt in den capabilities: kein ifconfig anderer interfaces, kein (u)mount usw.
technische Doku
Hardware
- 2HE Rackmount-Gehäuse, Riserboard 2PCI1AGP
- 3 80mm-Lüfter im Mittelträger, 2 davon an Mainboard angeschlossen (Monitoring), der andere hängt an separatem HW-Monitor (nicht abfragbar, läst akustischen Alarm aus, naja)
- 1 80mm-Lüfter in Netzteil (ohne Monitoring)
- Mainboard Epox 8KTA3+Pro, Via KT133A, ATX, HPT370 ATA100-Chip und Sound onboard
- Athlon XP 1700+ (1466 MHz), 256KB 2ndLevel Cache, 80mm-Kühler mit Papst-Lüfter (an Monitoring) mit 3fach-Halteklammer
- 1.5GB SDRAM PC133 Infineon, 1 DIMM noch frei (und sollte auch so bleiben, war manchmal instabil mit 4 DIMMs)
- Intel Etherexpress Pro/100 (Compaq OEM)
- ATI RageIIc AGP-Grafikkarte
- Flashmodul 64MB IDE (Primary Master)
- CDROM 52x LG EIDE an Southbridge VIA 686B (Secondary Master)
- 2x HDD IBM IC35 40GB 7200U/min EIDE - jeweils an separatem Channel ATA100 des HPT370A
- unterer Wechselrahmen: Primary Master
- oberer Wechselrahmen: Secondary Master
- 2x Wechselrahmen ATA100
- zus. für Notfälle: 1x HDD IBM IC35 40GB + 1 Wechselrahmen
an tts/0 ein ISDN-TA Elink V64 (PetricFrank) als serielle Console - Fernwartung über ISDN ab LILO-Prompt! An der richtigen Schnittstelle aussen steht eine kleine "1" (COM1), an der anderen eine "2" (COM2).
- ISDN Sedlbauer Speedfax+ PCI (S0 des TA auf Buchse ISDN-Karte innen aufgelötet (Idee von Petric))
zum "Anklingeln": DNS -> ISDN -> DYNDNS
- Faxe empfangen(/versenden) als Service
- Fernwartung(?)
- Freie Hardware-Resourcen:
- 2*3.5" Einbauplatz geschlossen
- Ports:
- Sound (Audio-Out nur externe Buchse)
- 1 Serielle SubD-9 (tts/1 aka COM2)
- [1 Parallele - abgeschaltet - trotzdem spurious interrupt 7, seltsam]
- USB 1.1
1 ISA-Slot mit knapp 2HE
Betriebssystem
Debian GNU/Linux stable mit einem Schuß unstable
Partitionierung
- ca. 40GB Gesamtkapazitaet 2*40GB IBM EIDE mirrored SW-RAID1
- RAID-Mirror schuetzt gegen HW-Defekte, nicht aber gegen SW/FS-Probleme
- davon wird die Haelfte als Produktivsystem benutzt, andere Haelfte als 1:1-Backup
- Backup wird benutzt bei FS/SW-Problemen auf Prod.-System
- ausserdem gibt es ein kleines Notsystem, das nur Basisfunktionen wie sshd, filesystemrecovery, filemanagment, backup/restore etc. zur Verfuegung stellt - auf diesem Notsystem werden nur zwingend notwendige Veraenderungen gemacht
MBR |
. |
. |
Primary-LILO |
4GB |
md0 |
ext3 |
/ (prod) |
2GB |
md1 |
ext3 |
/var (prod) |
11GB |
md2 |
ext3 |
/home (prod) |
4GB |
md3 |
ext3 |
/ (backup) |
2GB |
md4 |
ext3 |
/var (backup) |
11GB |
md5 |
ext3 |
/home (backup) |
1.8GB |
md6 |
swap |
swap |
2GB |
md7 |
ext3 |
/ (rescue) |
Achtung: die phys. Reihenfolge der mds auf der Platte ist md0, md3, md1, md4, md2, md5, md6, md7.
64MB-IDE-Flashdisk auf /dev/hda / /dev/discs/disc0/part1 / ext2.
BIOS-Setup
Boot-Reihenfolge:
- disabled oder HDD-0 (Flashdisk für Notfälle)
- CDROM
- SCSI (HPT370 wird wie SCSI behandelt)
Chipset-Setup:
- Delay Transaction = Disabled (VIA 686B Southbridge)
Sonst alles standard...
LILO-Setup
rescue-system schreibt lilo in mbr, der auch productive und backup via other= bootet.
productive und backup betreiben lilo im raid1-mode und schreiben lilo auf sich selbst.
Vorteil: die LILOs auf den einzelnen Systemen sind getrennt voneinander und wenn man auf einem der Systeme "lilo" aufruft, macht man nichts auf den anderen kaputt. Der LILO des rescue-systems im MBR wird normalerweise NIE veraendert.
Nachteil(?): unterschiedliche lilo.confs auf den einzelnen Systemen, d.h. wenn man von der "Produktiv-Haelfte" auf die "Backup-Haelfte" der HDD kopiert/ synced, dann muss man die lilo.conf danach anpassen / auslassen.
Organisation
Es gibt auf dem System folgende Chroots zur unterteilung der Services:
bind |
Bind alleine |
database |
Alles was mit Databases usw zu tun hat |
Ja was wohl, postfix und courier |
|
misc |
Alles was keinen Zugriff auf Userdaten braucht |
user |
Hierin befinden sich alle User |
web |
Apache und alles sonstiges was mit Web zu tun hat |
Dienste/Tools
Status:
- 0 = noch zu erledigen
- 1 = angefangen (installiert)
- 2 = fortgeschritten (konfiguriert/getestet)
- 3 = fertig (stabil)
Allgemein
Dienst |
Status |
konfiguriert |
Kernel |
3 |
BB,TW |
LILO/RAID1/FDISK |
3 |
BB,TW |
dial-in ISDN-TA |
3 |
BB,TW |
Productive
System
Dienst |
Status |
will haben |
konfiguriert |
Kommentar |
Quotas |
2 |
* |
BB |
|
ssh |
3 |
* |
BB,TW |
|
slapd |
3 |
* |
BB |
|
development |
3 |
* |
BB,TW |
chroot: user |
backup (rsync) |
3 |
TW |
BB,TW |
|
firewall (iptables) |
3 |
* |
BB,TW |
|
fcheck/Fileintegrität |
2 |
TW |
TW |
netsaint inject? |
monitoring (netsaint) |
3 |
* |
BB |
|
mta (postfix) |
3 |
* |
BB,TW |
chroot: mail |
ipv6 |
3 |
BB |
BB |
|
Rescue-CD |
0 |
* |
PF? |
|
ISDN/Sedlbauer |
1 |
TW,PF |
TW |
|
IP-Accounting (if) |
2 |
* |
BB,TW |
netsaint, z.z nur eth0 total |
Services
Dienst |
Status |
will haben |
konfiguriert |
Kommentar |
dns (bind) |
3 |
* |
BB |
chroot: bind |
http (apache) |
3 |
* |
BB |
chroot: web |
db (postgresql) |
1 |
JS,PF,TW |
BB |
chroot: database |
wiki (moinmoin) |
3 |
* |
TW |
chroot: web |
CVS |
1 |
BB,PF,TW |
BB |
|
pop3s (courier) |
3 |
TW |
BB,TW |
chroot: mail, kann wieder abgeschaltet werden |
imaps (courier) |
3 |
TW |
BB,TW |
chroot: mail |
ftpd |
0 |
JS,PF |
? |
erst mal nicht |
php |
2 |
JS |
BB |
chroot: web |
zope |
3 |
BB |
BB |
chroot: web |
h323 |
1 |
PF |
PF |
chroot: misc |
Applications
Dienst |
Status |
will haben |
konfiguriert |
Kommentar |
mail-client/mutt |
3 |
BB,TW |
BB |
|
irc-client |
3 |
BB,TW |
BB |
chroot: user |
nmap,nessus |
3 |
TW |
BB,TW |
|
Openoffice 1.0 |
3 |
TW |
TW |
chroot: user |
Rescue
Dienst |
Status |
konfiguriert |
Kommentar |
ssh |
3 |
BB,TW |
|
send-only mta (exim) |
3 |
BB |
|
monitoring (netsaint) |
3 |
BB |
|
http (apache) |
3 |
BB |
für netsaint output |