Einige Fragen, vielleicht hat jemand Antworten...

[MrWeb]

Hi @ all,

zuerstmal, Respekt, ist eine sehr übersichtlich und angenehme Software
die Ihr da zustande gebracht habt !

Ich hab mir mal einen Server (Debian Etch) damit aufgesetzt um mir das
eben mal genauer anschauen zu können.

Damit ich diese Software wirklich 'verwenden' kann, müsste ich einiges
allerdings anders anwenden und ich weiß nicht, ob dies so mit dieser
Software realisierbar ist.
Hinzufügen möchte ich noch, dass ich Softwareentwickler bin und somit
kein Problem damit hätte, erweiterungen/anpassungen etc. zu implementieren.
Dies wird dann aber wohl nicht ganz ohne die Hilfe von Erfahrenen Anwendern
bzw. Entwicklern hier sein.

Ok, nun mal zu meiner Situation.

Ich betreibe einen www Server, einen dns Server (auch second dns) und
natürlich einen Mail Server. Problem dabei, das sind wirklich alles jeweils
voneinander getrennte Server (Maschinen). Derzeit alle Debian 4.0 (Etch).

Also Software kommt jeweils zum Einsatz :
dns -> Bind (9)
www -> apache2
mail -> qmail / MailScanner / Spamassassin / clamav/bitdefender

Nun, so wie ich die Software hier nun installiert habe, wurde natürlich
alles auf einem host installiert. Gab auch keine Abfrage, ob dies vielleicht
entfernte hosts sind. Vor allem postfix/currier passt für mich nicht.
Mein Qmail System ist mittlerweile derart weiterentwickelt/verbesser und
angepasst, dass ich darauf nicht mehr verzichten möchte (und meine Kunden natürlich auch nicht).

Nun, gibt es vielleicht einen Ansatzpunkt, wie man ispCP für QMail anpassen könnte ?

Noch etwas, ich verwende bei meinen www Accounts kein FTP mehr, da
dies immer wieder mal, durch Hackangriffe probleme verursachte.
Ich habe alle Konten auf eine scponly umgebung mittels Zertifikaten
umgestellt und seitdem ist ruhe. Wäre hier wieder ein Ansatz, aus dem
FTP Zugang ein System von SCP Zugang zu programmieren.

Wie gesagt, sind derzeit einfach nur mal Fragen, wie wo was denn möglich
wäre (möglichst, mit einer Angabe, mit welchem Aufwand).

Wäre nett, wenn sich ein paar von euch vielleicht einfach mal dazu
äußern könnten.

Danke an alle für diese sehr schöne Projekt !

Gruß aus der Pfalz
Torsten
Alias MrWeb

[Gos77]

Für eine SCP-Umgebung wäre ich ebenfalls zu begeistern

Für ne Trennung von Webserver und Mailserver gibt es im Doku-Wiki glaube ich eine Anleitung. Vielleicht hilft die ja schon weiter.

[MrWeb]

(11-27-2008 11:55 PM)Gos77 Wrote:  Für ne Trennung von Webserver und Mailserver gibt es im Doku-Wiki glaube ich eine Anleitung. Vielleicht hilft die ja schon weiter.

Ja, das habe ich auch gelesen.
Ist allerdings für die verwendung eines externen SMTP (Relay)

Hab auch schon ne info gefunden für das verteilen ähnlich wie ich es
hier anspreche. Allerdings läuft dies dann via nfs laufwerke ab und das
gefällt mir gar nicht.
Da würde ich es bevorzugen, wenn eben bspw. der daemon auf allen
systemen läuft und diese miteinander kommunizieren.

Aber es gibt bestimmt noch anderen mit Hinweisen, Tips und Informationen
oder ?

Gruß
Torsten
Alias MrWeb

[jmeyerdo]

(11-28-2008 12:17 AM)MrWeb Wrote:  Da würde ich es bevorzugen, wenn eben bspw. der daemon auf allen
systemen läuft und diese miteinander kommunizieren.

Das sind alles sehr schöne Gedanken - aber im Moment irgendwo weit hinten auf einer Wishliste.

Im Moment ist ispCP ein gut funktionierendes Administrationspanel für einen einzelnen Server. Man kann andere Sachen integrieren (z.B. Dovecot als Mailer), aber es ist immer einiges an manuellem Aufwand notwendig - und man muss dann jedes Update manuell nachziehen/nachbearbeiten.

Ich würde Dir empfehlen, Dir 1-2 Stunden Zeit zu nehmen, ispCP auf einem Linux-Rechner oder notfalls virtuellem Server zu installieren und ein wenig das System zu durchschauen.
Von dem was Du denkst (Modularität der Komponenten, Kommunikation über mehrere Server per Daemon) ist das System noch "ein wenig" entfernt.

Viele Grüße, Jens

[MrWeb]

Quote:Das sind alles sehr schöne Gedanken - aber im Moment irgendwo weit hinten auf einer Wishliste.

Hab ja auch weniger nach einem Wunsch gefragt, sondern was eben derzeit
machbar ist. Wenn ich mir das wünsche, und es in einem realistischem
Aufwand realisierbar ist, hab ich kein Problem damit der Community was
zurück zugeben und sowas zu implementieren. Für mich, ist die Software
so wie sie derzeit ist, also eben alles auf einem Server leider nicht nutzbar.

Quote:Im Moment ist ispCP ein gut funktionierendes Administrationspanel für einen einzelnen Server. Man kann andere Sachen integrieren (z.B. Dovecot als Mailer), aber es ist immer einiges an manuellem Aufwand notwendig - und man muss dann jedes Update manuell nachziehen/nachbearbeiten.

Ja, das mit Devecot hab ich bereits gelesen. Gut, da ist es sicherlich auch
möglich, qmail zu integrieren. Für mich ist da halt interessant, in welchem
Zeitaufwand dies erledigt werden kann. Ich kenne hierzu den internen
Stil der Software nicht gut genug. Ich weiß nicht, wie modular oder eben
nicht das system aufgebaut ist. Deshalb frag ich ja hier, um dies zu
erfahren....

Quote:Ich würde Dir empfehlen, Dir 1-2 Stunden Zeit zu nehmen, ispCP auf einem Linux-Rechner oder notfalls virtuellem Server zu installieren und ein wenig das System zu durchschauen.

Wie ich in meinem ersten Post bereits geschrieben habe, hab ich ja genau
das bereits getan. Ich hab es installiert und auch damit mal gespielt. Bisher
hab ich mich jetzt aber noch nicht durch Quellcodes gewühlt, da ich da
erstmal einige Info's vorher haben wollte. Wenn von den Entwicklern
gleich die Info käme, riesen Aufwand, oder nicht machbar, kann ich mir
das ja sparen....

Quote:Von dem was Du denkst (Modularität der Komponenten, Kommunikation über mehrere Server per Daemon) ist das System noch "ein wenig" entfernt.

Viele Grüße, Jens

Ok, das nehm ich dann so mal hin bzg. Modularität.
Kommunikation zwischen Servern ist eigentlich kein Hexenwerk, zumal der
Daemon ja schon existiert. Dieser müsste ja nur dahingehend erweitert
werden, dass eben die jeweiligen Dienste auf den jeweiligen Daemon des
entfernten rechners anspricht .... Sicher, nicht einfach aber auch nicht
sooooo schwer .... Genaues kann ich hierzu noch nichts sagen, da ich
eben die implementierungen so nicht kenne, bzw. halt noch nicht ...

Aber mal danke für dein Posting ...

Gruß
torsten

[joximu]

Die Schnittstelle zum Daemon ist noch etwas rudimentär (wird mit einem einfachen telnet Kommando angestossen), prinzipiell ist der Daemon in Perl geschrieben - holt die Daten aus MySQL, schreibt Config-Dateien für die Services (Courier, whatever) und ändert den Status der behandelten Datensätze auf "ok". Es werden verschiedene Perl-Dateien (Module???) für die verschiedenen Tätigkeiten genutzt...
Der Client in PHP schreibt immer in die DB - und ändert halt den Status auf "toadd" oder "change".
Proftpd greift direkt auf die DB zu - kein extra Daemonteil dafür.

Das wäre ein grober Überblick über ispcp. Geplant ist/war schon lange eine Multiserver/Modularisierte Version, aber die Version 1.0 dauert wohl etwas länger als ursprünglich angenommen... :-)

Gruss J

[MrWeb]

Hi, na das is doch mal eine Aussagekräftige Antwort.

(11-28-2008 01:00 AM)joximu Wrote:  Die Schnittstelle zum Daemon ist noch etwas rudimentär (wird mit einem einfachen telnet Kommando angestossen), prinzipiell ist der Daemon in Perl geschrieben - holt die Daten aus MySQL, schreibt Config-Dateien für die Services (Courier, whatever) und ändert den Status der behandelten Datensätze auf "ok". Es werden verschiedene Perl-Dateien (Module???) für die verschiedenen Tätigkeiten genutzt...
Der Client in PHP schreibt immer in die DB - und ändert halt den Status auf "toadd" oder "change".
Proftpd greift direkt auf die DB zu - kein extra Daemonteil dafür.

Das wäre ein grober Überblick über ispcp. Geplant ist/war schon lange eine Multiserver/Modularisierte Version, aber die Version 1.0 dauert wohl etwas länger als ursprünglich angenommen... :-)

Gruss J

Ja, das mit dem Daemon dachte ich mir schon. Dessen Quellcodes hatte
ich schon mal überflogen. Aber das waren C Dateien, kein Perl. Gut, da
muss ich dann mal genauer schauen.
Aber gut, ich sag mal, den Daemon zu überarbeiten bzw. erweitern, sollte nicht so schwer sein.
Zumal eben eigentlich nur dieser wirklich für den Mutliserver Betrieb
verantwörtlich wäre.... Sobald man in der gui was ändert, setzt diese den
Status in der DB, und die einzelnen Daemons müssten dann nur jeweils
Ihren Teil aus der DB holen, und bearbeiten.

Gibt es denn irgendo docs für Entwickler ? also irgend sowas wie
Modularisierung des systems, bzw. der komponenten, oder schnittstellen-
beschreibungen etc ?

Gruß
Torsten

[joximu]

Mir sind keine Docs bekannt - ausser dem Quellcode.

Ja, ein Teil des Daemons ist in c - der ruft dann den request-manager (perl) auf, der die DB Abfragen macht und weitere Perl-Skripte aufruft...

Sorry für die Ungenauigkeit... :-)

Gruss J

[Gos77]

Hallo MrWeb,

also ich hatte mal einen Test gemacht, wo ich 2 ispCP Web-Server an einem DB-Server angebunden habe. Das ging eigentlich schon ganz gut. Man musste jedoch die Domains auf dem jeweiligen Webserver anlegen, da im Hintergrund ja der ispCP-Daemon auf dem Web-Server arbeitet, jedoch die entsprechenden Einträge in eine gemeinsame ispCP-DB auf dem DB-Server schreibt.

Man musste nur mit den Kunden-IDs (vu200x) bissl aufpassen, so das beide ispCP Web-Server unterschiedliche Startbereiche dafür haben. Und die Range sollte je nach Kundenumfang entsprechend groß gewählt werden pro Web-Server.

Vielleicht hilft Dir diese Idee ja auch schonmal etwas weiter. Habe mich jedoch leider bisher noch nicht mit der Auslagerung eines extra Mail-Server beschäftigt. Habe bei mir nur 2 SMTP-Relays im Einsatz die per MySQL-View die Mails auf die entsprechenden Webserver auf denen auch die Postfächer der Kunden liegen verteilen.

tschööö Gos77

[starcounter]

Um da mal meinen Senf dazuzugeben.

Für mich war von Anfang an eine Trennung von Mail und Webserver unabdingbar.

Ich bin nun leider kein Entwickler, sondern nur Sicherheitsberater und musste mir also etwas mit einer anderen Herangehensweise helfen.
Ich habe das schon vor 1,5Jahren wie folgt gelöst und fahre bis jetzt immernoch spitze damit:

Ein richtig großer Server mit ubuntu 8.04 Server LTS (vorher Debian 4.0), der mit openVZ installiert ist und wirklich sonst gar nichts drauf hat. mittels iptables werden die entsprechenden Ports auf die virtuellen Maschinen umgesetzt. mit den OpenVZ Parametern kann man den Maschinen Ressourcen und Prioriäten zuordnen. Der SSH-Port ist auf einen anderen gesetzt und ist auch nur vom Admin-Server zu erreichen.
Darunter dann 3 Maschinen:

1. Admin-Server (hat mit ispcp nix zu tun, sondern ist nur zur Verwaltung da).
Dieser hat den SSH-port von "aussen" durchgeroutet. Wenn sich also einer von außen anmeldet kommt der NUR auf dem Admin-Server an.

2. Webserver: Hier sind Mysql, proftpd, apache2, php5 zusammen mit ISPCP am laufen.
Ports von außen werden nur 21, 80, 443 und zugelassen. SSH nur vom ADMIN-Server.

3. Mailserver: Hier sind dann Courier, Amavis, Spamassassin, Postfix am laufen.
Ports wieder nur die nötigen. Also in diesem Fall 25, 110, 143, 993, 995.
SSH wieder nur vom ADMIN-Server.

Und jetzt der Clou: Der Webserver hat zwar manche Dienste nicht, greift aber mittels symlilnks in der /etc auf die Konf vom Mailserver zu.

Ich bin dann sogar noch einen Schritt weiter gegangen und habe mittels "mount --bind" in der OpenVZ Konfiguration einige Verzeichnisse vom Host direkt eingebunden, so dass sich der mail, Admin und Webserver einige Verzeichnisse teilen können. So kann ich z.B. auf dem Admin-Server die Logs lesen ohne auf den anderen Maschinen einzuloggen.

Dieses Konzept ist meines Erachtens äußerst sicher. Man benutzt zwar nur eine Maschine, hat aber die Möglichkeit die Ressourcen perfekt zu kontrollieren und zuzuordnen. Eine Killeranwendung des Webservers legt nicht den Mailserver lahm und umgekehrt. Und man kann auch noch über den Host quasi "unter" die Maschinen greifen.
Für Hacker ist dieses prinzip äußerst schwer zu durchdringen.
FTP ist allerdings ein Dorn im Auge, welches ich auch bald abstellen werde. (Wobei ich noch nie Probleme damit gehabt habe.

Aber zurück zum Thread:
Im Prinzip kann man diese Aufteilung auch auf mehrere physikalische Maschinen übertragen. In diesem Fall müsste man halt die Conf-Verzeichnise mittels NFS/SSHFS oder auch einem schönen NAS einbinden. Oder man löst es mittels eines rsyncs.

Im Prinzip brauch man ja nur das /etc/postfix mit den ispcp-Alias blabla und den sasl2 mist...

Aber ich finde diese Virtualisierung so schön, dass ich das auch schon bei mehreren physikalischen Servern gemacht hab. Einfach immer openvz drunter und los gehts... Man hat einfach mehr Möglichkeiten und der Performanceverlust bei OpenVZ ist minimal.

Das wollte ich nur mal so in den Raum schmeissen, da ich (glaube ich zumindest) von dieser Lösung noch nicht hier im Forum gelesen habe. (Bin aber auch nicht sehr aktiv)

An dieser Stelle würde mich mal interessieren, was ihr dazu denkt.