Standard Tools

Ein paar Tools dürfen auf einem Linux Server für mich nicht fehlen.

apt update && apt install mc screen wget curl ca-certificates gpg duply net-tools pwgen nano

Anpassen diverser Dateien

Die Anpassungen sind sehr individuell und werden hier nicht weiter beschrieben.

pico /etc/hosts
pico /etc/hostname 
pico /etc/ssh/sshd_config
pico /root/.ssh/authorized_keys
pico .bashrc 
pico .profile 
pico /etc/motd

Nala

Nala ist ein alternativer Paketmanager unter Debian.

apt update && apt install nala -y
nala fetch -c DE

Dann setzen wir einen Alias ( alias apt=’nala‘ )

Telegraf

Mit Telegraf werden Metriken ermittelt und an eine Timeseries Datenbank (z.B. InfluxDB) gesendet. Im Anschluß kann man diese in Grafana darstellen.

apt install gpg  -y
curl -s https://repos.influxdata.com/influxdata-archive_compat.key > influxdata-archive_compat.key
echo '393e8779c89ac8d958f81f942f9ad7fb82a25e133faddaf92e15b16e6ac9ce4c influxdata-archive_compat.key' | sha256sum -c && cat influxdata-archive_compat.key | gpg --dearmor | tee /etc/apt/trusted.gpg.d/influxdata-archive_compat.gpg > /dev/null
echo 'deb [signed-by=/etc/apt/trusted.gpg.d/influxdata-archive_compat.gpg] https://repos.influxdata.com/debian stable main' | tee /etc/apt/sources.list.d/influxdata.list
apt update && apt install telegraf -y
systemctl restart telegraf

Vor dem Start des Telegraf Service ist natürlich die Datei /etc/telegraf/telegraf.conf anzupassen. Am einfachsten von einem anderen Server verwenden. Zusätzlich die network.conf auf dem Verzeichnis /etc/telegraf/telegraf.d kopieren/bearbeiten

Out: 454 4.7.0 TLS not available due to local problem

Am einfachsten geht man in das Webinterface zu dem Punkt „Konfiguration“ und dann zum Unterpunkt „Zertifikate„. Dort muss man zuerst in der Registerkarte „ACME-Konten“ ein entsprechendes Konto erstellen.

Im Anschluß kann man dann in der Registerkarte „Zertifikate“ eine Domäne hinzufügen. 

Ist dies erledigt bleibt nur noch der letzte Schritt die beiden Zertifikate anzufordern.

In der Regel sollte dies ohne Fehler schnell durchgeführt sein. Bei mir kam heute allerdings folgende Fehlermeldung:

ACME account config file ‚default‘ does not exist.

Sollte das bei Euch auch so sein, dann solltet ihr mittels SSH die Datei /etc/pmg/node.conf editieren bzw. untersuchen.

Dort sollte es eine Zeile acme: account=m02 geben. Der Account Name muss natürlich zu dem Account passen den ihr zuvor angelegt habe. (Siehe oben. Nicht wundern, der Screenshot von oben zeigt meinen Cluster und daher stehen dort zwei Accounts)

Nachdem dies erfolgt ist lassen sich die beiden Zertifikate auch ausstellen und der Server bzw. die Cluster Node mit TLS anmailen.

cluster join failed: 401 permission denied – invalid PMG ticket

• Falsche bzw. unterschiedliche Uhrzeit zwischen dem Master und Client Node
• Zwei Faktoren Authentifizierung aktiv

letztere kann man ja kurzzeitig ausschalten.

Das PMG hört auf der Internen Schnittstelle auf Port 26. Im Exchange ECP kann man keine Portangaben machen, also muss die Exchange Powershell dafür verwendet werden.

Der Notwendige Befehl um einen neuen Connector zu erstellen wäre New-SendConnector . Siehe auch Microsoft Hilfe

New-SendConnector -Name "PMG Mailknecht" -Port 26 -AddressSpaces * -Custom -DNSRoutingEnabled $false -SmartHosts 123.123.123.123 -SmartHostAuthMechanism None

Wichtig dabei natürlich die Portangabe und das wir keine Authentifizierung benötigen. Im PMG muss natürlich die öffentliche Adresse des Exchange Servers (oder dessen Netz) erlaubt sein.

Natürlich müssen die Domains die wir mit dem Exchange durch den PMG leiten wollen dort bei Relay-Domains eingetragen sein. 

Im Anschluss sollte natürlich auf dem Exchange der „Microsoft Exchange- Transport“ Dienst neu gestartet werden.

Um Mosquitto über SSL/TLS abzusichern legt man unter /etc/mosquitto/conf.d eine Datei SSL mit folgendem Inhalt an:

Listener 8883
certfile /etc/mosquitto/certs/server.crt
cafile /etc/mosquitto/ca_certificates/ca.crt
keyfile /etc/mosquitto/certs/server.key

Die entsprechenden Zertifikate müssen natürlich generiert sein (da gibt es unzählige Anleitungen) und an die entsprechende Stelle kopiert werden.

Der eigentlich Kniff war bei mir unter Debian Bookworm nun, dass die Datei- und Verzeichnisrechte nicht gepasst haben. Es kam immer zu folgenden Fehlern:

1695361882: Error: Unable to load CA certificates. Check cafile "/etc/mosquitto/ca_certificates/ca.crt".
1695361882: OpenSSL Error[0]: error:8000000D:system library::Permission denied
1695361882: OpenSSL Error[1]: error:10080002:BIO routines::system lib
1695361882: OpenSSL Error[2]: error:05880002:x509 certificate routines::system lib

Abhilfe schafft dann nur folgende Befehle auszuführen und den Mosquitto Dienst neu zu starten:

chmod 0700 /etc/mosquitto/certs
chmod 0700 /etc/mosquitto/certs/*
chmod 0700 /etc/mosquitto/ca_certificates
chmod 0700 /etc/mosquitto/ca_certificates/*

Ich verwende dies ganz gerne auf (m)einem RaspberryPi und letztendlich bedarf es zur Installation nur eine Zeile :-)

wget -O /tmp/netdata-kickstart.sh https://my-netdata.io/kickstart.sh && sh /tmp/netdata-kickstart.sh

Hier mal exemplarisch ein Bild von vSphere und einem vmWare 6.0 Server

Auf dem Source-Server wird SSH-Server UND SSH-Client benötigt, auf dem Ziel-Server reicht natürlich der SSH-Server.

Anschließend kann man die Maschinen auf dem neuen/anderen als neue VM registrieren.

GPG_KEY='disabled'

und (hinzufügen von –no-encryption) :

Anschließend werden die zukünftigen Backups unverschlüsselt abgelegt. Die Übertragung sollte natürlich weiterhin mit sftp durchgeführt werden.

DUPL_PARAMS="$DUPL_PARAMS --full-if-older-than $MAX_FULLBKP_AGE --no-encryption"

/usr/lib/python2.7/dist-packages/paramiko/ecdsakey.py:164: CryptographyDeprecationWarning: Support for unsafe construction of public numbers from encoded data will be removed in a future version. Please use EllipticCurvePublicKey.from_encoded_point
 self.ecdsa_curve.curve_class(), pointinfo
/usr/lib/python2.7/dist-packages/paramiko/kex_ecdh_nist.py:39: CryptographyDeprecationWarning: encode_point has been deprecated on EllipticCurvePublicNumbers and will be removed in a future version. Please use EllipticCurvePublicKey.public_bytes to obtain both compressed and uncompressed point encoding.

Abhilfe schafft das Python Modul aus den Buster Backports zu verwenden. Dazu muss entsprechend die sources.list bearbeitet werden.

pico /etc/apt/sources.list

Und eine weitere Zeile (sofern nicht schon vorhanden) hinzugefügt werden:

deb http://ftp.debian.org/debian buster-backports main

Wie immer müssen dann die Sourcen neu geladen werden und anschließend kann man von den Backports das aktuellere Modul installieren.

apt update && apt -t buster-backports install "python-paramiko"

apt -y install build-essential nano net-tools autoconf

apt install libfcgi-dev libfcgi0ldbl libmcrypt-dev libssl-dev libc-client2007e libc-client2007e-dev libxml2-dev libbz2-dev libcurl4-openssl-dev libjpeg-dev libpng-dev libfreetype6-dev libkrb5-dev libpq-dev libxml2-dev libxslt1-dev libzip-dev libsqlite3-dev libonig-dev

ln -s /usr/lib/libc-client.a /usr/lib/x86_64-linux-gnu/libc-client.a

cd /usr/include
ln -s x86_64-linux-gnu/curl

cd /tmp
wget https://www.php.net/distributions/php-7.4.0.tar.gz
tar xfz php-7.4.0.tar.gz
cd php-7.4.0

./configure --prefix=/opt/php-7.4 --with-pdo-pgsql --with-zlib-dir --with-freetype --enable-mbstring --enable-soap --enable-calendar --with-curl --with-zlib --enable-gd --with-pgsql --disable-rpath --enable-inline-optimization --with-bz2 --with-zlib --enable-sockets --enable-sysvsem --enable-sysvshm --enable-pcntl --enable-mbregex --enable-exif --enable-bcmath --with-mhash --with-zip --with-pdo-mysql --with-mysqli --with-mysql-sock=/var/run/mysqld/mysqld.sock --with-jpeg --with-openssl --with-fpm-user=www-data --with-fpm-group=www-data --with-libdir=/lib/x86_64-linux-gnu --enable-ftp --with-imap --with-imap-ssl --with-kerberos --with-gettext --with-xmlrpc --with-xsl --enable-opcache --enable-intl --with-pear --enable-fpm

make
make install

cp php.ini-production /opt/php-7.4/lib/php.ini
cp /opt/php-7.4/etc/php-fpm.conf.default /opt/php-7.4/etc/php-fpm.conf
cp /opt/php-7.4/etc/php-fpm.d/www.conf.default /opt/php-7.4/etc/php-fpm.d/www.conf

sed -i 's/;pid = run\/php-fpm.pid/pid = run\/php-fpm.pid/g' /opt/php-7.4/etc/php-fpm.conf

nano /lib/systemd/system/php-7.4-fpm.service

Und folgendes eintragen

[Unit]
	Description=The PHP 7.4 FastCGI Process Manager
	After=network.target

	[Service]
	Type=simple
	PIDFile=/opt/php-7.4/var/run/php-fpm.pid
	ExecStart=/opt/php-7.4/sbin/php-fpm --nodaemonize --fpm-config /opt/php-7.4/etc/php-fpm.conf
	ExecReload=/bin/kill -USR2 $MAINPID

	[Install]
	WantedBy=multi-user.target

Danach geht es wieder klassisch in der Shell weiter.

systemctl enable php-7.4-fpm.service
systemctl daemon-reload
systemctl start php-7.4-fpm.service

echo zend_extension=opcache.so >> /opt/php-7.4/lib/php.ini

cd /opt/php-7.4/etc
../bin/pecl -C ./pear.conf update-channels
../bin/pecl -C ./pear.conf install memcached

echo extension=memcached.so >> /opt/php-7.4/lib/php.ini

cd /opt/php-7.4/etc
../bin/pecl -C ./pear.conf update-channels
../bin/pecl -C ./pear.conf install apcu
echo extension=apcu.so >> /opt/php-7.4/lib/php.ini
service apache2 restart

systemctl start php-7.4-fpm.service

In iscConfig3 geht es dann unter „System“ -> „Additional PHP Versions“ weiter. Dort auf „Add…“ klicken und einen sinnvollen Namen, z.B. PHP 7.4, eingeben.

Im Registertab „FastCGI Settings“ kommt folgendes in die beiden Zeilen:

/opt/php-7.4/bin/php-cgi
/opt/php-7.4/lib

In die Registerkarte „PHP FPM Setting“ kommt dann:

php-7.4-fpm
/opt/php-7.4/lib
/opt/php-7.4/etc/php-fpm.d

Anschliessend kann man die PHP Version in der Site-Konfiguration des Kunden anpassen.