Serverausfall 19./20.10.04 - 1.11. - 15.11.

[saemikneu]

Dann werde ich nix zu Churchill sagen, aber zum Topic schon.

Was wollt ihr denn konkret unternehmen?

Ich schlage eine erneute Sammelaktion für Software, Sicherheitszeugs und neue IDE-HDD vor. (klingt nach HDD-Crash, was der Server abzieht, mein Kollege hat das jetzt seit einem halben Jahr)

[EEBKiller]

Zitat:

Zitat von saemikneu

Ich schlage eine erneute Sammelaktion für Software, Sicherheitszeugs [...]

Du weisst schon, dass Linux viel Know How kostet aber ned wirklich viel Kohle ?

Zitat:

Zitat von saemikneu

(klingt nach HDD-Crash, was der Server abzieht, mein Kollege hat das jetzt seit einem halben Jahr)

===> Meine Rede:

Zitat:

Zitat von EEBKiller

Zitat:

Soviel dazu
Wie du selber sagtest, es ist nur (anfällige) Software. Ich persönlich tendiere aber zu nem schleichenden Festplattendefekt, wenn ich sowas höre (Alzheimer beginnt oft auch mit Wortfindungs-Störungen )

[ComSubVie]

Die Maschine wird gerade neu aufgesetzt, ist Festplatte ist - nach ausführlichen Tests - in Ordnung. War entweder ein Bug im Filesystem oder äußerer Einfluss.

Es ist inzwischen ein aktueller Kernel (2.6.9) incl. SE-Linux extensions installiert (letztere jedoch noch nicht konfiguriert), das Basissystem auf ein wirkliches Minimum abgespeckt. Für das Minimalsystem werden jetzt mal Access-Listen und Policies sowie ein Intrusion-Detection-System und eine Firewall konfiguriert. Danach werde ich Dienst für Dienst einzeln dazufügen und die obigen Sicherheitsfeatures entsprechend anpassen. Letztendlich dann ein Backup von dem ganzen auf CD, dann die alten Daten wieder einspielen und schließlich wandert die Maschine wieder zurück.

Falls jemand Erfahrungen mit SE-Linux, Posix-ACL's und IDS (Tripwire, Tiger, ..) hat, kann er mich gerne im ICQ anlabern, es gibt sicher auch ein paar Dinge an die ich nicht gleich denke...

[Rob]

Zitat:

Zitat von ComSubVie

Es ist inzwischen ein aktueller Kernel (2.6.9) incl. SE-Linux extensions installiert (letztere jedoch noch nicht konfiguriert), das Basissystem auf ein wirkliches Minimum abgespeckt. Für das Minimalsystem werden jetzt mal Access-Listen und Policies sowie ein Intrusion-Detection-System und eine Firewall konfiguriert. Danach werde ich Dienst für Dienst einzeln dazufügen und die obigen Sicherheitsfeatures entsprechend anpassen. Letztendlich dann ein Backup von dem ganzen auf CD, dann die alten Daten wieder einspielen und schließlich wandert die Maschine wieder zurück.

mal ein kleiner kommentar am rande, für einen laien[z.b. mich ] hört sich das ziemlich geil an

vielen dank an alle admins, ohne die dieses tolle forum überhaupt nicht existieren würde. ihr leistet echt top arbeit

[Comet]

ich weis was er macht, er befummelt linux im intiem bereich ^^ scherz beseite, er passt das betriebssystem einfach nur an was nich grad ohne is und zeit kostet

hm ja spenden aktion ich bin pleite sobald ich was in die schweiz schicke was ich noch muss :/ (saemi kommt bald das geld )

was mich aber juckt, hat wer zufällig ne kopie vom wrofl smilie? (ja, ich nerve )

sons super arbeit was da bald wieder ansteht

[Bossi]

Zitat:

Zitat von ComSubVie

Die Maschine wird gerade neu aufgesetzt, ist Festplatte ist - nach ausführlichen Tests - in Ordnung. War entweder ein Bug im Filesystem oder äußerer Einfluss.

Es ist inzwischen ein aktueller Kernel (2.6.9) incl. SE-Linux extensions installiert (letztere jedoch noch nicht konfiguriert), das Basissystem auf ein wirkliches Minimum abgespeckt. Für das Minimalsystem werden jetzt mal Access-Listen und Policies sowie ein Intrusion-Detection-System und eine Firewall konfiguriert. Danach werde ich Dienst für Dienst einzeln dazufügen und die obigen Sicherheitsfeatures entsprechend anpassen. Letztendlich dann ein Backup von dem ganzen auf CD, dann die alten Daten wieder einspielen und schließlich wandert die Maschine wieder zurück.

Falls jemand Erfahrungen mit SE-Linux, Posix-ACL's und IDS (Tripwire, Tiger, ..) hat, kann er mich gerne im ICQ anlabern, es gibt sicher auch ein paar Dinge an die ich nicht gleich denke...

>Hio

Ja genau...ganz genau....das hätte ich in der situation auch gemacht....
Zumindest denke ich das...wenn ich nen plan von der sache jetzt hätte ^^

Man in deiner haut möcht ich nicht "stecken"^^

Du schaffst/machst das schon!

Top Arbeit !

in diesem sinne:

[MakeMeBuB]

So, ich würd vorschlagen, jetzt haben wir uns ma wieder alle lieb und sprechen den Admins (und zwar allen) ein großes Lob aus. Ich werde bald auch etwas fürs Board spenden, muss ma mit meinen Eltern sprechen .

MFG DanI

[ComSubVie]

Statusupdate: Basissystem läuft, hab heute den ganzen Tag mit dem bscheuerten SELinux herumgeschissen (die Leute bei der NSA müssen drastisch zuviel Zeit haben, wenn sie SOWAS erfinden!), hab mich gegen Ende dann auch effektiv aus dem Server ausgesperrt - SELinux funktioniert also jetzt zufriedenstellend, muss nur in den Details angepasst werden (und so ganz durchblickt hab ich das noch immer nicht *g*).

Zusätzlich wollte ich aktuelle Spannungs- und Temperaturinformationen aus dem System auslesen, aber aus unerfindlichen Gründen gibt es für das mind. 4 Jahre alte Board noch keinen passenden Treiber (bzw. für den Asus AS2K129R Mozart-2 Sensor der auf dem Board drauf ist). Bei den Platten funzt es aber wunderbar.

Voraussichtlicher Zeitplan: Feinjustierung von SELinux, Logfile-Analyse am Mittwoch, Intrusion-Detection und Firewall am Donnerstag, Apache+MySQL am Freitag, saubere Richtlinien und Dateichecks für Datei-Upload (über apache und ftp) am Samstag, Statistiken und Backup am Sonntag. Am Montag geht die Maschine dann per UPS oder sowas raus. Schneller gehts nicht wirklich, ich muss nebenbei ja auch ein bisserl was arbeiten, und wenn ich am System was ändere (z.B. apache installiere), dann muss ich ja sowohl SELinux als auch Loganalyse und Firewall anpassen - aber es in dieser Reihenfolge zu machen ist zumindest sicherheitstechnisch die sauberste Lösung.

Ach ja, bevor die alten Daten auf das System gespielt werden, wird ein Backup gemacht. Und ich überlege mir irgendwas wie man das System remote durch dieses Backup retten kann.

Jedenfalls ist das der aktuelle Status und der voraussichtliche Zeitplan. Und irgendwo sollte ich alles was ich mache auch festhalten, zumindest SELinux ist so komplex, das merk ich mir nie

[KnallfroschXXL]

Da ich mich damit nicht auskenne, kann ich nur sagen: ich find es gut, das du dich da so rein hängst...

Danke und : gute news sind immer willkomen

[Darkwolf]

CSV! großes lob und anerkennung

[Gonzo]

Zitat:

Zitat von ComSubVie

Statusupdate: Basissystem läuft, hab heute den ganzen Tag mit dem bscheuerten SELinux herumgeschissen (die Leute bei der NSA müssen drastisch zuviel Zeit haben, wenn sie SOWAS erfinden!), hab mich gegen Ende dann auch effektiv aus dem Server ausgesperrt - SELinux funktioniert also jetzt zufriedenstellend, muss nur in den Details angepasst werden (und so ganz durchblickt hab ich das noch immer nicht *g*).

, der ist Klasse
Auch von mir Lob und Anerkennung für deinen scheinbar unermüdlichen Einsatz

[Comet]

klingt ja übel nach viel zeit aufwand

hm spenden aktion, bin brankrott auch wenn nikolaus gut ausfiel habe noch keine geschenke und muss noch was anderes bezahlen, nächstes jahr evt

sons viel spaß mim server

[ComSubVie]

SELinux ist wirklich ein Krampf. Wenn ich den erwisch der das verbrochen hat - aber wenn man's mal prinzipiell durchblickt hat, ist es nicht mehr ganz so schwer (aber noch immer weit von trivial entfernt). Jedenfalls mach ich die SELinux-Konfiguration nochmal, ich hab schon zuviel Rechte freigegeben, und solange ich nicht exakt weiß was diese Rechte außer dem Beabsichtigten noch ermöglichen definiere ich die lieber genauer (ich hab jetzt schon einiges an Zeit mit dem SELinux verschossen - und ich sag euch, so oft hab ich noch nie eine Maschine rebootet (was man halt tun muss um zu sicher gehen zu können ob eh noch genug Rechte da sind das alles automatisch hochkommt) - aber sie läuft trotzdem stabil).

apache2+php4 läuft problemlos (die VirtualHosts sind aber noch nicht konfiguriert), der Mailserver ist auch schon drauf, aber noch nicht fertig konfiguriert, da möchte ich im Gegensatz zur vorherigen Konfiguration ein paar Details ändern (insbesondere nur noch virtuelle Accounts).

nächste Schritte: apache-virtualhosts incl. Statistiken und Logfileanalyse (ich weiß noch nicht ob ich den apache2 in ein chroot geben kann bzw. will oder nicht), Redesign der SELinux-Regeln, MySQL-Installation & Konfiguration (=Performance-Optimierung), Mailserver-Konfiguration + Statistiken + Logfileanalyse, Nameserver (incl. chroot), ftp-server

Detail am Rande: die zweite Festplatte in der Maschine tut seltsame Dinge (d.h. sie tut so als wäre sie da, geht irgendwann in den sleep-modus und kann nur durch einen Reboot geweckt werden. Wenn man Power-Management der Platte deaktiviert funzt diese einwandfrei. Werd sicherheitshalber trotzdem eine neue reinstopfen.)

[Sven]

Ich denk mal daß unsere Probleme von der 2. HDD stammen dürften....

[ComSubVie]

Zitat:

Zitat von ComSubVie

Detail am Rande: die zweite Festplatte in der Maschine tut seltsame Dinge (d.h. sie tut so als wäre sie da, geht irgendwann in den sleep-modus und kann nur durch einen Reboot geweckt werden. Wenn man Power-Management der Platte deaktiviert funzt diese einwandfrei. Werd sicherheitshalber trotzdem eine neue reinstopfen.)

Nachtrag: heute wars mit der alten Platte aus, die Maschine ist beim Scannen vom IDE-Bus hängen geblieben. Hab die Platte getauscht, geht jetzt wieder einwandfrei...