Webserver | PHP-Function Blog

Debian-System mit Key-Authentifikation

Tags: Allgemein | Debian (Linux) | macOS / OS X (Mac) | Raspbian (Raspberry Pi) | Webserver Kommentieren

OS X / Linux

Im Folgenden beschreibe ich, wie das Ganze mit einem Linux- oder Mac-Client beim Zugriff auf einen Linux-Server funktioniert.

Lokal: Key erstellen

$ ssh-keygen -t rsa -b 2048
Generating public/private rsa key pair.
Enter file in which to save the key (/Users/USER/.ssh/id_rsa/): 
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /Users/USER/.ssh/id_rsa.
Your public key has been saved in /Users/USER/.ssh/id_rsa.pub.
The key fingerprint is:
32:33:a6:c9:04:c9:c9:b9: test@localhost.local
The key's randomart image is:

$ ssh-keygen -t rsa -b 2048

Generating public/private rsa key pair.

Enter file in which to save the key (/Users/USER/.ssh/id_rsa/):

Enter passphrase (empty for no passphrase):

Enter same passphrase again:

Your identification has been saved in /Users/USER/.ssh/id_rsa.

Your public key has been saved in /Users/USER/.ssh/id_rsa.pub.

The key fingerprint is:

32:33:a6:c9:04:c9:c9:b9: test@localhost.local

The key's randomart image is:

Key übertragen

scp /Users/USER/.ssh/id_rsa.pub user@deinserver.com:~

1	scp /Users/USER/.ssh/id_rsa.pub user@deinserver.com:~

Remote: Key zu den authorized_keys hinzufügen

# Falls die nötigen Verzeichnisse nicht existieren, anlegen:
mkdir ~/.ssh
chmod 700 ~/.ssh
touch ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys
# Key hinzufügen
cat ~/id_rsa.pub >> ~/.ssh/authorized_keys

# Falls die nötigen Verzeichnisse nicht existieren, anlegen:

mkdir ~/.ssh

chmod 700 ~/.ssh

touch ~/.ssh/authorized_keys

chmod 600 ~/.ssh/authorized_keys

# Key hinzufügen

cat ~/id_rsa.pub >> ~/.ssh/authorized_keys

Lokal: Key automatisch mit senden

ssh-add /Users/USER/.ssh/id_rsa
Need passphrase for /Users/USER/.ssh/id_rsa.pub user@deinserver.com.
Enter passphrase:

ssh-add /Users/USER/.ssh/id_rsa

Need passphrase for /Users/USER/.ssh/id_rsa.pub user@deinserver.com.

Enter passphrase:

Troubleshooting

Fehler: „Could not open a connection to your authentication agent.“

In diesem Fall hilft es meist, den SSH-Agent zu starten:

eval $(ssh-agent)

1	eval $(ssh-agent)

Quellen:

08Okt

Langsame Suchfunktion in xt:commerce 3

Ein Kunde hatte das Problem, dass der auf unserem Server installierte xt:commerce 3 teilweise so hohen Datenbank-Load verursachte, dass der MySQL-Server abrauchte und somit den ganzen Server kurzzeitig in einer Nicht-Erreichbarkeit stürzte. Zwar war schon länger ein Update auf eine neue xt:commerce-Version geplant, jedoch befand sich der neue Shop noch in der Entwicklung und es musste kurzfristig eine Lösung erarbeitet werden, da die Ausfälle sich häuften (teilweise bis zu 3x am Tag).

Relativ schnell entpuppte sich die Suchfunktion des xt:commerce als ausschlaggebend, welche bei meinen Tests bei einer Volltextsuche meist zwischen 40 und 50 Sekunden benötigte, dabei den MySQL-Server komplett belastet – nun stelle man sich dies am Tages-Hoch mit hunderten Besuchern vor.

Mit den folgenden Umstellungen in der MySQL-Datenbank lässt sich die Suche durch einfaches Setzen von Indizes stark beschleunigen:

Tabelle „products_description„:

products_id
language_id
products_name
products_description (FULLTEXT)
products_short_description (FULLTEXT)
products_keywords

Tabelle „products_options„:

language_id
products_options_name

Tabelle „products_attributes„:

products_id
options_id

Tabelle „products_options_values„:

language_id
products_options_values_name

Tabelle „specials„:

products_id

Wichtig ist, dass die neuen Indexes eine möglichst hohe Kardinalität besitzen (also viele verschiedene Werte), damit eine Performancesteigerung erreicht werden kann.

Quellen

http://forums.xt-commerce.com/topic/60364-suchfunktion-sehr-langsam-sessions/
http://thomas.eses.name/mysql-indexe-richtig-setzen/

27Apr

Apache-Error: File does not exist: favicon.ico

Tags: Apache | Webserver Kommentieren

Fehlt auf einer Website das ico-Favicon (/favicon.ico), so wird bei jedem Request (Browser machen diesen Request automatisch) eine Fehlermeldung in das Apache-Error-Log geschrieben. Das erschwert nicht nur die Übersicht, sondern bläht die Datei auch unnötig auf. Eine solche Meldung im Folgenden:

File does not exist: /var/www/htdocs/favicon.ico

Um diese Meldung zu unterbinden, muss in der .htaccess nur das Folgende eingefügt werden:

Redirect 404 /favicon.ico

Anschließend werden die Requests nicht mehr ins Error-Log geschrieben.

25Nov

exim paniclog /var/log/exim4/paniclog has non-zero size, mail system possibly broken

Tags: Debian (Linux) | Raspbian (Raspberry Pi) | Webserver 1 Kommentar

Mein Raspberry Pi sandte mir regelmäßig die Fehlermeldung, dass das paniclog des exim4 MTA nicht leer ist. Das war natürlich extrem nervig:

exim paniclog /var/log/exim4/paniclog has non-zero size, mail system possibly broken

Zusätzlich erhält man hier ja auch immer noch einen Auszug aus der Log-Datei:

2014-11-17 22:36:49 IPv6 socket creation failed: No such file or directory 2014-11-17 22:52:13 IPv6 socket creation failed: Address family not supported by protocol 2014-11-17 22:56:38 IPv6 socket creation failed: Address family not supported by protocol

Wie man hier nun erkennt, versucht exim4, die IPv6-Funktionalität herzustellen, scheitert jedoch. Da ich IPv6 dazu auch gar nicht brauche, habe ich mich dazu entschlossen, das Feature einfach zu deaktivieren (User: root):

In der Datei /etc/exim4/update-exim4.conf.conf die Variable dc_local_interfaces bearbeiten und den Wert für die IPv6-Adresse der lokalen Loopback-Netzwerkschnittstelle „::1“ entfernen
Dann noch das paniclog leer machen:

Shell

echo -n "" > /var/log/exim4/paniclog

1

echo -n "" > /var/log/exim4/paniclog
Und den Dienst neu starten:

Shell

/etc/init.d/exim4 restart

1

/etc/init.d/exim4 restart

exim4, IPv6, paniclog

09Apr

„ERR_CONNECTION_RESET“ (MediaWiki) im Chrome nach Debian Update

Tags: Apache | Debian (Linux) Kommentieren

Anlässlich des „SSL Heartbleed“-Bugs aktualisierte ich alle Systeme, was soweit so automatisch auch ganz gut funktionierte. Lediglich ein auf SSL betriebenes MediaWiki klagte über nicht geladene Script- und Style-Ressourcen, die das visuelle Bild komplett zerstörten. Mein Chrome meldete in der Konsole stets ERR_CONNECTION_RESET.
Nach einigen Tests und Recherchen war das Problem leider nicht ausfindig zu machen. Auch ein Deaktivieren des mod_pagespeed, mehrfache Neustarts des Apache und eine Überprüfung der maximalen Verbindungsanzahl brachte mich nicht weiter, bis ich auf mod_spdy stieß, was ja in direkter Verbindung mit SSL steht. Nach kurzer Recherche hieß es auf der Projektseite (https://code.google.com/p/mod-spdy/):

SECURITY UPDATE (8 Apr 2014): All mod_spdy users should upgrade to mod_spdy 0.9.4.2 immediately to fix the heartbleed bug in mod_spdy’s linked version of OpenSSL. See issue 85 for details.

Eine temporäre Deaktivierung bzw. Aktualisierung des Moduls brachte dann auch schon das MediaWiki wieder zum Laufen.

ERR_CONNECTION_RESET, mod_spdy, SPDY, SSL, SSL Heartbleed

14Nov

Linux: Dateien nach Inhalt suchen

Tags: Debian (Linux) | Webserver Kommentieren

Oftmals hat man ein Web-Projekt auf einem Server und sucht eine bestimmte Datei, von der man nur einen Teil des Inhaltes kennt. Anstatt nun alle auf dem Server befindlichen Dateien herunterzuladen und lokal zu durchsuchen, bietet sich an, dies über die Shell zu tun:

grep -H -R 'STRING' .

1	grep -H -R 'STRING' .

Hiermit wir rekursiv im aktuellen Verzeichnis nach dem String STRING gesucht. Das Ergebnis könnte diesem gleichen:

./directory/file.php:$myvar="THIS_IS_YOUR_STRING";

1	./directory/file.php:$myvar="THIS_IS_YOUR_STRING";

15Mrz

Apache: Zugriff nur von bestimmter IP-Adresse zulassen

Tags: Apache | Debian (Linux) | Webserver Kommentieren

Innerhalb der „Directory“ Direktiven Folgendes angeben:

Order Deny,Allow
Aeny From All
Allow From 192.168.1
Allow From 82.65.156.12

Order Deny,Allow

Aeny From All

Allow From 192.168.1

Allow From 82.65.156.12

Hiermit werden nur die IPs

192.168.1.*
82.65.156.12

für den Zugriff freigegeben.

14Mrz

RapidSSL-Zertifikat unter Debian mit Apache2 installieren

Tags: Debian (Linux) | Webserver Kommentieren

Verwendetes System:

Debian Squeeze amd64
Apache/2.2.16 (Debian)

Installation eines „GeoTrust RapidSSL Wildcard“-Zertifikats unter Apache2 (Debian).
Exemplarisch wird hier als Hostname my-hostname.de verwendet.

Hostname setzen

Die folgenden Zeilen an die Datei /etc/hosts anfügen, ggf. alte Einträge löschen ( vi /etc/hosts ):

127.0.0.1 my-hostname.de my-hostname localhost
127.0.1.1 my-hostname.de my-hostname

1 2	127.0.0.1 my-hostname.de my-hostname localhost 127.0.1.1 my-hostname.de my-hostname

Hostnamen in die Datei /etc/hostname schreiben ( vi /etc/hostname):

my-hostname.de

1	my-hostname.de

Den Hostnamen im System setzen:

hostname my-hostname.de

1	hostname my-hostname.de

Konfiguration des Webservers

Änderungen an der /etc/apache2/ports.conf:

Wenn ihr nur die Verfügbarkeit auf Port 443 (https) wünscht und keine Reaktion auf Port 80 (http), kommentiert die Zeile

Listen 80

Listen 80

einfach aus. Zusätzlich gebt dem NameVirtualHost noch den epliziten Port hinzu. Restliche Einstellungen sollten bereits so vorhanden sein.

Inhalt meiner /etc/apache2/ports.conf:

# If you just change the port or add more ports here, you will likely also
# have to change the VirtualHost statement in
# /etc/apache2/sites-enabled/000-default
# This is also true if you have upgraded from before 2.2.9-3 (i.e. from
# Debian etch). See /usr/share/doc/apache2.2-common/NEWS.Debian.gz and
# README.Debian.gz<br><br>NameVirtualHost *:443
#Listen 80

<IfModule mod_ssl.c>
    # If you add NameVirtualHost *:443 here, you will also have to change
    # the VirtualHost statement in /etc/apache2/sites-available/default-ssl
    # to <VirtualHost *:443>
    # Server Name Indication for SSL named virtual hosts is currently not
    # supported by MSIE on Windows XP.
    Listen 443
</IfModule>

<IfModule mod_gnutls.c>
    Listen 443
</IfModule>

# If you just change the port or add more ports here, you will likely also

# have to change the VirtualHost statement in

# /etc/apache2/sites-enabled/000-default

# This is also true if you have upgraded from before 2.2.9-3 (i.e. from

# Debian etch). See /usr/share/doc/apache2.2-common/NEWS.Debian.gz and

# README.Debian.gz<br><br>NameVirtualHost *:443

#Listen 80

# If you add NameVirtualHost *:443 here, you will also have to change

# the VirtualHost statement in /etc/apache2/sites-available/default-ssl

# to <VirtualHost *:443>

# Server Name Indication for SSL named virtual hosts is currently not

# supported by MSIE on Windows XP.

Listen 443

</IfModule>

Listen 443

</IfModule>

Inhalt meiner /etc/apache2/config-default:

ServerAdmin server@my-hostname.de
ErrorLog /var/www/logs/error.log
LogLevel warn
CustomLog /var/www/logs/access.log combined

<Directory />
    AllowOverride All
    Options +FollowSymLinks -Indexes
</Directory>

ServerAdmin server@my-hostname.de

ErrorLog /var/www/logs/error.log

LogLevel warn

CustomLog /var/www/logs/access.log combined

AllowOverride All

Options +FollowSymLinks -Indexes

</Directory>

Inhalt meiner /etc/apache2/config-default-ssl:

Include /etc/apache2/config-default

SSLEngine on
SSLCertificateFile /etc/apache2/ssl/apache.pem
#SSLCertificateKeyFile /etc/apache2/ssl/apache.key

<FilesMatch ".(cgi|shtml|phtml|php)$">
    SSLOptions +StdEnvVars
</FilesMatch>

<Directory /usr/lib/cgi-bin>
    SSLOptions +StdEnvVars
</Directory>

BrowserMatch "MSIE [2-6]" 
    nokeepalive ssl-unclean-shutdown 
    downgrade-1.0 force-response-1.0
# MSIE 7 and newer should be able to use keepalive
BrowserMatch "MSIE [17-9]" ssl-unclean-shutdown

Include /etc/apache2/config-default

SSLEngine on

SSLCertificateFile /etc/apache2/ssl/apache.pem

#SSLCertificateKeyFile /etc/apache2/ssl/apache.key

SSLOptions +StdEnvVars

</FilesMatch>

SSLOptions +StdEnvVars

</Directory>

BrowserMatch "MSIE [2-6]"

nokeepalive ssl-unclean-shutdown

downgrade-1.0 force-response-1.0

# MSIE 7 and newer should be able to use keepalive

BrowserMatch "MSIE [17-9]" ssl-unclean-shutdown

Inhalt meiner /etc/apache2/sites-available/default:

<VirtualHost *:443>
        ServerName my-hostname.de
        ServerAlias my-hostname.de

        Include /etc/apache2/config-default-ssl

        DocumentRoot /var/www/htdocs
        <Directory />
                Options FollowSymLinks
                AllowOverride None
        </Directory>
        <Directory /var/www/htdocs>
                Options Indexes FollowSymLinks MultiViews
                AllowOverride None
                Order allow,deny
                allow from all
        </Directory>

        ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
        <Directory "/usr/lib/cgi-bin">
                AllowOverride None
                Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
                Order allow,deny
                Allow from all
        </Directory>

        ErrorLog ${APACHE_LOG_DIR}/error.log

        # Possible values include: debug, info, notice, warn, error, crit,
        # alert, emerg.
        LogLevel warn

        CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>

ServerName my-hostname.de

ServerAlias my-hostname.de

Include /etc/apache2/config-default-ssl

DocumentRoot /var/www/htdocs

Options FollowSymLinks

AllowOverride None

</Directory>

Options Indexes FollowSymLinks MultiViews

AllowOverride None

Order allow,deny

allow from all

</Directory>

ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/

AllowOverride None

Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch

Order allow,deny

Allow from all

</Directory>

ErrorLog ${APACHE_LOG_DIR}/error.log

# Possible values include: debug, info, notice, warn, error, crit,

# alert, emerg.

LogLevel warn

CustomLog ${APACHE_LOG_DIR}/access.log combined

</VirtualHost>

Inhalt meiner /etc/apache2/sites-available/default-ssl:

<IfModule mod_ssl.c>
<VirtualHost *:443>
        Include /etc/apache2/config-default-ssl
</VirtualHost>
</IfModule>

Include /etc/apache2/config-default-ssl

</VirtualHost>

</IfModule>

Erstellung eines Test-Zertifikats

um die Funktionen des Webservers zu prüfen, würde ich erst einmal ein unsigniertes Testzertifikat erstellen. Das geht so:

mkdir /etc/apache2/ssl
/usr/sbin/make-ssl-cert /usr/share/ssl-cert/ssleay.cnf /etc/apache2/ssl/apache.pem

1 2	mkdir /etc/apache2/ssl /usr/sbin/make-ssl-cert /usr/share/ssl-cert/ssleay.cnf /etc/apache2/ssl/apache.pem

Bestellung des „GeoTrust RapidSSL Wildcard“-Zertifikats

Zertifikat beantragt als Apache 2 ohne CSR.

Änderungen an der /etc/apache2/config-default-ssl:

SSLEngine on
SSLCertificateFile /etc/apache2/ssl/my-hostname.crt
SSLCertificateKeyFile /etc/apache2/ssl/my-hostname.key

SSLEngine on

SSLCertificateFile /etc/apache2/ssl/my-hostname.crt

SSLCertificateKeyFile /etc/apache2/ssl/my-hostname.key

Schlussendlich noch den Apache neu starten:

/etc/init.d/apache2 restart

1	/etc/init.d/apache2 restart

Quellen

06Jan

Die hosts-Datei

Tags: Debian (Linux) | Domains | macOS / OS X (Mac) | Webserver | Windows 2 Kommentare

OS X

/etc/hosts

1	/etc/hosts

Bearbeitung über:

sudo /Applications/TextEdit.app/Contents/MacOS/TextEdit /etc/hosts

1	sudo /Applications/TextEdit.app/Contents/MacOS/TextEdit /etc/hosts

Linux

/etc/hosts

1	/etc/hosts

Bearbeitung über:

sudo vi /etc/hosts

1	sudo vi /etc/hosts

Windows 95, Windows 98 und Windows ME

%WinDir%/hosts

1	%WinDir%/hosts

Windows NT, Windows 2000, Windows 2003, Windows XP, Windows Vista, Windows 7

%SystemRoot%/system32/drivers/etc/hosts

1	%SystemRoot%/system32/drivers/etc/hosts

Bearbeitung über:

Starten des bevorzugten Editors als Administrator (rechte Maustaste), anschließend Öffnen über Datei -> Öffnen o.ä.

20Dez

Große MySQL-Datenbanken beschleunigen

Tags: MySQL-Server | Webserver Kommentieren

In einem aktuen Fall war eine Datenbank mit ca. 60.000 Einträgen und vielen Spaltendaten bei der Abfrage simpler gefilterter Daten mit einem Limit von 0, 10 langsam und es hieß diese zu optimieren. Neben der Überprüfung der Abfragen über

EXPLAN SELECT * FROM *

in welcher dann ersichtlich ist, welche Keys hinzugezogen werden (diese sind oft ausschlaggebend für die Geschwindigkeit der Abfrage), sollte man sich ebenfalls einmal den Query-Cache des Servers ansehen.
Hierfür gibt es (oder auch noch nicht, dann hinzufügen) eine Abfrage in der my.cnf namens query_cache_limit, welche oftmals auf 0 steht. Damit ist der Query Cache deaktiviert und es werden keine Abfragen gecached. Das Caching der Abfragen speichert diese zwischen und führt diese nicht jedes Mal erneut aus (sofern sich die Tabelle nicht geändert hat). Das ist auf jeden Fall ratsam, wenn eine Datenbank nicht ständig geändert wird. Man stelle diesen Wert einfach mal auf 8M o.Ä. und beobachte in phpMyAdmin die Statusvariablen unter „Abfragen Cache“. Dort erkennt man die Auslastung des aktuellen Cache, wie viele Abfragen aufgenommen und insbesondere wie viele herausgeschmissen wurden (weil der Cache zu klein ist).
In unserem Fall haben wir einen Geschwindigkeitsschub von 1127ms (also über eine Sekunde) erreichen können. Gebe zu: Der Server ist eine kleine Krücke. Aber die Resultate überzeugen.

Ältere Einträge

Neuere Einträge