Den eigentlichen Austausch der Platte hat Hetzner dann binnen einer halben Stunde erledigt, wobei ein Großteil der Zeit auf mein Greylisting zurückzuführen ist… Da muss man doch echt mal ein Lob aussprechen, sowas nenne ich erstklassigen Support!

Nun will man aber bekannterweise für ein Backup den Server nur kurz oder am Besten überhaupt nicht herunterfahren. Die optimale Lösung mit nicht herunterfahren war mir zu stressig, für das nur kurz herunterfahren war aber schnell die Lösung gefunden: rsync mit dem Parameter –link-dest. So muss ich nur einmal ein volles Backup ziehen und rsync erzeugt bei allen darauffolgenden Backups Hardlinks im Dateisystem und reduziert so ganz nebenbei auch noch den Platzbedarf für die Backups. Trotzdem sieht jeder Backupordner wie ein vollständiges Backup aus.

Um das ganze jede Nacht zu automatisch laufen lassen zu können, habe ich noch eine kleine Schleife um das eigentliche Backup gebaut, die die aktuell laufenden VEs automatisch findet und sichert. Aktuell nicht aktive VEs werden auch nicht gesichert, an ihnen werden ja auch keine Änderungen durchgeführt. Sollte also eine VE dazu kommen, so wird in der darauf folgenden Nacht automatisch ein Full-Backup der VE geschrieben und solange die VE aktiv ist diese auch automatisch inkrementell gesichert.

[CODE]
#!/bin/bash

DATUM=`date +%F`;
VZ_HOME=/vz/private
BKP_BASE=/backup/virtual
LAST_RUN=`cat $BKP_BASE/lastRun.date`

for veid in `ls $VZ_HOME`;
do
if [ `vzctl status $veid | awk '{print $5}'` == "running" ]; then
if [ ! -d $BKP_BASE/$veid ]; then
mkdir -p $BKP_BASE/$veid;
fi;
echo “Backing up VE $veid”;
BKP_PATH=”$BKP_BASE/$veid/$DATUM”;
vzctl stop $veid;
rsync -a –delete –link-dest=$BKP_BASE/$veid $LAST_RUN $VZ_HOME/$veid/ $BKP_BASE/$veid/$DATUM;
vzctl start $veid;
fi;
done;
echo $DATUM > $BKP_BASE/lastRun.date
[/CODE]

Was noch fehlt ist ein Script, dass die angelegten Daily Backups ausdünnt und so Monthly und Yearly Backups anlegt. Die Ordner der Daily Backups können einfach gelöscht werden, da verlinkte Dateien erst vom Dateisystem verschwinden, wenn der letzte Link gelöscht wurde…

Zuerst braucht ihr natürlich die Sourcen von www.roundcube.net, hier einfach roundcubemail-0.1-rc1.1.tar.gz herunterladen. Das File ab auf den Server und per
tar -zxvf roundcubemail-0.1-rc1.1.tar.gz entpacken. Danach müsstet ihr ein Verzeichnis roundcubemail-xxx haben. (Wer keinen Shell Zugriff hat nehme Winzip oder 7Zip und entpacke damit, danach einfach das Verzeichnis auf den Server laden). In diesem Verzeichnis gibt es einen Ordner SQL. In diesen wechseln und folgendes ausführen:
mysql -u benutzername -h servername -p
use datenbankname;
source mysql5.initial.sql bzw. mysql.initial.sql;
je nach MYSQL-Version. Solltest du keinen Shell-Zugriff haben, das ganze per phpMyAdmin oder ähnlichem ausführen, diese Tools haben immer die Möglichkeit ein .sql-File hochzuladen und auszuführen.

Nun noch die config-Files anpassen. Im Ordner config befinden sich 2 gut kommentierte (wenn auch englische) Dateien: db.inc.php.dist und main.inc.php.dist. Zuerst die main.inc.php.dist und die db.inc.php.dist ind main.inc.php und php.inc.php umbennenen, danach erst bearbeiten (.dist Dateien kann man einfach so herunterladen…)

In der db.inc.php muss nur wenig geändert werden (die Configs sind gekürzt, also nicht einfach kopieren):

[PHP]
/*
+———————————————————————–+
| Configuration file for database access |
| |
| This file is part of the RoundCube Webmail client |
| Copyright (C) 2005-2007, RoundCube Dev. – Switzerland |
| Licensed under the GNU GPL |
| |
+———————————————————————–+

*/

$rcmail_config = array();

// PEAR database DSN for read/write operations
// format is db_provider://user:password@host/databse
// currentyl suported db_providers: mysql, pgsql, sqlite

/* Hier die nötigen Infos Benutzername, Datenbank, Passwort und Server eingeben */
$rcmail_config['db_dsnw'] = ‘mysql://benutzername:passwort@server/datenbank’;
// postgres example: ‘pgsql://roundcube:pass@localhost/roundcubemail’;
// sqlite example: ‘sqlite://./sqlite.db?mode=0646′;
/* Für die auskommentierten Beispiele gilt ähnliches,
allerdings muss dann auch oben die Datenbank anders angelegt werden.
Der Rest der Datei interessiert uns hier nicht,
hier könnte aber noch manches angepasst werden /*
…
[/PHP]

Nun noch die main.inc.php anpassen, hier findet man wichtige Einstellungen zu IMAP, SMTP etc.

[PHP]
// Hier den IMAP Server eintragen.
// leer lassen um beim Login frei einen eingeben zu können,
// eine kommaseparierte Liste angeben um ein Dropdown anzuzeigen
// für ssl ssl://imap.myserver.de:993
$rcmail_config['default_host'] = ‘imap.myserver.de’;

/* Hier den SMTP Server eingeben, oder einfach leer lassen um
die interne PHP Funktion zu nutzen. Scheint manchmal Probleme zu
machen. Für ssl ssl://smtp.host.com verwenden */
$rcmail_config['smtp_server'] = ‘smtp.host.com’;

// SMTP port (default is 25; 465 for SSL)
$rcmail_config['smtp_port'] = 25;

/* Der Benutzername für den Mailserver (zum Versenden).
Angeblich geht hier auch %u für den angemeldeten User */
$rcmail_config['smtp_user'] = ‘username’;
/*Das Passwort oder %p für den angemeldeten User */
$rcmail_config['smtp_pass'] = ‘passwort’;

/* Ein leeres Feld geht hier entgegen der Beschreibung nicht… PLAIN sollt immer
gehen, ist aber unsicher */
// SMTP AUTH type (DIGEST-MD5, CRAM-MD5, LOGIN, PLAIN or empty to use
// best server supported one)
$rcmail_config['smtp_auth_type'] = ‘PLAIN’;

/* Den Rest sollte man so lassen wie er ist… */
// end of config file
?>
[/PHP]

Zu guter letzt noch die Verzeichnisse temp und logs für den Webserver schreibbar machen, danach solltet ihr euch anmelden können… Fragen gerne in die Kommentare…

Damit ist jetzt erstmal Schluß. Vor ein paar Monaten bin ich im Web über ajaxterm gestolpert und habe es mal zum Spass auf einer Testmaschine installiert. Hat mich mächtig beeindruckt was per Ajax da so alles möglich ist. Und unter debian ist das ganze auch noch schnell per apt-get install ajaxterm installiert. Aaaaaber: Ajaxterm hört erstmal nur auf 127.0.0.1, sicher ist sicher und das Terminal ist nunmal nicht sicher.

Also muss erst einmal sichergestellt werden, dass wir eine sichere Verbindung zum Terminal aufbauen können. Da es sich hier um http handelt bietet sich https als SSL-Verschlüsselte alternative geradezu an. Schwups ein a2enmod ssl und ein paar openssl Befehle und der Apache kann https. Das Zertifikat habe ich gleich mal bei CAcert.org zertifizieren lassen, hier gibt es wenigstens noch (geringe) Chancen dass das Root-Zertifikat endlich mal per default in den Browsern landet.

Jetzt kann also der Apache https… Aber das Terminal hat doch seinen eigenen “Webserver”… Also müssen wir Apache beibringen Proxy zu spielen (umgeht auch gleich das Problem mit 127.0.0.1:8022):
1 a2enmod http_proxy und 5 Zeilen in der Config später leitet /myterminal/ auf das lokale Ajaxterm um.

Was haben wir bis jetzt: Wir können uns SSL Verschlüsselt (https) an einem Terminal anmelden Ist eigentlich fast sicher… Wobei, evtl. könnte ja das Python-Skript noch einen Fehler haben, der es ermöglich ohne Auth an eine Shell zu kommen… Also noch schwups nen htpasswd-Schutz davor legen und wir sind auch wirklich “sicher”. Spielereien mit OpenVPN und Konsorten würden die Sache mit der Firewall wieder erschweren, also bleiben wir beim aktuellen Schutzlevel mit htpasswd und SSL.

For all English speakers coming from Marcs Blog there is a good installation guide concerning security in the ajaxterm wiki.

Hätte ich mir das ajaxterm wiki früher angeschaut, dann hätte ich auch nicht jeden noch so kleinen Schritt in der Doku nachschlagen müssen, vor allem mod_proxy ist da nicht so toll…

Zum Download gibt es das ersteinmal hier. Bitte ersteinmal mit Vorsicht genießen, ich habe es bis jetzt nur in einer VMWare Installation getestet.

UPDATE: So, der erste Fehler ist auch schon gefunden… Entfernt in der Datei /etc/apt/apt.conf die letzte Zeile mit dem Proxyeintrag…
Die o.g. Version befindet sich übrigens inzwischen im Einsatz und macht (bisher) keine Probleme.

For English version read full version of article.

As there are some readers coming from google.com, some words in English.
This Template is only a first try. For getting it to work outside, you have to remove the last line in /etc/apt/apt.conf.
You can download the Debian Etch Template here.