Gestern habe ich die Arch Linux Installation auf meinem Asus UX31a Ultrabook erneuert. Eine Schwierigkeit bei dem Ultrabook ist dabei das UEFI System. Mein vorheriges Arch Linux Setup auf dem Gerät war ziemlich kompliziert (wie sich herausgestellt hat: unnötig kompliziert), aber inzwischen habe ich einfachere Wege gefunden, die ich mit diesem Beitrag mit euch teilen will. Das UEFI Setup ist gar nicht mehr so schwierig, wenn man die richtige herangehensweise gefunden hat. Statt 4 Partitionen werden nur noch 2 benötigt und das Setup ist wesentlich kompakter. Der Großteil des Betriebssytems (alles außer /boot) wird via LUKS verschlüsselt auf der SSD abgelegt.
Linux
Arch Linux mit LUKS Verschlüsselung auf UEFI System installieren
Fehlerbehebung: Plötzliche PHP-FPM Abstürze mit Nginx
Auf meinen Server setze ich mittlerweile nur noch den Nginx-Webserver ein. PHP gibt es dafür nicht als Modul (so wie bei Apache), sondern es läuft als Extra-Prozess mit Socket, über den Nginx mit dem PHP-Prozess kommuniziert. In den letzten Monaten hatte ich immer wieder Probleme mit PHP. Der PHP-FPM Prozess verabschiedete sich immer wieder spontan und ohne Fehler in den Logs. Nach viel Recherche bin ich schließlich auf den rettenden Tipp gekommen: Man solle doch mal APC für PHP deaktivieren.
Dazu wird in der Datei /etc/php5/fpm/conf.d/20-apcu.ini die Zeile „extension=apcu.so“ mit einem vorangestellten Semikolon „;“ einfach auskommentiert und der PHP-FPM Service neu gestartet.
Seit der Deaktivierung von APC habe ich keine PHP-Abstürze mehr und der Webserver tut seinen Job wieder zuverlässig.
Windows folgt symbolischen Links in Samba Freigaben nicht
Da in unserem Haus leider nicht jeder einen Linux-Rechner hat, sondern auch Windows 7 noch im Einsatz ist, beherrscht unser Storage-Server im Keller nicht nur den Dateizugriff via sftp, sondern auch Windows-Freigaben via Samba. Gestern musste ich feststellen, dass die Windows-Rechner auf einen bestimmten Ordner innerhalb einer Freigabe nicht zugreifen konnte, obwohl die Zugriffsrechte für den entsprechenden Benutzer einwandfrei waren. Der Zugriffsfehler kam daher, dass das Folgen von symbolischen Links in Samba per default nicht aktiviert ist.
Ubuntu Server: Logs in Echtzeit auslesen mit Log.io
Log.io Webinterface
Mit der freien Node.js Anwendung Log.io könnt ihr eure Serverlogs in Echtzeit auslesen und auf einem Web-Frontend gesammelt anzeigen lassen. Einfache Filter sind ebenfalls verfügbar. Die Basisinstallation ist schnell erledigt und auch für Einsteiger kein Problem.
Postfix: Catch-All für nicht existierende Postfächer [Update]
Catch-All Aliase erlauben es, alle eingehenden E-Mails auf eine bestimmte Domain an ein oder mehrere einzelne Postfächer weiter zu leiten. Man kann sich das vorstellen wie einen Trichter: Egal an welches Postfach einer Domain eine E-Mail verschickt wird – sie landet letztendlich immer bei einer bestimmten definierten Adresse.
Das kann man sich zunutze machen, wenn man beispielsweise E-Mails an nicht (mehr?) existierende Postfächer abfangen und an ein einzelnes Sammelpostfach weiterleiten will.
Linux: Verzeichnisse werden mit falschem Programm geöffnet
Seit einigen Tagen verhält sich mein Arch Linux merkwürdig. Sämtliche Adressen zu Verzeichnissen werden auf einmal mit dem Audioplayer Audacious geöffnet, was natürlich in den wenigsten Fällen so gewollt ist. Eigentlich sollte sich ja Nautilus starten – mein Filebrowser. Wenn ich beispielsweise in meiner Gnome-Shell nach einem Ordner suche und diesen öffne, wird er nicht im Dateibrowser geöffnet, sondern Audacious öffnet diesen Ordner und durchsucht ihn nach Musikdateien.
SSH-Tunnel nach Hause mit sshuttle
Gerade bin ich nicht Zuhause, sondern an einem unbekannten Ort woanders unterwegs, und bin mit einem WLAN Netzwerk mit Internetzugang verbunden. Dennoch würde ich gerne eine Verbindung nach Hause zu einem meiner Router aufbauen, um dort Logs auszulesen. Wenn man seinen Router „nach außen“ öffnet, kann man sich dort ganz normal über die öffentliche IP-Adresse des Anschlusses einloggen – wenn der Router Zuhause aber keine Zugriff von außen erlaubt … wie komme ich dennoch an das Webinterface?
Gut, dass ich noch ein VPN-Netzwerk (via OpenVPN) habe. Das verbindet meinen Server Zuhause und noch ein paar andere Geräte. Auch mit meinem Laptop kann ich mich in dieses Netzwerk einbinden. Dumm nur, dass ausgerechnet der Router, auf den ich gerne zugreifen würde, nicht in das VPN eingebunden ist. Was nun?
Postfix: Versenden mit falschem Absender verhindern
Mit dem Standard-Mailserver-Setup nach meiner Anleitung können Benutzer des Mailservers E-Mails über einen falschen Namen verschicken. Das lässt sich z.B. über Mozilla Thunderbird und die „Identitäten“-Funktion in der Kontenverwaltung realisieren. Ein Benutzer user1@domain.de ist also in der Lage, eine E-Mail zu verschicken, die nicht seinen eigenen Benutzernamen als Absenderadresse trägt, sondern beispielsweise user2@domain.de. Dass dieses „Feature“ von den Benutzern missbraucht werden kann, ist selbstverständlich. Solcher Missbrauch kann dann nur doch eine entsprechende Analyse des Logfiles aufgeklärt werden. Der Empfänger der E-Mail hat aber selbst keine Möglichkeit, die Fälschung zu enttarnen.
Besser ist es, dem Missbrauch vorzubeugen und festzulegen, dass ein Benutzer als Absenderadresse nur seine eigene Mailadresse (oder ausgewählte andere Adressen) verwenden darf.