Mittwoch, 17. September 2008
Asterisk - Voip Anbieter und OpenVPN
Freitag, 12. September 2008
Postgrey whitelists_clients
Manchmal vergisst man das nötigste.
AOL beispielsweise ist extrem nervig wenn es darum geht an die Leute dort Mails zu schreiben, 90% kommen irgendwie niemals an. Aber wehe die Leute wollen mir was schreiben und es kommt nicht sofort an, dann ist Polen offen wie man so schön sagt.
Da ich überhaupt keinen Bock habe den Mailheader zu lesen hab ich Google einfach mal gefragt wie den die Postserver [1] von AOL sind und hab sie eingetragen, daraus hab ich folgende Liste gemacht die Ihr in die whitelist_clients eintragt:
#AOL - Internet Mail Outbound (IMO) Servers
/^imo\-d\[01\-06\]\.mx\.aol\.com$/
/^imo\-d\[20\-23\]\.mx\.aol\.com$/
/^imo\-m\[11\-14\]\.mx\.aol\.com$/
/^imo\-m\[19\-28\]\.mx\.aol\.com$/
/^imr\-d\[01\-04\]\.mx\.aol\.com$/
/^imr\-d06\.mx\.aol\.com$/
/^imr\-m\[06\-08\]\.mx\.aol\.com$/
/^omr\-d\[31\-35\]\.mx\.aol\.com$/
/^omr\-m\[31\-35\]\.mx\.aol\.com$/
#AOL - Outbound Mail Relay (OMR) Servers
/^omr\-d\[21\-25\]\.mx\.aol\.com$/
/^omr\-m\[21\-25\]\.mx\.aol\.com$/
#AOL - AOLs Third-Party Mail Servers
/^rly\-ip0\[3\-8\]\.mx\.aol\.com$/
# Theoretisch reicht aber auch aus:
#AOL - Internet Mail Servers
#/^imo\-d\d+\.mx\.aol\.com$/
#/^imo\-m\d+\.mx\.aol\.com$/
#/^imr\-d\d+\.mx\.aol\.com$/
#/^imr\-m\d+\.mx\.aol\.com$/
#/^omr\-d\d+\.mx\.aol\.com$/
#/^omr\-m\d+\.mx\.aol\.com$/
# Aber dann sind ein paar Lücken drin
# daher doch umständlicher
Dann war da noch Ebay, die auch massenhaft Server haben. Bei dennen ist es allerdings besser durchnummeriert als bei AOL, da reicht folgendes aus:
# Ebay Sendepool
/^mxphxpool\d+\.ebay\.com$/
Jetzt sollte euer Mailer wieder AOL und Ebay in Echtzeit unterstützen ohne das Mails auf die Greylist kommen. Auch wenn ich es hasse von AOL Leuten Mails zu bekommen
Wer noch ein paar Server hat, z.b. GMX, schreibt doch bitte mal als Kommentar wie deren Mailkübel heißen. Hier noch Einträge für Web.de, Nuclearblast und Groklist:
# Web.de
/^fmmailgate\d+\.web\.de$/
# Grok List
/^lists\.grok\.org\.uk$/
# Nuclearblast
/^smtpout\.i\-netpartner\.net$/
[1] http://postmaster.info.aol.com/servers/
AOL beispielsweise ist extrem nervig wenn es darum geht an die Leute dort Mails zu schreiben, 90% kommen irgendwie niemals an. Aber wehe die Leute wollen mir was schreiben und es kommt nicht sofort an, dann ist Polen offen wie man so schön sagt.
Da ich überhaupt keinen Bock habe den Mailheader zu lesen hab ich Google einfach mal gefragt wie den die Postserver [1] von AOL sind und hab sie eingetragen, daraus hab ich folgende Liste gemacht die Ihr in die whitelist_clients eintragt:
#AOL - Internet Mail Outbound (IMO) Servers
/^imo\-d\[01\-06\]\.mx\.aol\.com$/
/^imo\-d\[20\-23\]\.mx\.aol\.com$/
/^imo\-m\[11\-14\]\.mx\.aol\.com$/
/^imo\-m\[19\-28\]\.mx\.aol\.com$/
/^imr\-d\[01\-04\]\.mx\.aol\.com$/
/^imr\-d06\.mx\.aol\.com$/
/^imr\-m\[06\-08\]\.mx\.aol\.com$/
/^omr\-d\[31\-35\]\.mx\.aol\.com$/
/^omr\-m\[31\-35\]\.mx\.aol\.com$/
#AOL - Outbound Mail Relay (OMR) Servers
/^omr\-d\[21\-25\]\.mx\.aol\.com$/
/^omr\-m\[21\-25\]\.mx\.aol\.com$/
#AOL - AOLs Third-Party Mail Servers
/^rly\-ip0\[3\-8\]\.mx\.aol\.com$/
# Theoretisch reicht aber auch aus:
#AOL - Internet Mail Servers
#/^imo\-d\d+\.mx\.aol\.com$/
#/^imo\-m\d+\.mx\.aol\.com$/
#/^imr\-d\d+\.mx\.aol\.com$/
#/^imr\-m\d+\.mx\.aol\.com$/
#/^omr\-d\d+\.mx\.aol\.com$/
#/^omr\-m\d+\.mx\.aol\.com$/
# Aber dann sind ein paar Lücken drin
# daher doch umständlicher
Dann war da noch Ebay, die auch massenhaft Server haben. Bei dennen ist es allerdings besser durchnummeriert als bei AOL, da reicht folgendes aus:
# Ebay Sendepool
/^mxphxpool\d+\.ebay\.com$/
Jetzt sollte euer Mailer wieder AOL und Ebay in Echtzeit unterstützen ohne das Mails auf die Greylist kommen. Auch wenn ich es hasse von AOL Leuten Mails zu bekommen
Wer noch ein paar Server hat, z.b. GMX, schreibt doch bitte mal als Kommentar wie deren Mailkübel heißen. Hier noch Einträge für Web.de, Nuclearblast und Groklist:
# Web.de
/^fmmailgate\d+\.web\.de$/
# Grok List
/^lists\.grok\.org\.uk$/
# Nuclearblast
/^smtpout\.i\-netpartner\.net$/
[1] http://postmaster.info.aol.com/servers/
Mittwoch, 14. Mai 2008
Portscannen nicht leicht gemacht
Freitag, 11. April 2008
Es wird kaelter
Mittwoch, 9. April 2008
Alfa AWUS036E
Coole Sache so ein USB Dongle der endlich mal anständig Leistung bringt.
Nicht nur das mein Linux our of the box den Dongle erkennt, die 9dBi Antenne bringt auch ordentlich Leistungszuwachs. Schade nur das ich daheim nur mein eigenes Wlan finde, aber das hat den Vorteil das mir niemand daheim auf den Sack gehen kann weil man mich draussen nicht wirklich findet (ausser im Garten). Leider funktioniert kismet noch nicht da der Treiber anscheinend etwas verbuggt ist, mal sehen ob http://rtl8180-sa2400.sourceforge.net/ besser läuft.
Windows macht mal wieder ärger, wie kann es den sonst sein?
Windows kann den Stick nicht starten, angeblich ein Gerätefehler. Lustig das er sonst funzt, sogar unter Linux kann ich normal surfen und mit recht hoher Leistung Dateien im Intranet ziehen von meinem Server. Was ist also der Fehler unter Windoof? Windoof XP kann den Stick anscheinend nicht starten weil angeblich zuwenig Leistung am USB zur verfügung steht. 10% werden vom System resserviert (50mAh) und die restlichen 450 mAh reichen für den Stick einfach nicht aus, nichtmal im 802.11b standard. Naja, in Windows kann ich sowisso kein Spaß haben mit dem "kleinen" Stick (mal von der 38cm Antenne abgesehen ), die D-Link DWL-G630 reicht für daheim aus und läuft.
Jetzt brauch ich nur noch ein Akku und ein Multibay Akku für mein Compaq Evo N610c, vielleicht noch eine GPS Maus und dann kann ich richtig Spaß haben.
so long
Tags: bsd, kernel, linux, wlan
Nicht nur das mein Linux our of the box den Dongle erkennt, die 9dBi Antenne bringt auch ordentlich Leistungszuwachs. Schade nur das ich daheim nur mein eigenes Wlan finde, aber das hat den Vorteil das mir niemand daheim auf den Sack gehen kann weil man mich draussen nicht wirklich findet (ausser im Garten). Leider funktioniert kismet noch nicht da der Treiber anscheinend etwas verbuggt ist, mal sehen ob http://rtl8180-sa2400.sourceforge.net/ besser läuft.
Windows macht mal wieder ärger, wie kann es den sonst sein?
Windows kann den Stick nicht starten, angeblich ein Gerätefehler. Lustig das er sonst funzt, sogar unter Linux kann ich normal surfen und mit recht hoher Leistung Dateien im Intranet ziehen von meinem Server. Was ist also der Fehler unter Windoof? Windoof XP kann den Stick anscheinend nicht starten weil angeblich zuwenig Leistung am USB zur verfügung steht. 10% werden vom System resserviert (50mAh) und die restlichen 450 mAh reichen für den Stick einfach nicht aus, nichtmal im 802.11b standard. Naja, in Windows kann ich sowisso kein Spaß haben mit dem "kleinen" Stick (mal von der 38cm Antenne abgesehen
), die D-Link DWL-G630 reicht für daheim aus und läuft.Jetzt brauch ich nur noch ein Akku und ein Multibay Akku für mein Compaq Evo N610c, vielleicht noch eine GPS Maus und dann kann ich richtig Spaß haben.
so long
Tags: bsd, kernel, linux, wlan
Montag, 31. März 2008
Verschluesselte Platten Ja ode Nein
Donnerstag, 27. März 2008
Computerprobleme aus dem Alltag
Lustig was man manchmal so zu hören bekommt.
Manche Leute die bei Computerfirmen Arbeiten, bekommen es nichtmal hin eine SATAII Platte in einen Rechner einzubauen und zu Formatieren, geschweige den es hinbekommen den Punkt "Onboard SATA Controller" im BIOS überhaupt zu aktivieren. Nein, da wird die einzige Festplatte, die dummweise am IDE RAID Controller hängt aus dem System verbannt und nach 4 Stunden Arbeit lief da gar nichts mehr.
Ihr meint das soetwas nicht vorkommen kann? Weit gefehlt, das passierte am Montag Abend meinen Freund Matthias. Dessen Kollege, der ja bei INT-Tech in Hof Arbeitet und ein Computerfachmann sein soll, hat 4 Stunden an der Kiste gewerkelt bis nichts mehr ging. Am nächsten Morgen ruft mich Matthias völlig genervt an ob ich Ihm das wieder richten kann. Bei Ihm hab ich dafür keine 5 min gebraucht bis das lief. Soviel zu den hochgelobten Systemhäusern und deren Mitarbeiter.
Noch viiiiel lustiger ist ja die Firma SCB. Die bringt es doch fertig eine Software Namens PC-Wächter von Dr. Kaiser Softwarehaus auf Rechnern zu installieren, die verhindern soll das Profile geändert werden. Ich glaube wenn man die ntuser.dat in ntuser.man umändert spart das einiges an Geld und es funktioniert, den ich kann immernoch das Desktop Bild abändern, es wird immernoch die History gespeichert, ich kann das Profil immernoch anpassen wie ich möchte, aber ich kann dank den Einstellungen die diese Firma bzw. der Administrator gemacht hat NICHT die Uhrzeit ändern. Ist das nicht toll dass das Login Script (das man Einfach aus dem Autostart löschen könnte) zwar die Netzlaufwerke mounten kann (ooh, dazu hat man die Rechte), aber der net time Befehl blockiert wird. Bei Nachfrage warum das so ist meint man das die User die Uhrzeit nicht ändern sollen. Prima, es ist also jeden Tag ein anderes, zufällig aus dem Kalender ausgewähltes, Datum und die Uhrzeit ist zwischen 22 und 2 Uhr nachts. Am besten gefiel mir der Spruch mit "Der PC-Wächter - zuverlässiger Schutz gegen Manipulationen und Viren". Der PC der diese Software installiert hatte, hatte nach einem Scan mit Knoppicilin 1200 infizierte Dateien, und das waren noch nichtmal die Cookies und Javascripts, die langen nur im %systemroot% . Eine tolle Software. Mit Linux wäre das nicht passiert
OKI indes schafft es die Treiber so zu verhunzen dass das Auswählen von German Endlos Papier dazu führt, das der Nadeldrucker (ein Microline 5910 glaub ich) die ersten 4 Zeilen einer Din A4 Seite druckt, vorher zwar brav den Zeilenrücksprung macht, aber dann eine 3/4 Seite weiter die nächsten 4 Zeilen macht, und das wiederholt sich bis zum Dokumentenende. Davon abgesehen schaffen es nichtmal die Windows Treiber (Epson Emulation) das Dokument per Postscript an den Drucker zu senden, der dann dieses einfach umsetzt, nein, das ganze wird immernoch als Bitmap an den Drucker gesendet, was zur Folge hat das eine Seite fast 50 Sekunden braucht zum Druck und auch noch eine schlechtere Qualität hat als wenn man Orginaltreiber nimmt. Abgesehen davon das noch ein paar ASCII Zeichen am oberen linken Rand sind und wieder der Fehler mit der Seiteneinstellung kommt. Jetzt laufen dort beim Kunden zwangsläufig die orginaltreiber mit den fehlenden 5mm Seitenlänge, was bei Seite 6 dazu führt, dass der Anfang der nächsten Seite am ende der vorherigen gedruckt wird. Echt nervig, aber da kann mir nichtmal OKI am Telefon helfen.
Darf ich mal schnell schreihen? Warum kann den nicht alles einfach funktionieren? Warum wird aus allem ein riesen Drama gemacht wo es doch sooo einfach gehen kann? Manchmal kann man da wirklich nur noch heulen. Und dann bekommt man gesagt das eine Firma, mit der man schon Jahre lang zusammen arbeitet, die es schafft das der Server Backup Prozess früh um 9 Uhr stattfindet und den kompletten Server, auf dem man mit RDP verbunden ist und in der Fibu Arbeiten möchte, nicht mehr reagiert. Diese Firma ist ja alt eingesessen und man bleibt bei Ihnen. Einfach nur zum Heulen was sich heute Systemhaus oder Computer Spezialist schimpft.
So long crying
Manche Leute die bei Computerfirmen Arbeiten, bekommen es nichtmal hin eine SATAII Platte in einen Rechner einzubauen und zu Formatieren, geschweige den es hinbekommen den Punkt "Onboard SATA Controller" im BIOS überhaupt zu aktivieren. Nein, da wird die einzige Festplatte, die dummweise am IDE RAID Controller hängt aus dem System verbannt und nach 4 Stunden Arbeit lief da gar nichts mehr.
Ihr meint das soetwas nicht vorkommen kann? Weit gefehlt, das passierte am Montag Abend meinen Freund Matthias. Dessen Kollege, der ja bei INT-Tech in Hof Arbeitet und ein Computerfachmann sein soll, hat 4 Stunden an der Kiste gewerkelt bis nichts mehr ging. Am nächsten Morgen ruft mich Matthias völlig genervt an ob ich Ihm das wieder richten kann. Bei Ihm hab ich dafür keine 5 min gebraucht bis das lief. Soviel zu den hochgelobten Systemhäusern und deren Mitarbeiter.
Noch viiiiel lustiger ist ja die Firma SCB. Die bringt es doch fertig eine Software Namens PC-Wächter von Dr. Kaiser Softwarehaus auf Rechnern zu installieren, die verhindern soll das Profile geändert werden. Ich glaube wenn man die ntuser.dat in ntuser.man umändert spart das einiges an Geld und es funktioniert, den ich kann immernoch das Desktop Bild abändern, es wird immernoch die History gespeichert, ich kann das Profil immernoch anpassen wie ich möchte, aber ich kann dank den Einstellungen die diese Firma bzw. der Administrator gemacht hat NICHT die Uhrzeit ändern. Ist das nicht toll dass das Login Script (das man Einfach aus dem Autostart löschen könnte) zwar die Netzlaufwerke mounten kann (ooh, dazu hat man die Rechte), aber der net time Befehl blockiert wird. Bei Nachfrage warum das so ist meint man das die User die Uhrzeit nicht ändern sollen. Prima, es ist also jeden Tag ein anderes, zufällig aus dem Kalender ausgewähltes, Datum und die Uhrzeit ist zwischen 22 und 2 Uhr nachts. Am besten gefiel mir der Spruch mit "Der PC-Wächter - zuverlässiger Schutz gegen Manipulationen und Viren". Der PC der diese Software installiert hatte, hatte nach einem Scan mit Knoppicilin 1200 infizierte Dateien, und das waren noch nichtmal die Cookies und Javascripts, die langen nur im %systemroot% . Eine tolle Software. Mit Linux wäre das nicht passiert
OKI indes schafft es die Treiber so zu verhunzen dass das Auswählen von German Endlos Papier dazu führt, das der Nadeldrucker (ein Microline 5910 glaub ich) die ersten 4 Zeilen einer Din A4 Seite druckt, vorher zwar brav den Zeilenrücksprung macht, aber dann eine 3/4 Seite weiter die nächsten 4 Zeilen macht, und das wiederholt sich bis zum Dokumentenende. Davon abgesehen schaffen es nichtmal die Windows Treiber (Epson Emulation) das Dokument per Postscript an den Drucker zu senden, der dann dieses einfach umsetzt, nein, das ganze wird immernoch als Bitmap an den Drucker gesendet, was zur Folge hat das eine Seite fast 50 Sekunden braucht zum Druck und auch noch eine schlechtere Qualität hat als wenn man Orginaltreiber nimmt. Abgesehen davon das noch ein paar ASCII Zeichen am oberen linken Rand sind und wieder der Fehler mit der Seiteneinstellung kommt. Jetzt laufen dort beim Kunden zwangsläufig die orginaltreiber mit den fehlenden 5mm Seitenlänge, was bei Seite 6 dazu führt, dass der Anfang der nächsten Seite am ende der vorherigen gedruckt wird. Echt nervig, aber da kann mir nichtmal OKI am Telefon helfen.
Darf ich mal schnell schreihen? Warum kann den nicht alles einfach funktionieren? Warum wird aus allem ein riesen Drama gemacht wo es doch sooo einfach gehen kann? Manchmal kann man da wirklich nur noch heulen. Und dann bekommt man gesagt das eine Firma, mit der man schon Jahre lang zusammen arbeitet, die es schafft das der Server Backup Prozess früh um 9 Uhr stattfindet und den kompletten Server, auf dem man mit RDP verbunden ist und in der Fibu Arbeiten möchte, nicht mehr reagiert. Diese Firma ist ja alt eingesessen und man bleibt bei Ihnen. Einfach nur zum Heulen was sich heute Systemhaus oder Computer Spezialist schimpft.
So long crying
Spenden?
Einige Firmen oder Organisationen wie die Wikipedia Foundation leben ja anscheinend von der Hand im Mund. Die Server laufen auch umsonst meinen viele. Die Alfred P. Sloan Foundation hat daher für die nächsten drei Jahre je 1 Million US Dollar an Wikipedia gespendet. Erfreulich das auch Firmen erkennen das Wikipedia gesponsort werden musst
http://www.golem.de/0803/58597.html
Microsoft interessiert es an sich gar nicht Geld zu Spenden, die Spenden lieber Code. Apache bekommt Code von M$ damit deren Binären Office Formate gelesen werden können. Warum braucht man das den? In Zeiten des OpenDocumentFormats (ODF) braucht man die alten Formate doch nicht mehr. Aber um an das Open-Office-XML-Format zu kommen bzw. den Code muss man anscheinend was spenden, warum nicht altes Zeug das eh keinen mehr interessiert. Natürlich kann es auch damit zusammenhängen das M$ erst eine hohe Strafe zahlen musste und vielleicht noch eine weitere Klage anrückt die man gerne vermeiden möchte
http://www.golem.de/0803/58610.html
http://www.golem.de/0803/58597.html
Microsoft interessiert es an sich gar nicht Geld zu Spenden, die Spenden lieber Code. Apache bekommt Code von M$ damit deren Binären Office Formate gelesen werden können. Warum braucht man das den? In Zeiten des OpenDocumentFormats (ODF) braucht man die alten Formate doch nicht mehr. Aber um an das Open-Office-XML-Format zu kommen bzw. den Code muss man anscheinend was spenden, warum nicht altes Zeug das eh keinen mehr interessiert. Natürlich kann es auch damit zusammenhängen das M$ erst eine hohe Strafe zahlen musste und vielleicht noch eine weitere Klage anrückt die man gerne vermeiden möchte
http://www.golem.de/0803/58610.html
Dienstag, 25. Dezember 2007
Mailsperre für Asien
Na fein, 2000 Spammails aus Asien alleine nur dieses Wochenende. Es müsste einen Dienst geben wie DNS Blacklists wo man nur einträgt von welchem Land man Mails empfangen möchte und der Rest wird blockiert. Also das man im Postfix eine Datei schreibt mit Inhalt:
europe, usa, kanada ACCEPT
* REJCT No Mail allowed
Leider muss man sich selbst helfen und ganze Adressbereiche von Hand suchen, auf APNIC die IP Listen suchen und daraus dann ganze Adressbereiche im Postfix sperren. Für PHP gibt es eine Anleitung auf http://crazycanuck.org/2005/11/08/geographic-ip-database-using-perl-php-and-mysql/
Soweit die Theorie, die Praxis sieht so aus das die map-file den Postverkehr so stark bremst das es schon gar nicht mehr schön ist, und dann wären dann noch die Kunden auf der Kiste die vielleicht Geschäftsbeziehungen nach Asien pflegen. Content darf ich ja eigentlich gar nicht durchsuchen, also fallen Lösungen wie Spamassassin eigentlich flach. Selbst einfach ein Spam-Tag einfügen könnte ja schon problematisch sein. Auch policyweight ist nicht so Dicht wie man es gerne hätte.
Einzige möglichkeit ist jetzt Spamassassin und Imap einzurichten. Imap deswegen: jeder User kann seine Mails einfach in den Spam und Ham Ordner schieben.
Damit kann der SA dann den Spam und Ham lernen (sofern die Leute den Ham auch aus dem Spam Ordner nehmen). Das ganze wird wahrscheinlich damit enden das jeder Kunde eine Erklärung unterschreiben muss in der die Risiken erleutert werden aber auch die Vorteile herraus gehoben. Wer sich nicht Einverstanden fühlt kann dann schön seinen Spam ungetestet bekommen auf seine Mailadressen und Viagra in Massen haben
Das Fertige Setup stelle ich dann auch Online wenn es so funktioniert wie ich es möchte. Vor allem sollte es einfach sein.
So long
europe, usa, kanada ACCEPT
* REJCT No Mail allowed
Leider muss man sich selbst helfen und ganze Adressbereiche von Hand suchen, auf APNIC die IP Listen suchen und daraus dann ganze Adressbereiche im Postfix sperren. Für PHP gibt es eine Anleitung auf http://crazycanuck.org/2005/11/08/geographic-ip-database-using-perl-php-and-mysql/
Soweit die Theorie, die Praxis sieht so aus das die map-file den Postverkehr so stark bremst das es schon gar nicht mehr schön ist, und dann wären dann noch die Kunden auf der Kiste die vielleicht Geschäftsbeziehungen nach Asien pflegen. Content darf ich ja eigentlich gar nicht durchsuchen, also fallen Lösungen wie Spamassassin eigentlich flach. Selbst einfach ein Spam-Tag einfügen könnte ja schon problematisch sein. Auch policyweight ist nicht so Dicht wie man es gerne hätte.
Einzige möglichkeit ist jetzt Spamassassin und Imap einzurichten. Imap deswegen: jeder User kann seine Mails einfach in den Spam und Ham Ordner schieben.
Damit kann der SA dann den Spam und Ham lernen (sofern die Leute den Ham auch aus dem Spam Ordner nehmen). Das ganze wird wahrscheinlich damit enden das jeder Kunde eine Erklärung unterschreiben muss in der die Risiken erleutert werden aber auch die Vorteile herraus gehoben. Wer sich nicht Einverstanden fühlt kann dann schön seinen Spam ungetestet bekommen auf seine Mailadressen und Viagra in Massen haben
Das Fertige Setup stelle ich dann auch Online wenn es so funktioniert wie ich es möchte. Vor allem sollte es einfach sein.
So long
Samstag, 30. Juni 2007
Lighttpd - Miniwebserver für schnelle Webseiten
Apache ist für 90% der Webhosting Sachen einfach übertrieben. Wer nutzt die Proxy Funktionalität? Alle mod_rewrite Funktionen? Fast niemand.
Die Alternative heißt einfach: Lighttpd. Tinyhttpd (thttpd) hat weniger Funktionen als Lighty, läuft teilweise langsamer, hat problem mit PHP - also alles in allem nur für Embedded Systeme geeignet. Lighty hingegen ist ein direkter Apache Konkurrent. Es ist fast zu einfach PHP Scripte mit besonderen Rechten laufen zu lassen (suexec/suphp), er liefert die Webseiten schneller aus, die Konfiguration ist angenehmer z.b. das einbinden von Addhandlern für eine bestimmte Domain ist supereinfach, er sperrt sich und seine betreuten Domains inkl. Programme in ein eigenes Chroot -ausbrechen daraus ist nur schwer möglich, usw. Lighty ist einfach eine prima Alternative wenn man nur eine handvoll Domains verwaltet oder daheim einen einfachen Webserver benötigt. Der Ressourcenfressende Apache ist einfach vom Konzept her veraltet. Apache 2 versucht das auszugleichen, aber kommt an Lighty einfach nicht ran.
In Benchmarks habe ich daheim Forensoftware, Blogs, Wikis und eigenprogrammierte Sachen getestet, Lighty ist ca 20% schneller bei mir gewesen wie ein normal Konfigurierter Apache. Der Benchmark lief allerdings mit dem Apache Benchmark, also keine Aussage ob simultane Verbindungen mehrerer IP´s schneller sind.
Da in der lighttpd.config die Interpreter festgelegt werden können, kann man auch sehr einfach ein Script verwenden das suExec nutzt, oder man kann /usr/sbin/php4-cgi ein paar Variablen mit auf dem Weg geben um z.b. bestimmten Domains eine eigene PHP config zu verpassen. In Apache muss man sich auf den Kopf stellen um sowas zu bewerstelligen, dort muss ich im Virtualhost einen eigenen Add-Handler anlegen und diesen auf ein Script legen wenn ich solche Optionen haben möchte.
Wer allerdings WebDAV nutzen möchte in verbindung mit LDAP, der tut sich mit Lighty noch etwas schwer, die Entwicklung wird allerdings irgendwann ausgereift sein. Sehr cool finde ich, das ich ein Verzeichniss schützen kann und die User aus einer LDAP Datenbank verwendet werden können. Das macht es einfacher Webadministration zu betreiben, denn solche Scherze wie bei Apache, das ich mittels Cronjob die Daten aus der Datenbank lese und dann eine Datei anlegen muss, Apache neustarten etc. erspart sich damit. Der Apache 2 soll diese fähigkeit haben, aber wozu ein Auto kaufen wenn man nur ein Reifen braucht?
Alles in allem finde ich es nur schade das SysCP nie ein Plugin für Lighty angeboten hat, ich würde sofort wechseln. Die Hacks die es gibt funktionieren teilweise nicht mehr oder ich muss sie anpassen. Das kann ich nicht bei jedem Versionsupgrade neu machen.
Wer sich selbst ein Bild machen möchte, der geht auf http://www.lighttpd.net/ und lädt sich die neuste Version runter. Ein einfaches ./configure && make && make install im Entpackten Ordner reicht aus um Lighttpd zu installieren. Ubuntu Server User haben das Glück das es eine vorkompilierte Version gibt die man mittels aptitude install lighttpd einfach installieren kann.
Wer selbst kompiliert, der braucht ein Startscript. Ich weiß nicht ob Ubuntu eines mitbringt, aber hier ist mal ein init.d Script:
#!/bin/bash
#
# Lighttpd Starting Script
#
NAME=lighttpd
DAEMON=/usr/local/sbin/$NAME
PIDFILE=/var/www/run/lighttpd.pid
CONF=/etc/lighttpd/lh.conf
case "$1" in
start)
echo -n "Starting web server: $NAME"
$DAEMON -f $CONF > /dev/null
;;
stop)
echo -n "Stopping web server: $NAME"
start-stop-daemon --stop --pidfile $PIDFILE --oknodo
rm $PIDFILE
;;
restart)
echo -n "Restarting $NAME"
/bin/kill `cat $PIDFILE`
$DAEMON -f $CONF > /dev/null
;;
*)
echo "Usage: /etc/init.d/$NAME {start|stop|restart}"
exit 1
;;
esac
if [ $? -eq 0 ]; then
echo .
exit 0
else
echo " failed"
exit 1
fi
das einfach nach /etc/init.d/lighttpd schreiben, ausführbar machen und ein update-rc.d lighttpd defaults setzt die Links damit der Webserver nun auch beim booten startet. Die Konfiguration kann man mit dem Lighttpd rails generator einfach und schnell selbst machen.
Mehr muss man nicht machen, ausser halt seine vhosts einbauen, hier ein Beispiel:
#
# hans-wurst.de
#
$HTTP["host"] == "hans-wurst.de" {
server.indexfiles = ( "index.php", "index.html" )
server.document-root = "/var/www/virts/hans-wurst.de/"
fastcgi.server = ( ".php" =>
( "localhost" =>
(
"socket" => "/tmp/php-fastcgi.socket",
"bin-path" => "/usr/local/bin/php"
)
)
)
}
Wer mit fastcgi arbeitet muss halt das Script von oben anwenden, das macht das schon Daheim ist es ja egal, ist ja sowisso nicht von aussen erreichbar. Wer eben mehr Sicherheit will, der verwendet Lighty in einem Chroot und auch die FastCGI Instanzen in einem Chroot.Nur aufpassen das die FCGI Instanzen von Lighty erreichbar sind. Der Rest ist ein Kinderspiel. Einfach an die Anleitung auf der Lighty Homepage halten und Ihr werdet Glücklich.
So, viel Spaß dann mit eurem Lighty
p.s. Lighty ist eine Superschnelle Lösung wenn man ein Mapserver für CS aufzieht, probiert es mal aus.
Die Alternative heißt einfach: Lighttpd. Tinyhttpd (thttpd) hat weniger Funktionen als Lighty, läuft teilweise langsamer, hat problem mit PHP - also alles in allem nur für Embedded Systeme geeignet. Lighty hingegen ist ein direkter Apache Konkurrent. Es ist fast zu einfach PHP Scripte mit besonderen Rechten laufen zu lassen (suexec/suphp), er liefert die Webseiten schneller aus, die Konfiguration ist angenehmer z.b. das einbinden von Addhandlern für eine bestimmte Domain ist supereinfach, er sperrt sich und seine betreuten Domains inkl. Programme in ein eigenes Chroot -ausbrechen daraus ist nur schwer möglich, usw. Lighty ist einfach eine prima Alternative wenn man nur eine handvoll Domains verwaltet oder daheim einen einfachen Webserver benötigt. Der Ressourcenfressende Apache ist einfach vom Konzept her veraltet. Apache 2 versucht das auszugleichen, aber kommt an Lighty einfach nicht ran.
In Benchmarks habe ich daheim Forensoftware, Blogs, Wikis und eigenprogrammierte Sachen getestet, Lighty ist ca 20% schneller bei mir gewesen wie ein normal Konfigurierter Apache. Der Benchmark lief allerdings mit dem Apache Benchmark, also keine Aussage ob simultane Verbindungen mehrerer IP´s schneller sind.
Da in der lighttpd.config die Interpreter festgelegt werden können, kann man auch sehr einfach ein Script verwenden das suExec nutzt, oder man kann /usr/sbin/php4-cgi ein paar Variablen mit auf dem Weg geben um z.b. bestimmten Domains eine eigene PHP config zu verpassen. In Apache muss man sich auf den Kopf stellen um sowas zu bewerstelligen, dort muss ich im Virtualhost einen eigenen Add-Handler anlegen und diesen auf ein Script legen wenn ich solche Optionen haben möchte.
Wer allerdings WebDAV nutzen möchte in verbindung mit LDAP, der tut sich mit Lighty noch etwas schwer, die Entwicklung wird allerdings irgendwann ausgereift sein. Sehr cool finde ich, das ich ein Verzeichniss schützen kann und die User aus einer LDAP Datenbank verwendet werden können. Das macht es einfacher Webadministration zu betreiben, denn solche Scherze wie bei Apache, das ich mittels Cronjob die Daten aus der Datenbank lese und dann eine Datei anlegen muss, Apache neustarten etc. erspart sich damit. Der Apache 2 soll diese fähigkeit haben, aber wozu ein Auto kaufen wenn man nur ein Reifen braucht?
Alles in allem finde ich es nur schade das SysCP nie ein Plugin für Lighty angeboten hat, ich würde sofort wechseln. Die Hacks die es gibt funktionieren teilweise nicht mehr oder ich muss sie anpassen. Das kann ich nicht bei jedem Versionsupgrade neu machen.
Wer sich selbst ein Bild machen möchte, der geht auf http://www.lighttpd.net/ und lädt sich die neuste Version runter. Ein einfaches ./configure && make && make install im Entpackten Ordner reicht aus um Lighttpd zu installieren. Ubuntu Server User haben das Glück das es eine vorkompilierte Version gibt die man mittels aptitude install lighttpd einfach installieren kann.
Wer selbst kompiliert, der braucht ein Startscript. Ich weiß nicht ob Ubuntu eines mitbringt, aber hier ist mal ein init.d Script:
#!/bin/bash
#
# Lighttpd Starting Script
#
NAME=lighttpd
DAEMON=/usr/local/sbin/$NAME
PIDFILE=/var/www/run/lighttpd.pid
CONF=/etc/lighttpd/lh.conf
case "$1" in
start)
echo -n "Starting web server: $NAME"
$DAEMON -f $CONF > /dev/null
;;
stop)
echo -n "Stopping web server: $NAME"
start-stop-daemon --stop --pidfile $PIDFILE --oknodo
rm $PIDFILE
;;
restart)
echo -n "Restarting $NAME"
/bin/kill `cat $PIDFILE`
$DAEMON -f $CONF > /dev/null
;;
*)
echo "Usage: /etc/init.d/$NAME {start|stop|restart}"
exit 1
;;
esac
if [ $? -eq 0 ]; then
echo .
exit 0
else
echo " failed"
exit 1
fi
das einfach nach /etc/init.d/lighttpd schreiben, ausführbar machen und ein update-rc.d lighttpd defaults setzt die Links damit der Webserver nun auch beim booten startet. Die Konfiguration kann man mit dem Lighttpd rails generator einfach und schnell selbst machen.
Mehr muss man nicht machen, ausser halt seine vhosts einbauen, hier ein Beispiel:
#
# hans-wurst.de
#
$HTTP["host"] == "hans-wurst.de" {
server.indexfiles = ( "index.php", "index.html" )
server.document-root = "/var/www/virts/hans-wurst.de/"
fastcgi.server = ( ".php" =>
( "localhost" =>
(
"socket" => "/tmp/php-fastcgi.socket",
"bin-path" => "/usr/local/bin/php"
)
)
)
}
Wer mit fastcgi arbeitet muss halt das Script von oben anwenden, das macht das schon
Daheim ist es ja egal, ist ja sowisso nicht von aussen erreichbar. Wer eben mehr Sicherheit will, der verwendet Lighty in einem Chroot und auch die FastCGI Instanzen in einem Chroot.Nur aufpassen das die FCGI Instanzen von Lighty erreichbar sind. Der Rest ist ein Kinderspiel. Einfach an die Anleitung auf der Lighty Homepage halten und Ihr werdet Glücklich.So, viel Spaß dann mit eurem Lighty
p.s. Lighty ist eine Superschnelle Lösung wenn man ein Mapserver für CS aufzieht, probiert es mal aus.
Montag, 8. Januar 2007
Linux Funpics
Kalender
|
Januar '09 | |||||
| Mo | Di | Mi | Do | Fr | Sa | So |
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 | |
