At first some background information: nginx (wikipedia) is a very fast webserver with efficient use of system resources. Because of debian’s security policy you can’t install the current up to date version of out of the box, therefore you have to compile it on your own. Or one can use the dotdeb service, which offers a slightly older version of nginx. Furthermore you can use some strange setup scripts if you trust them.

But if you do not need the most up to date version of nginx and don’t want to break your systems securety with different thirdparty stuff you can follow this short guide.

Install required packages

apt-get install php5-cgi php5-suhosin spawn-fcgi nginx

Start nginx afterwards:

/etc/init.d/nginx start

Type in your web server’s IP address and you should see some error-webpage. On my system the /var/www directory was missing, so i have to create it:

mkdir -p /var/www
chown www-data:www-data /var/www

For testing you can create a index.html file inside /var/www with some “Hello World” or something like that so.

Setting up php parsing

Edit the file /etc/rc.local and put the following line above the “exit 0″:

/usr/bin/spawn-fcgi -a 127.0.0.1 -p 9000 -u www-data -g www-data -f /usr/bin/php5-cgi -P /var/run/fastcgi-php.pid

So on every reboot of you server it starts on localhost port 9000 the php fcgi parsing service. Also you should type this command in your console to run it now.

Configure nginx

Now change the config file /etc/nginx/sites-available/default to enable and configure the php settings:

location ~ \.php$ {
location ~ \..*/.*\.php$ {return 404;}
root /var/www;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}

Make sure that there are some spaces between include and fastcgi_params in the default file this is written as one word which is a bug.

For testing you can create a /var/www/info.php with

<?php
phpinfo();
?>

and after a restart of your webserver you should see the php-infopage

/etc/init.d/nginx restart

As you see, PHP5 is working, and it’s working through FastCGI, as shown in the Server API line. If you scroll further down, you will see all modules that are already enabled in PHP5, also for security reasons we installed already Suhosin module.

http://wiki.nginx.org/Pitfalls
http://wiki.nginx.org/PHPFcgiExample
http://wiki.nginx.org/NginxFullExample

Backup anlegen

Zuerst ist ein gutes Backup wichtig. Das Programm Déjà Dup ist an Einfachheit kaum zu überbieten: Neben dem Einstellungsdialog gibt es lediglich zwei Buttons: Wiederherstellen und Sichern. Es integriert sich außerdem in das Kontextmenü, so dass per Rechtsklick von jedem Ordner aus vermisste Dateien wiederherzustellen sind. Gesichert wird auf eine exteren Festplatte, auf FTP oder auf einen Cloud-Dienst wie Amazon S3. Und mit der nächsten Ubuntu-Version 11.10 soll Déjà Dup das Standard-Backup-Programm von Ubuntu werden.

SSD-Festplatte vorbereiten

Allgemeine Hinweise habe ich bereits unter Eine Woche mit Ubuntu 10.10 beschrieben, jedoch gibt bei SSD Besonderheiten bei der Partitionierung zu beachten: Wird beim Partition Alignment ein Fehler gemacht, so wird die SSD sehr langsam. Der aktuelle Ubuntu-Installer setzt die Werte allerdings richtig wenn man die ganze Festplatte für Ubuntu nutzt. Wenn allerdings verschiedene Partitionen gewünscht sind, oder mehrere Betriebssysteme, heißt es zunächst sich in das Thema SSD einzulesen.

“Look and Feel”

Komischerweise waren nach der Neuinstallation von 11.04 alle Ordnersymbole in sämtlichen Menüs nicht vorhanden. Im ubuntuusers-Forum fand ich die Lösung. Ebenfalls gibt es dort den Hinweis wie der Ton vom Anmeldedialog deaktiviert werden kann.

“pimp my Unity”

Unity ist bekanntlich die neue Ubuntu Oberfläche. Leider gibt es standardmäßig kaum Konfigurationsmöglichkeiten. Installiert man das Programm ccsm kann über Systemeinstellungen -> CompizConfig Einstellungs-Manager -> Ubuntu-Unity-Plugin beispielsweise die “Launcher icon size” auf 32 gesetzt werden. Dies schafft etwas Platz auf dem Desktop.

Eine weitere Besonderheit von Unity ist die obere Status- bzw. Application-Indicator Leiste. Aus den vielen möglichen Erweiterungen finde ich persönlich zwei besonders nützlich:

indicator-sysmonitor: zeigt die aktuelle CPU- und Arbeitsspeicher-Auslastung sowie auf Wunsch die CPU-Temperatur via “lm-sensors”. Damit die Anzeige nach jedem Neustart angezeigt wird ist ein manueller Eintrag unter Systemeinstellungen -> Startprogramme notwendig.

sudo add-apt-repository ppa:alexeftimie/ppa
sudo apt-get update
sudo apt-get install indicator-sysmonitor
sudo apt-get install lm-sensors

touchpad-indicator: ist für Laptop-Benutzer mit zusätzlicher externer Maus sehr nützlich; sobald diese angeschlossen ist kann das Touchpad deaktiviert werden und stört nicht mehr bei Tastatureingaben. Die Einstellung für den Autostart ist über das Programm selbst möglich.

sudo add-apt-repository ppa:atareao/atareao
sudo apt-get update
sudo apt-get install touchpad-indicator

Festplatte vorbereiten

Wenn man nicht sofort komplett auf Windows 7 verzichten möchte, gibt es die Möglichkeit Ubuntu parallel zu einem bestehenden Windows einzurichten, vorausgesetzt es ist noch genug Speicherplatz auf der Festplatte vorhanden. Ich habe verschiedene Anleitungen gelesen und zunächst wird empfohlen eine Windows-Rettungs-Disk bereit zu halten – welche glücklicherweise nicht gebraucht wurde. Selbstverständlich sollte auch ein Backup der wichtigen Daten angelegt und auf einer externen Festplatte gespeichert werden. Zunächst wird die Festplatte gründlich defragmentiert und über die Datenträgerverwaltung verkleinert. Dies wird der manuellen Partitionierung z.B. mit einer GParted-Live-CD vorgezogen, da Windows selbst die NTFS-Eigenheiten besser kennt. So ließ sich in meinem Fall die Festplatte ungefähr halbieren und Windows startete anschließend auch problemlos.

Ubuntu installieren

Nach dem Herunterladen und Brennen der Installations- CD wird über die manuelle Partitionierung “(advanced)” der zuzvor vorbereitete, freie Speicherplatz für eine kleine Swap-Partition, z.B. 5 GB und der Rest für die root-Partition (ext4, Mountpoint /) verwendet. Dann die root-Partition auswählen und den Button zur “Installation starten” klicken. Das eingegebene Benutzerkennwort wird auch später immer für root-Aktionen in Kombination mit sudo verwendet, da in Ubuntu der root-Benutzer standardmäßig deaktiviert ist.

Updates installieren

Nach erfolgreicher Installation und Login können nun die neuesten Updates installiert werden. Dazu unter System > Systemverwaltung > Aktualisierungsverwaltung den Anweisungen folgen. Bekommt man einen neuen Kernel, so wächst auch das GRUB-Bootmenü stetig an. Anstatt hier die Einträge auszukommentieren ist es einfacher die überflüssigen Kernel zu deinstallieren.

die ersten Pakete installieren

Wenn eine Funktion oder Programm vermisst wird lohnt immer ein Blick unter Anwendungen > Ubuntu Software-Center oder System > Systemverwaltung > Synaptic-Paketverwaltung. So installiere ich mir meinen Lieblingseditor vim und nmap. Ein kurzer Scan zeigt, dass auf dem neuen System keine offenen Ports existieren:

sudo nmap -P0 -F –open 192.168.1.0/24

User-Login umbenennen

Falls man es wie ich geschafft hat bei der Installation einen falschen User-Login zu erstellen oder diesen einfach umbenennen möchte: mit Hilfe von usermod und groupmod ist dies einfach möglich. Anschließend noch die Datei ~/.gtk-bookmarks anpassen, da sonst unter “Orte” alle Favoriten-Ordner verwunden sind. Auch lassen sich in dieser Datei eigene Verknüpfungen definieren.

Firefox und Thunderbird migrieren

Die Profile von Firefox und Thunderbird lassen sich samt installierter Plugins, Passwörter usw. komplett übernehmen. Da die Windows NTFS Festplatte unter “Orte” mit einem Klick direkt mit schreibendem Zugriff gemountet wird, lassen sich die Profile direkt kopieren. Wenn man beides Portable verwendet hat folgt man dieser Anleitung um die Profile zu migrieren. Das jeweilige Profilverzeichnis in Ubuntu wird komplett gelöscht und mit den alten Inhalten befüllt:

cd .mozilla/firefox/ bzw. .thunderbird/
rm -rf profilname123anpassen.default/*
cp -a ~/backup/altes-profil/* profilname123anpassen.default/

Flash-Bug

Leider gibt es ein Problem mit Flash-Videos im Vollbildmodus. Das Bild stoppt oder flackert, während der Ton weiter läuft. Der GPU-Beschleunigungs-Spuk hat ein Ende, wenn die Datei /etc/adobe/mms.cfg (Verzeichnis vorher erstellen) und mit folgendem Inhalt angelegt wird:

OverrideGPUValidation=true

“Look and Feel”

Wem die Schriftarten allgemein auch zu groß erscheinen, können diese unter System > Einstellungen > Erscheinungsbild > Schriftarten jeweils um 1 reduziert werden. Unter Visuelle Effekte kann man auf Wunsch die höchste Einstellung wählen.

Die Reihenfolge der Fensterknöpfe lässt sich an die von Windows gewohnte Ansicht anpassen. Dazu über Alt+F2 den gconf-editor starten. Unter /apps/metacity/general/button_layout lässt sich nun die gewünschte Reihenfolge eintragen, z.B.:

:minimize,maximize,close

Die Systemtöne wie auch die Startmelodie bringt man zum Schweigen, wenn unter System > Einstellungen > Klang unter Klangthema keine Klänge ausgewählt werden.

Ein Mac-ähnliche Programme-Dock-Leiste erhält man indem das Paket avant-window-navigator installiert wird. Zur dauerhaften Verwendung in den Einstellungen noch “Awn automatisch starten” makieren und ggf. das untere Panel per Rechtsklick löschen. Fehlende Funktionen werden nun dem neuen Dock oder dem oberen Panel hinzugefügt.

“pinp my Nautilus”

Nautilus ist der verwendete Dateibrowser, für den es viele Erweiterungen gibt. Nützlich finde ich:

nautilus-open-terminal: öffnet das Konsolen-Fenster im aktuellen Verzeichnis. Nach der Installation den Prozess Neustarten über:

nautilus -q

nautilus-script-collection-svn: integriert SVN in das Rechtsklick-Menü. Nach der Installation die Script-Erweiterungen aktivieren:

nautilus-script-manager enable Subversion

Fazit

Ich bin sehr begeistert von Ubuntu und den vielfältigen Anpassungsmöglichkeiten. Es gibt immer etwas was verändert werden kann, ohne das tiefe Eingriffe in das System oder gar Kommerzielle Programme nötig wären. Besonders hat mich die Integration von gängigen Chat-Diensten und sozialer Anwendungen wie last.fm ohne Zusatzprogrammen überrascht.

Ubuntu 10.10 Installations-Guide
Wiki und Forum rund um Ubuntu

Update vom 23.01.2012: Um die System-Schriftgröße und Schriftarten unter Ubuntu 11.10 zu ändern ist das Programm “gnome-tweak-tool” nötig.

Der Editor vim wird installiert über:

apt-get install vim

dann wird die Konfigurationsdatei für den angemeldeten Benutzer angelegt über vi ~/.vimrc und mit folgendem Inhalt befüllt:

set tabstop=2
set bs=2
syn on
set noai

weitere Vim-Tipps

Webalizer bietet keine Einstellung um die Ausgabe in einer bestimmten Sprache zu generieren. Ein manueller Aufruf vom Webmin über “Report generieren” aus bringt als Statusreport unter anderem die folgende Zeile:

Webalizer V2.01-10 (Linux 2.6.18-5-amd64) locale: C

Dahingeben wird mit einem Aufruf von webalizer von der Konsole aus die richtige Systemsprache verwendet. Unter Debian wird die  Standardsprache definiert über:

dpkg-reconfigure locales

Erst wenn man sich als root in den Webmin einloggt und dort unter “Webmin -> Webmin-Konfiguration -> Betriebssystem und Betriebsumgebung” die Systemsprache erzwingt mit:

Variablenname: LC_ALL
Wert: de_DE@euro

dann wird auch Webalizer die Auswertungen auf deutsch anzeigen:

Webalizer V2.01-10 (Linux 2.6.18-5-amd64) locale: de_DE@euro

Webmin
Webalizer

Aktiviert habe ich damals die Dotdeb-Paketverwaltung um in den Genuss von suhosin zu kommen, jedoch ist diese inzwischen auch im offiziellen Debian verfügbar.

Jetzt scheiterte aber die Installation von php5-curl per apt-get install mit dem Hinweis:

Hängt ab: php5-common (= 5.2.0-8+etch13) aber 5.2.8-0.dotdeb.1 soll installiert werden
E: Kaputte Pakete

Ein Blick in die Quellpakete von Dotdeb bestätigte den Verdacht, dass das gesuchte Paket dort gar nicht vorhanden ist. Anscheinend waren dort mal mehr php5 Pakete verfügbar, denn installiert waren noch weitere von dotdeb:

# dpkg –list | grep dotdeb
ii  php5-cli                          5.2.8-0.dotdeb.1
ii  php5-common                       5.2.8-0.dotdeb.1
ii  php5-dev                          5.2.8-0.dotdeb.1
ii  php5-gd                           5.2.8-0.dotdeb.1
ii  php5-mysql                        5.2.8-0.dotdeb.1
ii  php5-suhosin                      5.2.8-0.dotdeb.1

Nach einem zusätzlichen Vollbackup des Servers und einem auskommentieren der dotdeb-Quelle aus der Datei /etc/apt/sources.list ging es an die Deinstallation der ausgelisteten Pakete inklusive aller Konfigurationsdateien:

dpkg –purge php5-gd php5-mysql php5-common libapache2-mod-php5 php5-cli

dies scheiterte zunächst, da Debian richtigerweise bemerkte, dass manche Programme von den zu löschenden noch benötigt wurden. Temporär wurden diese dann kurzerhand auch deinstalliert, aber die Konfiguration beibehalten:

apt-get remove phpmyadmin phpsysinfo squirrelmail libphp-phpmailer

Nach der Neuinstallation aller Pakete aus der offiziellen Debian-Quelle, sowie der temporär deinstallierten Pakete, musste lediglich die mysql-Unterstützung in der php.ini händisch wieder aktiviert werden:

extension=mysql.so

Anschließend konnte ich erfolgreich php5-curl installieren:

apt-get install php5-curl
Paketlisten werden gelesen… Fertig
Abhängigkeitsbaum wird aufgebaut… Fertig
Die folgenden NEUEN Pakete werden installiert:
php5-curl

Vielleicht hätte das auch anders funktioniert.

So könnte man beispielsweise das Backup vereinfachen oder mit Eclipse direkt auf dem Webspace arbeiten. Zuerst wird das erforderliche Paket installiert. Debian löst die Abhängigkeiten auf und installiert weitere dazu benötige Programme gleich mit.

apt-get install curlftpfs

nun wird das lokale Verzeichnis erstellt, welche später die FTP-Daten enthält

mkdir -p /mnt/backup_ftp/

Dann muss FUSE (Wikipedia) eingerichtet werden

mknod -m 666 /dev/fuse c 10 229

nun wird der FTP-Server eingebunden

curlftpfs BENUTZER:PASSWORT@FTPSERVER /mnt/backup_ftp/

jetzt kann in dem Verzeichnis gearbeitet werden als ob alle Daten lokal vorliegen würden. Änderungen werden sofort auf den FTP-Server übertragen.

Nach vollendeter Arbeit wird natürlich das Verzeichnis wieder aus dem System genommen

umount /mnt/backup_ftp

Zuerst braucht man das deutsche Wörterbuch. Natürlich ist auch jede andere Sprache dazu geeignet.

apt-get install wngerman

In Debian enthält wngerman die neue Rechtschreibung, wohingegen das Paket wogerman die alte Rechtschreibung enthält.

Um ein bestimmten Wortteil zu finden hilft ein einfacher grep-Befehl, z.B.:

grep –color heim /usr/share/dict/ngerman

einheimischer
einheimsen

oder um ein Wort zu finden, welches auf eine bestimmte Endung, z.B. net aufhört:

grep ‘.*net$’ /usr/share/dict/ngerman | sed ‘s/net/\.net/g’

gekennzeich.net
geleug.net

Kommt es zu einem unvorhergesehenen Server neustart, so hat MySQL anschließend mitunter Probleme alle Daten wiederzufinden. In diesem Fall spricht man von einer korrupten Datenbank.

Der andere Fall der weitaus häufiger auftreten wird ist die Fragmentierung. Mit der Zeit gerät die Ordnung in den Tabellen durcheinander. Es werden einzelne Teile gelöscht und neue Daten kommen hinzu. Das führt dazu, dass irgendwo in der Datendatei von MySQL eine Lücke entsteht.

Für gewöhnlich ist dies kein Problem, denn die gelöschten Zeilen protokolliert MySQL in einer Liste mit. Kommen wieder neue Daten zur Tabelle hinzu, dann werden die freien Positionen und die Datenlücke wieder gefüllt. Dies läuft solange gut, wenn nur mit festen Feldtypen gearbeitet wird. Kommen jedoch variable Felder wie etwa varchar, blob oder text ins Spiel funktioniert der Mechanismus nicht mehr und es bleiben viele kleine Lücken zurück, die Platz wegnehmen.

Mit dem Bordmitteln von Debian kann man sich in dieser Situation selbst helfen. Ohne das man lange Befehle oder das root-Passwort auswendig lernen muss, können in der Datei .bashrc zwei neue Befehle hinterlegt werden, die das Kennwort selber auslesen und mit der Reparatur und der Optimierung der Datenbank beginnen:

alias mysqlcheckrep=”mysqlcheck -u debian-sys-maint -cs –password=`grep -m 1 password  /etc/mysql/debian.cnf | awk ‘{print $3}’` –all-databases –auto-repair”
alias mysqlcheckopt=”mysqlcheck -u debian-sys-maint -os –password=`grep -m 1 password  /etc/mysql/debian.cnf | awk ‘{print $3}’` –all-databases”

Bitte beachten, dass der jeweilige Befehl von doppelten Anführungszeichen umschlossen ist, während das Passwort mit Hilfe von grep über sog. Backticks ausgelesen wird, während awk mit einfachen Anführungszeichen arbeitet.

Zuerst muss das Rootkitsuchprogramm installiert werden, das geht unter Debian per:

apt-get install chkrootkit

Anschließend wird ein Cronjob angelegt, welcher regelmäßig das System nach Rootkits prüft und im Fehlerfall eine Meldung sendet. Hier macht eine mail2sms Sinn. Der Cronjob unter /etc/cron.d/chkrootkit soll täglich um sechs Uhr laufen, sowohl morgens als auch abends:

MAILTO=”mail2sms@example.com”
0 6,18 * * *  root    /usr/sbin/chkrootkit -q

Leider kommt es dabei auch vermehrt zu Falschmeldungen, dass sollte bedacht werden, wenn pro SMS Kosten entstehen:

You have 1 process hidden for readdir command
You have 1 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed

Diese Falschmeldungen entstehen wenn andere Programme während der Prüfroutine laufen und sich somit die Anzahl der laufenden Prozese ändert. Chkrootkit entnimmt diese Anzahl den Systemtools (welche ja bereits durch ein Rootkit ersetzt sein können) und vergleicht diese mit seinem eigenen Tools. Läuft beispielsweise ein anderer Cronjob zeitgleich, kann es somit beim Prüfen durch Chkrootkit auf versteckte Prozesse zu der Falschmeldung kommen.

In der Datei /etc/cron.daily/apt-upgrade-simulation wird der folgende Inhalt hinterlegt:

#!/bin/sh
(
apt-get update -qq
apt-get upgrade -s -V
) | /usr/bin/mail -s ‘apt-get upgrade -s’ root

Die Mails werden auch hier wieder lokal an root zugestellt, dies lässt sich jedoch einfach umstellen.

Das Einspielen der Updates muss man natürlich noch selber von Hand übernehmen – ein automatisches Update ist nicht zu empfehlen, da sonst keine Interaktionsmöglichkeit gegeben ist.

Anders als bei WordPress mit apt-pinning, laden wir nun die Suchroutinen direkt beim Hersteller vom Rootkithunter herunter, da ich so die besten Ergebnisse beim testen erzielen konnte.

Nach der Installation wird unter /etc/cron.daily/rkhunter ein Cronjob angelegt, um von nun an täglich über den Zustand des Servers zu informieren:

#!/bin/sh
(
/usr/local/bin/rkhunter –versioncheck –nocolors
/usr/local/bin/rkhunter –update –nocolors
/usr/local/bin/rkhunter –cronjob –report-warnings-only –nocolors
) | /usr/bin/mail -s ‘rkhunter Daily Run: myt’ root

Die Mails werden lokal an root zugeschickt. Da es sowieso besser ist, sich die Mails nach extern zusenden zu lassen, anstatt auf dem Server liegen zulassen (… bei einem Ausfall, käme man nicht an die Mails um die Ursache des Ausfalls zu ergründen), kam man diese Einstellung für Exim gleich unter /etc/aliases vornehmen:

root: postfach@example.com

Um in den Genuss der aktuellsten Version von WordPress zu kommen muss diese über die apt-pinning Funktion installiert werden. Aber auch die stable-Version wird einfach über apt-get install wordpress installiert.

Die Dateien liegen nun unter /usr/share/wordpress/, die Debian spezifische Dokumentation liegt unter /usr/share/doc/wordpress/ und dort finden sich auch einige Beispiele im exampes-Ordner.

1. Einrichtung des Webservers

In der Datei examples/apache.conf befinden sich drei Möglichkeiten beschrieben den Blog einzurichten. Diese haben jedoch alle gemeinsam, dass sie meinen Anforderungen nicht genügen. Um zu jedem Blog ein favicon.ico, eine robots.txt und natürlich einen von den anderen Blogs getrennten Upload-Ordner zu haben, ist die folgene Methode eine Möglichkeit die sie gut bewährt hat:

<VirtualHost *:80>
ServerName www.example.com
# /blog/ virtuell verlinken
Alias /blog /usr/share/wordpress
<Directory /usr/share/wordpress>
Options FollowSymLinks
AllowOverride Limit Options FileInfo
DirectoryIndex index.php
</Directory>
# htdocs Ordner einstellen und Mod-Rewrite aktivieren
DocumentRoot /var/www/example.com/www/htdocs/
<Directory /var/www/example.com/www/htdocs>
DirectoryIndex /blog/index.php
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /blog
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . index.php [L]
</IfModule>
</Directory>
# Log-Dateien schreiben
ErrorLog /var/log/apache/www.example.com-error.log
CustomLog /var/log/apache/www.example.com-access.log combined
</VirtualHost>

Nach dem aktivieren des neuen vHosts, steht der neue Blog schon fast zur Verfügung:

#a2ensite www.example.com
#apache2ctl graceful

2. mySQL-Server

Die Datenbank wird mit examples/setup-mysql erstellt. Zum Ausführen müssen zuerst die entsprechenden Rechte gesetzt werden, wonach das Setup gestartet werden kann:

#chmod +x setup-mysql
#./setup-mysql
.
Options:
-n name for the mysql user and database
-h help
-d destroy and purge
-b backup
.
Example: You want your blog to be served from http://blog.example.com
for user ‘wordpress’.
.
Then run:
sudo bash setup-mysql -n wordpress blog.example.com

Das Setup erzeugt einen Benutzer mit Passwort welcher nur Zugriff auf die neue Datenbank hat.

3. Konfiguration

Die Konfiguration des Blogs findet – wie auch in der Standard WordPress-Version – über den Browser statt, indem die entsprechende Seite /blog/wp-admin/ aufgerufen wird.

4. Lokalisierung

Um den Adminbereich des Blogs in deutscher Sprache anzuzeigen, wird die deutsche de_DE.mo Datei für das Basissystem benötigt, welche unter /usr/share/wordpress/wp-content/languages abgelegt wird. Die automatisch erstellte Konfigurationsdatei unter /etc/wordpress/config-www.example.com.php wird erweitert:

define (‘WPLANG’, ‘de_DE’);

5. Upload-Verzeichniss
Das Upload-Verzeichnis für jeden einzelnen Blog, wird in der config-Datei und ggf. auch im Adminbereich (unter Einstellungen->Verschiedenes) fest eingestellt:

$upload_path = “/var/www/example.com/www/htdocs/wp-uploads/”;
$upload_url_path = “http://www.example.com/wp-uploads”;

Das Verzeichniss muss natürlich vorhanden sein und für den Webserver die benötigten Schreibrechte besitzen.

6. Themes und Plugins

gemeinsame Themes und Plugins werden unter /usr/share/wordpress/wp-content abgelegt und stehen allen Blogs zur Verfügung.

Offizielle WordPress Seite
Basis auf Deutsch Sie-Version oder Du-Version
Standard-Template auf deutsch

Wenn man WordPress in der stabilen Version installiert erhällt man leider nicht die aktuellste, jedoch eine Version die gut auf Sicherheitslücken getestet wurde. Die unstabile Version hält dahingehend jedoch bereits mehr neue Features vor.

Indem man gezielt WordPress aus dem unstable Bereich installiert, ohne jedoch das ganze System aktualisieren zu müssen, kommt man mit einem stable-Debian an ein aktuelles WordPress – dank apt-pinning.

Zuallererst wird die Datei /etc/apt/sources.list erweitert um die folgenden Einträge:

deb ftp://ftp.uni-erlangen.de/pub/Linux/debian/ unstable main non-free contrib

In der Datei /etc/apt/preferences wird festgelegt welche Priorität das bestehende stabile System zu den neuen unstabilen Quellen hat:

Package: *
Pin: release a=stable
Pin-Priority: 700
Package: wordpress
Pin: release a=unstable
Pin-Priority: 710
Package: *
Package: libjs-scriptaculous
Pin: release a=unstable
Pin-Priority: 710
Package: libjs-prototype
Pin: release a=unstable
Pin-Priority: 710
Package: tinymce
Pin: release a=unstable
Pin-Priority: 710
Pin: release o=Debian
Pin-Priority: -10

Der erste Block legt die Priorität der stabilen Version mit 700 fest. Im zweiten Block wird definiert, dass die unstabile Version von WordPress mit 710 eine höhere Priorität hat, also vor der stabilen Version steht. Der dritte Block ist nur nötig, wenn man seine php-Version von dotdeb bezogen hat, denn dann liegen diese Pakete zwischen vom Status dazwischen und beim nächsten apt-get update && apt-get upgrade würden diese gegen die unstable-Version ersetzt. Wichtig ist, dass diese Prioritätsangabe später nicht mehr geändert werden kann. Bei Problemen hilft die Übersicht von apt-cache policy wordpress weiter.

Mit apt-get update && apt-get upgrade kommen die aktuellen Paketlisten in das System. Es ist sehr wahrscheinlich, dass der folgende Fehler eintreten wird:

Paketlisten werden gelesen… Fehler!
E: Dynamic MMap ran out of room
E: Ein Fehler trat beim Bearbeiten von kadu-external-modules auf (NewVersion1)
E: Problem with MergeList /var/lib/apt/lists/ftp.uni-erlangen.de[...]
E: Die Paketliste oder die Statusdatei konnte nicht geparst oder geöffnet werden.

Der Cache-Speicher von Debian reicht nicht aus die neu hinzugekommene Liste der Pakete zu speichern. Dies wird in der Datei /etc/apt/apt.conf neben der Nennung der Primären Debian Version angepasst. Wichtig dabei ist eine darauffolgende letzte Leerzeile:

APT::Default-Release “stable”;
APT::Cache-Limit 16777216;

Nach einem erneuten Update der Paketlisten kann nun das aktuelle WordPress installiert werden. Über den Parameter -t wird die Version angegeben und gleichzeitig werden auch die Abhängigkeiten beachtet. Falls WordPress schon zuvor in der stable-Version installiert war, sieht die Ausgabe wie folgt aus:

apt-get -t unstable install wordpress
Paketlisten werden gelesen… Fertig
Abhängigkeitsbaum wird aufgebaut… Fertig
Die folgenden zusätzlichen Pakete werden installiert:
libphp-phpmailer
Die folgenden NEUEN Pakete werden installiert:
libphp-phpmailer
Die folgenden Pakete werden aktualisiert:
wordpress
1 aktualisiert, 1 neu installiert, 0 zu entfernen und 371 nicht aktualisiert.
[...]
Vorbereiten zum Ersetzen von wordpress 2.0.10-1etch1 (durch …/wordpress_2.5.0-1_all.deb) …

Nun liegt die aktuelle WordPress-Version unter /usr/share/wordpress/ bereit. Zur Einrichtung von WordPress folgt später noch ein Eintrag hier.

Englische Anleitung: apt-pinning
Englisches Handbuch: apt_preferences

Update vom 02.07.2008: /etc/apt/preferences an WordPress 2.5.1-4 angepasst.

Mit php 4.4.8 ist vermutlich die letzte Version von PHP4 erschienen. Der Support für diesen Versionszweig wurde somit auch mit Ablauf des Jahres 2007 eingestellt. Darum ist es sinnvoll auf die aktuelle Version zu aktualisieren, was jedoch auf einem Produktiv-Server nicht so einfach möglich ist, da eventuell Anhängigkeiten bestehen. Auf der Internetseite von PHP sind Tipps und eine FAQ bereitgestellt.

Üblicherweise läuft auf dem Server bereits php4 als Apache-Modul. Aufgrund der Anhängigkeiten von Debian ist es nicht möglich php5 als Zusatzmodul zu installieren, da sonst direkt php4 deinstalliert würde. Darum wird php5 mit den benötigten Zusatzmodulen als CGI-Modul (Wikipedia) eingerichtet:

apt-get install php5-cgi php5-gd php5-mcrypt php5-mhash php5-mysql php5-recode

Der Reihe nach werden nun einige Apache-Module aktiviert, die wie actions benötigt werden, sonst läuft php5 nicht als CGI-Modul:

a2enmod actions
a2enmod ssl
a2enmod rewrite
a2enmod suexec
a2enmod include

Die Konfiguration findet in der Datei /etc/apache2/apache2.conf statt, wo auch AddType und AddHandler definiert werden:

ScriptAlias /cgi-bin/ “/usr/lib/cgi-bin/”
AddType application/x-httpd-php5 .php5
Action application/x-httpd-php5 “/cgi-bin/php”

Somit werden alle Dateien mit der Endung .php5 vom CGI-Modul verarbeitet statt mit dem Apache-Modul. Alle Dateien jedoch umzubenennen wäre jetzt eine Menge Arbeit. Es geht einfacher indem im gewünschten VHost, die folgenden Zeilen eingetragen werden:

<VirtualHost *:80>
<Directory /var/www/htdocs >
Options +ExecCGI
</Directory>
AddType application/x-httpd-php5 .php
</VirtualHost>

Nun werden alle Dateien mit php5 ausgeliefert und die Seite kann ausgiebig getestet werden bevor der komplette Umstieg von php4 zu php5 gemacht wird.

Ein testen der aktuellen Konfiguration und ein anschließender Neustart ist selbsverständlich:

apache2ctl configtest
apache2ctl restart

Die Beschleunigung der auszuliefernden Seiten wird mit eAccelerator (Wikipedia) dadurch erreicht, das diese auf dem Server in einer bereits kompilierten Version gespeichert werden. Bei einem erneuten Aufruf der der gleichen Seite entfällt das wiederholte umwandeln durch PHP, da nun die Seite aus dem Zwischenspeicher geladen wird.

Zunächst müssen unter Debian einige notwendige Pakte installiert werden, passend zur PHP-Version.

apt-get install make bzip2 php5-dev

Die aktuelle Version von eAccelerator wird z.b. mit wget runtergeladen, entpackt, kompiliert und installiert:

tar jxvf eaccelerator-0.9.5.2.tar.bz2
cd eaccelerator-0.9.5.2
/usr/bin/phpize
./configure –enable-eaccelerator=shared –with-php-config=/usr/bin/php-config
make
make install

Jetzt wird PHP noch in der Datei /etc/php5/apache2/php.ini konfiguriert

; eaccelerator
extension=”eaccelerator.so”
eaccelerator.shm_size=”128″
eaccelerator.cache_dir=”/var/cache/eaccelerator”
eaccelerator.enable=”1″
eaccelerator.optimizer=”1″
eaccelerator.check_mtime=”1″
eaccelerator.debug=”0″
eaccelerator.filter=”"
eaccelerator.shm_max=”0″
eaccelerator.shm_ttl=”0″
eaccelerator.shm_prune_period=”0″
eaccelerator.shm_only=”0″
eaccelerator.compress=”1″
eaccelerator.compress_level=”9″
eaccelerator.allowed_admin_path=”/var/www/webserverpfad/htdocs/”

Das Verzeichnis für den Zwischenspeicher wird angelegt und die Steuer-Datei in das gewünscht Verzeichnis kopiert. Das Zugangsdaten sind dort natürlich noch zu ändern.

mkdir /var/cache/eaccelerator
cp control.php /var/www/webserverpfad/htdocs/eaccelerator.php

Von der einwandfreien Funktion kann man sich nun nach einen Serverneustart mit einem phpinfo(); und über einen Blick in die Steuer-Datei überzeugen.

Hier hilft vorbeugen. Suhosin ist ein umfangreiches Schutzsystem für die eigene PHP Installation. Entwickelt wurde dieser Patch, um Server und Benutzer sowohl vor bekannten und unbekannten Fehlern in PHP Anwendungen als auch im PHP Kern zu schützen. Suhosin besteht aus zwei voneinander unabhängigen Teilen, welche entweder einzeln oder auch kombiniert verwendet werden können.

Der erste Teil ist ein kleiner Patch im PHP Kern, der verschiedene Schutzfunktionen vor low-level Pufferüberläufen und zum Schutz von Format String Schwachstellen, die noch nicht beseitigt wurden oder konsstruktionsbedingt nicht vollständig geschützt werden können.

Der zweite Teil des Suhosin Schutzsystems ist eine mächtige, leistungsfähige PHP Erweiterung, die alle anderen Schutzfunktionen anbietet. Anders als der PHP Patch zur PHP Härtung ist Suhosin binär kompatibel zur PHP Installation und ist ein Mittel, die einer PHP Installation eine binäre Erweiterung beifügt, wie sie beispielsweise auch durch den ZendOptimizer hinzugefügt werden kann. Im weitesten Sinn ist Suhosin also eine Erweiterung für PHP.

Seit Debian Etch ist Suhosin auch als Paket erhältlich und muss also nicht selber kompiliert werden. Da jedoch Debian von Natur aus sehr konservativ gegenüber neuen Version ist, sollte man sich überlegen diese PHP-Pakete von einer externen Quelle zu beziehen.

Hier bietet sich dotdeb.org an. Was genau in die /etc/apt/sources.list eingetragen werden muss um in den Genuss der aktuellsten Pakete zu kommen steht auf der Webseite. Zu Beachten ist jedoch das diese Pakete wie gesagt von einer externen Quelle stammen und Debian entsprechend vor der Installation warnt.

apt-get install php5-suhosin

hiermit installieren wir suhosin. Da es kein gewöhnliches Plugin für Apache ist, muss es auch nicht erst aktiviert werden, sondern ist nach einem Neuladen der Konfiguration mit sofort aktiv:

apache2ctl graceful

Überprüfen wir das Ganze indem wir eine info.php erstellen und die folgenden Zeilen einfügen:

<?
phpinfo();
?>

wir finden dort einen Eintrag wie

This server is protected with the Suhosin Patch 0.9.6.2
Copyright (c) 2006 Hardened-PHP Project

im Error-Log von Apache finden wir nun immer die abgefangenen Anfragen, z.b.

[Thu Jun 28 21:41:50 2007] [error] [client 12.23.34.45] ALERT – configured GET variable value length limit exceeded – dropped variable ‘content’ (attacker ’12.23.34.45′, file ‘/var/www/example.com/www/htdocs/(…).php’), referer: http://example.com/(…).php

Hier noch die Links:

Suhosin
Debain Suhosin
dotdeb

Mit der Erweiterung mod_deflate können unter Apache2 bestehende HTML, Text oder XML Dateien auf bis zu 20 – 30 % ihrer ursprünglichen Größe komprimiert werden auf Kosten einer höheren CPU-Auslastung.

Unter Apache1 gibt es dazu die Erweiterung mod_gzip – hier wird jedoch nur die neuere Erweiterung mod_deflate für Apache2 behandelt.

Standardmäßig ist unter Debian die Erweiterung mod_deflate bereits installiert und wartet nur darauf aktiviert zu werden:

a2enmod deflate

nun wird anschließend die Konfiguration von Apache neu geladen

apache2ctl graceful

fortan werden die MIME-Typen (Wikipedia) text/html, text/plain und text/xml (HTML-, Text- und XML-Dateien) komprimiert und im HTTP-Header steht nun:

Content-Encoding: gzip

ziemlich unspektakulär, oder? Okay, wir brauchen zumindest temporär zum testen eine Anzeige ob und wie gut die Komprimierung wirklich funktioniert. Dazu werden die folgenden Zeilen in der Konfigurationsdatei eines V-Hosts eingetragen:

<IfModule mod_deflate.c>
DeflateFilterNote Input instream
DeflateFilterNote Output outstream
DeflateFilterNote Ratio ratio
LogFormat ‘”%r” %{outstream}n/%{instream}n (%{ratio}n%%)’ deflate
CustomLog /var/log/apache2/vhostname_deflate_log deflate
</IfModule>

Nach dem Neuladen der Konfiguration wird in der neuen CustomLog-Datei als Beispiel folgende Zeile erscheinen:

“GET /info.php HTTP/1.1″ 13146/64834 (20%)

Man sieht das die Datei info.php angefordert und ausgeliefert wurde. Die originale Dateigröße betrug 64834 Bytes, aber wurde komprimiert auf 13146 Bytes oder 20% der Originalgröße. Dies ist ein sehr gutes Ergebnis und wenn ein Großteil der Webseite aus HTML-, Text- und XML-Dateien besteht, dann wird mod_deflate eine Menge Traffic einsparen. Für Besucher mit einer “schmalbandigen” Internetanbindung bedeutet dies, dass die Seite schneller geladen wird.

Apache Dokumentation mod_deflate

Natürlich installiert man auch nur das was dann später auch wirklich gebraucht wird, denn in der englischen Anleitungen die ich gefunden hab wird nicht immer jeder Schritt begründet:

The Perfect Setup – Debian Etch (Debian 4.0)
The Perfect Setup – Debian Sarge (3.1)

Bei Unklarheiten sollten man also einen Blick in die entsprechende Dokumentation werfen und nicht Blind alles runterkopieren, um sich später über die Funktion zu wundern. Übrigens gibt es noch mehr gute Anleitungen dort auf www.howtoforge.com

Nicht nur kann man so alles optimal auf seine eigenen Bedürfnisse einstellen, sondern kann auch weitergehend durch Verschlüsselung des E-Mailverkehrs über eigene Zertifikate seine Nachrichten schützen.

E-Mail kann man gut mit Postkarten vergleichen, jeder kann fremde Nachrichten mit minimal technischem Aufwand lesen und verändern. Wie man dies verhindern kann werde ich später erklären.

Als Betreuer oder Besitzers eines Servers ist man selber für alles verantwortlich was von und auf dem eigenen Server passiert. Somit ist es wichtig, dass kein Spam (Wikipedia) direkt über den eigenen Server versandt wird.

Ein sogenanntes Offenes Relay (Wikipedia) lässt sich einfach überprüfen (abuse.net), dabei werden verschiedene Formen des E-Mailversand geprüft und die Ergebnisse direkt angezeigt. Das Ganze lässt sich auch anonym testen.

Es gibt viele Anleitungen einen eigenen Mailserver zu erstellen. Erste Anlaufstelle für Debian-Benutzer wären eigentlich somit die Hilfestellungen von debianhowto.de (de:howtos:sarge:exim4_vexim2_courier_mailman) – der Autor verweist auf die Mailingliste, auf der jedoch nicht so erfreuliche Beträge zu finden sind (lists.debianhowto.de). Zusammengefast wird die Systematik von Debian zerstört, über welche sich neue Pakete installieren lassen und die Konfiguration standardisiert definiert wird. In der Liste wird sogar davon gesprochen, das Updates später unmöglich sind. Also muss etwas anderes her.

Nach einiger Suche hab ich für Debian eine gute Anleitung gefunden. Der Autor Christoph Haas stellt für Debian Sarge (deutsch und englisch) und Etch (englisch) eine ausführliche Anleitung zur Verfügung, die auch sehr gut funktioniert. Verschiedene Domains mit einer Verwaltung über die Datenbank, Spam und Viren-Erkennung und Filterung sind mit eingeschlossen. Das Beste daran ist natürlich, dass alles gut erklärt wird wie es gemacht wird und warum.

ISP-style Email Server with Debian-Etch and Postfix 2.3
ISP-ähnlicher Email Service mit Debian-Sarge und Postfix 2.1
ISP-style Email Service with Debian-Sarge and Postfix 2.1