Kategorie: Server

Server Update Debian 10 auf 12

Es stand endlich mal das Update von Debian 10 an, selbst der LTS Support ist ja absehbar zuende (Juni). Dann aber auch direkt hintereinander auf 11 und dann auf 12, damit dann wieder für einige Jahre Ruhe ist.

Das Update lief wie (fast) erwartet problemlos. Dann Aktualisierung des Server Panels. Danach finden sich ja dann immer kleinere bis größere Probleme und die Feinarbeit beginnt. Kurze Sammlung:

  • fail2ban startet nicht wegen fehlerhafter Konfiguration: Bugreport inkl. Lösung
    fail2ban [3016]: ERROR Failed during configuration: Bad value substitution: option 'ignorecommand' in section 'apache-fakegooglebot' contains an interpolation key 'ignorecommands_dir' which is not a valid option name. Raw value: '%(ignorecommands_dir)s/apache-fakegooglebot '
  • sshd fehlermeldung bei jeder Anmeldung: Bugreport und Lösung
    sshd: pam_env(sshd:session): deprecated reading of user environment enabled
  • chkrootkit: Neuer Ort für Config wird gewünscht. Die Log Meldung sagt ja schon was man tun soll:
    chkrootkit-daily[862579]: WARNING: /etc/chkrootkit.conf is deprecated. Please put your settings in /etc/chkrootkit/chkrootkit.conf instead: /etc/chkrootkit.conf will be ignored in a future release and should be deleted.

Hält sich ansonsten sehr in Grenzen, sehr erfreulich. Wird ergänzt wenn sich etwas Neues ergibt.

Spamfilterung mit rspamd

Auf dem Server laufen auch einige Mailboxen, den Spamfilter habe ich vor einiger Zeit von Spamassassin mit Avamis auf Rspamd umgestellt. In die Konfiguration muss man sich zwar kurz einarbeiten, aber dann fällt sie recht leicht und lässt sich schnell und einfach erweitern. Hier halte ich kurz fest, was ich geändert habe an der Basiskonfiguration, in loser Reihenfolge.

  • Mehrere dnsbls hinzugefügt. Dafür die Filterung direkt durch Postfix abgeschaltet (ispconfig: System -> Server Config -> Mail). Aktuell habe ich in /etc/rspamd/override.d/rbl.conf:
    • spamhaus (mit Registrierung der Free-Version von DQS)
    • Abusix (gleichfalls)
    • NiXSpam (nixspam.net)
    • uceprotect 2 und 3 (uceprotect.net)
    • SORBS (sorbs.net)
    • anonmails (anonmails.de)
    • truncate (gbudb.net)
    • 0spam.org
    • Spamcop.net
    • dronebl.org
    • spamrats.com
  • Die jeweiligen Gewichtungen natürlich individuell angepasst, sodass mindestens zwei verschiedene hits nötig sind damit eine Mail abgelehnt wird. Gerade uceprotect listet offenbar sehr großzügig
  • die Mailserver von 1und1 (mx.kundenserver.de) stehen leider auf einigen der erweiterten blockslists. Da die Gewichtung nach unten korrigiert (uceprotect).
  • local fuzzy storage umgesetzt
    • Check: rspamadm control fuzzystat
  • Automatisches Bayes Spam/Ham Training wenn die Mail in den Junk Ordner verschoben oder herausgeschoben wird: https://www.allerstorfer.at/rspamd-dovecot-ispconfig-automatic-spam-ham-training/
    • Das ergänzt um den local fuzzy storage, sodass als spam markierte Mails auch automatisch als hash aufgenommen werden (und in die whitelist bei ham markierung), mit entsprechend geringerer gewichtung
  • Mehrere Roundcube Plugins installiert um einfach Optionen für einzelne Mailboxen auch als User ändern zu können:
    • ispconfig3_roundcube plugins: U.a. Passwort ändern, fetchmail, Spamfilter policy ändern, Blacklist/Whitelist, einfache Filter
    • managesieve (managesieved und managesieve roundcube plugin): Erlaubt das Anlegen differenzierter Regeln für Mails, u.a. auch mit dem message body.
  • Eigenen DNS Caching resolver benutzen, damit der URI Check von Spamassassin gegen die Blacklists besser läuft. Siehe hier. (unbound)
  • rspamd bayes Filter trainiert mit dem Archiv von http://untroubled.org/spam/
    • statt bayes Training lokalen fuzzy storage damit befüllt: rspamc -f [FLAG] -w [WEIGHT] fuzzy_add [DIR]
  • externe Services in rspamd aktiviert/installiert:

Damit ist das Spamlevel im Moment auf ganz gutem Niveau, es wird sehr viel mehr gefiltert als mit der Standard-Konfiguration.

Noch auf der Todo-Liste:

  • Training mit dem untroubled Archiv automatisieren
  • automatisches fuzzy learning

screen terminfo und Bedienungs-Basics

screen verwende ich gerne in der Konsole, z.B. auf dem Server oder Nas. Hier zum schnellen Nachschauen die Standard-Befehle und der nervige terminfo-Fehler.

Wenn

Cannot find terminfo entry for 'rxvt-256color'.

kommt, dann einfach

export TERM='linux'

verwenden (wahlweise in die bashrc einfügen).

Basics Keyboard:
Ctrl + d + a = detach

screen -r = reattach

screen -l = list sessions