Kunden Dokumentation. 1. Allgemeine Beschreibung. 2. Produkte. 3. Service. 4. Kontakt. Dokumentation

Größe: px
Ab Seite anzeigen:

Download "Kunden Dokumentation. 1. Allgemeine Beschreibung. 2. Produkte. 3. Service. 4. Kontakt. Dokumentation"

Transkript

1 Kunden Verizon Business stellt Ihnen sämtliche Informationen zu Ihrem Hosting-Produkt online zur Verfügung. Eine PDF-Version steht ebenfalls zur Verfügung: Download Most of the documentation is also available in English. Just switch the language on the right upper menu. 1. Allgemeine Beschreibung Diese gibt Ihnen Antworten auf allgemeine Fragen zu Ihrem speziellen Hosting-Produkt. Sie umfasst technische Informationen, Vorschläge und Tipps. Von hier aus werden Sie zu den spezifischen Dokumenten mit detaillierten Anleitungen zur Behebung von Problemen, auf die Sie stoßen können, geleitet. 2. Produkte Eine erste Übersicht über die allgemeinen Features unserer Unix-basierten Produkte Verizon Shared Hosting Unix und Verizon Dedicated Server Unix sowie über die allgemeinen Features für Verizon Dedicated Server auf Windows-Basis bzw. für Verizon Shared Hosting Windows finden sie in folgenden Dokumenten: Verizon Shared Hosting und Verizon Dedicated Server auf Unix-Basis Verizon Shared Hosting und Verizon Dedicated Server auf Windows-Basis 3. Service Darüber hinaus stellt Verizon Business en zu ergänzenden, technischen Funktionen und Themen (z.b. Datensicherung) zur Verfügung, die produktunabhängig sind. Einen Überblick über diese Themen erhalten Sie hier. 4. Kontakt Falls Sie noch weitere Informationen wünschen oder Fragen haben, nehmen Sie bitte mit uns Kontakt auf. 1

2 Generelle Informationen Nachfolgend erhalten Sie einen Überblick über weiterführende Dokumente zu Themen, die produktunabhängig sind. 1. Datensicherung Jeder Server verfügt über ein Sicherungssystem für seine Daten. Das Backup-Dokument beschreibt, wie Verizon Business die Sicherung der Daten auf Ihrem Server durchführt. 2. Sicherheitslösungen Sie erwarten geschützte Datenübertragung und sicheren Zugriff auf Ihre Daten. Der Sicherheitsstandard unserer Hosting-Produkte ist sehr hoch. Das Dokument über Sicherheitslösungen erläutert die verschiedenen Optionen, mit denen sich der Sicherheitsstandard sogar noch weiter optimieren lässt. 3. SSL-Datenblatt Wie Sie ein SSL-Zertifikat für einen Webserver bestellen und das zugehörige Datenblatt richtig ausfüllen, erfahren Sie hier. 4. Datentransfer Accounting Die Abrechnung unserer Hosting-Produkte erfolgt auf Basis des Datentransfers. Das Dokument zum Netflow-Accounting erklärt den technischen Hintergrund des Abrechnungsprozesses. Es erläutert außerdem das Format der aggregierten Daten und der Rohdaten, die auf Anfrage verfügbar sind. 2

3 Secure Socket Layer (SSL) Dieses Dokument gibt einen Einblick in die Funktionsweise von SSL, beschreibt grundlegende Verschlüsselungsverfahren dieses Protokolls und erklärt einige Begriffe, die im Zusammenhang mit SSL häufig genutzt werden. Darüber hinaus werden einige übliche Vorgehensweisen beschrieben sowie verschiedene Tipps zur Konfiguration und Verwendung gegeben. 1. Allgemeine Beschreibung Der Transport und das Routing der Daten im Internet wird vom TCP/IP-Protokoll geregelt. Der gesamte auf diesem Protokoll basierende Verkehr kann von jedermann während des Übertragungsprozesses zwischen Client und Server abgefangen werden. Das SSL-Protokoll, ursprünglich von Netscape entwickelt, liegt über der TCP/IP-Schicht und unterhalb der Protokolle höherer Schichten wie HTTP oder POP3. Die SSL-Schicht setzt sich aus zwei Unterschichten zusammen, 1. dem SSL-Record-Protokoll und 2. dem SSL-Handshake-Protokoll. Beide Schichten werden oft zu einer "SSL-Schicht" summiert und sind für die TCP/IP- und Anwendungsprotokolle transparent. Weder die Anwendungs- noch die TCP/IP-Protokolle nehmen die Arbeit der SSL-Schicht wahr, so dass keinerlei Änderungen an den Schichten über und unter der SSL-Schicht erforderlich sind um SSL einsetzen zu können. Das SSL-Protokoll befindet sich zwischen dem TCP/IP-Protokoll und Protokollen höherer Schichten Um die SSL-Verschlüsselung richtig verstehen zu können, müssen zunächst einige wichtige Begriffe geklärt werden Symmetrische Verschlüsselung Die symmetrische Verschlüsselung, im Englischen auch "Secret-Key-Encryption" genannt, basiert auf nur einem Schlüssel, der zum Ver- bzw. Entschlüsseln verwendet wird. Diese Technik ist sehr schnell. Wird jedoch der genutze Schlüssel bekannt, liegt die gesamte Kommunikation zwischen Client und Server offen. Verbreitete Beispiele für symmetrische Verschlüsselungen sind Blowfish, DES, RC4 und RC Asymmetrische Verschlüsselung Dieser Technik, im Englischen auch "Public-Key-Encryption" genannt, liegen zwei Schlüssel zugrunde, ein öffentlicher und ein privater. Der öffentliche Schlüssel wird dem Client zur Verfügung gestellt. Bei Verwendung von SSL zur Absicherung des HTTP-Protokolls muss der öffentliche Schlüssel vom Server an den Browser weitergegeben werden. Die mit diesem Schlüssel verschlüsselten Daten können nur mit dem privaten Schlüssel des Servers entschlüsselt werden. Der private Schlüssel ist vom öffentlichen Schlüssel in einer endlichen Zeitspanne nicht ermittelbar. Dies macht das Verfahren sicher, allerdings auch langsamer als die symmetrische Verschlüsselung. Einige geläufige Beispiele für die asymmetrische Verschlüsselung sind RSA, DSS, Diffie-Hellman und El Gamal. 3

4 1. 3. Message Digests Digitale Fingerabdrücke, im Englischen "Message-Digests" (etwa: Zusammenfassung einer Nachricht) genannt, sind spezielle Einweg-Hashes (nicht rückwärts zu berechnende Algorithmen), die über einem Dokument gebildet werden und eine eindeutige Prüfsumme ergeben. Mit dieser Technik wird gewährleistet, dass sich sämtliche Daten im Urzustand befinden. Wurden während der Übertragung Änderungen vorgenommen, ist die Prüfsumme stets abweichend Digitale Signaturen Mit digitalen Signaturen wird überprüft, ob die Daten vom richtigen Urheber kommen. Bei diesem Vorgang werden der Message-Digest sowie einige andere benutzerspezifische Daten mit dem privaten Schlüssel des Benutzers verschlüsselt. Die entstandene Signatur kann nur mit dem öffentlichen Schlüssel desselben Benutzers entschlüsselt werden. Durch die Umkehr der Schlüssel kann die Identität des Urhebers sichergestellt werden, da nur er über seinen eigenen privaten Schlüssel verfügt Zertifikate Bei Zertifikaten handelt es sich um "elektronische Ausweise" der Server. Sie enthalten den öffentlichen Schlüssel des Servers, die Seriennummer und Gültigkeitsdauer des Zertifikats, den Domainnamen des Servers und des Zertifikat-Herausgebers sowie die digitale Signatur des Zertifikat-Herausgebers. Das Format ist im internationalen Standard ITU-T X.509 definiert und jede Anwendung, die ebenfalls mit diesem Standard arbeitet, kann derartige Zertifikate lesen und schreiben. SSL basiert auf den oben beschriebenen Techniken und ist völlig unabhängig von irgendwelchen Anwendungsprogrammen. Es kann zusammen mit vielen verschiedenen Protokollen wie HTTP, FTP oder POP3 eingesetzt werden. Am häufigsten werden Zertifikate in Zusammenhang mit HTTP verwendet. Aus historischen Gründen und aufgrund von Exportbeschränkungen der US-Regierung für kryptografische Technologien gibt es zwei verschiedene Schlüssellängen: 40 und 128 Bit. Für beide Versionen existieren unterschiedliche Zertifikate. 2. Benutzung Jede mit SSL verschlüsselte Übertragung beginnt mit dem "SSL-Handshake". Während dieser Phase authentifiziert sich der Server gegenüber dem Client unter Verwendung einer asymmetrischen Verschlüsselung, anschließend generieren Client und Server gemeinsam einen symmetrischen Sitzungsschlüssel. Wahlweise ermöglicht der Handshake auch dem Client, sich gegenüber dem Server zu authentifizieren. Bevor der Server sein Zertifikat an den Client sendet, muss der Client während der sogenannten "Hello-Phase" dem Server mitteilen, welche Verschlüsselungstechniken er einsetzen kann. Anschließend schickt er diese Informationen zusammen mit der SSL-Versionsnummer und einigen zufällig generierten Daten zum Server. Der Server wählt eine öffentliche Schlüsseltechnik, eine private Schlüsseltechnik und einen Hash-Algorithmus und sendet dies zusammen mit der verwendeten SSL-Versionsnummer und seinem Zertifikat zum Client. Will der Client eine Server-Ressource nutzen, die eine Authentifizierung des Clients voraussetzt, fordert der Server das Zertifikat des Clients an. Zur Authentifizierung der Zusammengehörigkeit eines öffentlichen Schlüssels und des Servers, der durch das Zertifikat, das den öffentlichen Schlüssel enthält, identifiziert wurde, muss ein SSL-fähiger Client ein "YES" auf die vier Fragen in der folgenden Abbildung erhalten. 4

5 Vier Schritte zur Authentifizierung der Identität eines Servers 1. Fällt das heutige Datum in die Gültigkeitsdauer? Der Client geht erst zu Schritt 2 über, wenn das aktuelle Datum in den Gültigkeitsbereich des Server-Zertifikats fällt. 2. Ist die herausgebende Zertifizierungsanstalt (CA = Certification Authority) vertrauenswürdig? Jeder Client führt eine Liste mit Zertifikaten vertrauenswürdiger Zertifizierungsanstalten. Nur wenn der eindeutige Name (DN = Distinguished Name) der herausgebenden Zertifizierungsanstalt mit dem eindeutigen Namen einer Zertifizierungsanstalt in der Liste des Clients übereinstimmt, ist die Antwort auf diese Frage "Ja". 3. Ist die digitale Signatur des Herausgebers im Zertifikat gültig? Falls Frage 2 mit "Ja" beantwortet wurde, liest der Client den öffentlichen Schlüssel der herausgebenden Zertifizierungsanstalt aus der geführten Liste ein und prüft bzw. bestätigt die digitale Signatur des Herausgebers auf dem Zertifikat des Servers. Deckt sich der öffentliche Schlüssel nicht mit dem privaten Schlüssel des Herausgebers, mit dem das Zertifikat unterschrieben wurde, oder haben sich die Informationen im Zertifikat seit der Unterschrift durch die Zertifizierungsanstalt geändert, authentifiziert der Client die Identität des Servers nicht. Falls die digitale Signatur der Zertifizierungsanstalt bestätigt wurde, hat der Client bestimmt, dass das Server-Zertifikat gültig ist, und beantwortet die Frage mit "Ja". 4. Ist der Domainname im Zertifikat derselbe wie der Domainname des Servers? Dieser Schritt ist nicht Teil des SSL-Protokolls, jedoch die einzige Möglichkeit, sich vor einem "zwischengeschalteten Angreifer" zu schützen. Durch diesen Schritt bestätigt der Client, dass der Server sich tatsächlich an der Netzwerkadresse befindet, die durch den Domainnamen im Zertifikat des Servers spezifiziert ist. 5. Server-Authentifizierung ist abgeschlossen! Ist dieser Schritt erreicht, wurde der Server erfolgreich vom Client authentifiziert, und der Client kann nun mit den restlichen SSL-Handshake-Vorgängen fortfahren. Sollte die Server-Authentifizierung aus irgendeinem Grund fehlschlagen, wird keine sichere Verbindung aufgebaut und der Benutzer darüber informiert, dass eventuell eine zweifelhafte Aktion im Gange ist. 5

6 Beim nächsten Schritt des SSL-Handshakes muss der Server mit Hilfe seines privaten Schlüssels erfolgreich ein sogenanntes Premaster-Geheimnis entschlüsseln, das der Client mit dem öffentlichen Schlüssel aus dem Zertifikat des Servers verschlüsselt und ihm gesendet hat. Ein optionaler Schritt im SSL-Handshake ist die Client-Authentifizierung durch den Server. Wird diese Authentifizierung vom Server angefordert, schickt der Client sein eigenes Zertifikat zusammen mit dem "Premaster-Geheimnis" zum Server. Nachdem das "Premaster-Geheimnis" erfolgreich entschlüsselt wurde, beginnen Server und Client mit einer Reihe paralleler Schritte, um das "Master-Geheimnis" zu generieren. Dieses "Master-Geheimnis" verwenden Server und Client zur Erzeugung der Sitzungsschlüssel, wobei es sich um symmetrische Schlüssel handelt, die während der ganzen Sitzung bei der Ver- und Entschlüsselung zum Einsatz kommen. Damit der Server weiß, dass alle künftigen Nachrichten mit dem generierten symmetrischen Schlüssel verschlüsselt werden, schickt der Client eine Nachricht an den Server. Eine weitere an den Server gerichtete Nachricht weist darauf hin, dass der Client den SSL-Handshake erfolgreich abgeschlossen hat. Der Server macht dasselbe und meldet dem Client durch Versenden einer Nachricht, dass alle künftigen Nachrichten mit dem Sitzungsschlüssel verschlüsselt werden. Eine weitere separate verschlüsselte Nachricht zeigt dem Client das Ende des SSL-Handshakes seitens des Servers an. Nachdem der SSL-Handshake nun abgeschlossen ist, können Client und Server mit dem Austausch verschlüsselter Nachrichten beginnen, ohne den Sitzungsschlüssel vom Client zum Server und umgekehrt übermitteln zu müssen. 3. Installation und Konfiguration Das Zertifikat wird normalerweise von Verizon Business auf dem Webserver des Kunden installiert. Auf dem Unix-System findet sich der private Schlüssel des Servers im Verzeichnis /users/www/httpd-customer.net/etc/ssl.key. Aus Sicherheitsgründen kann er nur vom Root-Benutzer gelesen werden. Das Zertifikat befindet sich in der Datei server.crt in /users/www/httpd-customer.net/etc/ssl.crt und kann von jedermann gelesen werden. Zur Aktivierung von SSL auf Apache-Webservern wird mod_ssl benutzt. Auf Servern unter Windows muss der Microsoft Key-Manager zur Einsicht der Server-Zertifikate verwendet werden. Bei Zertifikatinstallationen auf nichtdedizierten Webservern müssen die Anleitungen im Manual der jeweils eingesetzten Serversoftware befolgt werden. 4. Verwendung Wird durch einen Webserver SSL unterstützt, so kann dies durch das Ersetzen von HTTP durch HTTPS am Anfang einer URL im Browser genutzt werden, es wird demzufolge statt jetzt https://www.customer.net geschrieben. Falls eine mit HTTPS angeforderte Webseite absolute Verweise auf Nicht-HTTPS Objekte enthält, beispielsweise wenn ein Bild mittels HTTP eingebunden wird, wird vom Browser eine Warnmeldung in Verbindung mit der Frage ob der Ladevorgang fortgesetzt werden soll, an. Diese Meldung erscheint auch, wenn auf einer Webseite, die korrekt mit HTTPS angefordert wurde, ein normaler HTTP-Link ausgewählt wurde. Enthält eine Webseite nur Verweise auf Objekte (wie z.b. Bilder), die sich auf demselben lokalen Server befinden, sollten all diese Verweise als relative und nicht absolute Verweise eingebunden werden. Hierdurch wird der Server gezwungen, für alle eingebundenen Objekte eine SSL-verschlüsselte Übertragung zu verwenden. Das folgende Beispiel zeigt eine HTML-Zeile, die das Laden eines Bildes innerhalb einer Webseite unter Verwendung des normalem HTTP-Protokolls erzwingt: <IMG SRC="http://www.customer.net/images/myimage.gif"> Wenn dieses Bild mittels HTTPS geladen werden soll, bieten sich zwei Möglichkeiten. Zum einen kann der vollständige absolute Pfad im IMG-Tag angegeben werden (1), zum anderen kann ein Pfad verwendet werden, der lediglich relativ zum Document-Root-Verzeichnis des Servers ist (2). 6

7 (1) <IMG SRC="https://www.customer.net/images/myimage.gif"> (2) <IMG SRC="/images/myimage.gif"> 5. Weitere Verwendung Apache Webserver Die gängigsten SSL-Optionen lassen sich mit einer Datei namens.htaccess modifizieren, die in jenem Verzeichnis vorliegen muss, für das die Optionen angepasst werden sollen. Die in dieser Datei vorhandenen Optionen sind auch für alle Unterverzeichnisse gültig, bis sie in einer neuen.htaccess-datei überschrieben werden. Näheres zu den einzelnen SSL-Optionen kann im Dokument zu Apache-SSL nachgelesen werden Schutz einzelner Verzeichnisse Natürlich besteht auch die Möglichkeit, die Verwendung der SSL-Verschlüsselung für ein oder mehrere Verzeichnisse zu erzwingen. Die einzige Option, die hierfür in der Datei.htaccess eingetragen werden muss, ist SSLRequireSSL. Erfolgt nun ein Abruf von Dateien aus diesem Verzeichnis mit normalen HTTP statt HTTPS, wird der Zugriff verweigert. Im Gegensatz dazu kann der SSL-Zugriff auf ein Verzeichnis auch verweigert werden, und zwar mit der Option SSLDenySSL Verifizieren von Clients Wie oben beschrieben, kann der Server eine Client-Authentifizierung auf verschiedene Arten anfordern. Hierfür wird die Option SSLVerfiyClient zusammen mit einer Authentifizierungsabstufung verwendet. none Kein Zertifikat erforderlich (Standard). optional Der Client kann ein gültiges Zertifikat vorlegen, muss aber nicht. Wird ein Zertifikat angegeben, muss dieses von einer Zertifizierungsanstalt stammen, von der der Server selbst ein Zertifikat besitzt. require Der Client muss ein gültiges Zertifikat vorlegen. optional_no_ca Der Client kann ein gültiges Zertifikat vorlegen, es muss jedoch nicht unbedingt von einer Zertifizierungsanstalt stammen, von der der Server ein Zertifikat besitzt Gültigkeit von Sitzungsschlüsseln Wann immer ein Client ein Dokument zum ersten Mal vom Server anfordert, wird ein neuer Sitzungsschlüssel generiert. Mit der Option SSLSessionCacheTimeout kann sekundenweise festgelegt werden, wie lang dieser Sitzungsschlüssel lokal im Cache gespeichert wird. Um die Übertragung gegenüber Angreifern so sicher wie möglich zu machen, empfiehlt sich ein niedrigerer Wert, da dem Angreifer dann weniger Zeit zum Knacken des Schlüssels bleibt, bevor ein neuer erzeugt wird. Da der Schlüssel bei jedem "Timeout" neu generiert wird, ist dies zwar sicher, jedoch recht langsam. Fordert der Server ein Client-Zertifikat an, wird dieses bei jeder neuen Erzeugung eines Sitzungsschlüssels ebenfalls angefordert. Für den normalen Gebrauch ist ein "Timeout" von ein paar Stunden sicher ausreichend Windows IIS Bei Windows unter Verwendung von IIS (Internet Information Server) ist der Einsatz von SSL auf einer Pro-Verzeichnis-Basis nicht möglich. Zur Anforderung von SSL beim Zugriff auf eine beliebige Webseite eines IIS-Webs kann die Management Console verwendet werden, um die Properties eines Webs zu öffnen. Unter der Registerkarte "Directory Security" bietet die Option "Secure communications" die Möglichkeit, für das gesamte Web nur Anfragen unter Verwendung von SSL zuzulassen, und zwar indem die Option "Require Secure Channel When accessing this resource"aktiviert wird. Diese Option ist standardmäßig deaktiviert. Mit derselben Registerkarte ist es weiterhin möglich, das Akzeptieren von Client-Zertifikaten einzuschalten sowie Zuordnungen zwischen den Zertifikaten und Windows-Benutzeraccounts zu aktivieren. Diese Option ist 7

8 standardmäßig so eingestellt, dass keinerlei Client-Zertifikate akzeptiert werden. Um die Details eines Server-Zertifikats einzusehen, sollte der Microsoft Key Manager verwendet werden. Das Programm lässt sich auch von der Management Console aus starten oder aber auf direktem Weg durch Aufrufen von keyring.exe. Der Key Manager zeigt sämtliche Informationen, die in den installierten Zertifikaten enthalten sind, sowie die Gültigkeitsdauer eines jeden installierten Zertifikats. 6. Weitere Informationen Näheres zum SSL-Protokoll findet sich auf verschiedenen Webseiten: Apache mod_ssl Die Online- von Apache mod_ssl. OpenSSL Homepage des OpenSSL-Projekts, eine freie Implementierung des SSL/TLS-Protokolls. Apache-SSL Eine weitere SSL-Implementierung für den Apache-Webserver. 8

9 Beantragung eines SSL-Zertifikats für Webserver Für die Beantragung eines SSL-Zertifikates für Webserver werden einige zusätzliche Angaben benötigt. Zur Erfassung aller wichtigen Informationen stellt Verizon Business auf Anfrage ein Datenblatt zur Verfügung. 1. Notwendige Unterlagen Für die Beantragung des SSL-Zertifikates werden folgende Unterlagen benötigt: 1. Vollständig ausgefülltes Datenblatt SSL. 2. Handelsregisterauszug oder Gewerbeschein. Die Unterlagen sind per Fax an zu senden. 2. Datenblatt SSL Das auszufüllende Datenblatt ist in den Unterlagen zu den entsprechenden Hosting-Produkten enthalten. Im ersten Abschnitt "Details zum Kunden" ist der genaue Name der Firma, die Stadt und das Bundesland des Firmensitzes sowie die eventuell bereits vorhandene Verizon Business Kundennummer einzutragen. Optional ist auch die Angabe eines Abteilungsnamens möglich. Diese Daten erscheinen komplett im fertigen SSL-Zertifikat. SSL-Datenblatt 1 Im Abschnitt "Gesetzlicher Vertreter" sollte nach Möglichkeit der auch im Handelsregisterauszug eingetragene Geschäftsführer, ein Vorstandsmitglied oder ein anderer leitender Manager eingetragen werden. Diese Person muss Kenntnis von der Beantragung des SSL-Zertifikates haben und gegenüber der zertifizierenden Stelle die Echtheit des Auftrages zur SSL-Zertifizierung bestätigen können. Diese Bestätigung wird durch einen Anruf bei der angegeben Person eingeholt, weshalb bei der Angabe von Fax- und Telefonnummer auf die Eintragung von Zentralrufnummern zu verzichten ist und stattdessen eine Rufnummer zur direkten Erreichbarkeit der angegebenen Person angegeben werden sollte. Die gleiche Vorgehensweise ist für die Angabe der Mailadresse zu empfehlen, an diese Adresse werden Meldungen über den Status der Beantragung sowie Benachrichtigungen 9

10 über fehlende Unterlagen gesandt. Die Daten dieses Abschnittes dienen nur zur Beantragung und sind nicht Bestandteil des fertigen Zertifikates. Als technischer Ansprechpartner sollte eine Person eingetragen werden, die Zugang zu dem Webserver besitzt, auf dem das SSL-Zertifikat installiert werden soll und für alle technischen Rückfragen zur Verfügung steht. Diese Angaben erscheinen nicht im ausgestellten Zertifikat. SSL-Datenblatt 2 Im Abschnitt "Details zum Server" ist der Name des Webservers einzutragen, z.b. für den das Zertifikat ausgestellt werden soll. Ein SSL-Zertifikat ist an diesen Namen gebunden und kann nicht für einen anderen Server eingesetzt werden. Wird der Server im Rahmen eines Shared- oder Dedicated-Vertrages bei Verizon Business betrieben so ist dies entsprechend anzukreuzen, anderenfalls ist die genaue Bezeichnung und Versionsnummer der verwendeten Serversoftware anzugeben. Im letzten Abschnitt muss angekreuzt werden, welche Unterlagen über das Unternehmen dem Auftrag beigefügt werden. Mit einigen Angaben zur unterzeichnenden Person und deren Unterschrift wird der Auftrag komplettiert. Da es sich bei einem SSL-Zertifikat um eine Zusatzdienstleistung zu einem Webhosting Produkt handelt ist die Unterschrift auf dem SSL-Datenblatt in jedem Fall für die weitere Bearbeitung notwendig. SSL-Datenblatt 3 10

11 3. SSL-Zertifikate für externe Kunden Wird der Webserver, für den SSL-Zertifikat beantragt wird, nicht im Rahmen eines Shared- oder Dedicated-Auftrages bei Verizon Business betrieben, so ist dies auf dem Datenblatt im entsprechenden Abschnitt zu vermerken. Die SSL-Zertifizierung wird ebenfalls für die Dauer von einem Jahr vorgenommen und muss danach erneut schriftlich beauftragt werden. Um das Zertifikat zu beantragen, wird zusätzlich zum SSL-Datenblatt die erste Seite der Unterlagen zu den Produkten, komplett ausgefüllt und unterzeichnet, benötigt. Zur Klärung offener Fragen, nach erfolgreicher Ausstellung oder bei dem bevorstehenden Ablauf der Gültigkeit des Zertifikates wird der angegebene technische Ansprechpartner von Verizon Business kontaktiert um ggf. fehlende Unterlagen nachreichen zu können oder das Zertifikat über ein Webinterface abzuholen. 11

12 Ausschlussklausel Verizon Business ist bemüht zu gewährleisten, dass die auf dieser Webseite enthaltenen Informationen und Daten korrekt sind. Für die Richtigkeit, Aktualität und Vollständigkeit der zur Verfügung gestellten Inhalte kann Verizon Business jedoch nicht haften oder garantieren - dies bezieht sich sowohl auf die Webseiten, auf die Verizon Business innerhalb dieser verweist als auch auf die Funktionalität dieser Links. Mit den in dieser aufgelisteten Links verlassen Sie die Verizon Business Webseite. Verizon Business ist dann weder verantwortlich für Informationen und Inhalte außerhalb der Verizon Business Webseite, noch werden diese von Verizon Business kontrolliert. Es ist nicht gestattet, Inhalte dieser Webseite wieder zu veröffentlichen oder weiter zu verbreiten, wenn keine ausdrückliche schriftliche Zustimmung von Verizon Business erteilt wurde. Alle Produktnamen, die in dieser erwähnt werden, sind Warenzeichen oder eingetragene Warenzeichen ihrer jeweiligen Firmen. 12

13 Backup-System Verizon Business verwendet ein Backup-System, um die Daten eines jeden Servers täglich zu sichern. Wird eine Datei versehentlich gelöscht, oder sollte ein Server Probleme mit seiner/seinen Festplatte(n) haben, können die Verizon Business Webmaster die Daten wieder herstellen. Dieses Dokument beschreibt das grundlegende Setup des Backup-Systems und die Vorgehensweise, um Daten wieder herzuerstellen. 1. Allgemeine Beschreibung Für das Verizon Business Backup-System ist auf jedem Server ein Backup-Client standardmäßig installiert. Dieser Client steht einer ganzen Reihe von Betriebssystemen zur Verfügung. Die Backup-Daten werden auf mehreren Bändern gespeichert. Backup-Server kontrollieren den Betrieb des Systems. Wird ein Server neu installiert, wird initial eine Vollsicherung durchgeführt. Anschließend wird automatisch während der Nacht von 22:00 Uhr bis 6:00 Uhr eine inkrementelle Datensicherung durchgeführt, bei der nur die gegenüber dem Vortag geänderten Daten gesichert werden. Die exakte Zeit für ein bestimmten Server kann nicht im voraus angegeben werden, da die Dauer des Backup-Prozesses von anderen Servern abhängt. Die Sicherung selbst erfolgt ohne Mitwirken des Kunden. Die Daten, die länger als 28 Tage gespeichert sind und durch neuere Dateien ersetzt wurden, werden gelöscht. Dieses Verfahren verringert das Gesamtvolumen auf den Bändern und erlaubt gleichzeitig ein volles Backup des Systems in jedem Backup-Zustand der vorhergehenden vier Wochen. 2. Wichtiger Hinweis zur Sicherung von Datenbanken Bei der Datensicherung werden für Datenbanken KEINE Sicherungen durchgeführt! Es werden nur die Daten gesichert, die im Dateisystem abgelegt sind. Soll eine Sicherung der Datenbank erfolgen, muss der Kunde ein Skript erstellen, das regelmäßig einen Dump der Datenbank erstellt, der dann in einer Datei explizit gespeichert wird. Das System kann diese Datei sichern und im Störfall die Datenbank daraus zurückladen. Verizon Business garantiert nicht für die Richtigkeit oder Vollständigkeit dieser Daten. 3. Ausschluss von Dateien Um ein hohes Backup-Volumen zu vermeiden, ist es möglich, bestimmte Dateien oder Verzeichnisse vom Backup auszuschließen. Dies führt auch zu einer Kostenverringerung für das aufkommende Backupvolumen auf der Monatsrechnung. Typische Dateien oder Verzeichnisse für einen solchen Ausschluss sind die oben erwähnten Datenbankdateien, Session-Dateien von PHP oder Servlets und andere temporäre Dateien. Teilen Sie bitte den Verizon Business Webmastern per Fax mit, welche Verzeichnisse und Dateien nicht gesichert werden sollen, damit das Backup-System dementsprechend konfiguriert werden kann. Es liegt in der Verantwortung des Kunden diese Einträge bei Bedarf wieder entfernen zu lassen. 4. Wiederherstellen von Dateien Sollte ein Wiederherstellen der Daten nötig sein, senden Sie bitte eine an die Verizon Business Webmaster. Sie holen die Daten aus dem Backup-System und benachrichtigen Sie, sobald das Wiederherstellen der Daten abgeschlossen ist. Der Kunde sollte nicht versuchen, Dateien selbst wiederherzustellen. 13

14 Kontakt Hier erfahren Sie, wie Sie Verizon Business in den verschiedenen Ländern erreichen können, wenn Sie noch Fragen haben oder weitere Informationen wünschen. 1. Allgemeines Wenn Sie sich per , Fax oder Telefon direkt an Verizon Business wenden, versichern Sie sich bitte zunächst, dass Sie die für Ihr Land geltenden Kontaktdaten gewählt haben. Weiterhin ist es hilfreich, wenn Sie Ihre Kundennummer und den Namen des Servers bei der Kontaktaufnahme nennen. Bevor Sie aber mit unserem Support Kontakt aufnehmen, informieren Sie sich bitte zuerst in der hier zur Verfügung gestellten technischen. Falls Sie dann immer noch Fragen haben und/oder weitere Informationen wünschen, nehmen Sie bitte mit uns Kontakt auf: 2. Deutschland: Verizon Deutschland GmbH Sebrathweg 20 D Dortmund Deutschland Telefon (national): (9,5 Cent/Min) Telefax: Technischer Support IP Produkte Web: 3. Niederlande: Verizon Nederland B.V. H.J.E. Wenckebachweg AM AMSTERDAM The Netherlands Telefon (national): Telefax: Technical Support IP Products Web: 4. Großbritannien: Verizon UK Limited Reading International Business Park Basingstoke Road Reading Berkshire RG2 6DA Telefon: Support Web: 14

15 4. Schweden: Verizon Sweden AB Armégatan 38 Box Solna Sweden Telefon (national): Telefon (international): Support Web: 15

16 Datentransfer Accounting (Netflow) Die auf Datentransfer basierenden Produkte wie Shared Server, Dedicated Server und Internet Colocation werden anhand von IP-Accounting abgerechnet. Dieses Dokument erklärt das Verfahren, das Verizon Business benutzt, um den Datentransfer zu protokollieren und zu messen. Verizon Business stellt auf Anfrage die Datengrundlage für Ihre Rechnung in zwei Varianten zur Verfügung. Das Format der aggregierten Daten und der Rohdaten wird in diesem Dokument ebenfalls erklärt. 1. Gemessene / abgerechnete Daten Netflow-Switching ist ein von Cisco entwickelter Routing-Mechanismus, der sich einer Art Routing-Cache bedient. Ausführlichere Informationen zur Funktionsweise von Netflow können in Ciscos Whitepaper Introduction to Cisco IOS NetFlow nachgelesen werden. Wann immer ein solcher Cache abläuft, wird der Cache-Eintrag ausgelesen und als Netflow stream (UDP-Pakete) versendet. Dieser Stream wird von Collector-Servern gesammelt und summiert, wobei nach Protokoll (z.b. Portnummern, siehe Abschnitt IP : Port Analyse) aufgeschlüsselte Datentransferzahlen über 15 Minuten Intervalle (sogenannte Netflow-Aggrate) berechnet werden. Die Addition dieser Zahlen auf monatlicher Basis ergibt den abgerechneten IP-Verkehr pro IP-Adresse und Monat. Kunden erhalten für alle IP-Adressen, die sie nutzen, eine Abrechnung. Dies ist meist eine IP-Adresse für Shared-Kunden und mehrere IP-Adressen oder gar ganze Netze für Dedicated- (und Colocation-) Kunden. Hinweis: Der abgerechnete IP-Verkehr basiert auf Daten, die auf der Ebene des IP-Protokolls übertragen werden. Dies schließt z.b. den TCP/IP-Protokoll-Overhead mit ein. Berücksichtigt wird der gesamte IP-Verkehr, nicht nur der Verkehr für das HTTP-Protokoll, sondern auch der von anderen Protokollen wie FTP, POP3, DNS sowie von Datenbankverbindungen. Desweiteren sind im IP-Verkehr Daten beider Richtungen (eingehender und abgehender Verkehr) enthalten. Dies ist die Erklärung für die Abweichung zwischen dem abgerechneten IP-Verkehr und den Zahlen, die Sie z.b. von Server-Protokolldateien erhalten. Verizon Business kann Ihnen die Daten, die die Grundlage für die Erstellung Ihrer Rechnung bilden, auf Anforderung zur Verfügung stellen. Je nach Wunsch liefert Ihnen Verizon Business die aggregierten Daten für 15-Minuten-Intervallen, Tage oder Monate oder sämtliche Rohdaten, die dieser Aggregation zugrunde liegen. Die folgenden Abschnitte beschreiben den Inhalt und das Format der Daten für beide Möglichkeiten und enthalten Hinweise zum geschätzten Datenvolumen. Bitte kontaktieren Sie die Verizon Business Webmaster, wenn Sie Netflow-Daten benötigen. Hinweis: Bevor Sie alle monatlichen Rohdaten eines Servers mit hohem Datendurchsatz anfordern, sollten Sie unbedingt den Umfang dieser Daten in Betracht ziehen. 2. Netflow-Aggregate Format der Daten Die Netflow-Aggregate werden entweder für 15-Minuten-Intervalle, pro Tag oder pro Monat berechnet. Die Daten sind im ASCII-Format (Zeilen von Werten, die durch Tabulatoren getrennt sind) und werden mit gzip komprimiert. Das Format sieht wie folgt aus: IP Nummer Port Aggregatzeitstempel (formatiert als JJJJMMTTSSMMSS) Aggregatlänge(in Sekunden) Anzahl der Flows Bytes Input 16

17 Bytes Output Pakete Input Pakete Output Die IP number ist im Dezimalformat formatiert, also mit führenden Nullen und ohne jegliche Punkte (. ). Daraus ergibt sich eine 12stellige Nummer für jede IP-Adresse. Ein Beispiel verdeutlicht den Aufbau des Formats. Das HTTP-Aggregat (Port 80) mit der IP-Nummer für den 3. Juni 2005, Uhr könnte wie folgt aussehen: Dieser Host hat also Bytes auf Port 80 (z. B. HTTP-Anfragen) empfangen und Bytes als Antwort innerhalb dieses Intervalls versendet. Hinweis: Bitte beachten Sie bei der Anforderung von Netflow-Aggregaten, dass Sie pro 15-Minuten-Intervall einen Datensatz pro IP-Adresse und zugewiesenem Service (Abschnitt: IP / Port Analyse, siehe unten) erhalten. Daraus ergibt sich ein Datenumfang von bis zu einem Megabyte (1000 KB) (im komprimierten Format 10% dieses Werts) pro angeforderter IP-Adresse Analyse der Daten nach IP oder Ports Eine Analyse des IP-Verkehrs für einen Server lässt sich einfach durchführen, wenn Sie die aggregierten Daten für einen Tag oder Monat anfordern. Diese werden im selben Format wie oben beschrieben bereitgestellt. Alle geläufigen TCP/IP-Protokolle sind spezifischen Portnummern zugewiesen, wie Port 80 zu HTTP, 20 und 21 zu FTP (beide 21 zugewiesen), 22 und 23 zu SSH bzw. Telnet. Spezifische Services wie Datenbankverbindungen oder Streaming-Anwendungen können auf Anfrage einem besonderen Port zugewiesen werden. Sämtlicher nicht spezifizierter Datenverkehr wird Port 0 zugewiesen, wo auch der gesamte TCP- und UDP-fremde Verkehr (z.b. ICMP aus Anwendungen wie ping) aufsummiert wird. 3. Netflow-Rohdaten Die Netflow-Rohdaten stehen auf Anfrage ebenfalls zur Verfügung. Sie erhalten dann eine komprimierte ASCII-Datei mit Zeitstempel- und Netflow-Daten. Zeitstempel Ein Zeitstempel besteht aus einer einzigen Zeile mit einem 14stelligen Eintrag, der den Start-Zeitstempel aller folgenden Einträge enthält: JJJJMMTTSSMMSS Derzeit ist ein Zeitstempel für jede Minute der gemessenen Periode vorhanden. Netflow Jeder Netflow-Datensatz (jeweils eine Zeile) enthält eine Teilmenge der echten Netflow-Daten (Version 5), wie sie im Cisco-Dokument NetFlow Data Format beschrieben werden. Die 11 Einträge, abgegrenzt durch das Zeichen, enthalten die folgenden Informationen: IP-Nummer des Routers, auf dem die Daten gesammelt wurden Sequenznummer (für diesen Router) Quell-IP-Nummer Ziel-IP-Nummer Quell-Port Ziel-Port IP-Protokollnummer / ID (oder 0 für ICMP) Anzahl der Bytes Anzahl der Pakete 17

18 Hinweis: Bitte berücksichtigen Sie, dass Sie mindestens ein Netflow-Paket pro TCP-Session erhalten, die sich in den Server-Protokollen befinden. Dies schließt Sessions für Telnet, FTP, SSH, HTTP, SMTP, DNS und andere ein. Sessions, die länger als 30 Sekunden dauerten (wie große FTP-Downloads und KeepAlive-HTTP-Verbindungen), können zu weiteren Netflow-Paketen führen. Das Datenvolumen beläuft sich durchschnittlich auf 25 bis 30 Megabyte unkomprimierte Daten pro Gigabyte Datenverkehr. Sollte der Server viele kleine Verbindungen abgewickelt haben (z.b. durch einen Portscan oder eine Denial-of-Service-Attacke), kann sich der Wert um 100% oder mehr erhöhen. 4. Weitere Informationen Näheres zu den technischen Aspekten der Netflow-Services finden Sie auf verschiedenen Webseiten: Das Cisco-Whitepaper "Netflow Services and Applications". Das Cisco-Dokument "NetFlow Data Format". 18

19 Sicherheit der Hosting-Produkte Sicherheit ist von größter Wichtigkeit in der Welt des Internets. Die von Verizon Business verwalteten Server werden in ihrer ursprünglichen Konfiguration mit einem hohen Sicherheitsstandard bereitgestellt. Je nach Anforderungen und Wünschen der Kunden kann der Sicherheitsgrad weiter erhöht werden. Hierfür stehen verschiedene Möglichkeiten zur Verfügung, die im Folgenden erläutert werden. 1. Zugriffsbeschränkungen auf Services Die einfachste Methode zur Absicherung des Servers ist das Beschränken bzw. Verwehren von Zugriff auf bestimmte Services, die der Server selbst bereitstellt. Auf Servern, die unter Unix laufen, kann der Zugriff auf POP3, TELNET und FTP über die integrierte ACL (Zugriffskontrollliste) über xinetd oder (auf neueren Installationen) über die TCP-Wrapper-Bibliothek konfiguriert werden. Services können auch komplett deaktiviert bzw. nur bestimmten IP-Adressen oder IP-Netzwerken zugänglich gemacht werden. Alle Services sind selbstverständlich auch über Kennwort-Authentifizierung abgesichert. Auf Anfrage passen die Verizon Business Webmaster die Konfiguration an die Anforderungen des Kunden an. Darüber hinaus kann der Zugriff auf HTTP eingeschränkt werden. Windows-Kunden können die Einstellungen über die IIS Management Console ändern, Unix-Kunden haben die Möglichkeit,.htaccess in Verzeichnissen abzulegen, die abgesichert werden sollen (siehe dazu die Apache-). 2. Einsatz verschlüsselter Services Einige Services können durch eine verschlüsselte Alternative ersetzt werden. Statt TELNET und FTP sollte (wann immer möglich) SSH verwendet werden, um Logins und das Kopieren von Dateien über einen sicheren Kanal abwickeln zu können. SSH sollte standardmäßig installiert sein, die Verizon Business Webmaster installieren SSH auf Anfrage auf auf älteren Servern. Sie können außerdem TELNET und FTP wie oben beschrieben deaktivieren oder beschränken. Bei Verwendung von HTTPS und SSL lässt sich auch der über den Webserver gehende Verkehr verschlüsseln. 3. Zugriffskontrolllisten auf Routern Eine weitere Möglichkeit ist der Einsatz von Zugriffskontrolllisten (ACL, Access Control Lists), die auf den Dedicated Hosting Routern (DHR) konfiguriert sind, mit denen der Server verbunden ist. Hierdurch lässt sich ein gewisses Maß an Kontrolle über bestimmte IP-Bereiche und Portnummern ausüben, indem Zugriff erlaubt oder verwehrt wird. Die an blockierte Ports versendeten Pakete werden beim Router schlicht aussortiert und erreichen den Server erst gar nicht. Zugriffskontrolllisten müssen auf die Bedürfnisse des Kunden und die Verwaltungsanforderungen von Verizon Business zugeschnitten werden. Hierbei muss äußerst vorsichtig vorgegangen werden, um keine der wichtigen Services zu blockieren. Für den Entwurf der Zugriffskontrollliste ist der Kunde verantwortlich. Verizon Business kann auf diesem Gebiet momentan nur eingeschränkt Unterstützung leisten. Darüber hinaus besteht nur für Kunden mit dedizierten Servern die Möglichkeit, dass Verizon Business Zugriffskontrolllisten auf den Routern konfiguriert. Für die Zugriffskontrolllisten benötigen wir ein spezifisches Format, das auf Anfrage über die Verizon Business Webmaster erhältlich ist. 4. Firewalls Eine Firewall ist die leistungsstärkste Verbesserung im Sicherheitssektor. Funktionen wie Network Address Translation (NAT) oder das Protokollieren von Netzwerkereignissen und Einbruchsversuchen heben die Firewalls von anderen Lösungen ab. Verizon Business bietet Managed Firewalls als Sicherheitslösung an, die vor einem oder mehreren dedizierten Servern installiert werden können. Weitere Informationen erhalten Sie durch die Verizon Business Webmaster oder unseren Vertrieb. 19

20 Unix basierte Hosting-Produkte Dieses Dokument gibt einen kurzen Überblick über die technischen Fähigkeiten und Eigenschaften der auf Unix basierten Hosting-Produkte sowie deren Anpassungsmöglichkeiten und Zusatzprodukte. Es enthält eine Reihe von Links, die zu den spezifischen Dokumenten führen. 1. Betriebssystem Unser Hosting-Service basiert auf dem Betriebssystem SUN Solaris. Sie erhalten Ihren eigenen Webserver durch die Implementierung des Virtual Machine Environment (Virtual MachineE). Ihnen steht für die erfolgreiche Nutzung Ihrer Web-Services eine vollständig geschützte Betriebssystemumgebung zur Verfügung. Das Dokument zum Betriebssystem gibt einen Überblick über diese spezifische Umgebung. 2. Zugriffsmöglichkeiten Damit Sie auf Ihre Daten Zugriff haben, bietet Verizon Business verschiedene Services wie "anonymous FTP"-Server, zusätzliche Webmaster-Accounts, FTP, TELNET oder SSH. Im Dokument zum Thema Zugriffsmöglichkeiten finden Sie einen Überblick und auch detailliertere Informationen zu den verschiedenen Methoden, mit denen Sie sich anmelden können. 3. Applikationen Nachstehend sind sämtliche Informationen über den Webserver und seine Module, den Einsatz von und vorinstallierter Software zusammengestellt Webserver Innerhalb der Virtual Machine installiert Verizon Business einen dedizierten Apache Webserver in einer Standardkonfiguration mit Server Side Includes. Näheres hierzu und zu den verschiedenen Modulen wie PHP, die auch bereitgestellt werden können, finden Sie in der Apache-. Darüberhinaus werden Sie dort weitere Links zu themenbezogenen Dokumenten finden Verizon Business bietet bestimmte -Services für Ihre Domain. Das -Dokument enthält alles Wissenswerte zum Empfangen und Weiterleiten von s sowie zur -Konfiguration Softwarepakete Es besteht die Möglichkeit, Ihre eigene Software zu installieren oder die von Verizon Business vorinstallierte Software zu nutzen. Informationen über die Standardprogramme und Tools für die Administration, Erweiterung der Webserver-Fähigkeiten sowie zur Erstellung zusätzlicher Softwarepakete erhalten sie in einem separaten Dokument. 4. Projekte Verizon Business unterstützt zusätzliche Projektservices wie spezielle Software-Installationen und -Konfigurationen je nach Kundenwunsch. Für die weitere Konfiguration und Administration dieser Software ist der Kunde verantwortlich. Sie erhalten diesen gebührenpflichtigen Service nur auf Anfrage. 20

21 Apache Webserver Verizon Business installiert standardmäßig den Apache Webserver auf allen Servern. Apache ist ein schneller, stabiler und kostenloser HTTP-Server, darüber hinaus äußerst konfigurierbar und erweiterbar. Dieses Dokument führt Sie zu weiteren Dokumenten, die über Apache auf Verizon Business Servern zur Verfügung stehen. 1. Apache-Setup Das Dokument "Apache-Setup" erklärt, wie und wo der Webserver installiert wird. Es zeigt die Verzeichnis- und Dateistruktur auf, so dass Sie wissen, wo Ihre HTML-Dateien und CGI-Programme gespeichert werden. Darüber hinaus wird der Startvorgang detailliert beschrieben. 2. Server-Konfiguration Das Dokument "Apache-Konfiguration" geht auf die Standardkonfiguration ein und wie sie eingerichtet wird. Kundenseitige Erweiterungen und Modifikationen sind über die.htaccess-datei möglich und werden ebenfalls beschrieben. 3. Zugriffsbeschränkungen Mit dem Apache Webserver lässt sich der Zugriff auf Verzeichnisse innnerhalb des Document-Roots sehr leicht über das Web beschränken. Anhand von HTTP-Benutzerauthentifizierungen ist es möglich, Dateien und Verzeichnisse nur Benutzern mit gültigen Benutzernamen und Kennwörtern zugänglich zu machen. Beschränkungen auf IP-Basis erlauben nur definierten Hosts den Zugriff. Das Dokument "Zugriffsbeschränkungen" erklärt im Einzelnen, wie diese eingerichtet und gehandhabt werden. 4. Protokolldateien und Statistiken Der Apache-Server verfügt über hochentwickelte Protokollfähigkeiten. Das Dokument über die Protokolldateien und Statistiken geht auf die Informationen ein, die in den standardmäßigen Protokolldateien enthalten sind, und beschreibt außerdem die Rotation und den Hostnamen-Auflösungsprozess. Verizon Business liefert im täglichen, wöchentlichen oder monatlichen Rhythmus verschiedene Statistiken, die sich aus diesen Dateien ergeben. 5. CGI-Skripte Jeder Apache-Server ist so konfiguriert, dass CGI-Skripte in einem bestimmten Verzeichnis ausgeführt werden. Ein separates Dokument beschreibt, wie CGI-Programme kundenseitig geschrieben und installiert werden. Verizon Business stattet jeden Server mit einigen CGI-Beispielskripten aus. 6. Zusätzliche Hosts Der Apache-Server ist in der Lage, mehrere Web-Dienste anzubieten, die alle mit eigenen Hostnamen und URLs auf derselben Apache-Instanz ausgestattet sind. Verizon Business installiert verschiedene Typen zusätzlicher Hosts wie virtuelle Hosts, Server-Aliase und URL Redirects. 21

22 7. Apache-Module Verizon Business kann auf Anfrage die folgenden Module installieren (für die Installation mancher Module kann eine Gebühr erhoben werden): SSL module PHP Tomcat Weitere Apache-Standardmodule wie mod_rewrite,mod_proxy oder mod_expire sind bereits installiert und können auf Anfrage aktiviert werden. 8. Weitere Informationen Näheres zum Apache Webserver ist auf verschiedenen Webseiten und in gedruckter Form erhältlich: Apache Server Project Die offizielle Apache-Homepage der Apache Software Foundation bietet Download-Links, en und Links zu anderen nützlichen Ressourcen. Apache Week Homepage von Apache Week - der wichtigen, kostenlosen Ressource für Benutzer des beliebtesten Webservers der Welt. Installierte Die zur installierten Apache-Version auf Verizon Business Servern befindet sich in /usr/local/apache/htdocs/manual auf jedem Server. Buch: Apache: The Definitive Guide Apache: The Definitive Guide von Ben Laurie & Peter Laurie 2. Auflage Februar 1999 O Reilly & Associates, Inc. ISBN englische Ausgabe Buch: Apache Desktop Reference Apache Desktop Reference von Ralf S. Engelschall 1. Auflage Dezember 2000 Addison-Wesley ISBN englische Ausgabe Online verfügbar über Buch: Apache Pocket Reference Apache Pocket Reference von Andrew Ford 1. Auflage Juni 2000 O Reilly & Associates, Inc. ISBN englische Ausgabe Online verfügbar über 22

23 Apache-Zugriffsbeschränkungen Der Zugriff auf bestimmte Dateien oder Verzeichnisse mittels Browser über das Internet lässt sich einschränken. 1. Allgemeine Beschreibung Der Zugriff auf Dateien oder Verzeichnisse kann auf verschiedene Arten beschränkt werden. Am häufigsten geschieht dies auf Basis von IP-Adressen oder Domains oder mittels Benutzerauthentifizierung (Benutzername und Kennwort). 2. Benutzung In der Regel wird die Authentifizierung dazu verwendet, vertrauliche Daten vor der Einsicht durch Dritte zu schützen. Zum Beispiel kann über die Authentifizierung der Zugriff auf ein Download-Verzeichnis eingeschränkt werden. Hinweis: Das Kennwort wird als Klartext unter Verwendung der Basis-Authentifizierung (AuthType Basic) übertragen, die Authentifizierung per digitalem Fingerabdruck (AuthType Digest) wird derzeit von keinem Browser unterstützt. Für sichere Verbindungen ist SSL (https) eine gute Wahl. 3. Installation und Konfiguration Die unkomplizierteste Möglichkeit ist die Verwendung einer einfachen Textdatei, die die Benutzernamen und Kennwörter enthält. Bei einer großen Anzahl von Accounts (Zugriffe) ist eine einfache Textdatei für die Verwaltung allerdings nicht empfehlenswert. Hierfür bieten sich andere Module an, z.b. mod_auth_dbm Beispiel für die einfache Benutzerauthentifizierung ohne Gruppen Der Zugriff soll nur Benutzern erlaubt sein, die sich erfolgreich authentifiziert haben. Im zu schützenden Verzeichnis muss eine.htaccess-datei mit dem folgenden Inhalt vorliegen: AuthType Basic AuthName Download AuthUserFile /users/home/www123/user.001 Require valid-user Im Home-Verzeichnis /users/home/www123/ muss folgender Befehl eingegeben werden: htpasswd -c./user.001 admin Dieser Befehl fügt der Kennwortdatei user.001 den Benutzer admin hinzu und fragt nach dem zugehörigen Kennwort. Die Option -c sorgt dafür, dass die Datei user.001 erstellt wird, falls sie nicht existiert. Achtung: Die Kennwortdatei darf nie innerhalb des Document-Root-Verzeichnisses abgelegt werden! Hinweis: Die Datei.htaccess ist gültig für das Verzeichnis, in dem sie sich befindet, und alle zugehörigen Unterverzeichnisse. Beispiel: Im Verzeichnis?/data/download existiert eine.htaccess-datei. Die.htaccess-Datei wird nun auch für ein Verzeichnis wie?/data/download/new oder?/data/download/old usw. verwendet. Wenn ein Benutzer auf das Verzeichnis zugreift, muss er sich mit einem Benutzernamen aus der Kennwortdatei user.001 authentifizieren. 23

24 Beispiel für Authentifizierung mit Netscape unter Solaris Aufforderung zur Authentifizierung für Download mit Netscape Beispiel für Authentifizierung mit Internet Explorer unter Windows Aufforderung zur Authentifizierung für Download mit Internet Explorer Beispiel für Benutzerauthentifizierung mit Gruppen Der Zugriff soll nur dann erlaubt sein, wenn ein Benutzer zusätzlich Mitglied einer bestimmten Gruppe ist. Im zu schützenden Verzeichnis muss eine.htaccess-datei mit dem folgenden Inhalt vorliegen: AuthType Basic AuthName Download AuthUserFile /users/home/www123/user.002 AuthGroupFile /users/home/www123/group.002 Require group admin Im Verzeichnis /users/home/www123/: 24

25 htpasswd -c./user.002 www123 fügt den Benutzer www123 der Kennwortdatei user.002 hinzu. htpasswd./user.002 webmaster fügt den Benutzer webmaster dem user.002-kennwortdatei hinzu. Die Gruppendatei group.002 muss auf dem Server angelegt werden, falls sie noch nicht vorhanden ist und sollte (z.b.) folgendes enthalten: admin: www123 webmaster Das bedeutet, dass die Benutzer www123 und webmaster zur Gruppe admin gehören. Die Authentifizierung ist nur für diese Benutzer gültig, da sie Mitglieder der Gruppe admin sind (Require group admin). Tipp: Mit der Option -b kann das Kennwort direkt in die Befehlszeile eingegeben werden: htpasswd -b <PASSWORDFILE> <USER> <PASSWORD> htpasswd zeigt die verfügbaren Optionen des Befehls htpasswd Beispiel für eine geschützte Datei Um eine Datei mit dem Namen secure.html zu schützen, muss im zugehörigen Verzeichnis eine.htaccess-datei vorliegen, in die folgende Zeilen einzufügen sind: <Files secure.html> AuthType Basic AuthName Download AuthUserFile /users/home/www123/user.003 AuthGroupFile /users/home/www123/group.003 Require user webmaster </Files> Beispiel für die Benutzerauthentifizierung mit Benutzer-Datenbankdatei Bei sehr vielen Usern, die sich mittels Passwort authentifizieren müssen, empfiehlt es sich, mod_auth_dbm zu verwenden. Dies muss allerdings zuvor von den Verizon Business Webmastern aktiviert werden. Im zu schützenden Verzeichnis muss eine.htaccess-datei mit dem folgenden Inhalt vorliegen: AuthType Basic AuthName Download AuthDBMUserFile /users/home/www123/user.dbm AuthDBMGroupFile /users/home/www123/group.dbm Require user webmaster Require group admin Im Home-Verzeichnis /users/home/www123/ müssen folgende Befehle eingegeben werden: cd /users/home/www123/ dbmmanage /users/home/www123/user.dbm adduser webmaster dbmmanage /users/home/www123/user.dbm adduser www123 25

26 Das Kennwort wird im Dialogfenster "Kennwort" eingegeben. Die Datei group.dbm muss angelegt werden und entspricht in ihrem Aufbau dem Beispiel wie oben. Diese Datei sollte Folgendes enthalten: admin: www123 Das bedeutet, dass der Benutzer www123 zur Gruppe admin gehört. Die Datei AuthDBMGroupFile ist mit der Datei AuthGroupFile identisch, was bedeutet, dass es keine Datenbankdatei ist, sondern einfacher Text! Beispiel für Authentifizierung mit IP- oder Domain-Beschränkung Die Datei.htaccess muss mit dem folgenden Inhalt vorliegen: order deny,allow deny from all allow from customer.net allow from host.domain.net allow from AuthType Basic AuthName Download AuthUserFile /users/home/www123/user.004 AuthGroupFile /users/home/www123/group.004 Require user webmaster Require group admin Satisfy Any In der Datei user.004 sollen (wie schon weiter oben beschrieben) die User webmaster, www123 und control angelegt werden. In der Datei group.004 sollen die User www123 und control Gruppenzugehörigkeit zur Gruppe admin erhalten: admin: www123,control Dies bedeutet, dass der Benutzer www123 zur Gruppe admin gehört. Mit diesem Beispiel erreicht man Folgendes: Der Zugriff von einem nicht spezifizierten Host wird ohne Nutzerkennung verweigert. Der Zugriff von einem beliebigen Host in der Domain customer.net wird ohne Kennwort gewährt. Der Zugriff vom spezifizierten Host host.domain.net wird ohne Kennwort gewährt. Andere müssen sich mit einer gültigen Benutzerkennung aus der Gruppe admin (www123, control) oder dem Benutzernamen webmaster und dessen Kennwort authentifizieren. Durch Verwendung von satisfy any wurde festgelegt, dass für host.domain.net, den und Hosts innerhalb von customer.net keine Authentifizierung erforderlich ist. Im Gegensatz dazu wird mit satisfy all erreicht, dass nur die angegebenen Hosts oder Domains Zugriff haben und diese sich zusätzlich mit einem Benutzernamen und gültigen Kennwort authentifizieren müssen Beispiel für einfache Authentifizierung auf IP- oder Domain-Basis Die Datei.htaccess muss mit dem folgenden Inhalt vorliegen: <Location /download> order deny,allow deny from all allow from customer.net allow from host.domain.net allow from allow from </Location> 26

27 Zugriff wird nur customer.net, host.domain.net, oder IPs, die mit beginnen, gewährt. <Location /download> order allow,deny allow from all deny from </Location> Zugriff wird allen gewährt mit Ausnahme von IPs, die mit beginnen Beispiel für anonymen Zugriff Oftmals wird der Zugriff auf bestimmte Verzeichnisse oder Dateien mit Hilfe von Kennwörtern kontrolliert. In manchen Fällen ist es jedoch nötig, dass der Gastzugriff auf verschiedene Webseiten möglich ist. Diese Authentifizierung ist so ähnlich wie "anonymous FTP". Dafür ist der Name des Benutzers und seine -Adresse erforderlich. Natürlich gibt es keine Garantie dafür, dass Name und -Adresse authentisch sind. Damit der anonyme Zugriff ermöglicht werden kann, muss die Datei.htaccess mit dem folgenden Inhalt vorliegen: AuthName "guest access with guest and as password" AuthType Basic require valid-user Anonymous guest gast anonymous Anonymous Gast Guest "let me in" Anonymous_Log on Anonymous_Verify on Anonymous_MustGive on Anonymous_NoUserId off Anonymous_Authoritative off Der Benutzer muss guest oder gast usw. als Benutzernamen und eine -Adresse als Kennwort eingeben. Die Benutzernamen- und Kennwort-Felder dürfen nicht leer gelassen werden. Die -Adresse wird im Fehlerprotokoll eingetragen und verifiziert. Bei der Verifizierung wird lediglich die Syntax der -Adresse daraufhin überprüft, ob wenigstens ein und ein "." vorhanden ist. Die Gültigkeit der -Adresse wird nicht geprüft. error_log: [Wed Jun 13 12:39: ] [info] [client ] Anonymous: Passwd Accepted Beispiel für anonyme Authentifizierung mit Netscape unter Windows Anonyme Authentifizierung mit Netscape unter Windows 27

28 3. 8. Verfügbare Befehle für Authentifizierung und Zugriff nach Modulen geordnet core: AuthName Name <Directory> <Files> <Location>.htaccess AuthType Basic Digest <Directory> <Files> <Location>.htaccess Require user group valid-user [Name, Name,?.] <Directory> <Files> <Location> <Limit>.htaccess Satisfy Any All <Directory> <Files> <Location> <Limit>.htaccess mod_auth: AuthUserFile Filename <Directory> <Files> <Location>.htaccess AuthGroupFile Filename <Directory> <Files> <Location>.htaccess AuthAuthoritative on off <Directory> <Files> <Location>.htaccess mod_auth_dbm: AuthDBMUserFile Filename <Directory> <Files> <Location>.htaccess AuthDBMGroupFile Filename <Directory> <Files> <Location>.htaccess AuthDBMAuthoritative on off <Directory> <Files> <Location>.htaccess mod_auth_anon: Anonymous User-ID[User-ID,?.] <Directory> <Files> <Location>.htaccess Anonymous_Log on off <Directory> <Files> <Location>.htaccess Anonymous_Verify on off <Directory> <Files> <Location>.htaccess Anonymous_MustGive on of <Directory> <Files> <Location>.htaccess Anonymous_NoUserID on off <Directory> <Files> <Location>.htaccess Anonymous_Authoritative on off <Directory> <Files> <Location>.htaccess mod_access: order sequence (Default: deny, allow) <Directory> <Files> <Location> <Limit> deny from Name[Name?] <Directory> <Files> <Location> <Limit> allow from Name[Name?].htaccess.htaccess 28

29 <Directory> <Files> <Location> <Limit>.htaccess 4. Weitere Informationen und empfohlene Literatur zu den Authentifizierungsmöglichkeiten von Apache ist im Internet und in gedruckter Form erhältlich: Das Online-Handbuch von Apache zum Modul mod_auth. Das Online-Handbuch von Apache zum Modul mod_auth_dbm. Das Online-Handbuch von Apache zum Modul mod_auth_anon. Buch: Apache Webserver Apache Webserver von L. Eilebrecht 3. Auflage 2000 MITP-Verlag ISBN Buch: Apache: The Definitive Guide Apache: The Definitive Guide von Ben Laurie & Peter Laurie 2. Auflage Februar 1999 O Reilly & Associates, Inc. ISBN: englische Ausgabe Buch: Apache Pocket Reference Apache Pocket Reference von Andrew Ford 1. Auflage Juni 2000 O Reilly & Associates, Inc. ISBN: englische Ausgabe Online verfügbar über 29

30 Virtuelle Hosts, Server-Aliases und URL-Redirects Virtuelle Hosts bieten die Möglichkeit, mit mehreren Domain- oder Hostnamen präsent zu sein, ohne zusätzliche IP-Adressen zu benötigen. 1. Allgemeine Beschreibung Oft ist es notwendig, einen Webserver aufzuteilen, um unter verschiedenen URLs bzw. Hostnamen zugänglich zu sein. Apache unterstützt seit Version 1.1 bis zum heutigen Zeitpunkt virtuelle Hosts auf IP-Basis und Namensbasis. Bei Verwendung von virtuellen Hosts auf Namensbasis ergibt sich der Vorteil, dass man praktisch eine unbegrenzte Anzahl von Servern erhält. 2. Technische Beschreibung Die VirtualHost-Direktive erfordert keinerlei Änderungen am Apache-Server. Die Direktive ist Teil vom Apache-Core Virtueller Host Wenn von einem Webserver gesagt wird, er unterstütze virtuelle Hosts, bedeutet das, dass er auf mehrere Hostnamen parallel reagiert. Für jeden Hostnamen verwaltet der Webserver ein eigenes Document-Root, Protokolldateien, cgi-verzeichnis usw. Es ist wirtschaftlicher, einen Server für mehrere Webseiten aufzuteilen, als für jede Webseite einen eigenen Server zu betreiben. Es gibt zwei Arten von virtuellen Hosts,!! IP-basisierte und Namens-basisierte. Virtuelle Hosts auf IP-Basis werden hier nur der Vollständigkeit halber erwähnt. Diese Dokument beschränkt sich auf Namens-basierte virtuelle Hosts. Die Verwendung von virtuellen Hosts auf Namensbasis haben den Vorteil, dass man praktisch eine unbegrenzte Anzahl von Webservern erhält und keine zusätzliche Hard- oder Software benötigt. Außerdem ist die Konfiguration und Handhabung unkompliziert. Der größte Nachteil besteht darin, dass der Client, um einen Namensbasierten virtuellen Host anzusprechen, ein bestimmtes Protokolls unterstützen muss. Fast alle Browser sind dazu in der Lage, jedoch gibt es immer noch eine zu vernachlässigbar geringe Zahl (sehr) alter Browser, die dazu nicht fähig sind. Dies kann zu Problemen führen. Es wird jedoch weiter unten ein Lösungsvorschlag angesprochen Server-Aliases Mit der Verwendung der Server-Alias-Directive des Apache ist es möglich, virtuellen Hosts weitere Namen zu geben. Dies ist nötig, wenn der virtuelle Host auch unter anderen Namen erreichbar sein soll. Alle Alias-Namen müssen nartürlich auch im DNS definiert sein URL-Redirects Die Redirect-Anweisung dient dazu, einen Client, der auf eine bestimmte URL zugegriffen hat, zu einer anderen URL weiterzuleiten. Dies nennt man eine HTTP- oder URL-Redirect (Umleitung). Im Gegensatz zu einem Server-Alias bzw. DNS-Eintrag ändert sich die URL in der Adressleiste des Browsers dabei nicht. Die Weiterleitung geschieht bei den meisten Browsern automatisch. 3. Server-Einstellungen Virtuelle Hosts, Server-Aliases und URL-Redirects werden von Verizon Business konfiguriert. Dieses Dokument ist eine Zusammenfassung der Möglichkeiten. 30

31 Voraussetzung: Der Hauptserver ist über zugänglich und für den Betrieb konfiguriert. Dem Apache-Server ist die IP zugeordnet. Siehe auch: Apache-Server-Konfiguration Virtuelle Hosts Z.B. und sollen als zwei völlig eigenständige Webseiten erscheinen. ist der Hauptserver und ist der virtuelle Host. Der virtuelle Host soll ein eigenes Document-Root erhalten, welches sich vom Document-Root des Hauptservers (komplett) unterscheidet. Um den virtuellen Host zu erstellen, werden mindestens die folgenden zusätzlichen Direktiven in der Apache-Konfigurationsdatei benötigt:.. NameVirtualHost <VirtualHost > ServerName DocumentRoot /users/www/data--domain2.de </VirtualHost> Zusätzliche Direktiven für Protokolle, Optionen usw. können innerhalb des VirtualHost-Abschnitts festgelegt werden. Es ist außerdem möglich, einen virtuellen Host für einen Port, der kein Standardport ist (z.b. 8080), zu konfigurieren... Listen :80 Listen :8080 NameVirtualHost <VirtualHost :8080> ServerName DocumentRoot /users/www/data--domain2.de </VirtualHost> Server-Alias Falls ein virtueller Host über eine zweite Domain oder einen anderen Hostnamen zugänglich sein soll, ist es möglich, die ServerAlias-Direktive zum VirtualHost-Abschnitt hinzuzufügen. <VirtualHost > ServerName ServerAlias info.domain2.de ServerAlias DocumentRoot /users/www/data--domain2.de </VirtualHost> Der Server (virtuelle Host) ist nun unter den URLs info.domain2.de und zu erreichen. Außerdem ist die Verwendung von Platzhaltern (sog. Wildcards) möglich. ServerAlias info.domain2.de *.domain3.de host?.domain2.de URL-Redirect Wenn ein Server unter mehr als einer URL / Domain erreichbar sein soll, ohne dass ein eigenes Document-Root eingerichtet werden soll, kann dies mit einem Redirect geschehen. Für einem URL-Redirect wird ein sehr einfacher virtueller Host zur Apache-Server-Konfiguration hinzugefügt. 31

32 <VirtualHost > ServerName Redirect / </VirtualHost> Wenn nun die URL im Browser eingegeben wird, wird auf den virtuellen Host zugegriffen und dann auf umgeleitet. Man kann auch auf ein bestimmtes Verzeichnis und/oder eine Datei umleiten: <VirtualHost > ServerName Redirect / </VirtualHost> Weiterhin ist es möglich, einen regulären Ausdruck mit Hilfe der Anweisung RedirectMatch zu verwenden. <VirtualHost > ServerName RedirectMatch ^/(.*)\.gif$ /pictures/$1.jpg </VirtualHost> Der Name der gif-datei (in Klammern) wird in der Variablen $1 gespeichert. Wenn ein Client auf ein Bild namens card.gif (http://www.domain2.de/card.gif) zugreifen will, wird er zu umgeleitet. In der Address-Zeile des Browsers steht jedoch weiterhin die URL 4. Client-Einstellungen Der Browser muss Host-Header unterstützen. Der Host-Header ist Teil des HTTP/1.1-Protokolls und eine gängige Erweiterung des HTTP/1.0-Protokolls, bei dem der Browser dem Server den Hostnamen, den er erreichen will, nennen muss. Die meisten der modernen Browser, die derzeit in Benutzung sind, unterstützen Host-Header. Falls ein älterer Browser versucht, eine Verbindung zu einem virtuellen Host auf Namensbasis herzustellen, muss der Server mit einer Liste möglicher virtueller Hosts reagieren. 5. Weitere Informationen Näheres zur VirtualHost-Anweisung von Apache ist auf der folgenden Webseite und in gedruckter Form erhältlich: httpd.apache.org/docs/vhosts/index.html Die Online- von Apache zu virtuellen Hosts. Buch: Apache Webserver Apache Webserver von L. Eilebrecht 3. Auflage 2000 MITP-Verlag ISBN Buch: Apache: The Definitive Guide Apache: The Definitive Guide von Ben Laurie & Peter Laurie 2. Auflage Februar 1999 O Reilly & Associates, Inc. ISBN englische Ausgabe Buch: Apache Pocket Reference Apache Pocket Reference von Andrew Ford 1. Auflage Juni 2000 O Reilly & Associates, Inc. ISBN englische Ausgabe 32

33 Online verfügbar über 33

34 Konfiguration des Apache Webservers Dieses Dokument beschreibt die Konfiguration des Apache Webservers in der Verizon Business Virtual Machine-Umgebung. Im ersten Teil werden die Standardeinstellungen behandelt. Anschließend folgen Beschreibungen der verschiedenen Erweiterungsmöglichkeiten von Apache. 1. Apache-Standardkonfiguration Konfigurationsdateien Die Apache-Konfigurationsdateien befinden sich im Apache-Instanzenverzeichnis, d.h. /users/www/httpd-www.customer.net/etc/ (siehe Setup des Apache Webservers). Die Konfiguration ist auf verschiedene Dateien aufgeteilt: httpd.conf Dies ist die Hauptkonfigurationsdatei von Apache. Alle für die gesamte Instanz gültigen Einstellungen werden in dieser Datei vorgenommen. mime.types Diese Datei enthält die Liste der Standardzuordnungen zwischen Dateinamenerweiterungen und MIME-Inhaltstypen. Wie man weitere MIME-Zuordnungen hinzufügt, ist im Abschnitt Hinzufügen von MIME-Typenzuordungen beschrieben. vhost.conf Alle individuellen Konfigurationen für virtuelle Hosts werden in dieser Datei vorgenommen. access.conf und srm.conf Diese Dateien sind aus historischen Gründen noch verfügbar (eine humorvolle Erklärung hierzu finden Sie in einem Artikel auf der Apache-Webseite). Sie enthalten jetzt nur noch Kommentare. Neben diesen Dateien, die auf allen Installationen vorhanden sind, können bei Bedarf weitere Konfigurationsdateien für spezielle Apache-Module installiert werden. Die Konfigurationsdateien sind nur für Verizon Business Webmaster schreibbar Standardeinstellungen der Apache-Parameter Verizon Business verwendet im Allgemeinen die von der Apache-Gruppe empfohlenen Standardeinstellungen. Einige Parameter wurden jedoch angepasst, um der Virtual Machine-Umgebung zu entsprechen und die Sicherheit zu erhöhen. Eine Liste der interessantesten Einstellungen ist weiter unten zu finden. Nicht aufgeführte Parameter können in httpd.conf eingesehen werden. Viele Einstellungen können vom Kunden geändert werden. Die Vorgehensweise wird unten erklärt Apache-Benutzer und -Gruppe Aus Sicherheitsgründen läuft der Apache-Server unter Benutzer und Gruppe www000. Dieser Benutzer muss Lesezugriff auf alle Dateien haben, die vom Server genutzt werden (z.b. HTML-Dateien und CGIs). Darüber hinaus müssen CGI-Programme für diesen Benutzer ausführbar sein. Dateien, die durch Skripts generiert wurden, die durch den Server laufen, gehören ebenfalls Benutzer und Gruppe www Verzeichnisindizes Wenn auf ein Verzeichnis über HTTP zugegriffen wird, sucht der Apache-Server nach einigen Dateien, die ihm als vorgegebener Verzeichnisindex dienen. Standardmäßig sind das die Dateien index.html, index.htm, index.php, index.shtml und index.jsp. Andere Dateien können über die DirectoryIndex-Direktive festgelegt werden. Falls keine Verzeichnisindexdatei existiert, kann der Apache-Server einen Index generieren, der den Inhalt des Verzeichnisses aufführt. Dies ist in der Standardkonfiguration deaktiviert, kann aber durch Einfügen von Options +Indexes in die.htaccess-datei eingeschaltet werden. Die Direktive IndexOptions (Standard ist FancyIndexing) steuert das Erscheinungsbild der generierten Liste. Die für FancyIndexing verwendeten Symbole befinden sich im Verzeichnis /icons/, was ein Alias für /usr/local/apache/icons/ ist. Dateien, die den regulären Ausdrücken 34

35 .??* *~ *# HEADER* README* RCS CVS *,v *,t entsprechen, werden über die IndexIgnore-Direktive von der Verzeichnisauflistung ausgenommen Prozesssteuerung Der Apache-Server besteht aus einem Hauptprozess und vielen Kindprozessen. Letztere werden bei Bedarf vom Hauptprozess gestartet und führen die eigentliche Verarbeitung der eingehenden Anfragen aus. Es laufen höchsten 256 Prozesse gleichzeitig. Der Hauptprozess steuert den Pool der Kindprozesse. Wenn vom Elternprozess viele Anfragen empfangen wurden, startet dieser neue Kindprozesse, die dann die Anfragen verarbeiten. Um die schnelle Abwicklung von Anfragen zu ermöglichen, sollte immer wenigstens ein freier Kindprozess vorhanden sein. Gesteuert wird dies über die MinSpareServers -Direktive, die standardmäßig auf 1 gesetzt ist. Eine hohe Anzahl freier Prozesse würde allerdings Speicherplatz verschwenden. Daher vernichtet der Elternprozess freie Kindprozesse, wenn deren Anzahl einen durch die MaxSpareServers-Direktive festgelegten Grenzwert überschreitet (standardmäßig auf 5 eingestellt). Für Sites mit großer Auslastung sind die Standardeinstellungen eventuell ungeeignet. Wenn der Apache LogLevel mindestens auf info eingestellt wird, führt dieses zu Meldungen im error_log wie: [Tue Oct 30 08:53: ] [info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 8 children, there are 0 idle, and 12 total children Diese Meldungen dienen nur zur Information, alle Anfragen an den Server werden richtig bearbeitet. Um die Leistung zu erhöhen, können die Standardeinstellungen durch die Verizon Business Webmaster angepasst werden Anhaltende (persistente) HTTP-Verbindungen HTTP/1.1 hat das Konzept der persistenten Verbindungen per KeepAlive eingeführt. Apache unterstützt diese Funktion standardmäßig. Wenn sie aktiviert ist, werden TCP-Verbindungen nicht nach jeder Anfrage geschlossen, sondern eine gewisse Zeit lang offen gelassen. Daher kann die nächste Anfrage vom Client gesendet werden, ohne dass ein Overhead durch das Öffnen einer neuer TCP-Verbindung entsteht. Der Nachteil dieses Mechanismus ist, dass Angriffe, die auf das Blockieren von Diensten (DoS = Denial-of-Service) zielen, bei KeepAlive-aktivierten Servern relativ einfach auszuführen sind. Aus diesem Grund arbeiten die Verizon Business Server nicht mit KeepAlive. 2. Anpassen der Konfiguration des Apache-Servers Die Standardkonfiguration lässt sich auf verschiedene Arten anpassen, ohne dass Konfigurationsdateien geändert werden müssen. Mit den.htaccess-dateien im Document-Root und seinen Unterverzeichnissen können verschiedene Funktionen des Servers gezielt gesteuert werden. Einige Möglichkeiten werden weiter unten erklärt. Das Hinzufügen von Zugriffsbeschränkungen wird in einem separaten Dokument behandelt. Es lassen sich noch viele andere Direktiven in.htaccess-dateien verwenden. Ob dies bei einer bestimmten Direktive möglich ist, kann dem Feld Context: der jeweiligen Direktivenbeschreibung im Apache-Manual entnommen werden. Änderungen an der Konfiguration, die nur über Konfigurationsdateien möglich sind, können über die Verizon Business Webmaster angefordert werden. Sie werden überprüfen, ob die Modifikationen die Verizon Business Standards erfüllen und diese dann implementieren. 35

36 2. 1. Hinzufügen von MIME-Typenzuordnungen Viele gängige Dateinamenerweiterungen sind bereits MIME-Inhaltstypen in der Konfigurationsdatei mime.types zugeordnet. Es besteht auch die Möglichkeit, die Konfiguration um zusätzliche, benutzerdefinierte Zuordnungen zu erweitern. Hierfür lässt sich die Direktive AddType in.htaccess verwenden. Sie weist eine gegebene Dateinamenerweiterung dem spezifizierten Inhaltstyp zu. Die Zeile AddType text/html.foo würde den Server anweisen, Dateien mit der Erweiterung.foo als HTML-Seiten anzubieten, wodurch der Browser dann nicht die HTML-Quelle anzeigt, sondern die Seite wiedergibt. Einige Browser (z.b. Microsoft IE) verwenden statt den vom Server gelieferten Inhaltstyp ihren eigenen Mechanismus zur Erkennung der Art des Inhalts Server Side Includes (SSI) Manchmal wäre es praktisch, oft vorkommende Kopf- oder Fußzeilen für HTML-Seiten in eine einzige Datei zu verschieben. Dies (und vieles andere) ist mit Server Side Includes möglich. Sie können in normalen HTML-Dateien spezielle Direktiven platzieren, die dann von Apache bei jeder Anforderung der Datei ausgewertet werden. Dies erfolgt durch Einfügen der Direktive Options +Includes in eine.htaccess-datei. Die Handler- und Type-Direktiven AddType text/html.shtml AddHandler server-parsed.shtml sind in der Standardkonfiguration bereits enthalten. Sämtliche Dateien mit der Erweiterung.shtml werden nun vom Server analysiert und alle SSI-Anweisungen ausgewertet. Mehrere verschiedene Anweisungen sind möglich, angefangen beim Einbinden anderer Dateien, der Definition und Ausgabe von Variablen bis hin zu bedingten Anweisungen. Einige Beispiele folgen, die komplette Liste finden Sie im Apache Manual. Die Direktive <!-- #include virtual="/footer.html" --> schließt die Datei footer.html im Document-Root des Hosts ein. Dieses Dokument wurde zuletzt am <!?#echo var="last_modified"?> geändert. gibt einen Satz aus, der darüber Aufschluss gibt, wann die verarbeitete Datei geändert wurde Angepasste Fehlermeldungen Der Apache-Server gibt standardmäßig vorprogrammierte Fehlermeldungen aus, wenn eine HTTP-Anfrage fehlschlägt, beispielsweise wenn die angeforderte Datei nicht gefunden wurde. Mit der Direktive ErrorDocument 36

37 besteht die Möglichkeit, nützlichere, angepasste Fehlermeldungen anzubieten. Die Direktive beinhaltet zwei Argumente: einen HTTP-Antwort-Code (siehe vollständige Liste in RFC 2616), für den die neue Fehlermeldung konfiguriert werden soll, sowie eine Meldung, einen Dateinamen oder eine Umleitungs-URL. Eine Meldung ist ein einfacher String (beginnt mit dem doppelten Anführungszeichen ", endet jedoch ohne abschließendes ") die statt der vorprogrammierten Apache-Meldung ausgegeben wird. Ein Dateinamen spezifiziert eine Datei auf dem lokalen Server im Document-Root und muss mit einem Schrägstrich / beginnen. Im Falle eines Fehlers wird der Inhalt dieser Datei an den Client weitergegeben. Eine Umleitungs-URL hat die Form und kann auf jeden Server im Internet verweisen (auch auf denselben Server). Dies lässt den Server im Fehlerfall einen HTTP-Redirect (Antwort-Code 302) zu der angegebenen URL senden, und verbirgt somit den Fehler. Einige Beispiele: ErrorDocument 403 "Sie sind nicht autorisiert, diese Informationen zu sehen! ErrorDocument 404 /not_found.html ErrorDocument 500 Das erste Beispiel gibt die spezifizierte Meldung aus, wenn das Verzeichnis über Zugriffsbeschränkungen gesichert ist und der Benutzer ein falsches Kennwort eingibt. Falls der Benutzer ein nicht zu findendes Dokument anfordert, wird im zweiten Beispiel der Inhalt der Datei not_found.html aus dem Dokument-Root angezeigt. Sollte der Server auf einen internen Fehler stoßen, wird der Surfer in Beispiel drei zu einer Seite auf einem anderen Server umgeleitet, wo der Fehler eventuell weitergehend erklärt wird content negotiation und Sprachauswahl mit Multiviews Die HTTP/1.1-Spezifikation enthält leistungsstarke Mittel, um die bestmögliche Entsprechung einer Ressource auf Basis von Voreinstellungen zu liefern. Die meisten Browser sind in der Lage, Accept-Language -Header in HTTP-Anfragen zu verschicken, die die bevorzugte Sprache des Benutzers angeben. Der integrierte Mechanismus zur content negotiation ermöglicht dem Apache-Server, eine Datei entsprechend dieser Voreinstellung auszuwählen. Um diesen Mechanismus zu aktivieren, muss die folgende Zeile in.htaccess eingefügt werden: Options +MultiViews Verschiedene Sprachen und Spracherweiterungen sind bereits für die Verwendung mit der content negotiation konfiguriert. Wenn eine Anfrage für filename.html zusammen mit dem Header Accept-Language: en, de eingeht, sucht der Server nach einer Datei namens filename.html.en. Falls vorhanden, wird diese Datei zurück an den Client geschickt. Wenn nicht, sucht der Server nach der Datei filename.html.de und gibt diese zurück, sofern sie gefunden wurde. Neben den Sprachen können auch Codierungen und Dateitypen je nach Voreinstellungen des Clients gewählt werden. Das Apache Content Negotiation Tutorial geht näher auf dieses Thema ein. Es sollte beachtet werden, dass die content negotiation viele Plattenzugriffe benötigt, um die richtige Datei zu finden und dadurch langsam werden kann. Sie sollte daher nach Möglichkeit nur für einen kleinen Teil einer Webseite verwendet werden. 37

38 3. Erweitern des Apache-Servers mit Modulen Damit ein Maximum an Flexibilität gewährleistet ist, installiert Verizon Business den Apache-Server mit Unterstütung für Dynamic Shared Object (DSO). Das bedeutet, dass sich Apache-Module leicht über die Direktiven LoadModule und AddModule zum Server hinzufügen lassen, ohne dass die httpd-binärdatei geändert werden muss. Verschiedene Apache-Standardmodule sind bereits auf Verizon Business Servern installiert. Aus Sicherheitsgründen und zur Begrenzung der Serverlast ist allerdings inbesondere auf Shared Servern nur ein begrenzter Satz an Modulen standardmäßig aktiviert. Manche Module stehen nur auf dedizierten Servern zur Verfügung (z.b. mod_rewrite). Für die Installation gewisser Module kann je nach Vertragsbedingungen mit Verizon Business eine Gebühr erhoben werden. Die Verizon Business Webmaster werden Ihnen gerne alle Fragen bezüglich Modulinstallationen beantworten. Weiter unten finden Sie Praxisbeispiele für einige Standardmodule. Links zu en, die komplexere Module wie PHP, Tomcat oder FrontPage behandeln, sind im Dokument "Apache Webserver" zu finden Anzeigen des Server-Status Bei mod_status handelt es sich um ein Modul, das den Server-Status als HTML-Seite anzeigen kann. Wenn es aktiviert ist, lässt sich der Serverstatus über HTTP bei /server-status auf jedem konfiguriertem Host des Apache-Servers einsehen, z.b. über die URL Die Seite ist gegenüber anonymen Zugriff gesichert. Nur Benutzer, die in der Kennwortdatei /users/www/httpd-customer.net/conf/admin.passwd geführt werden, dürfen die Statusseite einsehen. Das Dokument "Apache-Zugriffsbeschränkungen" erklärt, wie neue Benutzer mit dem Befehl htpasswd erklärt, wie neue Benutzer mit dem Befehl der Datei hinzugefügt werden können. Standardmäßig ist die Direktive ExtendedStatus gesetzt. Dies zeigt detaillierte Informationen zum Status eines jeden Apache-Kindprozesses, einschließlich letzter HTTP-Anfrage. Die genaue Bedeutung der angezeigten Zahlen wird auf der Manual Page von mod_status erklärt URL-Manipulation mit mod_rewrite mod_rewrite ist ein sehr leistungsstarkes und komplexes Werkzeug, um URLs schnell umzuschreiben. Mit Hilfe sogenannter rewrite rules (Umschreibregeln) ist es möglich, Anfragen an andere Adressen umzuleiten und ein unsichtbares Proxying durchzuführen. Die jeweils gewählte Aktion kann von der gegebenen Anfrage, den Serveroder Umgebungsvariablen oder den HTTP-Headers abhängen. Mit Hilfe von regulären Ausdrücken werden Anfragen mit den Regeln verglichen und extrahiert. Dieses Modul ist zu komplex, um hier vollständig darauf einzugehen, daher nur ein kurzer Überblick. Ausführlichere Informationen finden Sie in der Online- zu mod_rewrite. Nach der Aktivierung von mod_rewrite kann das Modul über Direktiven in den.htaccess-dateien, die sich im Document-Root oder seinen Unterverzeichnissen befinden, konfiguriert werden. Die Direktiven zu den Protokollfunktionen lassen sich in den.htaccess-dateien nicht konfigurieren - sie müssen von den Verizon Business Webmastern zur Datei mod_rewrite.conf hinzugefügt werden. Steht die Direktive 38

39 RewriteEngine On in einer.htaccess-datei, so aktiviert diese die URL-Umschreibroutine für dieses Verzeichnis mit all seinen Unterverzeichnissen. Dies ist die Voraussetzung für alle weiteren Beispiele. Die Direktive RewriteRule benötigt zwei Argumente: das Muster, ein regulärer Ausdruck, der mit der Anfrage verglichen wird, und den Ersatz, der beschreibt, wie die resultierende Anfrage konstruiert werden sollte. Außerdem können zusätzlich Bits gesetzt werden, um das Regelverhalten zu steuern. Die Regel RewriteRule ^somepath/(.*) /otherpath/$1 leitet beispielsweise Anfragen für zur Datei um. Dies ist für den Benutzer nicht ersichtlich, da keine externe URL-Umleitung durchgeführt wird. Die ist ebenfalls möglich, wenn man [R] (für Redirect) an die Regel anhängt. Der Ausdruck (.*) im Muster vergleicht alles und speichert dies in einer Referenzvariablen. Der Inhalt kann mit $1 (für die erste Gruppierung in Klammern im Muster) im Ersatz verwendet werden. RewriteCond definiert Regelbedingungen, die bestimmte Variablen prüfen. Wenn Bedingungen wahr sind, wird die nachfolgende RewriteRule auf die URL angewendet. Die folgenden Bedingungen und Regeln zeigen verschiedene Seiten je nach aktueller Uhrzeit an: RewriteCond %{TIME_HOUR}%{TIME_MIN} >0800 RewriteCond %{TIME_HOUR}%{TIME_MIN} <1800 RewriteRule ^index\.html$ index.day.html RewriteRule ^index\.html$ index.night.html Dies sind nur wenige Beispiele der möglichen Umschreibregeln. Weitere praxisorientierte Beispiele können dem hervorragenden URL Rewriting Guide entnommen werden. 39

40 Setup des Apache Webservers Dieses Dokument beschreibt das Setup des Apache Webservers in der Verizon Business Virtual Machine-Umgebung. Auf die Hierarchie des Dateisystems wird ausführlich eingegangen. Anschließend folgt eine Erklärung des Startmechanismus. Die Apache-Konfiguration selbst ist Thema eines separaten Dokuments. 1. Speicherorte von Apache-Dateien Die Apache-Dateien befinden sich an drei verschiedenen Orten. Auf jedes Verzeichnis wird unten einzeln eingegangen Pfade der Programminstallation Alle von Verizon Business gelieferten Apache-Binärdateien und -Bibliotheken sind in /usr/local/apache/ installiert (was tatsächlich ein Link zu einem Verzeichnis mit dem Namen der installierten Apache-Version ist). Die Struktur unter diesem Verzeichnis sieht wie folgt aus: bin/ Die Binärdateien für den HTTP-Daemon httpd, das Kennwortänderungstool htpasswd sowie das Apache Extension-Tool apxs befinden sich hier. cgi-bin/ Einige CGI-Testprogramme. conf/ Die Standard-Konfigurationsdateien aus der Apache-Distribution. Diese werden nicht verwendet und stehen nur zu Referenzzwecken zur Verfügung. htdocs/ Speicherort der Server- im Unterverzeichnis manual. Wenn Sie das Manual über HTTP einsehen wollen, platzieren Sie ein Link zu diesem Verzeichnis im Document-Root-Verzeichnis des Servers mit ln -s /users/local/apache/htdocs/manual apache-manual Das Manual ist nun über zugänglich. icons/ Eine Sammlung von Symbolen, die für illustrierte automatische Verzeichnisindizes verwendet werden. include/ Hier befinden sich die Include-Dateien, die zur Kompilierung weiterer Apache-DSO-Module benötigt werden. libexec/ Speicherort gemeinsam genutzter Bibliotheken und Apache-Modulen. logs/ Nicht benutztes, leeres Verzeichnis für Protokolldateien. man/ Manual pages für die Programme in bin/. proxy/ Nicht benutztes, leeres Verzeichnis für die Proxy-Funktion. Die installierten Dateien und ausführbaren Binärdateien können vom Kunden nicht geändert werden und sind auf allen Virtual Machines gleich Globale und individuelle Apache-Instanzenkonfigurationen Die individuelle Konfiguration der Apache-Server-Instanzen wird mit Dateien unter /users/www/ durchgeführt. Folgende Verzeichnisse sind standardmäßig enthalten: cgi-uunet/ Einige CGI-Beispielprogramme, die von Verizon Business bereitgestellt wurden. Diese Programme lassen sich nicht von diesem Speicherort aus verwenden, sondern müssen in ein cgi-verzeichnis des jeweiligen Hosts, auf dem sie benutzt werden sollen, kopiert werden (siehe nächsten Abschnitt). conf/ Serverweite Konfigurationsdateien, die von CGI-Programmen oder Apache-Modulen benötigt werden. lib/ Serverweite Bibliotheken für einige CGI-Programme. log/ Protokolldateien aus einigen CGI-Programmen. 40

41 Für jede separate Apache-Instanz gibt es auch ein Verzeichnis mit dem Präfix httpd- gefolgt vom Hauptdomainnamen der Instanz (z. B. httpd-customer.net). Normalerweise existiert nur ein einziges Verzeichnis dieser Art. Die folgenden Dateien und Unterverzeichnisse befinden sich in jedem Apache-Instanzenverzeichnis: conf/ Konfigurationsdateien für Apache-Module wie Tomcat, die für alle konfigurierten Hosts dieser Apache-Instanz gültig sind. control.conf Konfigurationsdatei für den Start des Apache-Servers. Die Syntax ist weiter unten beschrieben. etc/ Dieses Verzeichnis enthält die Apache-Konfigurationsdateien. Die Standardkonfiguration wird in einem separaten Dokument behandelt. log/ Dies ist ein Link zum Hauptprotokollverzeichnis in /users/webs/hostname/log wobei HOSTNAME der Name der Virtual Machine ist (siehe nächsten Abschnitt). Aus rein praktischen Gründen bereitgestellt. tmp/ Ein Verzeichnis für temporäre Dateien des Apache-Servers Konfiguration für spezifische Hosts Eine einzelne Apache-Instanz kann Webseiten für verschiedene Hostnamen liefern. Dafür stehen verschiedene Methoden zur Verfügung, die hier beschrieben sind. Normalerweise gibt es einen Standardhost mit dem Namen der Virtual Machine. Webseiten aus dem Document-Root-Verzeichnis dieses Hosts werden auch bei HTTP-Anfragen mit keinen oder unbekannten Host-Headern geliefert. Dateien, die zum Standardhost der Virtual Machine gehören, befinden sich meist im Verzeichnis /users/webs/www.customer.net/. Zusätzliche virtuelle Hosts auf Namensbasis für andere Domains besitzen ähnliche Verzeichnisse unter /users/webs/. Jeder Host verfügt über sein eigenes Dokument-Root, CGI-Verzeichnis, Protokolldatei- und Statistikenverzeichnis innerhalb seines Host-Verzeichnisses. Letzteres setzt sich aus den folgenden Unterverzeichnissen zusammen: cgi/ Der Speicherort für CGI-Programme und -Skripts. Näheres zu CGI auf Verizon Business Servern finden Sie in einem separaten Dokument. conf/ Spezielle Konfigurationsdateien für diesen Host. customlog/ Protokolldateien von Apache-Modulen wie mod_rewrite oder Tomcat. data/ Das Document-Root-Verzeichnis für den jeweiligen Host. In diesem Verzeichnis müssen die HTML-Dokumente abgelegt werden, damit sie über HTTP einsehbar sind. log/ Dieses Verzeichnis enthält die aktuellen Zugriffs- und Fehlerprotokolldateien (access_log bzw. error_log) und die archivierten, komprimierten Protokolldateien der letzten 80 Tage (in separate Unterverzeichnisse aufgeteilt). stat/ Hier sind die automatisch generierten Statistiken abgespeichert. Detailliertere Informationen zum Erstellungsprozess von Protokollen und Statistiken sind im Statistik-Dokument enthalten. Weitere Unterverzeichnisse können vorhanden sein, wenn Zusatzmodule für den Apache installiert sind. 2. Starten und Steuern des Apache-Servers Alle Apache-Instanzen werden zum Bootzeitpunkt von einem init Skript namens httpd gestartet. Der Webserver wird in Runlevel 3 gestartet. Um die anschließende Ausführung von Apache zu steuern, liefert Verizon Business eine Reihe von Steuerprogrammen, zusammengefasst als wwwctrl.. Diese Programme befinden sich in /usr/local/bin/. Benutzer, die zur Gruppe www-ctrl gehören, dürfen diese Programme ausführen. Hinweis: Es können nur Benutzer auf dedizierten Systemen in die Gruppe www-ctrl aufgenommen werden. Die folgenden Befehle sind verfügbar: 41

42 www-start Hiermit wird der Apache-Server gestartet. www-stop Hiermit wird der Apache-Server gestoppt. www-restart Dies ist eine praktische Kombination von www-start und www-stop Einige Änderungen (z. B. an control.conf) benötigen diesen Vorgang zur Aktivierung. www-reload Hiermit wird ein HUP-Signal an Apache gesendet. Der Server beendet alle Kindprozesse, liest die Konfigurationsdateien neu ein und startet neue Kindprozesse. Änderungen an der Konfiguration lassen sich mit diesem Befehl aktivieren. www-test Mit diesem Befehl kann überprüft werden, ob die Konfigurationsdateien gültig sind. Der Apache-Server analysiert die Konfigurationsdateien nur, meldet eventuell vorhandene Fehler und beendet sich dann wieder. Es wird kein Netzwerk-Service gestartet. Zusätzliche Optionen für eine Apache-Serverinstanz sind über die Datei control.conf im Verzeichnis der Apache-Instanz verfügbar. Diese Datei wird vom init-skript httpd gelesen. Es handelt sich dabei im Grunde genommen um ein Shell-Skript, das einige Shell-Variablen definiert. Die Variable START_HTTPDsollte auf yes oder YES gesetzt werden, wenn die Apache-Instanz gestartet werden soll. Ist sie auf irgendeinen anderen Wert eingestellt, wird die Apache-Instanz nicht gestartet. HTTPD_OPT enthält die zusätzlichen Optionen, die beim Apache-Start an die auszuführende httpd geliefert werden. Normalerweise definieren diese Optionen Namen für den Gebrauch in IfDefine-Direktiven in Apache-Hostkonfiguration, beispielsweise -DStatus. Optionen können in einen einzigen String geschrieben werden, lassen sich aber auch in separaten Zeilen hinzufügen: START_HTTPD= yes HTTPD_OPT= -DStatus HTTPD_OPT="$HTTPD_OPT -DPHP4" Dies ermöglicht die Änderung der control.conf durch automatische Prozesse wie Paketinstallationen. Daher ist die zweite Methode vorzuziehen. Vorhandene Zeilen sollten unberührt bleiben. Weitere Umgebungsvariablen wie LD_LIBRARY_PATH, die von manchen Apache-Modulen benötigt werden, können ebenfalls in control.conf gesetzt werden, müssen jedoch exportiert werden, damit sie dem nachfolgend ausgeführten httpd ersichtlich sind: 42

43 export LD_LIBRARY_PATH="/usr/local/lib" Jegliche Änderungen in control.conf sollten im Vorfeld mit den Verizon Business Webmastern abgesprochen werden. 3. Weitere Informationen Näheres zum Apache-Setup ist auf dem Server oder dem Client-System erhältlich: Manual page Für die Steuerprogramme wwwctrl verfügbar auf der Virtual Machine über den Befehl man 43

44 Common Gateway Interface (CGI) CGI ist die Standardschnittstelle zu externen Anwendungen. 1. Allgemeine Beschreibung Beim Common Gateway Interface handelt es sich um ein Protokoll, das bei der Kommunikation zwischen einem Webserver und einer externen Anwendung zum Einsatz kommt. Die externe Anwendung wird meist CGI-Skript genannt. Der Webserver führt das CGI-Skript als Kindprozess aus und leitet Daten an diesen Prozess weiter. Die Ausgabe des Skripts wird dann an den Client (Browser) geliefert, wie dies auch mit einer statischen HTML-Seite geschehen würde. Ein Beispiel für ein CGI-Programm ist eine Suchmaschine. Nach Eingabe einiger Suchwörter in ein Formular auf einer Webseite, gibt die Suchmaschine eine Liste von Webseiten zurück, die diese Wörter enthalten. Hinter den Kulissen werden die in das Suchformular eingegebenen Informationen an ein Programm auf dem Server geschickt, der Server führt eine Suche auf der Datenbank der Suchmaschine aus, sendet die Ergebnisse zurück und präsentiert sie in Form einer Webseite. Dabei macht CGI all diese Vorgänge möglich. Andere Beispiele für CGI-Programme wären Seitenzähler, -Formulare, Einkaufswagen und Mitteilungsbretter. 2. Schreiben eines CGI-Skripts Perl und sein CGI-Modul werden für viele CGI-Anwendungen verwendet. Diese Skripts müssen nicht kompiliert werden, sind weit verbreitet und relativ einfach zu verstehen. Shell-Skripts, die mit bash, sh, csh, tcsh geschrieben wurden, sind nicht geeignet. Die shellspezifische Angewohnheit, den Inhalt von Variablen zu erweitern und auszuführen, kann zu Problemen mit schweren Sicherheitsauswirkungen führen. Programme, die in C und C++ geschrieben wurden, können benutzt werden. Ein Compiler ist zwar installiert, für den Kompilierprozess steht jedoch kein Support zur Verfügung Fehlermeldungen des Servers Falls ein CGI-Skript nicht erfolgreich ausgeführt werden konnte, gibt der Server einen "Internal Server Error" aus. In einem solchen Fall sollte der Grund für das Scheitern in die STDERR-Datei von Perl geschrieben werden. Die Ausgabe ist im error_log des Webservers zu finden. 3. Benötigte Serverinformationen zur Ausführung des CGI-Skripts Die erste Zeile des Skripts sollte den Pfad zu Perl enthalten, also wo es auf dem Server installiert ist: #!/usr/local/bin/perl Der Pfad zum Document-Root (Verzeichnis, wo die Datei index.html gespeichert sein sollte): /users/webs/hostname/data/, wobei HOSTNAME der Name der Virtual Machine ist. Je nachdem, welches CGI-Programm installiert werden muss, kann das Programm nach dem Pfad des Mail-Programms des Servers fragen: /usr/lib/sendmail. Weitere Informationen zum Speicherort von Programmen und der Verzeichnisstruktur des Servers ist im Dokument "setup" zu finden. 44

45 3. 1. Verwendung vorkompilierter Programme Hinweis: Verizon Business verwendet das Solaris Betriebsystem auf Sun Servern. Falls das vorkompilierte Programm auf diesem Betriebsystem nicht funktioniert, bietet Verizon Business keinerlei Unterstützung. 4. Hochladen des CGI-Skripts Wenn das Skript geschrieben ist, kann es zum cgi-bin-verzeichnis /users/webs/hostname/cgi/ des Servers hochgeladen werden, wobei HOSTNAME der Name der Virtual Machine ist. Hinweis: CGI-Skripte sollten im ASCII-Modus hochgeladen werden. Das FTP-Progamm lädt Dateien standardmäßig im Binärmodus hoch, was für die meisten Dateien kein Problem darstellt, mit Ausnahme von CGI-Dateien. Der Grund für das Hochladen der CGI-Programme im ASCII-Modus besteht darin, dass Betriebssysteme wie Windows einfache Textzeilen mit einem Zeilenumschaltung und einem Zeilenvorschub beenden (Steuerzeichen ^M^J in DOS/Win, \r\n in C oder Unix), Unix-Systeme aber Zeilen nur mit einem Zeilenvorschub (\n) abschließen. Daher laufen CGI-Scripte mit Zeilenumschaltungen nicht auf einem Unix-Webserver. Tipp: FTP-Programme wie WS_FTP können Zeilenumschaltungen automatisch entfernen, wenn sie auf ASCII-Modus eingestellt sind. Wenn beim FTP-Programm die automatische Erkennung des Dateityps eingestellt wird, sollte sichergestellt werden, dass CGI- und PL-Dateinamenerweiterungen ebenfalls als ASCII erkannt werden. Das Programm dos2unix steht für die Konvertierung von Textdateien vom DOS- ins ISO-Format zur Verfügung. Falls das Hochladen im Binär- und nicht im ASCII-Modus stattgefunden hat, kann eine Konvertierung mit diesem Programm durchgeführt werden. 5. Vorbereiten des CGI-Skripts für die Ausführung Nach dem Hochladen des CGI-Skripts in das Verzeichnis cgi-bin, muss das CGI-Skript noch ausführbar gemacht werden. Dies kann entweder durch Anmelden bei der Maschine mit einem SSH-Client oder durch Verwendung eines FTP-Clients geschehen Vorbereiten des CGI-Skripts für die Ausführung mit SSH ssh -l username testserver.uu.net Passwd: cd /users/webs/testserver.uu.net/cgi/ chmod 775 testscript Die Datei ist jetzt ausführbar und bereit für den Einsatz Vorbereiten des CGI-Skripts für die Ausführung mit FTP WS_FTP für Windows: Gehen Sie mit FTP auf die Webseite. Klicken Sie mit der rechten Maustaste auf die Datei oder das Verzeichnis und wählen Sie 45

46 chmod aus dem Einblendmenü. Bei Verzeichnissen (Ordnern) klicken Sie mit der rechten Maustaste auf das Verzeichnis, wählen SITE und geben den Unix-Befehl ein. Beispiel: Um das Verzeichnis "Forms" auf 755 zu setzen, würde der Befehl chmod 755 forms lauten. CuteFTP für Windows: Klicken Sie mit der rechten Maustaste auf eine Datei oder ein Verzeichnis und wählen Sie Change file attributes aus dem Popup-Menü. Damit Sie die Unix-Dateizugriffsrechte im FTP-Fenster sehen, klicken Sie im Fenster mit der rechten Maustaste und wählen Long listing. Fetch FTP für Macintosh: Gehen Sie mit FTP auf die Webseite. Wählen Sie die Datei oder das Verzeichnis aus und rufen Sie Set permissions im Menü Remote auf. Dieser Befehl steht nur in Fetch 3.0 oder später zur Verfügung. 6. CGI-Skripts und Sicherheit Da ein CGI-Programm ausführbar ist, läuft es im Grunde genommen darauf hinaus, dass allen erlaubt wird, ein Programm auf dem System auszuführen, was nicht das Sicherste ist. Deswegen gibt es einige Sicherheitsvorkehrungen, die bei Verwendung von CGI-Programmen implementiert werden müssen. Die für den typischen Web-Benutzer weitgreifendste wäre diejenige, dass CGI-Programme in speziellen Verzeichnissen stehen müssen, so dass der Webserver weiß, dass er das Programm ausführen und nicht nur dem Browser anzeigen muss. 7. Weitere Informationen Näheres zu CGI finden Sie auf verschiedenen Webseiten: Die Homepage von Clueless Lou. Behandelt das für die Ausführung von CGI-Skripten nötige Grundwissen. Spezifische Informationen und häufig gestellte Fragen zu CGI-Themen. Informationen zum Schreiben von CGI-Skripten, um Web-Formulare zu bearbeiten. Matt s Free Perl CGI Scripts. Diese Homepage erklärt im Allgemeinen, wie ein CGI-Programm gestaltet sein muss, damit es funktioniert. Über 2600 mit CGI in Verbindung stehende Ressourcen in über 240 Kategorien. Interaktive Perl-/CGI-Skripte für das Web. Große Web-Ressourcen für CGI-Materialien. Hervorragende Webseite für unerfahrene und fortgeschrittene Web-Entwickler. 46

47 PHP-Modul für Apache Webserver PHP ist eine serverseitige Skriptsprache, die im normalen HTML-Code eingebettet ist. Skripts werden auf dem Server durch ein Modul ausgeführt, das im Apache Webserver integriert ist. PHP bietet Funktionen zur Verarbeitung von Formulardaten, Handhabung von Sitzungen und Erzeugung von HTML-Ausgaben. Es unterstützt außerdem Protokolle wie FTP und SNMP. Das leistungsstärkste Merkmal ist die Möglichkeit, mit einem breiten Spektrum von Datenbanken, in erster Linie mit MySQL, zu interagieren. 1. Allgemeine Beschreibung Dieser Abschnitt umreißt kurz die PHP-Entstehungsgeschichte und dessen aktuellen Stand. Danach wird auf die Merkmale der Sprache und die Integration in Webservern eingegangen Geschichte und aktueller Stand von PHP PHP wurde ursprünglich von Rasmus Lerdorf entwickelt. Seit es unter der Open-Source-Lizenz steht, hat es einige größere Änderungen durchlaufen. Aktuell stehen die Versionen 4 und 5 zur Verfügung. PHP wird von einer sehr grossen Gruppe von Entwicklern engagiert gepflegt. Das Unternehmen Zend entwickelte die Core-Skript-Maschine und bietet PHP-Tools wie IDE, Debugger und Optimierer Merkmale der Sprache Die PHP-Sprache selbst ist Perl oder C sehr ähnlich. Programmierern mit Erfahrung in diesen beliebten Sprachen wird es daher sehr leicht fallen, Skripte zu programmieren. PHP ist auf Web-Programmierung zugeschneidert, wurde aber auch um anderweitige Funktionen erweitert. Es kann mit anderen Services unter Verwendung von Protokollen wie FTP, SNMP oder IMAP und diversen anderen kommunizieren. Außerdem unterstützt es verschiedene Datenbanken wie z.b. MySQL. Das Abfragen von Datenbanken geht sehr einfach und unkompliziert vonstatten. Außerdem lässt sich der Funktionsumfang von PHP durch Plugins noch erweitern. PHP-Skripte sind plattformunabhängig und laufen auf einer Vielzahl von Betriebssystemen Webserver-Integration PHP wird hauptsächlich serverseitig zur Generierung von HTML-Ausgaben verwendet. Damit dies möglich ist, muss PHP erst in den Webserver integriert werden. Das Server API von PHP ermöglicht die Integration in gängige Webserver wie Apache oder IIS. Dadurch sind PHP-Skripte schneller als normale CGI-Programme. Der mögliche gemeinsame Einsatz von HTML- und PHP-Code in einer Datei erleichtert es, die Layout- und die Anwendungslogik von dynamischen Seiten separat zu halten. 2. Gründe für den Einsatz von PHP Der Hauptzweck von PHP ist die Generierung von dynamischen Webseiten. In Kombination mit einer Datenbank ermöglicht dies die einfache Implementierung von Fomular-Routinen, ebusiness-shops, webbasierten Kalendern, Gästebüchern oder sogar von CMS (Content Management System). Es kann vorhandene CGI-Programme ersetzen und als Open-Source-Alternative zu anderen eingebetteten Skript-Technologien wie Active Server Pages (ASP) von Microsoft oder Java Server Pages (JSP) eingesetzt werden. Seine Plattformunabhängigkeit ermöglicht die Migration von einem Server zu einem anderen. 47

48 3. Installation und Konfiguration Installation des PHP-Apache-Moduls Auf Anfrage installieren die Verizon Business Webmaster PHP als Apache-Modul. Nach der Installation ist der Server in der Lage, PHP-Skripte mit der Erweiterung.php, die sich im Document-Root-Verzeichnis befinden, zu interpretieren. Die Skripte müssen nicht ausführbar sein (d.h. das x-bit muss nicht gesetzt sein). Verwendbar sind auch andere Erweiterungen (wie.phtml) durch Hinzufügen der Zeile AddType application/x-httpd-php.phtml zur Datei.htaccess im Document-Root-Verzeichnis des Apache. index.php wird als Standarddokument für ein Verzeichnis ausgeführt, wenn keine index.html Datei vorhanden ist Speicherort von Konfigurationsdatei und Binärdateien Beim Start liest das PHP-Modul eine Konfigurationsdatei mit dem Namen php.ini aus dem Verzeichnis /etc/php4/ bzw. /etc/php5/ (je nach installierter Version) ein. Die Konfigurationsdatei gehört dem Kunden und kann einfach geändert werden. In der Datei können verschiedene Direktiven z.b. zur Angabe des Pfades für Include-Dateien, der Fehlerbehandlung oder des Typs des Session Managements aufgeführt werden. Das PHP Manual enthält dahingehend eine detaillierte Liste. Der Abschnitt "Anzeigen der Konfigurationseinstellungen" weiter unten beschreibt, wie sich die aktuelle Konfiguration ausgeben lässt. Die Binärdateien für PHP sind in /usr/local/apache installiert. Das Unterverzeichnis php4/ bzw. php5/ enthält die nötigen Include-Dateien, um Plugins für PHP zu erstellen, einige Binärdateien zum Installieren von Plugins sowie verschiedene Standardbibliotheken für die Einbindung in Benutzer-Skripten. Das Apache-Modul befindet sich im Unterverzeichnis libexec/. 4. Verwendung Schreiben von PHP-Skripten Wie zuvor erwähnt, müssen PHP-Skripte die Erweiterung.php aufweisen. Aber wie sieht so ein Skript im Einzelnen aus? Die Antwort ist sehr einfach: fast wie herkömmliche HTML-Skripte nur mit der Ausnahme, dass Abschnitte, die in <?php und?> (oder <? und?> bei aktivierter Option short_open_tag) eingeschlossen sind, als PHP-Code interpretiert werden. Es besteht die Möglichkeit, in einer HTML-Datei in den PHP-Modus hinein- und herauszuwechseln. Der logische Durchlauf des PHP-Skripts bleibt dabei intakt, so dass HTML zwischen bedingten Anweisungen nur in der Ausgabe erscheint, wenn die Bedingung wahr ist "Hello World"-Beispiel Ein einfaches PHP-Skript hello.php, das lediglich eine HTML-Seite mit der Nachricht "Hello World!" erzeugt, würde folgendermaßen aussehen: <html> <?php $text="hello World!"?> <head> <title><?php echo $text?></title> </head> <body><?php echo $text?></body> </html> 48

49 5. Weitere Verwendung Wie PHP eingesetzt wird, hängt stark vom Zweck des Webservers ab. Die folgenden Tipps sind allerdings für fast jede Installation hilfreich Verwendung von Bibliotheken Funktionen, die in mehreren Skripten vorkommen, sollten in eine separate Datei exportiert werden. Diese Datei kann mit dem Befehl include() hinzugefügt werden. PHP sucht in allen Verzeichnissen, die in der Direktive include_path angegeben sind, nach Include-Dateien. Standardmäßig ist dies das Verzeichnis php4/lib/php bzw. php5/lib/php in /usr/local/apache und das Verzeichnis, in dem sich das aktuelle Skript befindet. Dies kann jedoch in der Konfigurationsdatei geändert werden. Es ist weiterhin möglich, eine Datei an alle PHP-Skripte anzuhängen bzw. diesen voranzustellen. Hierbei kann es sich um eine normale Include-Datei oder einer HTML-Kopf- oder Fußzeile für sämtliche Ausgabeseiten handeln. Die Konfigurationsdirektiven auto_prepend_file und auto_append_file steuern diese Funktion. Eine bekannte Bibliothek ist phplib, die hier heruntergeladen werden kann Anzeigen der Konfigurationseinstellungen Mit der Funktion phpinfo() lassen sich die aktuellen Werte der verschiedenen Konfigurationsdirektiven ausgeben. Wenn Sie das Skript phpinfo.php mit dem Inhalt <?php phpinfo()?> irgendwo im Document-Root-Verzeichnis des Webservers platzieren, zeigt es eine lange Liste mit Informationen zu PHP, seinen Konfigurationseinstellungen, konfigurierten Modulen und globalen Variablen, die für PHP-Skripte zugänglich sind, wenn darauf mit einem Web-Browser zugegriffen wird Erweiterung durch Dynamic Extensions Die Funktionalität von PHP läßt sich mittels der sogenannten Dynamic Extensions erweitern, ohne den PHP-Kern zu verändern. Z.B kann so FTP Support durch die curl Library ergänzt werden. Das installierte PHP bietet bereits einige Standard Extensions. Diese liegen im Verzeichnis /usr/local/apache/php4/lib/php/extensions/no-debug-non-zts-* bzw. /usr/local/apache/php5/lib/php/extensions/no-debug-non-zts-* mit der Dateiendung.so. Um eine dieser Extensions zu benutzen, muß die Zeile 49

50 extension=curl.so an die Datei php.ini angehängt werden. Diese Anweisung lädt die Extension curl.so beim Serverstart in den Speicher. Wird die Erweiterung von vielen Skripten benutzt, ist dies die beste Lösung. Alternativ lädt die Anweisung dl("curl.so"); in einem PHP Skript die Erweiterung. Damit eigene Dynamic Extension benützt werden können, muß PHP wissen, woher diese geladen werden sollen. Dies wird PHP durch die folgende Anweisung in php.ini mitgeteilt: extension_dir=/complete/path/to/extensions Die Standard-Extensions unter /usr/local/ sind in diesem Fall nicht mehr verfügbar Compilation von Dynamic Extensions Andere PHP Module können als Dynamic Extensions hinzugefügt werden. Diese Extensions müssen auf dem Webserver selber übersetzt werden. Sie funktionieren u.u. nur mit der bestimmten PHP Version, mit der sie übersetzt wurden. Als Beispiel stellen wir hier den Build-Prozess für die curl Extension vor. Die PHP Source-Archive enthalten den Code für diese Dynamic Extension und müssen daher heruntergeladen und entpackt werden. Der Build-Prozess findet innerhalb des Extension-Verzeichnisses statt. Das Kommando phpize konfiguriert die PHP Build-Umgebung und erstellt ein configure Skript. Der Pfad zu der vorinstallierten curl Library und zum php-config Kommando werden als Argumente an configure übergeben. Nach einem make liegt die Extension im Unterverzeichnis modules und kann an einen geeigneten Platz kopiert werden. Die letzen Schritte sind die Aktivierung der Extension in der php.ini und das Aufräumen der Build-Umgebung. Der gesamte Prozess ist im untenstehenden Skript zusammengefaßt. Passen Sie PHPVERSION und PHPFULLVERSION an Ihren Server an. #!/bin/sh # create build environment PHPVERSION=php5 PHPFULLVERSION=5.2.1 cd /users/local/ mkdir build mkdir src # get software cd src wget # unzip software cd../build do gtar xzvf../src/php-$phpfullversion.tar.gz; done # build curl extension cd php-$phpfullversion/ext/curl/ # phpize /usr/local/apache/$phpversion/bin/phpize 50

51 # configure curl extensions only./configure \ --with-php-config=/usr/local/apache/$phpversion/bin/php-config \ --with-curl=/usr/local --enable-shared=yes --enable-static=no # start make make # install extension mkdir /users/local/php-modules cp modules/curl.so /users/local/php-modules # activate extension in php.ini echo "extension_dir = /users/local/php-modules" >>/etc/$phpversion/php.ini echo "extension = curl.so" >>/etc/$phpversion/php.ini # clean up cd /users/local /bin/rm -rf src build Andere PHP Extensions benötigen Anpassungen und unter Umständen sogar Änderungen an einzelnen Dateien, der Grundprozess der Compilation bleibt jedoch gleich PHP Performance Optimierung Um die Geschwindigkeit von PHP Skripten zu erhöhen können verschiedene Maßnahmen ergriffen werden. Der erste Schritt sollte die Optimierung des PHP Skripts sein. Die Benutzung von persistenten Datenbankverbindungen und der nativen Schnittstelle für Ihre Datenbank kann die Laufzeit Ihrer Skripte verringern. PHP kompiliert Skripte in einen Zwischen-Opcode, der dann von der sogenannten Zend Engine ausgeführt wird. Die Kompilation wird normalerweise jedesmal durchgeführt wenn ein Skript angefragt wird. Opcode Caches wie APC, eaccelerator oder XCache speichern den kompilierten Opcode nach dem ersten Durchlauf in Shared Memory oder auf Platte. Wenn das Skript ein weiteres Mal ausgeführt werden soll kann der Opcode einfach aus dem Cache geholt werden und es ist keine erneute Kompilation erforderlich. Zuletzt kann der erzeugte Opcode automatisch optimiert werden. Einige Opcode Caches als auch der frei erhältliche ZendOptimizer ermöglichen dies. Die Verizon Business Webmaster können die erwähnten Opcode Caches auf dem Webserver installieren. Welcher Cache benutzt werden sollte, hängt stark von der verwendeten Applikation ab. Die Konfiguration der Opcode Caches erfolgt in der php.ini Datei. Die Bedeutung der einzelnen Direktiven ist auf den jeweiligen Webseiten dokumentiert. 6. Weitere Informationen Näheres zu PHP ist auf verschiedenen Webseiten und in gedruckter Form erhältlich: PHP Homepage des Open-Source-Projekts. Sie bietet ein einführendes Tutorial und ein aktuelles Manual mit sehr hilfreichen Benutzerhinweisen. Zend Homepage von Zend, dem Unternehmen, das die Core-Skript-Maschine entwickelt hat und PHP-Tools wie IDE, Debugger und Optimierer anbietet. PHPBuilder Eine Webseite mit vielen Ressourcen (Tutorials, Artikeln, Foren, Downloads) zu sämtlichen Aspekten der PHP-Programmierung. Buch: PHP Pocket Reference PHP Pocket Reference 2nd Edition November 2002 by Rasmus Lerdorf O Reilly Media ISBN

52 englische Ausgabe Buch: PHP Bible PHP Bible 2nd Edition September 2002 by Tim Converse & Joyce Park Wiley ISBN englische Ausgabe 52

53 Tomcat Servlets sind Java Programme, die in einem Serverkontext (daher der Name "Servlets" analog zu "Applets" auf der Client-Seite) laufen und Client-Anfragen beantworten. Servlets benützen Java Standard Klassen. Da Servlets in der sehr portablen Programmiersprache Java geschrieben sind und ein standardisiertes Gerüst besitzen, kann man mit Ihnen Server- und Betriebsystem-unabhängige Webapplikationen erzeugen. Java Server Pages (JSP) sind eine Servlet-Erweiterung, die das Schreiben von dynamischen HTML Seiten unterstützt. Dadurch wird es einfach, feste Templates mit dynamischen Inhalt zu ergänzen. Tomcat ist eine Servlet-Engine, die Servlets und JSP ausführt und die Ausgabe ausliefert. Sie kann mit dem Apache Webserver zusammenarbeiten um statische und dynamische Seiten zu kombinieren. 1. Einführung in Tomcat Servlets sind eine effiziente, mächtige und portable Technik um dynamische Inhalte im Web zu erzeugen. Servlets sind Java Programme, die die Standardklassen javax.servlet (bzw. javax.servlet.http für HTTP Requests) erweitern. Wie Applets, die im Kontext des Webbrowsers ausgeführt werden, werden Servlets in einer Server-Applikation ausgeführt wenn ein Client (normalerweise ein Webbrowser) eine bestimmte URL anfordert. Servlets können alle Eigenschaften und Vorteile der Programmiersprache Java benutzen. Dies bedeutet insbesondere, daß Servlets nicht an ein bestimmtes Betriebssystem oder eine bestimmte Webserver Software gebunden sind, sondern auf jeder standardkonformen Plattform laufen. Java Erweiterungen für Datenbankzugriff (JDBC) oder versand (JavaMail) können von Servlets benutzt werden. Servlet-Engines speichern Servlets im Speicher nachdem Sie einmal geladen wurden. Dadurch sind Servlets schneller als normale CGI-Progamme. Das Servlet-API wurde von Sun standardisiert und wurde bereits von verschiedenen Herstellern implementiert. Tomcat ist eine freie Implementierung des Java Servlet API durch das Jakarta Projekts, das zur Apache Software Foundation gehört. Es besteht aus zwei Teilen: Tomcat Architektur Das Apache-Modul. Das Apache-Modul ist in C geschrieben und dient als Mittler zwischen dem Webserver und dem Java-Teil. Das Modul reicht Anfragen und Antworten zwischen den beiden hin und her. Der Connector mod_jk wird standardmäßig installiert. Er benutzt das Protokoll AJP13 für die Kommunikation mit der Servlet-Engine. Früher wurden auch die Connectoren mod_webapp und mod_jk2 auf den Servern installiert, der Support dafür ist aber eingestellt. 53

54 Die Tomcat Servlet-Engine Die Tomcat Servlet-Engine ist in Java geschrieben und implementiert das Servlet API. Sie ist für die Ausführung von Servlets verantwortlich. Sie ist ein eigenes Programm und wird während der Bootphase gestartet. Java Server Pages erlauben das Vermischen von statischen HTML und Java Code, der HTML erzeugt. JSP sind mächtiger als Server Side includes (SSI), da sie die alle Möglichkeiten von Java benutzen können. 2. Installation und Konfiguration Tomcat Installation Tomcat ist eine Service-Option für Ihren Webserver. Nach der Installation können Java Servlets und Java Server Pages (JSP) ausgeführt werden. Dies können Sie testen, in dem Sie auf bzw auf Ihrem Server zugreifen. Dies sind die mitgelieferten Beispiel-Webapplikationen für Servlets und JSP Pfade und Dateien Die Installation von Tomcat wird von Verizon Business im Namen des Kunden ausgeführt, d.h. die Installation kann komplett von Ihnen verändert werden. Alle Dateien befinden sich im Verzeichnis /users/local/tomcat: /bin Die Skripte zum Stoppen und Starten von Tomcat sind hier installiert. /common Alle Java Klassen und Bibliotheken (*.jar)in diesem Verzeichnis sind sichtbar für interne Tomcat Klassen und für Webapplikationen. /conf Konfigurationsdateien /conf.orig Kopie der Konfigurationsdateien aus der Original Tomcat Distribution. Dies dient nur als Referenz. /logs Tomcat schreibt verschiedene Log-Dateien in dieses Verzeichnis. Es gibt keinen Prozess, um Log-Dateien automatisch zu löschen, daher sollte dies regelmäßig manuell geschehen um zu verhindern, daß übermäßig Festplattenplatz belegt wird. /server Hier liegen die Java Klassen und Bibliotheken, die nur für interne Tomcat Klassen sichtbar sind. /shared/classes Unkomprimierte Klassen und andere Resourcen, die für alle Webapplikation auf dem Server (jedoch nicht für Tomcat selber) verfügbar sein sollen, müssen hier installiert werden. Initial ist das Verzeichnis leer. /shared/lib Hier können Java Bibliotheken im JAR Format abgelegt werden, die für alle Webapplikationen sichtbar sind. /webapps Diese Verzeichnis enthält einige vorinstallierte Webapplikationen wie die oben erwähnten Beispiel Servlets und JSPs, eine Webapplikations-Manager und die Tomcat. Diese sind über den Apache Webserver sichtbar. Die anderen installierten Webapplikationen sind aus Sicherheitsgründen nicht sichtbar. Eigene Webapplikationen sollten ebenfalls hier installiert werden. /work Tomcat speichert hier temporäre Dateien wie Java Klassen für JSPs. Die Connector Module für Apache befinden sich in /usr/local/apache/libexec/ Tomcat Konfiguration Verizon Business installiert eine Basiskonfiguration für Tomcat. Standardmäßig wird Tomcat nicht als Webserver betrieben (obwohl das möglich ist), sondern kann nur über Apache erreicht werden. Dies wird über das AJP13 Protokoll durchgeführt (implementiert in mod_jk über den Socket Virtual Machine_IP:

55 Einige Webapplikationen sind vordefiniert: tomcat-docs, manager, servlets-examples und jsp-examples. Dies geschieht in der Datei etc/jk.conf im Apache Verzeichnis (z.b. /users/www/httpd-customer.net/). Wenn neue Webapplikationen hinzugefügt werden sollen, müssen Sie die notwendigen Änderungen in server.xml selber durchführen und den Tomcat neustarten. Die Verizon Business Webmaster ändern dann die Datei jk.conf nach Ihrer Spezifikation und laden die neue Konfiguration in den Apache Webserver Tomcat starten und stoppen Die Tomcat Servlet-Engine wird während des Bootvorgangs durch init mit dem Skript /etc/init.d/tomcat (verlinkt in /etc/init.d/rc3.d/s89tomcat) gestartet. Tomcat läuft unter der Benutzer- und Gruppenkennung des Kunden. Daher kann der Kunde die Ausführung des Tomcat kontrollieren. Dazu sollte nur das installierte Skript mit den Parametern start bzw. stop benutzt werden. 3. Einhaltung von Standards Tomcat 5.5 ist die Referenzimplementation der Java Servlet Spezifikation 2.4 und der Java Server Pages Spezifikation 2.0. Die aktuelle Verizon Business Installation benutzt die Java 2 Platform Standard Edition (J2SE) 1.5 (erhältlich bei Sun für eine Reihe von Betriebssystemen). Die J2SE ist auf jedem Server unter /usr/local/ installiert. 4. Weitere Informationen Weitere Informationen über Tomcat gibt es im Internet: Apache Tomcat Die Startseite von Tomcat innerhalb des Jakarta Projekts. Es gibt ein komplette Referenz der Konfigurationsdirektiven und einige HOW-TOs zu spezifischen Themen. 55

56 Virtual Machine Environment (VME) Das Virtual Machine Environment (Virtual MachineE) ist die technische Lösung, die unseren Hosting-Produkten (Dedicated Unix / Shared Unix) zugrunde liegt. 1. Allgemeine Beschreibung Verizon Business hat das Konzept der virtuellen Webserver erweitert, um mehr Flexibilität und Skalierbarkeit zu gewinnen und den Kundenwünschen noch mehr zu entsprechen. Verizon Business hat außerdem sicherheitstechnische und betriebliche Aspekte besonders berücksichtigt, um den betrieblichen Anforderungen der Kunden gerecht zu werden. Technisch gesehen ist die Virtual Machine eine chroot(1)-umgebung. Im Vergleich zu anderen vorhandenen Lösungen, wo nur CGI-Skripte aus Sicherheitsgründen in einer chroot-umgebung eingeschlossen sind, erhält der Kunde bei Verizon Business eine komplette chroot-umgebung. Dies erhöht nicht nur die Geschwindigkeit, sondern bietet auch verschiedene Vorteile, auf die weiter unten eingegangen wird. 2. Zuverlässigkeit Verizon Business liefert seit 1992 Hosting-Services auf Basis von Solaris. Die Anforderungen der Kunden bezüglich einer flexiblen, skalierbaren und doch zuverlässigen Umgebung hat zum Einsatz der Virtual Machine (Virtual Machine) geführt. Sie erfüllt auch die Anforderung von Verizon Business, ein standardisiertes Basisprodukt für die betriebliche Ebene zu besitzen. Auf der anderen Seite ist die Virtual Machine auch flexibel und erweiterbar genug, um alle Anforderungen unserer Kunden zu erfüllen. Es ist äußerst wichtig, eine gut definierte Schnittstelle zwischen Verizon Business und dem Kunden zu haben. Beim gemanagten Hosting-Produkt ist Verizon Business zuständig für die Hardware, das Betriebssystem und bestimmte Services. Hierzu gehören natürlich der standardmäßig installierte Webserver Process, die Logdateirotation und die Erstellung von Statistiken. Es beinhaltet auch andere Dienste wie Remote-Zugang via FTP oder SSH und Maildienst über POP3 und SMTP. Der Kunde ist dagegen für den Inhalt und den Betrieb der Anwendung selbst zuständig. Falls die Anwendung auf dem Server Probleme bereitet, kann Verizon Business natürlich immer mit Tipps in Sachen Einstellung, Skalierung, Stabilität und Sicherheit aushelfen. Damit alle obigen Punkte erfüllt werden können, basieren seit 1996 (Erstinstallationen in Deutschland) alle Hosting-Services unter Unix (Solaris) auf dem Virtual Machine Environment. Es liefert die beschriebene Schnittstelle zwischen Kunde und Verizon Business, und die einzelnen Kunden / Anwendungen sind voneinander abgegrenzt. Verizon Business bringt außerdem für viele Kundenanwendungen, die innerhalb dieser Umgebung laufen, Erfahrung mit. Zu nennen sind hier HTTP-Server (Netscape, Lotus Notes) und Datenbanken (Oracle, SyBase, Adabas, Notes). Zumindest gibt es keinen wesentlichen Grund, warum eine bestimmte Anwendung inhalb des Virtual MachineE nicht laufen sollte. Auf Shared Servern gibt es einige Beschränkungen. Zuerst dürfen alle Netzwerkanwendungen nur die IP-Adresse des Kunden benutzen und sich nicht auf alle verfügbaren IP-Adressen binden. Bitte klären Sie mit dem Hersteller ab, ob Ihre bevorzugten Anwendungen diese Funktion auch wirklich unterstützen. Verizon Business schränkt außerdem den Einsatz von Datenbanken auf Shared Servern ein, damit sichergestellt ist, dass alle Kunden weiterhin an der Leistung des Systems partizipieren. So sind zumindest kommerzielle Datenbanken wie Oracle und Adabas hier nicht erlaubt. 56

57 3. Sicherheit Dank der chroot(1)-umgebung erhalten die Kunden höchstmögliche Sicherheit auf einer gemeinsam genutzen Hardware. Die Beschränkungen des Betriebssystems verhindern, dass jemand aus seiner zugewiesenen Verzeichnisstruktur ausbricht. So nehmen sich die Kunden gegenseitig nicht wahr. Dies stellt den Unterschied zu anderen Lösungen für gemeinsame Nutzung dar, wo lediglich Beschränkungen auf Rechtebasis vorhanden sind. Das Einrichten einer Virtual Machine für jede Anwendung kann auch vorteilhaft für Kunden mit dedizierten Servern sein. Dadurch lassen sich die Inhalts-, Skript- und Sicherheitsumgebungen leicht unterscheiden. Und die Server sind so vorbereitet, dass ein schneller und einfacher Wechsel zu einer anderen Hardware möglich ist (siehe "Skalierbarkeit" weiter unten). 4. Leistung Die Gesamtleistung jeder Virtual Machine ist vergleichbar mit der Leistung des ganzen Systems. Der chroot(1)-befehl wird während des Starts der Umgebung einmal ausgeführt. Alle nachfolgenden Prozesse werden innerhalb dieser Umgebung direkt auf der CPU ausgeführt. So ist die Virtual Machine erfreulicherweise an keine Maschinen- oder CPU-Emulation gekoppelt und sollte nicht mit Produkten wie VMware oder der virtuellen Maschine von Java verwechselt werden. Alle Virtual Machine-Ressourcen werden auf alle gleichzeitig laufenden Prozesse aufgeteilt. So werden sie auch von gleichzeitig aktivierten Virtual Machines auf demselben Hardware-Rechner gemeinsam genutzt. Im Allgemeinen ergibt sich dadurch kein Problem, da die Ressourcen (CPU) nur für eine kurze Zeitdauer für bestimmte Anwendungen verwendet werden und sich unter diesen aufteilen lassen. Um ein Hängenbleiben oder Abstürzen des Systems aufgrund von Fehlfunktionen der (Kunden-) Anwendungen zu vermeiden, können spezielle Ressourcenbeschränkungen für CPU, Speicher, Festplattenplatz und anderes implementiert werden. 5. Skalierbarkeit Die obigen Merkmale und Vorteile führen zu dem wichtigsten Argument bezüglich der Skalierbarkeit aller Kundenumgebungen. Das Ausbessern, Aufrüsten oder selbst Austauschen der zugrundeliegenden Hardware- und Betriebssysteme ist größtenteils von der Umgebung des Kunden unabhängig. Nur im seltenen Fall einer Betriebssystemaufrüstung muss der Kunde eventuell auf die Kompatibilität zusätzlich installierten Software achten. Ansonsten ergeben sich keinerlei Änderungen der Kundenumgebung. Der Vorteil einer standardisierten Basisumgebung ist ein sehr schneller Upgrade-Prozess zu anderer Hardware. Durchschnittlich ergibt sich dabei ein Ausfall von nur 5 bis 10 Minuten. Dies gilt auch für einen Wechsel von einem Shared System zu einem dedizierten. Auf der anderen Seite ist es Verizon Business dadurch auch möglich, die Hardware im Falle eines Versagens schnell auszutauschen. Dies ist natürlich außerordentlich wichtig, um die erwartete Reparaturzeit bei solchen Ausfällen zu minimieren. 57

58 FAQ Verizon Shared Hosting Unix Wir haben hier versucht, die häufigsten Fragen und Antworten zu unserem Produkt Verizon Shared Hosting Unix zusammenzufassen. 1. Wie kann ich meine -Aliase ändern? Dies wird im Dokument Server erläutert. 2. Welchen POP3 und SMTP Mailserver muss ich in meinem -Programm angeben? Ihr Server ist bereits als POP3-Server und SMTP Relay konfiguriert. Die notwendigen Einstellung für Ihr -Programm werden im Dokument Client Konfiguration beschrieben. 3. Bietet Verizon Business fertige CGI- oder PHP-Skripte an? Da es genügend Sammlungen von Skripten im WWW gibt, bietet Verizon Business keine Skripte mehr an. 4. Kann ich eigene in Perl geschriebene CGI-Programme einsetzen? Es können natürlich eigene CGI-Programme in mehreren Skriptsprachen (u.a. Perl und Python) verwendet werden. Genauere Informationen finden Sie unter Common Gateway Interface. 5. Kann ich Java Servlets verwenden? Über die Zusatzoption Tomcat können Java Webapplikationen und Servlets benutzt werden. 58

59 Bootprozess eines Virtual Machine Environments Der Prozess der Inbetriebnahme einer Virtual Machine ähnelt dem Bootmechanismus auf Unix System V. Ein spezieller init-prozess steuert, welche Vorgänge beim Booten oder Wechseln von einem Runlevel zum anderen auszuführen sind. 1. Zwei Steuermechanismen beim Booten Derzeit werden auf Virtual-Machine-Installationen zwei verschiedene Strukturen für Runlevel-Verzeichnisse eingesetzt. Bei der einen wird nur ein Verzeichnis /etc/rc.d/ für Startskripte verwendet. Bei der anderen gibt es ein Verzeichnis /etc/init.d/ für Skripte und ein Verzeichnis für jeden Runlevel, das symbolische Links zu den Skripten enthält Verwendung eines einzelnen Verzeichnisses Dies ist auf älteren Installationen zu finden und wird für einige neuere auch noch benutzt. Dem Kunden ist es nicht möglich, irgendwelche Änderungen an den verwendeten Startskripten vorzunehmen. Selbst dann nicht, wenn die zu startenden Prozesse keine speziellen Rechte erfordern. Modifikationen können auf Kundenanfrage von den Verizon Business Webmastern durchgeführt werden Verschiedene Runlevels Beim zweiten Bootmechanismus, der auf einigen der neueren Installationen eingesetzt wird, sind verschiedene Runlevel verfügbar. Speicherort und Zweck der verwendeten Dateien und Verzeichnisse werden im Rest dieses Dokuments beschrieben. Hier kann dem Kunden die Genehmigung gegeben werden, Dateien hinzuzufügen oder zu modifizieren. Beschränkungen sind implementiert, die im letzten Abschnitt behandelt werden. 2. Booting und Runlevels init definiert einige Zustände (d.h. Runlevel), in denen sich ein System befinden oder in die es hineinversetzt werden kann. Im Vergleich zu den System V-Standardprozeduren wurden an der Virtual Machine einige Verbesserungen abgebracht. Beispielsweise ist jeder Benutzer dazu in der Lage, seine eigene Software mit Startund Stoppskripten auf dem System zu installieren. Weiterhin ist es möglich, Runlevel zu wechseln, um solche Installationen ohne Unterstützung eines mit Rechten ausgestatteten Benutzers zu testen. Weitere detailliertere Informationen können unter Verwendung von man init auf den Manual Pages zum init-befehl nachgelesen werden. Dort sowie im Abschnitt zur Installation von Software (weiter unten) wird mit nützlichen Tipps weitergeholfen. Außerdem wird ausführlich beschrieben, wie man eigene Skripte installiert und ausführt. Alle Benutzer mit Shell-Zugriff auf die Virtual Machine können den bereitgestellten Befehl init(8) ausführen. Gewöhnlich sollte das System in Runlevel 3 betrieben werden, was auch der Standard ist. Die folgenden Runlevel sind auf einer Virtual Machine definiert. Sie entsprechen den Runleveln, die normalerweise für echte Systemumgebungen wie Solaris oder Linux definiert sind. 59

60 Alle Prozesse anhalten. Dieser Runlevel kann nur vom Root-Benutzer initiiert werden, da er sogar Anmelde-Daemons wie xinetd und sshd stoppt. Er wird dazu benutzt, eine Virtual Machine geordnet über den Administrator herunterzufahren. Virtual Machine in Administratormodus versetzen. Nur die Anmelde-Daemons xinetd und sshd arbeiten in diesem Runlevel. Virtual Machine in Basismodus versetzen. Daemons, die zur Standardinstallation gehören, werden gestartet. Dies schließt die Anmelde-Daemons cron und sendmail ein. Der Webserver gehört hier nicht dazu. Virtual Machine in erweiterten Modus versetzen. Zusätzlich zu Runlevel 2 werden hier der Webserver, Datenbanksysteme und benutzerdefinierte Prozesse gestartet. Alle laufenden Prozesse anhalten und in den Zustand booten, der durch den Eintrag initdefault in /etc/inittab definiert ist. Wie oben schon erwähnt, ist Runlevel 3 die Standardeinstellung. Table 1: Definition der Runlevel Alle Skripte werden im Verzeichnis /etc/init.d abgelegt. Um diese in einem bestimmten Runlevel <n> auszuführen, muss ein Link zum jeweiligen Skript im entsprechenden Runlevel-Verzeichnis /etc/init.d/rc<n>.d platziert werden. 3. Installation von Software Nach der Installation neuer Anwendungen oder dem Ändern vorhandener sollten die Startdateien geprüft und gegebenenfalls an den neuen Status angepasst werden. Das Skript muss die Anwendung starten und stoppen, wenn es mit den Argumenten start und stop aufgerufen wird. Der Speicherort für das Skript ist das Verzeichnis /etc/init.d/. Im Verzeichnis /etc/init.d/rc3.d/ sind zwei symbolische Links zu diesem Skript erforderlich. Heißt das Skript MyDaemon, dann lauten die Dateinamen für die symbolischen Links /etc/init.d/rc2.d/sxxmydaemon und /etc/init.d/rc2.d/kyymydaemon. xx und yy sind Zahlen von 01 bis 99. Wenn das System in Runlevel 3 versetzt wird, werden die Skripte, die mit einem großgeschriebenen S beginnen, ausgewählt. Beginnend bei der niedrigsten Nummer erfolgt die Ausführung der einzelnen Skripte. Wenn das System zu einem anderen Runlevel wechselt, werden die Skripte, die mit einem großgeschriebenen K beginnen, ausgewählt. Dabei wird das Skript mit der größten Zahl zuerst ausgeführt, gefolgt von den anderen in absteigender Reihenfolge. HINWEIS: Nach jeder Konfigurationsänderung an der Umgebung bzw. Software-Installation sollten die neuen Einstellungen durch Ausführen eines init 6 getestet werden. Dies emuliert die Vorgehensweise eines frischen Reboots der kompletten Virtual Machine, allerdings mit viel höherer Geschwindigkeit. Nach diesem Schritt sollte noch geprüft werden, ob alle Prozesse und Anwendung wie erwartet funktionieren. 4. Zugriff auf Verzeichnisse und Besitzer von Daemons Auf einem dedizierten System sind die Verzeichnisse /etc/init.d/ und /etc/init.d/rc3.d/ für den Kunden schreibbar. Es ist möglich, Skripte und symbolische Links hier abzulegen, vorhandene Skripte und symbolische Links, die anderen gehören, können jedoch nicht entfernt werden. 60

61 Wenn der Besitzer des Skripts nicht der root ist, wird der init-prozess vor dem Starten des Skripts den Benutzerund Gruppennamen auf den Namen des Skriptbesitzers einstellen. Dadurch kann der administrative Benutzer des Kunden keine Daemons einrichten, für die spezielle Rechte notwendig sind. Ein Beispiel für ein solches Recht ist die Möglichkeit der Anbindung an einen mit Rechten ausgestatteten Port. 5. Weitere Informationen Näheres zum Befehl init ist auf dem Server zu finden: Manual Pages Für den Befehl init verfügbar auf der Virtual Machine über den Befehl: man init 61

62 Anonymous FTP Der anonyme FTP-Account ermöglicht jedem, einen beschränkten Satz von Dateien von Ihrer Virtual Machine herunterzuladen. Es entspricht den Download-Möglichkeiten, die vom Web-Server bereitgestellt werden. 1. Allgemeine Beschreibung Eine FTP-Verbindung zu einem Server erfordert einen Benutzernamen und ein Kennwort. In den meisten Fällen dient das Kennwort zur Authentifizierung des Clients dem Server gegenüber. Anders verhält es sich mit zwei speziellen Benutzernamen: ftp und anonymous. Wenn ftp oder anonymous benutzt wird, kann auch die Angabe eines Kennwortes erforderlich sein. Allerdings wird es in diesem Fall nicht zur Authentifizierung verwendet, sondern liefert nur Information über den Nutzer. Daher steht der Inhalt, der über anonyme Verbindungen zugänglich ist, jedermann zur Verfügung. 2. Der Server Server-Installation Auf der Virtual Machine muss ein Unix-Benutzer-ftp erstellt werden. Lediglich sein Home-Verzeichnis und dessen Unterverzeichnisse sind über anonyme Anmeldungen zugänglich. Das Unterverzeichnis pub wird erstellt und sollte als Download-Verzeichnis verwendet werden. Jede Datei, die für andere Benutzer lesbar ist (das Unix-Dateizugriffsrecht "world readable"), kann von anonymen Benutzern übertragen werden. Es ist weiterhin möglich, eingehende Übertragungen zu erlauben. Ist dies der Fall, kann nur ein spezielles Verzeichnis namens incoming dafür verwendet werden. Der Eigentümer der übermittelten Dateien ist dann der standardmäßige administrative Benutzer der Virtual Machine und die Dateien sind nur für diesen lesbar. Hierdurch wird verhindert, dass anonyme Benutzer Dateien herunterladen, die von einem anonymen Benutzer hochgeladen wurden. Außerdem gibt es noch andere verfügbare Beschränkungen, die einen Missbrauch des anonymen Accounts verhindern. Die Verizon Business Webmaster aktivieren "anonymous FTP" auf Anfrage. Uploads sind nur erlaubt, wenn dies explizit angefordert wurde Server-Administration Für die administrativen Aufgaben im Verzeichnisbaum, der anonymen FTP-Anmeldungen zugänglich ist, wird ein TELNET- oder uneingeschränkter FTP-Account verwendet. Eine eingeschränkte FTP-Anmeldung kann dafür nicht benutzt werden. Der anonyme FTP-Benutzer kann auf sein Home-Verzeichnis und jedes Unterverzeichnis davon zugreifen. Dieses Verzeichnis lautet /users/local/ftp/. Das Unterverzeichnis./pub/ wird standardmäßig als Download-Verzeichnis verwendet. Wenn das anonyme FTP so konfiguriert ist, dass sich Dateien hochladen lassen, werden diese im Unterverzeichnis./incoming/ abgelegt. Die Datei mit dem Namen.message enthält eine Info-Nachricht, die an den Client versendet wird, wenn dieser zum ersten Mal in dieses Verzeichnis wechselt. Die Datei ist nicht obligatorisch, kann einem Benutzer dieses Services jedoch nützliche Informationen liefern. 62

63 3. Verbindungen seitens des Clients Hier handelt es sich um eine standardmäßige FTP-Verbindung unter Verwendung des Anmeldenamens ftp oder anonymous. In diesem Fall ist es dem Benutzer erlaubt, sich mit einem beliebigen Kennwort anzumelden (normalerweise sollte eine -Adresse des Benutzers als Kennwort dienen). 4. Weitere Informationen Näheres zum anonymen FTP finden Sie auf der Webseite: Anleitungen zur Verwendung von anonymous FTP. 63

64 Es stehen verschiedene Zugriffsmethoden zur Verfügung, um Web-Inhalte hochzuladen, zu ändern oder administrative Aufgaben auszuführen. 1. Allgemeine Beschreibung Es gibt verschiedene Tools zur Fernverwaltung, mit denen sich Web-Inhalte bereitstellen und aktualisieren lassen. FTP und SSH sind standardmäßig installiert, jedoch sollte SSH aus Sicherheitsgründen vorgezogen werden. Verizon Business liefert ein initialen Loginnamen und Kennwort für den Zugriff per FTP und SSH. Die Kennwortpflege muss vom Kunden mit den entsprechenden UNIX-Befehlen durchgeführt werden. Für einige Protokolle wird eine spezielle Client-Software benötigt. Einige Tools sind in verschiedenen Betriebssystemen bereits integriert, andere müssen zusätzlich installiert werden. 2. Anmeldung (FTP, SSH) In jeder Server-Installation ist ein Standard-Benutzer-Account enthalten. Die folgenden Zugriffsmethoden sind möglich, wobei jede einzelne jeweils in einem separaten Dokument näher beschrieben wird: FTP FTP (File Transfer Protocol) wird für den Dateitransfer zwischen Ihrem Computer und dem Server sowie für die Ausführung eines beschränkten Befehlssatzes auf dem Server verwendet SSH SSH (Secure Shell) bietet verstärkte Authentifizierung und sichere verschlüsselte Kommunikation zwischen zwei nicht vertrauenswürdigen Hosts über ein unsicheres Netzwerk. Es ist eine sichere Alternative zu FTP. 3. Zusätzliche Accounts Es können zusätzliche Accounts installiert werden, um einzelnen Mitarbeitern oder Auftragnehmern den Zugriff auf den Web-Server zu ermöglichen, entweder mit allen oder mit eingeschränkten Rechten. Die folgenden Arten von Accounts sind verfügbar: Uneingeschränkter Zugriff Dieses Account ermöglicht den Zugriff mit allen Rechten auf die Virtual Machine per FTP und SSH. FTP-Zugriff Hiermit ist nur der FTP-Zugriff auf den Server erlaubt. Alle Dateien sind zugänglich. Beschränkter FTP-Zugriff Mit diesem FTP-Account ist es möglich, den Zugriff auf ein spezifiziertes Verzeichnis und dessen Unterverzeichnisse zu beschränken. Näheres zur Verwendung verschiedener Arten von administrativen Accounts finden Sie im Dokument "Zusätzliche Accounts". 4. Anonymer FTP-Account Der anonyme FTP-Account ermöglicht jedem, einen ganz bestimmten Satz von Dateien von Ihrer Virtual Machine herunterzuladen. Es entspricht den Download-Möglichkeiten, die vom Web-Server bereitgestellt werden. Näheres zu "anonymous FTP" als Methode zur Vergabe von eingeschränktem Zugriff an Benutzer finden Sie im Dokument "Anonymous FTP". 64

65 Hinweise zur Konfiguration des Statistik-Tools Analog Das Statistik-Tool webalizer wird genutzt um die Logfiles des Apache Webservers grafisch auszuwerten. Eine Reihe von Konfigurationseinstellungen beeinflusst dabei wesentlich das Aussehen der erzeugten Statistiken, sowie auch deren Art und Umfang. Im Vergleich zum Tool webalizer bietet Analog die Möglichkeit Statistiken nicht nur auf HTML-Seiten sondern auch als ASCII-Dateien zur Verfügung zu stellen. 1. Einleitung Das Statistik-Tool Analog wird verwendet um die Logfiles des Apache-Webservers zu analysieren und detailierte Zugriffsstatistiken sowohl auf einer Webseite als auch in Form einer ASCII-Datei zu erstellen. Bedingt durch das tägliche Rotieren der Logfiles können neben den Statistiken auf Wochen- oder Monatsbasis auch tagesaktuelle Auswertungen vorgenommen werden. Die Steuerung der Auswertungsart wird im Dokument Erzeugen von Statistiken näher erläutert. Analog lässt sich durch eine Fülle von Optionen an die individuellen Bedürfnisse anpassen. Das Verzeichnis /users/webs/customer.net/stat/analog/ascii enthält die erzeugten ASCII-Statistiken, im Verzeichnis /users/webs/customer.net/stat/analog/html werden die Webseiten mit den Statistikinformationen abgelegt. Beide Verzeichnisse sind ebenfalls mittels eines Browsers unter der URL bzw. erreichbar. Im Gegensatz zu webalizer werden die Analog-Statistiken nicht inkrementell, d.h. fortlaufend, erzeugt, sondern für einen jeweils fest definierten Zeitraum. 2. Anwendung Um die Erzeugung der Statistiken in jedem Fall zu gewährleisten wird von Verizon Business eine Standardkonfiguration verwendet. Diese reicht im wesentlichen aus um die aussagekräftigsten statistischen Reports die Analog anbietet in einer übersichtlichen Form zu erzeugen. Die Grundkonfiguration findet sich in der Datei /usr/local/bin/analog/analog.cfg und kann nicht verändert werden. Für die Erzeugung der ASCII-Statistiken wird die Standardkonfiguration aus der Datei /etc/analog/ascii-admin.cfg geladen, für die Erzeugung der HTML-Satistiken wird die Konfigurationsdatei /etc/analog/html-admin.cfg verwendet. Die in beiden Dateien vorgenommenen Einstellungen lassen sich jedoch mittels einer zweiten Konfigurationsdatei teilweise überschreiben. Diese Konfigurationsdatei kann individuell für jeden auf dem Server gehosteten webauftritt jeweils im Verzeichnis /users/webs/customer.net/conf/ unter dem Namen analog-ascii.conf bzw. analog-html.conf abgelegt werden, soweit für den entsprechenden Webauftritt ein eigenes Logfile zur Verfügung steht. Der Name dieser Konfigurationsdateien kann in der Konfiguration der Statistik in der Datei /users/webs/customer.net/conf/stats.cfg ebenfalls für jeden Webauftritt individuell angepasst werden. Die Dateien werden nur genutzt wenn sie im angegebenen Verzeichnis vorhanden sind, fehlen die Dateien wird die Statistik nur unter Verwendung der Standardkonfiguration erzeugt. Da die Statistikerzeugung mittels Analog im Gegensatz zu webalizer nict fortlaufend, sondern nach vorher fest definierten Zeiträumen erfolgt, erfolgt die Ausgabe in jeweils einer Datei pro Auswertungszeitraum. Bei einer täglichen Auswertung wird demzufolge jeden tag eine Datei mit den erzeugten Statistiken im entsprechenden Ausgabeverzeichnis angelegt. Um die Dateien richtig zuordnen zu können wird das folgende Namensschema verwendet: 65

66 Dateiname analog.[ascii html].[yyyy]m[01..12] Dateiinhalt Analog-ASCII/HTML-Statistiken für einen kompletten Monat analog.[ascii html].[yyyy]m[01..12]w[01..52] Analog-ASCII/HTML-Statistiken für eine komplette Woche analog.[ascii html].[yyyy]m[01..12]d[00..31] Analog-ASCII/HTML-Statistiken für einen Tag Table 1: Namensschema für Dateien mit erzeugten Analog-Statistiken 3. Konfiguration Analog bietet über 200 verschiedene Konfigurationseinstellungen, darunter eine Vielzahl von Reports, weshalb an dieser Stelle nur auf einige grundsätzliche Einstellungen eingegangen werden kann. Alle Angaben zum Logfile (Name, Verzeichnis etc.) werden beim Aufruf der Statistikerzeugung automatisch erzeugt, ein Überschreiben dieser Angaben in der Konfigurationsdatei ist zwar möglich, bleibt jedoch ohne Auswirkungen. Ebenfalls nicht veränderbar ist der Name der Output-Datei entsprechend dem vorgstellen Schema sowie das Verzeichnis in welchem die erzeugten Statistiken abgelegt werden. Die im folgenden aufgeführten Einstellungen können sowohl für die Erzeugung von ASCII-Statistiken als auch für die Erzeugung von HTML-Statistiken verwendet werden. Name der Option Standardwert Beschreibung LOGFILE DIRSUFFIX stdin index.html Quelle von der das zu analysierende Logfile gelesen wird, die Standard-Eingabe ist hier vordefiniert, Änderungen haben keinerlei Auswirkungen Datei die vom Webserver ausgeliefert wird, wenn eine Anfrage nach /verzeichnisname/ gesendet wurde TYPEOUTPUTALIAS diverse Für verschiedene Dateitypen können, zur Erhöhung der Überischtlichkeit und Verständlichkeit der erzeugten Statistiken, Aliases mit beschreibendem Inhalt eingerichtet werden, z.b. TYPEOUTPUTALIAS.html ".html [Hypertext Markup Language]" Innherhalb aller Alias-Definitionen ist die Verwendung von regulären Ausdrücken möglich. PAGEINCLUDE diverse Neben den Standardtypen *.htm und *.html können weitere Seitentypen in die Reports aufgenommen werden, z.b. PAGEINCLUDE *.shtml um alle Server-parsed HTML-Seiten expizit einzubeziehen. Table 2: Globale Konfigurationseinstellungen zur Erzeugung von Analog-Statistiken Die folgende Übersicht über die von Analog zur Verfügung gestellten Reports bezieht sich nur auf Reports die standardmässig mit der vorgegebenen Konfiguration eingeschaltet werden. 66

67 Name des Reports Standardwert Beschreibung GENERAL MONTHLY DAILYSUM HOURLYSUM ON ON ON ON Übersicht über die gesamte Anzahl der erfolgreich und nicht erfolgreich bearbeiteten Anfragen während des Auswertungszeitraumes Übersicht über alle Anfragen im laufenden Monat bis zum Zeitpunkt der Auswertung, bzw. über den gesamtem Monat wenn ein Auswertungszeitraum angegeben wurde der komplett in der Vergangenheit liegt Zusammenfassung der täglich während des Auswertungszeitraumes bearbeiteten Anfragen Zusammenfassung der stündlich während des Auswertungszeitraumes bearbeiteten Anfragen DOMAIN ON Übersicht über die anfragenden Domains DOMAIN ON Übersicht der anfragenden Domains DIRECTORY ON Übersicht über die verteilung der Anfragen auf Verzeichnisse FILETYPE ON Übersicht der angeforderten Dateitypen SIZE ON Übersicht der angeforderten Dokumente, geordnet nach Dateigrösse SEARCHWORD ON Bei Verwendung einer Suchmaschine, Übersicht über die angefragten Suchbegriffe OSREP ON Übersicht der anfragenden Betriebssysteme Table 3: Report-Einstellungen Für jeden Aktivierten Report kann mittels der Spalteneinstellungen festgelgt werden welche Daten für einen Eintrag angezeigt werden, z.b. eine Spalte für die Dateigrösse, eine Spalte für den Dateinamen, usw. Alle zeitlich sortierten Reports können zudem auf- oder absteigend geordnet werden. Auch die Festlegung der anzuzeigenden Zeilen in jedem Report kann mittels der ROW Einstellung pro Report festgelegt werden. Zur Sortierung nicht zeitabhängiger Reports werden die Optionen REQUESTS(Anzahl der Requests für ein Element), BYTES (Anzahl der zum Client ingesamt übertragenen Bytes) und ALPHABETICAL (alphabetische Reihenfolge) angeboten. Mittels einiger Zusatzoptionen kann die Form der ausgegebenen Statistikseiten individuell angepasst werden. Die folgende Tabelle zeigt einige der wichtigsten Einstellungen. 67

68 Name der Option Standardwert Beschreibung LANGUAGE HEADERFILE GERMAN none Sprache in der Ausgabeseiten verfasst werden, möglich ist GERMAN oder ENGLISH Datei die vor den eigentlichen Statistik-Übersichten in die Ausgabe eingefügt wird FOOTERFILE none Datei die am Ende der Statistik-Übersichten in die Ausgabe eingefügt wird HTMLPAGEWIDTH 65 ASCIIPAGEWIDTH 75 Maximale Breite der HTML-Ausgabeseite in Zeichen Maximale Breite der ASCII-Ausgabeseite in Zeichen Table 4: Konfigurationseinstellungen zur Anpassung der Output-Seiten Nicht verwendet werden alle Einstellungen zu DNS-Anfragen während der Auswertung. Diese dienen normalerweise dazu, die in den Logfiles enthaltenen IP-Adressen in die übersichtlicheren Hostnamen umzuwandeln indem pro Adresse eine Anfrage an den Standardnameserver gesendet wird. Alle erhaltenen Antworten werden in einem DNS-Cache zwischengespiechert um bei erneuten Anfragen zur gelichen IP-Adresse nicht erneut eine Anfrage an den DNS-Server senden zu müssen. Da bei der Rotation der Logfiles bereits alle enthaltenen IP-Adressen die über einen DNS-Eintrag verfügen in den korrespondierenden Namen aufgelöst wurden, würde eine erneute Prüfung während der Erzeugung der Analog-Statistiken lediglich eine Verlangsamung des Prozesses bewirken ohne jedoch weitere Resultate zu liefern. Eine Optionen zum Erhalt von Debug-Informationen im Fehlerfall können ebenfalls im Konfigurationsfile angegeben werden, sie werden von Verizon Business verwendet um per Mail über aufgetretene Fehler während der Statistikauswertung informiert zu werden und eingreifen zu können. Die Ausklammerung von Dateien, Referern sowie anderen Elementen aus den Reports ist mittels einiger Konfigurationseinstellungen ebenfalls möglich. Name der Option FILEXCLUDE FILEINCLUDE Standardwert kein Standardwert kein Standardwert Beschreibung Angabe der von der Statistikerzeugung ausgeschlossenen Dateien, z.b. FILEEXCLUDE /test/* um alle Dateien im Verzeichnis /test auszuschliessen. Mehrere Angaben können, durch Komma getrennt, hintereinander erfolgen. Einbinden von Dateien unterhalb eines Verzeichnisses, welches durch FILEXCLUDE ausgeschlossen wurd, z.b. FILEINCLUDE /test/*.gif um alle GIF-Dateien im Verzeichnis /test in den Reports zu berücksichtigen obwohl das Verzeichnis bereits mittels FILEEXCLUDE ausgeschlossen wurde. Table 5: Funktionen zum Anpassen des HTML-Outputs bei der Erzeugung von Webalizer-Statistiken Analog zu den beiden erläuterten Angaben können Requests einzelner User mittels USERINCLUDE oderuserexclude ein- oder ausgeblendet werden, für den Report über alle an Clients gelieferten Status-Codes können einige Codes mittels STATUSINCLUDE bzw. STATUSEXCLUDE ein- oder ausgeblendet werden und für Referer existieren diesbezüglich die Optionen REFEXCLUDE, REFINCLUDE sowie die Option REFREPEXCLUDE über die beispielsweise alle Anfragen die von der eigenen Domain ausgehen mittels REFREPEXCLUDE ausgeblendet werden können. 68

69 4. Weitere Informationen Ausführliche Informationen zur Analog-Konfiguration finden sich direkt auf der Analog-Homepage: Die Analog Homepage mit der kompletten. 69

70 Server Verizon Business stellt -Dienste für die Domain des Kunden bereit. 1. Allgemeine Beschreibung Für die Speicherung von s bietet Verizon Business eine bestimmte Anzahl von POP3-Mailboxen an. Eingehende s, die z.b. an adressiert sind, werden an eine vom Benutzer definierte Adresse oder eine der zur Verfügung getellten Mailboxen weitergeleitet. Die Anzahl der POP3-Mailboxen ist auf der Preisliste entsprechend der aktuellen Vertragsbedingungen angegeben. 2. Aliasing Damit der -Dienst verwendet werden kann, muss ein gültiger MX-Eintrag (Mail exchanging) im DNS (Domain Name Service) der Domain vorhanden sein. Außerdem ist es erforderlich, dass der Domainname in der Datei /etc/mail/virtdomains festgehalten wird. Wichtig: Alle Enträge müssen in virtdomains in separaten Zeilen vorliegen Empfangen von s (lokales Aliasing) s werden an eine lokale Mailbox des vorhandenen Benutzers weitergeleitet. Der Server muss dafür den Benutzernamen kennen. An gerichtete s werden automatisch in der ersten Mailbox mit dem Benutzernamen www<number> (Webmaster-Mailbox) gespeichert. Diese s lassen sich über POP3-Clients (z.b. Outlook) mit Benutzernamen und Passwort herunterladen. Die Mailboxen befinden sich im Verzeichnis /var/mail/pop<number>. Mit dem Befehl rm pop<number> lassen sich alle s in der POP-Mailbox löschen Weiterleiten von s (Aliasing) Es besteht die Möglichkeit, eingehende s an eine externe, gültige -Adresse weiterzuleiten. Hierfür muss kein gültiger Benutzername auf dem Server konfiguriert werden. Der Eintrag der -Adresse befindet sich lediglich in einer Zuweisungstabelle Senden von s Es können Mails vom Server selbst (localhost) versendet werden. Um Mails von anderen Computern über den Server zu versenden (relay), muss SMTP AUTH verwendet werden. Ohne wird die Mail mit "relaying denied" abgewiesen. 3. Konfiguration Die Zuweisung einzelner Adressen wird in der Datei /etc/mail/aliases oder /etc/mail/virtusers konfiguriert. In diesen Dateien werden Alias-Namen der entsprechenden lokalen Mailbox (lokales Aliasing, aliases-datei) oder einer externen Adresse (Aliasing, virtusers-datei) zugewiesen (die Dateien aliases und virtusers lassen sich mit den Editoren vi oder jove modifizieren). Im vi-dokument wird beschrieben, wie der editor vi benutzt wird. 70

71 Alternativ dazu können die Dateien auch mit einem FTP-Client heruntergeladen und auf der lokalen Arbeitsstation bearbeitet werden. Danach müssen die Dateien wieder zum Server hochgeladen werden. Die Dateien müssen dann noch mit dem Befehl mail-reconf aktiviert werden. Tipp: Weitere Informationen zum Dateitransfer finden Sie im Dokument "FTP (File Transfer Protocol)". Das Dokument Unix commands gibt einen Überblick über die am häufigsten benötigten und verwendeten Befehle Grundlegende Konfiguration Die folgenden Beispiele verdeutlichen die verschiedenen Möglichkeiten: Verbindungsaufbau mit TELNET oder SSH zu Anmeldung beim Server. Wechseln in das richtige Verzeichnis nach erfolgter Anmeldung: $ cd /etc/mail $ vi aliases Hinzufügen einer neuen Zeile für jeden einzelnen Alias. Wichtig: For dem Alias kommt kein Leerzeichen! Bei der Zieladresse kann es sich um einen lokal konfigurierten Benutzer (pop<number>) und / oder eine externe Adresse handeln: alias: destination address Alle s für werden auf dem Server in der Mailbox mit dem Benutzernamen pop<number>-01 gespeichert: info: pop<number>-01 s für werden an weitergeleitet: peter: s für Benutzer Dave gehen an seine Mailbox pop<number>-02 auf dem Server und werden an weitergeleitet: dave: pop<number>-02, Alle gerichtete s werden auf dem Server in der Mailbox pop<number>-01/02 gespeichert und an sowie weitergeleitet: all: pop<number>-01, pop<number>-02,...,..., Wichtig: Sämtliche Einträge im oberen Teil der Datei aliases dürfen nicht modifiziert werden! Alle s gehen zu lasten der Quota des Servers Weiterführende Konfiguration Wenn mehr als eine Domain auf den Server verweist, gelten alle Einträge in der Datei aliases für sämtliche Domains. Soll der -Empfang für die Domains anderweitig gehandhabt werden, muss die Datei virtusers editiert werden. Diese Datei befindet sich ebenfalls im Verzeichnis /etc/mail/. 71

72 Die folgenden Beispiele verdeutlichen die verschiedenen Möglichkeiten in der Datei virtusers: Alle s für werden wieder auf dem Server in der Mailbox mit dem Benutzernamen pop<number>-01 gespeichert: pop<number>-01 s für werden an die Adresse weitergeleitet: ist ein spezieller Alias. Alle s ohne einen definierten -Namen werden in der Mailbox mit dem Benutzernamen pop<number>-99 (Platzhalter-Mailbox) pop<number>-99 Wichtig: Nach dem Alias-Namen kommt kein Semikolon und die Wildcard-Mailbox muss der letzte Eintrag in der Datei sein. In virtusers kann für jeden Alias nur eine Weiterleitung an die externe Adresse konfiguriert werden. Die Änderungen an der Datei werden nach Mitternacht automatisch aktiviert. Sollen die Änderungen sofort in Kraft treten, muss dies mit dem Befehl mail-reconf geschehen. 4. Weiterleitung Es besteht weiterhin die Möglichkeit, Webmaster- s an eine gültige, externe -Adresse weiterzuleiten. Hierfür wird eine.forward-datei im Home-Verzeichnis /user/home/www<number> erstellt und modifiziert. Diese Datei enthält eine oder mehrere Adressen. Bei der.forward-datei handelt es sich um eine versteckte Datei, die nur bei Eingabe des Befehls ls -la erscheint. 72

73 Der cron Daemon Der cron Daemon ermöglicht Benutzern, Befehle einmalig oder regelmäßig an bestimmten Tagen und Zeiten durchzuführen. 1. Allgemeine Beschreibung Bei cron handelt es sich um eine Standardfunktion von Unix. Benutzer können damit Befehle, die wiederholt (z. B. stündlich, täglich oder wöchentlich) auszuführen sind, in einem Satz von Dateien namens crontabs platzieren, die sich dann mit dem Befehl crontab bearbeiten lassen. Um eine einmalige Aufgabe zu einer bestimmten Zeit abzuwickeln (sogenannte at-jobs), steht der Befehl at zur Verfügung. Der cron Daemon ist dafür verantwortlich, dass die Befehle zur richtigen Zeit ausgeführt werden und der Benutzer per die Ausgabe des Befehls zugeschickt bekommt. 2. Benutzung Die Ausführung von Programmen über cron ermöglicht die Automatisierung routinemäßiger Aufgaben wie die Komprimierung von Log-Dateien oder das Sichern von Datenbanken in ein Dump-File. Beispiele sind im Folgenden aufgeführt. 3. Installation und Konfiguration Der cron Daemon ist standardmäßig auf allen Servern installiert. Somit besteht jederzeit die Möglichkeit, die Crontabs zu bearbeiten und at-jobs abzusetzen. Die Crontabs befinden sich in Textdateien im /var/spool/cron/crontabs/, während at-jobs als Datei in /var/spool/cron/atjobs/ zu finden sind. Diese Dateien sollten nie direkt bearbeitet werden, sondern ausschließlich mit den Befehlen crontab bzw. at 4. Verwendung Einsatz von crontab Regelmäßig auszuführende Aufgaben sollten in die Benutzer-Crontab eingefügt werden. Die Befehle in dieser Datei werden mit den Rechten und Privilegien des Benutzers ausgeführt, jedoch ohne dessen Standardumgebung (definiert in.profile). Sie werden über sh und nicht über die Standard-Shell des Benutzers gestartet. Alle Ausgaben (sowohl an STDOUT wie STDERR) werden an den Benutzer g t, sofern sie nicht vorher bereits umgeleitet wurden. 73

74 Crontabs müssen mit dem Befehl crontab bearbeitet werden. Die Befehlszeile crontab -e ruft einen Editor für die Benutzer-Crontab auf (standardmäßig vi, was sich jedoch zu beispielsweise jove ändern lässt, indem die Umgebungsvariable EDITOR in der shell bash gesetzt wird): export EDITOR="jove" Vorhandene Crontab-Einträge können mit folgendem Befehl aufgelistet werden: crontab -l Wichtig: Die Option -r für crontab entfernt alle Einträge aus der Crontab Format der crontab Jeder Eintrag in einer Crontab-Datei besteht aus sechs Feldern in der folgenden Reihenfolge: Minute(n) Stunde(n) Tag(e) Monat(e) Wochentag(e) Kommando(s) Die Felder sind durch Leerzeichen oder Tabulatoren voneinander abgegrenzt. Die ersten fünf sind Listen von ganzen Zahlen und das sechste ist der auszuführende Befehl. Die folgende Tabelle beschreibt die einzelnen Felder näher: Feld Wert Beschreibung Minute 0-59 Die Angabe der Minute zu der der Befehl ausgeführt werden soll. Stunde 0-23 Die Angabe der Stunde zu der der Befehl ausgeführt werden soll. Tag 1-31 Der Tag im Monat für die Ausführung der Befehls. Monat 1-12 Der Monat im Jahr für die Ausführung der Befehls Wochentag 0-6 Kommando Spezifisch Der Wochentag für die Ausführung der Befehlsfolge. Sonntag = 0, Montag = 1, Dienstag = 2 usw. Die vollständige Folge von Befehlen, die auszuführen sind. Der Befehlsstring muss die Syntax der Bourne Shell ( sh) befolgen. Befehle, auszuführende Programme (wie Scripts) oder eine Kombination beider sind möglich. Table 1: Crontab Einträge Jedes der Muster der ersten fünf Felder kann sich entweder aus einem Sternchen (Platzhalter für alle möglichen Werte) oder mehreren, durch Kommas getrennte Elementen zusammensetzen. Ein Element ist dabei entweder eine einzelne Zahl oder ein Bereich, der durch zwei Zahlen, die durch ein Minuszeichen getrennt sind (z.b ), angegeben wird. Kommentarzeilen müssen mit dem Zeichen # beginnen. Die Crontab darf keine leeren Zeilen enthalten Beispiele Damit das Programm myprog im Verzeichnis /mydir im Home-Verzeichnis des Benutzers werktags jeden Morgen um 8.00 Uhr gestartet wird, muss der Crontab-Eintrag wie folgt aussehen: 74

75 0 8 * * 1-5 /mydir/myprogram Falls das Programm myprog alle 10 Minuten ausgeführt werden soll, lautet der Crontab-Eintrag: 0,10,20,30,40,50 * * * * /mydir/myprogram Für Datenbanken sollte regelmäßig ein Dump durchgeführt werden, so dass sie im Störungsfall leicht auf einen definierten Zustand zurückzusetzen sind. Damit die MySQL-Datenbank mydb jeden Montag und am Ersten jeden Monats in eine Datei im Verzeichnis dumps des Benutzer-Verzeichnisses www123 gespeichert wird, sind folgende Einträge in der Crontab nötig: # Datenbank-Dump jeden Montag und am Monatsersten * 1 /users/local/mysql/bin/mysqldump mydb >/home/www123/dumps/dbdump.sql at-jobs Befehle, die nur einmalig zu einer bestimmten Zeit auszuführen sind, können mit dem Befehl at terminiert werden. Die Ausführung der Befehle erfolgt in einer separaten Shell unter Verwendung der Umgebungsvariablen und dem Arbeitsverzeichnis, das/die zum Zeitpunkt, an dem der Befehl at aufgerufen wird, aktuell sind. Die Ausgabe der Befehle wird an den Benutzer g t. Wenn keine Ausgabe erzeugt wurde, erfolgt dies nicht, es sei denn, die Option -m für den at Befehl wurde verwendet. Der einfachste Aufruf von at spezifiziert nur eine optionale Zeitangabe für die Ausführung der Befehle: at runtime Das Format von runtime wird weiter unten beschrieben. Nach Drücken von [Enter] erscheint das Prompt at< An der Eingabeaufforderung können ein oder mehrere Befehle eingegeben werden. Zum Beenden der Eingabe wird ein [CTRL-D] (das standardmäßige <EOT>-Zeichen) am Anfang einer Zeile verwendet. Der Befehl at gibt danach aus, welche Shell zur Ausführung der Befehle verwendet wird und welche Jobnummer vergeben wurde. Diese Nummer wird benutzt, um auf bestimmte at-jobs Bezug nehmen zu können. Alle für einen Benutzer eingeplanten Jobs können mit folgendem Befehl aufgelistet werden: at -l Ein Job lässt sich wieder aus dem Zeitplan entfernen, indem at mit der Option -r gefolgt von der Nummer des zu entfernenden Jobs verwendet wird Zeitformat Das Format für die Zeitangabe setzt sich aus drei Teilen zusammen: Zeit Die Zeit kann mit einer, zwei oder vier Ziffern spezifiziert werden. Bei ein- bzw. zweistelligen Zahlen wird davon ausgegangen, dass es sich um Stunden handelt, vierstellige Zahlen werden als Stunden und Minuten verstanden. Stunden und Minuten können wahlweise auch durch einen Doppelpunkt getrennt werden. Die Strings now, noon und midnight stehen jeweils für die aktuelle Zeit, Mittag und Mitternacht. 75

76 Datum Optional kann ein Datum spezifiziert werden, entweder in Form eines Monatsnamens gefolgt von einer Tageszahl oder in Form eines Wochentages. Zwei spezielle Tage,today und tomorrow, sind ebenfalls möglich. Ist kein Datum angegeben, wird vom aktuellen Datum ausgegangen, sofern die spezifizierte Zeit größer als die aktuelle Zeit ist. Ansonsten wird vom folgenden Tag ausgegangen. Inkrement Beim optionalen Inkrement handelt es sich um eine Zahl, der ein Pluszeichen (+) vorausgeht und eines der folgenden Wörter folgen: minutes, hours, days, weeks, months oder years Das Schlüsselwort next entspricht einer Inkrementzahl von Beispiele Damit das Programm myprog im Verzeichnis mydir im aktuellen Verzeichnis in 20 Minuten vom aktuellen Zeitpunkt an gestartet wird, ist folgende Befehlsfolge nötig: at now + 20 minutes at> mydir/myprogram at> <EOT> Um dasselbe Programm am nächsten Tag um 8.OO Uhr morgens zu starten, das Verzeichnis mydir zu packen sowie eine Meldung bei Beendigung des at-jobs zu bekommen, lautet die Befehlsfolge: at -m 08:00 tomorrow at> mydir/myprogram at> gtar -czvf mydir.tgz mydir at> <EOT> 5. Weitere Informationen Weitere Informationen zum cron Daemon finden sich auf dem Server selber: Manual Pages Für cron(1m),crontab(1) und at(1), verfügbar auf dem Server über den Befehl man 76

77 Zusätzliche Accounts / Zusätzlicher Webmasterzugang In jeder Host-Installation ist ein Standard-Account für administrative Aufgaben inbegriffen. Mit diesem Account sind SSH- und FTP-Verbindungen mit dem Server möglich. 1. Allgemeine Beschreibung Es stehen zwei Arten administrativer Accounts zur Verfügung Alle Zugriffsmethoden Möglich mit demselben Typ von Account wie der administrative Standard-Account, der während jeder Server-Installation konfiguriert wird Uneingeschränkter FTP-Account Dieser Account ermöglicht FTP-Verbindungen mit dem Server. Der vollständige Verzeichnisbaum des Servers kann vom Benutzer dieses FTP-Accounts eingesehen werden Eingeschränkter FTP-Account Der ftp-daemon auf der Virtual Machine kann spezielle Vorkehrungen treffen, um die Zugriffsrechte des Clients zu beschränken. Der Client ist dann nicht in der Lage, sein ihm zugewiesenes Home-Verzeichnis zu verlassen. Es sind nur Dateien in diesem Verzeichnis und dessen Unterverzeichnissen zugänglich. Der eingeschränkte FTP-Account ermöglicht einem Client, auf einen begrenzten Bereich der Virtual Machine zuzugreifen. Eine Authentifizierung mittels Anmeldename und Kennwort ist erforderlich. Die meisten eingeschränkten FTP-Accounts werden dazu benutzt, Mitarbeitern oder Auftragnehmern die Möglichkeit zu schaffen, Inhalte für den Web-Server oder einen seiner virtuellen Hosts zu liefern, ohne vollen Zugriff auf den Server zu geben. Wenn der eingeschränkte FTP-Account Zugriff auf das Verzeichnis cgi eines Web-Servers hat, kann der Benutzer die Beschränkungen umgehen. In diesem Fall ist die Beschränkung auf ein bestimmtes Verzeichnis zwar keine Sicherheitsmaßnahme mehr, der Zugriff ist jedoch einfacher und weniger fehleranfällig. 2. Server-Konfiguration Eingeschränkte FTP-Accounts erhalten die Unix User ID des administrativen Standardbenutzers. Auf dedizierten Systemen sind andere IDs verfügbar und können für zusätzliche, uneingeschränkte Accounts verwendet werden. 3. Bestellung und Authentifizierung Eine vorhandene Installation kann jederzeit um zusätzliche Accounts erweitert werden. Hierfür muss der technische Ansprechpartner seitens des Kunden mit dem Anbieter des Hosting-Service Kontakt aufnehmen. Im Allgemeinen geschieht dies per Fax oder Benötigte Angaben für das Bestellformular Der Anmeldename sollte angegeben werden. Hierbei muss es sich um einen gültigen Unix-Anmeldenamen handeln. Ein gültiger Name ist jeder String mit höchstens 8 Byte, der sich aus kleingeschriebenen, alphanumerischen Zeichen zusammensetzt und mit einem Buchstaben beginnt. Die genaue Definition kann auf der Handbuchseite zu useradd (1M) nachgelesen werden. Für den Account ist das Home-Verzeichnis erforderlich. 77

78 Wenn der Name eines virtuellen Hosts angegeben ist, wird das gemeinsame übergeordnete Verzeichnis der Verzeichnisse data, cgi und log verwendet Authentifizierung und Autorisierung Die Anforderung eines zusätzlichen Accounts muss von einer Kontaktperson unterschrieben werden, die bereits in Verbindung mit diesem speziellen Server bekannt ist. Jegliche Informationen zum Account werden ausschließlich an die Adresse übertragen, die als Adresse des technischen Ansprechpartners vorliegt. Sollten diese Informationen von Dritten benötigt werden, muss der Kunde sie weiterleiten. 4. Weitere Informationen Zum FTP-Dienst sind weitere Informationen verfügbar. Die Kennwortpflege muss vom Kunden mit Hilfe des Befehls passwd durchgeführt werden. Die Beschreibung anderer Befehle kann nützliches Hintergrundwissen liefern. Manual Pages Die Manual Page chroot(1m) beschreibt, wie der FTP-Daemon das Root-Verzeichnis wechselt, wenn der Benutzer ein guest-benutzer ist. Manual Pages Die Manual Page useradd(1m) behandelt den Befehl, der zum Hinzufügen eines neuen Accounts verwendet wird. passwd-befehl Der Befehl passwd(1) kommt bei der Kennwortpflege zum Einsatz. 78

79 File Transfer Protocol (FTP) FTP-Clients ermöglichem dem Benutzer, Dateien zwischen Client und Server auszutauschen und einen begrenzten Satz von Befehlen auf dem Server auszuführen. 1. Allgemeine Beschreibung Das FTP-Protokoll spezifiziert, dass zwei TCP-Verbindungen zwischen Client und Server nötig sind. Die eine wird für Befehle und die andere für den Datentransfer genutzt. Der Server und die meisten modernen Clients unterstützen zwei unterschiedliche Modi. Verwendet werden sollte der passive Modus, der auch für die meisten Clients der Standard ist. In diesem Fall werden beide Verbindungen vom FTP-Client initiiert. Dies ist wichtig, da TCP-Verbindungen von entfernten Hosts zu einem lokalen Client-Rechner durch die meisten Firewall-Installationen blockiert werden. Ist eine FTP-Verbindung von einem Client zu einem Server einmal aufgebaut, wird der Benutzer auf der Client-Seite aufgefordert, einen Anmeldenamen und ein Kennwort einzugeben. Das Kennwort wird für die Authentifizierung verwendet, sofern es keine anonyme FTP-Verbindung ist. Benutzername, Kennwort, Befehle oder übertragene Daten werden durch keinerlei Maßnahmen verschlüsselt oder gesichert. Eine sichere Alternative für den Datentransfer ist scp (secure copy) über SSH. Es stehen verschiedene Arten von Datentransfer zur Verfügung. In der Regel reicht es aus, wenn man über den Binärmodus und den ASCII-Modus Bescheid weiß. Der ASCII-Modus wird verwendet, wenn eine Konvertierung der übertragenen Daten nötig ist. Werden Konfigurationsdateien von DOS- oder Windows-Clients auf den Server transferiert, so ist dies zur Ersetzung der Zeilenendekennung erforderlich. Für alle Binärdaten wie Bilder oder komprimierte Archive muss der Binärmodus aktiviert werden. Die übertragenen Dateien könnten ansonsten beschädigt werden. 2. Konfiguration des FTP-Servers Der FTP-Server wird von Verizon Business konfiguriert. Eine weitere Konfiguration ist nicht nötig. Allerdings besteht die Möglichkeit, den Zugriff über FTP auf Basis der Client-IP oder des Domainnamens zu beschränken. Es ist weiterhin möglich, den FTP-Zugriff komplett zu deaktivieren. Modifikationen werden auf Anfrage von den Verizon Business Webmastern vorgenommen. 3. Client-Installation Einfache FTP-Clients sind in den Standardinstallationen der gängigen Betriebssysteme enthalten. Einige FTP-Clients bieten eine grafische Benutzeroberfläche. Auch die meisten Web-Browser stellen einige ftp-funktionen zur Verfügung. Zumindest ist das Übertragen von Dateien möglich. Das Erstellen von Unterverzeichnissen oder Einstellen von Dateimodi kann oft nicht erfolgen, was jedoch für die Bearbeitung des Inhalts auf Webservern nötig ist. Solche Aufgaben lassen sich über einen SSH-Shell-Zugriff auf den Webserver erledigen. Freie FTP-Clients, die auf Windows-Systemen verwendet werden können, sind beispielsweise Filezilla oder SmartFTP. Auf Unix- und Linux-Systemen lässt sich eine FTP-Sitzung über den Befehl ftp starten. 79

80 4. Weitere Informationen Näheres zu FTP ist auf verschiedenen Webseiten und auf dem Server zu finden: Firewall-Friendly FTP. FTP-Sicherheitsüberlegungen. Manual Pages Für ftp(1) verfügbar über den Befehl man auf Unix- und Linux-Systemen. help command Verfügbar auf verschiedenen FTP-Clients. 80

81 MYSQL Datenbank Dieses Dokument geht kurz auf die MySQL-Datenbank in der Verizon Business VM-Umgebung ein und soll lediglich als Einstieg dienen. Die komplette zu MySQL kann über eingesehen werden. 1. Allgemeine Beschreibung Die MySQL-Datenbank ist eine vollständige relationale Datenbank, die mit Datenmengen von einem Gigabyte und mehr arbeiten kann. MySQL ist ein echter Multi-User-SQL-Datenbank-Server mit Multi-Thread-Technologie. Bei SQL (Structured Query Language) handelt es sich um die populärste und am meisten standardisierte Datenbanksprache der Welt. MySQL ist eine Client/Server-Implementierung, die sich aus dem Server-Daemon mysqld und vielen anderen Client-Programmen und Bibliotheken zusammensetzt. 2. Pfade und Dateien Die MySQL-Datenbank ist im Verzeichnis /users/local/mysql installiert../bin enthält alle Programme, die zur Administration der Datenbank nötig sind../var die Datenbankdateien werden in diesem Verzeichnis gespeichert../include Header-Dateien für Kompilierungen von Clients../lib Bibliotheken für Kompilierungen von Clients../info Zusatzinformationen zu MySQL. 3. Sicherheit Die Datenbank wird von Verizon Business betriebsfertig installiert und ohne Passwortschutz übergeben. Nach der Installation von MySQL werden keine Kennwörter gesetzt. Jeder Benutzer, der sich über TELNET oder SSH anmelden kann, ist auch in der Lage, auf die Datenbank zuzugreifen. Verizon Business konfiguriert drei Benutzer: www000 Benutzer für den Webserver zum Zugriff auf die Datenbank. root administrativer Account, wird für das Starten und Stoppen der Datenbank verwendet. www123 derselbe wie der TELNET- oder FTP-Hauptbenutzer. Aus Sicherheitsgründen sollte für die Benutzer www000 und www123 ein Kennwort eingerichtet werden. Es ist auch möglich, dass Kennwort für den root-benutzer zu ändern, in diesem Fall kann die Datenbank jedoch vor einem Neustart des Systems nicht auf saubere Art und Weise gestoppt werden. Mit dem Befehl mysqladmin (befindet sich in /users/local/mysql/bin/) lassen sich Kennwörter ändern: mysqladmin -u www000 password NEWPASSWORD Nach der Änderung muss der MySQL-Server die Zugriffstabellen neu laden. Der Befehl zum erneuten Laden der Tabellen lautet: mysqladmin reload 81

82 Die neuen Kennwörter sind nun aktiv. In der MySQL-Installation von Verizon Business ist die Netzwerkanbindung der Datenbank aus Sicherheitsgründen deaktiviert. Alle Transaktionen werden mit einem Unix-Socket im Dateisystem durchgeführt. Wenn eine Netzwerkanbindung nötig ist, also Datenbank-Updates und Transaktionen über das Netz vorgenommen werden wollen, so muss diese Option explizit freigeschaltet werden. Eine Zeile in der Datei /users/local/mysql/var/my.cnf muss in einen Kommentar umgewandelt werden. Hierfür muss ein # vor der Option skip-networking eingefügt werden: skip-networking ändern zu #skip-networking Nachdem dies geschehen ist, muss MySQL neu gestartet werden. Dies lässt sich durch ein Wechseln zu Runlevel 2 und anschließendes Zurückwechseln zu Runlevel 3 bewerkstelligen. Für diese Aufgabe muss der Befehl init 2; gefolgt vom Befehl init 3; ausgeführt werden. 4. Zugriff auf die Datenbank Bei der Datenbankinstallation wird auch gleich die Unterstützung für die gängigsten Zugriffsarten auf die Datenbank installiert. Die von Verizon Business bereitgestellte PHP-Version unterstützt die MySQL-Datenbank bereits. Die Perl-Module DBI und DBD::Mysql sowie alle Bibliotheken zum Schreiben von C/C++-Programmen werden zusammen mit der Datenbank installiert. Weiterhin besteht die Möglichkeit, ODBC und JDBC für die installierte MySQL-Version einzurichten. Dies muss vom Benutzer selbst durchgeführt werden. 5. Support Die Datenbankinstallation wird von Verizon Business vorgenommen. Zusätzlicher Support wird nicht garantiert. Falls sich mit der Standardinstallation Probleme ergeben, wird Verizon Business ohne Erfolgsgarantie versuchen, das Problem zu finden. 6. Weitere Informationen Näheres zu MySQL ist auf der folgenden Webseite und auf dem Server zu finden: Homepage von MySQL, der populärsten Open-Source-SQL-Datenbank. oder MySQL info file /users/local/mysql/info/mysql.info. 82

83 Client Konfiguration Konfiguration des -Programms 1. Allgemeine Beschreibung Um Mails über den Server zu verschicken (relayen) ist ein -Programm notwendig, der SMTP Authentifizierung und SSL beherscht. 2. Grundkonfiguration Die Grundkonfiguration wird am Beispiel von MS Outlook XP gezeigt. Bei anderen Programmen ist die Konfiguration nahezu identisch. Das Handbuch der Software sollte dazu die nötigen Angaben liefern. Anmerkung: In manchen Fällen können Virenscanner (z.b. Norton Antivirus) Probleme (inbesondere in Verbindung mit SSL) verursachen. Falls Probleme beim Versenden und/oder Empfangen von Mails auftreten sollten, deaktivieren Sie versuchsweise alle Virenscanner und Personal Firewalls und wiederholen Sie den Vorgang. Ein Update auf eine neuere Version der Software könnte das Problem auch lösen. Bitte wenden Sie sich dazu an den Hersteller Hinzufügen eines neuen Mail Kontos. Öffnen Sie Outlook und wählen Sie Accounts im Tools Menu. Add/Mail erzeugt ein neues Mail Konto. 83

84 POP3 als Type des Account auswählen. Next drücken um fortzufahren. 84

85 Eingabe der Grunddaten. 85

86 Das Passwort ist dem Datenblatt zu entnehmen! Das Address Feld benötigt eine reale -Adresse. Zum Beispiel: Anmerkung: webmaster ist ein alias für den realen Benutzer (z.b. www123) und daher keine reale Mail-Adresse. Next drücken um fortzufahren. Finish drücken um fortzufahren und den -Account anzulegen. Anmerkung:Der angelegte -Account ist in der Lage Mails zu empfangen aber nicht in der Lage Mails zu versenden SMTP AUTH Konfiguration. Wählen von Accounts im Tools Menu. 86

87 View or change existing accounts um ein -Account zu verändern. Next drücken um fortzufahren. Den zuvor erstelleten -Account auswählen und Change drücken. 87

88 Die Account Übersicht wird angezeigt. More Settings? drücken. 88

89 Die Internet Settings Dialog Box wird angezeigt. 89

90 Den Outgoing Server tab auswählen. My outgoing server (SMTP) requires authentication markieren. Log on using makieren und Username und Passwort eingeben. 90

91 Advanced tab wählen. This server requires a secure connection (SSL) für mindestens SMTP selektieren. 91

92 Hint: SSL ist ein muss um s versenden zu können und eine Möglichkeit für POP3. OK drücken um fortzufahren. Die Einstellungen können mit Test Account Settings? getestet werden. 92

93 3. Benutzen von SSL für ein and ausgehende Mails Self Signed SSL Zertificate Das SSL Zertifikat, das defaultmäßig installiert wird, ist ein sogenanntes selbstsigniertes Zertifikat (Self Signed Certificate). Ohne weitere Konfiguration erscheint bei jeder ersten Verbindung zum Server eine Warnung. Es besteht die Möglichkeit das Zertifikat für die aktuelle Sitzung zu akzeptieren oder das Zertifikat zu importieren. 93

.htaccess HOWTO. zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage

.htaccess HOWTO. zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage .htaccess HOWTO zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage Stand: 21.06.2015 Inhaltsverzeichnis 1. Vorwort...3 2. Verwendung...4 2.1 Allgemeines...4 2.1 Das Aussehen der.htaccess

Mehr

Apache HTTP-Server Teil 1

Apache HTTP-Server Teil 1 Apache HTTP-Server Teil 1 Zinching Dang 24. November 2014 1 Apache HTTP-Server Apache HTTP-Server allgemein offizielle Namensherkunft: Apachen-Stamm in Nordamerika wurde 1994 auf Basis des NCSA HTTPd-Webservers

Mehr

Verschlüsselung der Kommunikation zwischen Rechnern

Verschlüsselung der Kommunikation zwischen Rechnern Verschlüsselung der Kommunikation zwischen Rechnern Stand: 11. Mai 2007 Rechenzentrum Hochschule Harz Sandra Thielert Hochschule Harz Friedrichstr. 57 59 38855 Wernigerode 03943 / 659 0 Inhalt 1 Einleitung

Mehr

Apache HTTP-Server Teil 2

Apache HTTP-Server Teil 2 Apache HTTP-Server Teil 2 Zinching Dang 04. Juli 2014 1 Benutzer-Authentifizierung Benutzer-Authentifizierung ermöglicht es, den Zugriff auf die Webseite zu schützen Authentifizierung mit Benutzer und

Mehr

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Secure Socket Layer (SSL) Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Inhalt 1) Allgemeiner Überblick 2) Kurzer geschichtlicher Rückblick 3) Vorteile

Mehr

PKI (public key infrastructure)

PKI (public key infrastructure) PKI (public key infrastructure) am Fritz-Haber-Institut 11. Mai 2015, Bilder: Mehr Sicherheit durch PKI-Technologie, Network Training and Consulting Verschlüsselung allgemein Bei einer Übertragung von

Mehr

Collax Web Application

Collax Web Application Collax Web Application Howto In diesem Howto wird die Einrichtung des Collax Moduls Web Application auf einem Collax Platform Server anhand der LAMP Anwendung Joomla beschrieben. LAMP steht als Akronym

Mehr

Microsoft ISA Server 2006

Microsoft ISA Server 2006 Microsoft ISA Server 2006 Leitfaden für Installation, Einrichtung und Wartung ISBN 3-446-40963-7 Leseprobe Weitere Informationen oder Bestellungen unter http://www.hanser.de/3-446-40963-7 sowie im Buchhandel

Mehr

Secure Socket Layer v. 3.0

Secure Socket Layer v. 3.0 Konzepte von Betriebssystem-Komponenten Schwerpunkt Internetsicherheit Secure Socket Layer v. 3.0 (SSLv3) Zheng Yao 05.07.2004-1 - 1. Was ist SSL? SSL steht für Secure Socket Layer, ein Protokoll zur Übertragung

Mehr

Schwerpunkt Konfiguration.htaccess Version 2.2.x

Schwerpunkt Konfiguration.htaccess Version 2.2.x Apache Webserver Schwerpunkt Konfiguration.htaccess Version 2.2.x Mario Herold LINUX USER GROUP PEINE WWW.LUG- PEINE.ORG This work is licen sed u nd er the Creative Com m on s Attrib ution- - Sh arealike

Mehr

Installation Anleitung für JTheseus und MS SQL Server 2000

Installation Anleitung für JTheseus und MS SQL Server 2000 Installation Anleitung für JTheseus und MS SQL Server 2000 Inhaltsverzeichnis 1 Installation der Datenbank 3 1.1 Erstellen der Datenbank 3 1.2 Tabellen und Minimal Daten einlesen 4 1.3 Benutzer JTheseus

Mehr

Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis

Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis Anleitung E-Mail Konfiguration sowie Übersicht Mailprogramm roundcube Inhaltsverzeichnis Einführung... 2-3 Servereinstellungen für die Einrichtung auf dem E-Mail Client... 4 E-Mail Adresse / Postfach einrichten...

Mehr

estos XMPP Proxy 5.1.30.33611

estos XMPP Proxy 5.1.30.33611 estos XMPP Proxy 5.1.30.33611 1 Willkommen zum estos XMPP Proxy... 4 1.1 WAN Einstellungen... 4 1.2 LAN Einstellungen... 5 1.3 Konfiguration des Zertifikats... 6 1.4 Diagnose... 6 1.5 Proxy Dienst... 7

Mehr

Managed VPSv3 Was ist neu?

Managed VPSv3 Was ist neu? Managed VPSv3 Was ist neu? Copyright 2006 VERIO Europe Seite 1 1 EINFÜHRUNG 3 1.1 Inhalt 3 2 WAS IST NEU? 4 2.1 Speicherplatz 4 2.2 Betriebssystem 4 2.3 Dateisystem 4 2.4 Wichtige Services 5 2.5 Programme

Mehr

Secure Socket Layer (SSL) - Zertifikate

Secure Socket Layer (SSL) - Zertifikate e Einführung Zur Übertragung sensibler Daten über das Internet wurde das SSL-Protokoll entwickelt. SSL steht für Secure Socket Layer (dt. "sichere Sockelschicht") das von der Firma Netscape und RSA Data

Mehr

Server-Seite. Inhaltsverzeichnis. BackupPC

Server-Seite. Inhaltsverzeichnis. BackupPC Dieser Artikel ist Teil der HOWTO Sammlung Dieses Howto beschriebt die Konfiguration von BackupPC, einer Software die eine zentrale Erstellung und Verwaltung von Backups verschiedener Computer ermöglicht.

Mehr

MSXFORUM - Exchange Server 2003 > SSL Aktivierung für OWA 2003

MSXFORUM - Exchange Server 2003 > SSL Aktivierung für OWA 2003 Page 1 of 23 SSL Aktivierung für OWA 2003 Kategorie : Exchange Server 2003 Veröffentlicht von webmaster am 20.05.2005 Die Aktivierung von SSL, für Outlook Web Access 2003 (OWA), kann mit einem selbst ausgestellten

Mehr

Daten-Kommunikation mit crossinx

Daten-Kommunikation mit crossinx Daten-Kommunikation mit Datenübertragung.doc Seite 1 von 8 Inhaltsverzeichnis 1 Einführung... 3 1.1 Datenübertragung an... 3 1.2 Datenversand durch... 3 2 X.400... 4 3 AS2... 4 4 SFTP (mit fester Sender

Mehr

Datenempfang von crossinx

Datenempfang von crossinx Datenempfang von crossinx Datenempfang.doc Seite 1 von 6 Inhaltsverzeichnis 1 Einführung... 3 2 AS2... 3 3 SFTP... 3 4 FTP (via VPN)... 4 5 FTPS... 4 6 Email (ggf. verschlüsselt)... 5 7 Portalzugang über

Mehr

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL 1 TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL Kleine Auswahl bekannter Sicherheitsprotokolle X.509 Zertifikate / PKIX Standardisierte, häufig verwendete Datenstruktur zur Bindung von kryptographischen

Mehr

Single-Sign-On mit Kerberos V

Single-Sign-On mit Kerberos V Single-Sign-On mit Kerberos V Jörg Rödel 21. Oktober 2005 Jörg Rödel Was ist Single-Sign-On? oft nur verstanden als ein Nutzer/Passwort-Paar für alle Dienste eines Netzwerkes so wird es

Mehr

Erstellen sicherer ASP.NET- Anwendungen

Erstellen sicherer ASP.NET- Anwendungen Erstellen sicherer ASP.NET- Anwendungen Authentifizierung, Autorisierung und sichere Kommunikation Auf der Orientierungsseite finden Sie einen Ausgangspunkt und eine vollständige Übersicht zum Erstellen

Mehr

Parallels Plesk Panel. Firewall-Modul für Parallels Plesk Panel 10 für Linux/Unix. Administratorhandbuch

Parallels Plesk Panel. Firewall-Modul für Parallels Plesk Panel 10 für Linux/Unix. Administratorhandbuch Parallels Plesk Panel Firewall-Modul für Parallels Plesk Panel 10 für Linux/Unix Administratorhandbuch Copyright-Vermerk Parallels Holdings, Ltd. c/o Parallels International GmbH Vordergasse 59 CH-Schaffhausen

Mehr

Hinweise zu A-Plan 2009 SQL

Hinweise zu A-Plan 2009 SQL Hinweise zu A-Plan 2009 SQL Für Microsoft Windows Copyright Copyright 2008 BRainTool Software GmbH Inhalt INHALT 2 EINLEITUNG 3 WAS IST A-PLAN 2009 SQL? 3 WANN SOLLTE A-PLAN 2009 SQL EINGESETZT WERDEN?

Mehr

Protonet Server mit DynDNS-Adresse/Subdomain konfigurieren

Protonet Server mit DynDNS-Adresse/Subdomain konfigurieren Protonet Server mit DynDNS-Adresse/Subdomain konfigurieren Du möchtest, dass Dein Protonet Server unter einer eigenen Adresse erreichbar ist? In diesem Dokument wird im ersten Teil beschrieben, wie der

Mehr

Remote Tools SFTP. Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de

Remote Tools SFTP. Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de Proxy Remote Tools SFTP SSH X11 Port SCP christina.zeeh@studi.informatik.uni-stuttgart.de Inhalt Grundlagen SSH Remote-Login auf marvin Datentransfer Graphische Anwendungen Tunnel VPN SSH für Fortgeschrittene

Mehr

FTP HOWTO. zum Upload von Dateien auf Webserver. Stand: 01.01.2011

FTP HOWTO. zum Upload von Dateien auf Webserver. Stand: 01.01.2011 FTP HOWTO zum Upload von Dateien auf Webserver Stand: 01.01.2011 Copyright 2002 by manitu. Alle Rechte vorbehalten. Alle verwendeten Bezeichnungen dienen lediglich der Kennzeichnung und können z.t. eingetragene

Mehr

Motivation. Inhalt. URI-Schemata (1) URI-Schemata (2)

Motivation. Inhalt. URI-Schemata (1) URI-Schemata (2) 14. URIs Uniform Resource Identifier 14-1 14. URIs Uniform Resource Identifier 14-2 Motivation Das WWW ist ein Hypermedia System. Es enthält: Resourcen (Multimedia Dokumente) Verweise (Links) zwischen

Mehr

Seminarvortrag Secure NFS

Seminarvortrag Secure NFS Seminarvortrag Secure NFS Michael Stilkerich michael.stilkerich@informatik.stud.uni-erlangen.de am 12. Mai 2003 Einleitung Das Network File System ist ein sehr eleganter Weg, gemeinsam genutzte Dateisysteme

Mehr

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de

Remote Tools. SFTP Port X11. Proxy SSH SCP. christina.zeeh@studi.informatik.uni-stuttgart.de Remote Tools SSH SCP Proxy SFTP Port X11 christina.zeeh@studi.informatik.uni-stuttgart.de Grundlagen SSH Inhalt Remote-Login auf marvin Datentransfer Graphische Anwendungen Tunnel VPN SSH für Fortgeschrittene

Mehr

Publizieren von Webs mit SmartFTP

Publizieren von Webs mit SmartFTP Publizieren von Webs mit SmartFTP Informationen FTP steht für File Transfer Protocol. Ein Protokoll ist eine Sprache, die es Computern ermöglicht, miteinander zu kommunizieren. FTP ist das Standardprotokoll

Mehr

Denn es geht um ihr Geld:

Denn es geht um ihr Geld: Denn es geht um ihr Geld: [A]symmetrische Verschlüsselung, Hashing, Zertifikate, SSL/TLS Warum Verschlüsselung? Austausch sensibler Daten über das Netz: Adressen, Passwörter, Bankdaten, PINs,... Gefahr

Mehr

Aufsetzen Ihres HIN Abos

Aufsetzen Ihres HIN Abos Aufsetzen Ihres HIN Abos HIN Health Info Net AG Pflanzschulstrasse 3 8400 Winterthur Support 0848 830 740 Fax 052 235 02 72 support@hin.ch www.hin.ch HIN Health Info Net AG Grand-Rue 38 2034 Peseux Support

Mehr

Verteilte Systeme. Übung 10. Jens Müller-Iden

Verteilte Systeme. Übung 10. Jens Müller-Iden Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

Installation eines SSL Zertifikates unter Apache http Server 2.x

Installation eines SSL Zertifikates unter Apache http Server 2.x Installation eines SSL Zertifikates unter Apache http Server 2.x Inhaltsverzeichnis 1. Allgemeines... 1 2. Voraussetzungen... 1 3. Erstellen des Certificate Requests unter OpenSSL... 2 4. Senden des Requests

Mehr

Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen

Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen ewon - Technical Note Nr. 005 Version 1.3 Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen 08.08.2006/SI Übersicht: 1. Thema 2. Benötigte Komponenten

Mehr

E-Mail: BSCWMaster@dlz-it.de Tel.: +49 (3677) 669 2491 1. ALLGEMEINES ZU WEBDAV 1. 1.1 Vorteile 1. 1.2 Hinweise 2 2. WEBDAV MIT WINDOWS 7 3

E-Mail: BSCWMaster@dlz-it.de Tel.: +49 (3677) 669 2491 1. ALLGEMEINES ZU WEBDAV 1. 1.1 Vorteile 1. 1.2 Hinweise 2 2. WEBDAV MIT WINDOWS 7 3 WebDAV 1. ALLGEMEINES ZU WEBDAV 1 1.1 Vorteile 1 1.2 Hinweise 2 2. WEBDAV MIT WINDOWS 7 3 2.1 WebDAV Verbindung einrichten 3 2.1.1 1.Variante 3 2.1.2 2.Varainte 4 2.1.3 Netzwerkadresse hinzufügen 5 2.2

Mehr

SSH. Nun brauchen wir noch das passwd-file. Dieses erstellen wir mit folgendem Befehl: mkpasswd -k -u marco >>..\etc\passwd

SSH. Nun brauchen wir noch das passwd-file. Dieses erstellen wir mit folgendem Befehl: mkpasswd -k -u marco >>..\etc\passwd SSH 1 Grundlagen... 1 2 Authentifizierung... 1 3 Installation von OpenSSH for Windows... 1 3.1 Anmeldung mit Schlüsselpaar... 3 4 SSH-Tunnel... 4 4.1 Funktionsweise... 5 4.2 Remote-Desktop durch einen

Mehr

Domain Control System. [ Dokumentation und Hilfe ] Stand 10. 05. 2005

Domain Control System. [ Dokumentation und Hilfe ] Stand 10. 05. 2005 Domain Control System [ Dokumentation und Hilfe ] Stand 10. 05. 2005 Seite 1 von 9 Einfü hrung Das 4eins Domain Control System (DCS) stellt Ihnen verschiedene Dienste und Funktionen für die Konfiguration

Mehr

PLESK 7 FÜR WINDOWS INSTALLATIONSANLEITUNG

PLESK 7 FÜR WINDOWS INSTALLATIONSANLEITUNG PLESK 7 FÜR WINDOWS INSTALLATIONSANLEITUNG Copyright (C) 1999-2004 SWsoft, Inc. Alle Rechte vorbehalten. Die Verbreitung dieses Dokuments oder von Derivaten jeglicher Form ist verboten, ausgenommen Sie

Mehr

AixVerein 2.0 - Anleitung zur Einrichtung des

AixVerein 2.0 - Anleitung zur Einrichtung des Seite 1/6 AixVerein 2.0 - Anleitung zur Einrichtung des Datenbank-Servers und der Dokumentenablage Bei der vorliegenden Anwendung handelt es sich um eine Client-Server-Anwendung, d.h. die Software wird

Mehr

Programmiertechnik II

Programmiertechnik II X.509: Eine Einführung X.509 ITU-T-Standard: Information Technology Open Systems Interconnection The Directory: Public Key and attribute certificate frameworks Teil des OSI Directory Service (X.500) parallel

Mehr

MySQL Community Server 5.1 Installationsbeispiel

MySQL Community Server 5.1 Installationsbeispiel MySQL Community Server 5.1 Installationsbeispiel Dieses Dokument beschreibt das Herunterladen der Serversoftware, die Installation und Konfiguration der Software. Bevor mit der Migration der untermstrich-datenbank

Mehr

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors Installation und Konfiguration des Outlook Connectors Vertraulichkeit Die vorliegende Dokumentation beinhaltet vertrauliche Informationen und darf nicht an etwelche Konkurrenten der EveryWare AG weitergereicht

Mehr

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

Manuelle Installation des SQL Servers:

Manuelle Installation des SQL Servers: Manuelle Installation des SQL Servers: Die Installation des SQL Servers ist auf jedem Windows kompatiblen Computer ab Betriebssystem Windows 7 und.net Framework - Version 4.0 möglich. Die Installation

Mehr

Installation des Zertifikats am Beispiel eines Exchange-Mail-Servers. Voraussetzungen. Zertifikate importieren. Outlook-Webaccess

Installation des Zertifikats am Beispiel eines Exchange-Mail-Servers. Voraussetzungen. Zertifikate importieren. Outlook-Webaccess HS-Anhalt (FH) Fachbereich EMW Seite 1 von 6 Stand 04.02.2008 Installation des Zertifikats am Beispiel eines Exchange-Mail-Servers Bedingt durch die verschiedenen Transportprotokolle und Zugriffsmethoden

Mehr

BusinessMail X.400 Webinterface Mailbox V2.6

BusinessMail X.400 Webinterface Mailbox V2.6 V2.6 Benutzerinformation (1) In der Vergangenheit mussten Sie eine Sperre für Mitteilungen aus dem Internet bzw. die Freischaltung von definierten Partner über ein Formblatt bei der zentralen Administration

Mehr

Anleitung zur Aktualisierung

Anleitung zur Aktualisierung CONTREXX AKTUALISIERUNG 2010 COMVATION AG. Alle Rechte vorbehalten. Diese Dokumentation ist urheberrechtlich geschützt. Alle Rechte, auch die der Modifikation, der Übersetzung, des Nachdrucks und der Vervielfältigung,

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 1. Access Point im Personal Mode (WEP / WPA / WPA2) 1.1 Einleitung Im Folgenden wird die Konfiguration des Access Point Modus gezeigt. Zur Absicherung der Daten werden die verschiedenen Verschlüsselungsalgorithmen

Mehr

bnsyncservice Installation und Konfiguration bnnetserverdienst Voraussetzungen: KWP Informationssysteme GmbH Technische Dokumentation

bnsyncservice Installation und Konfiguration bnnetserverdienst Voraussetzungen: KWP Informationssysteme GmbH Technische Dokumentation bnsyncservice Voraussetzungen: Tobit DAVID Version 12, DVWIN32: 12.00a.4147, DVAPI: 12.00a.0363 Exchange Server (Microsoft Online Services) Grundsätzlich wird von Seiten KWP ausschließlich die CLOUD-Lösung

Mehr

Konfigurationsanleitung E-Mail Konfiguration unter Opera Mail 10.00. Konfigurationsanleitung E-Mail Konfiguration unter Opera Mail

Konfigurationsanleitung E-Mail Konfiguration unter Opera Mail 10.00. Konfigurationsanleitung E-Mail Konfiguration unter Opera Mail Konfigurationsanleitung E-Mail Konfiguration unter Opera Mail E-Mail Einstellungen für alle Programme Auf diesen Seiten finden Sie alle grundlegenden Informationen um Ihren Mailclient zu konfigurieren

Mehr

Anlage 3 Verfahrensbeschreibung

Anlage 3 Verfahrensbeschreibung Anlage 3 Verfahrensbeschreibung Stand September 2015 1 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 SYSTEMVORAUSSETZUNGEN... 3 2.1 Technische Voraussetzung beim Kunden... 3 2.2 Ausstattung des Clients... 3 3

Mehr

Pictomat. Embedded Machine Vision. Datenaustausch über FTP-Server IBN INGENIEURBÜRO BERND NEUMANN GMBH. Eichendorffstraße 23 D-47626 Kevelaer

Pictomat. Embedded Machine Vision. Datenaustausch über FTP-Server IBN INGENIEURBÜRO BERND NEUMANN GMBH. Eichendorffstraße 23 D-47626 Kevelaer Pictomat Embedded Machine Vision Datenaustausch über FTP-Server IBN INGENIEURBÜRO BERND NEUMANN GMBH Eichendorffstraße 23 D-47626 Kevelaer Tel. +49(0) 28 32 / 97 95 62 Fax +49(0) 28 32 / 97 95 63 Internet:

Mehr

Sichere Abwicklung von Geschäftsvorgängen im Internet

Sichere Abwicklung von Geschäftsvorgängen im Internet Sichere Abwicklung von Geschäftsvorgängen im Internet Diplomarbeit von Peter Hild Theoretische Grundlagen der Kryptologie Vorhandene Sicherheitskonzepte für das WWW Bewertung dieser Konzepte Simulation

Mehr

Microsoft System Center Data Protection Manager 2010 installieren & konfigurieren

Microsoft System Center Data Protection Manager 2010 installieren & konfigurieren Microsoft System Center Data Protection Manager 2010 installieren & konfigurieren Inhalt Data Protection Manager 2010 Installieren... 2 Große Festplatte für Backup s hinzufügen... 7 Client Agent installieren...

Mehr

TimePunch SQL Server Datenbank Setup

TimePunch SQL Server Datenbank Setup TimePunch TimePunch SQL Server Datenbank Setup Benutzerhandbuch 26.11.2013 TimePunch KG, Wormser Str. 37, 68642 Bürstadt Dokumenten Information: Dokumenten-Name Benutzerhandbuch, TimePunch SQL Server Datenbank

Mehr

Installationsleitfaden kabelsafe storage mit FileZilla Client Programm

Installationsleitfaden kabelsafe storage mit FileZilla Client Programm Installationsleitfaden kabelsafe storage mit FileZilla Client Programm Installationsanleitung kabelsafe storage unter Verwendung des kostenlos unter verschiedenen Betriebssystemplattformen (Windows, Apple

Mehr

Apache. O'REILLY Beijing Cambridge Farnham Köln Paris Sebastopol Taipei Tokyo. Das umfassende Handbuch. Ben Laurie und Peter Laurie 2.

Apache. O'REILLY Beijing Cambridge Farnham Köln Paris Sebastopol Taipei Tokyo. Das umfassende Handbuch. Ben Laurie und Peter Laurie 2. 2.AUFLAGE Apache Das umfassende Handbuch Ben Laurie und Peter Laurie Deutsche Übersetzung von Peter Klicman, Jochen Wiedmann & Jörgen W. Lang O'REILLY Beijing Cambridge Farnham Köln Paris Sebastopol Taipei

Mehr

Userhandbuch. Version B-1-0-2 M

Userhandbuch. Version B-1-0-2 M Userhandbuch Version B-1-0-2 M Inhaltsverzeichnis 1.0 Was bietet mir SERVRACK?... 3 1.1 Anmeldung... 3 1.2 Passwort vergessen?... 3 1.3 Einstellungen werden in Realtime übernommen... 4 2.0 Die SERVRACK

Mehr

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo.

Virtuelle Netze. Virtuelle Netze von Simon Knierim und Benjamin Skirlo 1 Von 10-16.04.07. Simon Knierim & Benjamin Skirlo. 1 Von 10-16.04.07 Virtuelle Netze Simon Knierim & Benjamin Skirlo für Herrn Herrman Schulzentrum Bremen Vegesack Berufliche Schulen für Metall- und Elektrotechnik 2 Von 10-16.04.07 Inhaltsverzeichnis Allgemeines...

Mehr

Zuweiserportal - Zertifikatsinstallation

Zuweiserportal - Zertifikatsinstallation Zuweiserportal - Zertifikatsinstallation Inhaltsverzeichnis 1. Installation des Clientzertifikats... 1 1.1 Windows Vista / 7 mit Internet Explorer 8... 1 1.1.1 Zertifikatsabruf vorbereiten... 1 1.1.2 Sicherheitseinstellungen

Mehr

FTP / WebDeploy / WebDAV. Handbuch

FTP / WebDeploy / WebDAV. Handbuch Handbuch August 2015, Copyright Webland AG 2015 Inhalt Einführung FTP WebDeploy WebDAV Anleitungen FTP Windows Mac WebDeploy Windows WebDAV Windows Mac Einführung FTP Haben Sie einen Zugang per FTP gewählt,

Mehr

Mobile Security Configurator

Mobile Security Configurator Mobile Security Configurator 970.149 V1.1 2013.06 de Bedienungsanleitung Mobile Security Configurator Inhaltsverzeichnis de 3 Inhaltsverzeichnis 1 Einführung 4 1.1 Merkmale 4 1.2 Installation 4 2 Allgemeine

Mehr

Vordefinierte Elemente (CI)

Vordefinierte Elemente (CI) 1 IIS Name 1.1 IIS Scans Scandatum, Direktes Bearbeiten der Metabasis ermöglichen, Version 1.1.1 Websites Name, Ausführberechtigung Dateien, Lesen, Nur Skripts ausführen, Skriptzugriff, Schreiben, Sicheren

Mehr

Bitte nutzen Sie Punkt 2 (Laden dieser Website fortsetzen), denn es besteht kein Sicherheitsproblem.

Bitte nutzen Sie Punkt 2 (Laden dieser Website fortsetzen), denn es besteht kein Sicherheitsproblem. Verehrte Besucher, liebe Lehrende und Lernende. Um eine höchstmöglichste Sicherheit von Daten und System zu gewährleisten, setzen wir ein sog. Sicherheitszertifikat (SSL, Secure Socket Layer) ein. Dabei

Mehr

Emailprogramm HOWTO. zum Einrichten von Emailkonten in Outlook Express, Netscape Messenger, Eudora Email und Pegasus Mail

Emailprogramm HOWTO. zum Einrichten von Emailkonten in Outlook Express, Netscape Messenger, Eudora Email und Pegasus Mail Emailprogramm HOWTO zum Einrichten von Emailkonten in Outlook Express, Netscape Messenger, Eudora Email und Pegasus Mail Copyright 2003 by manitu. Alle Rechte vorbehalten. Alle verwendeten Bezeichnung

Mehr

KONFIGURATION DES MOZILLA E-MAIL CLIENT

KONFIGURATION DES MOZILLA E-MAIL CLIENT KONFIGURATION DES MOZILLA E-MAIL CLIENT Copyright 2004 by 2 ways - media & design, Inh. Lars Plessmann, Paulinenstr. 12, D-70178 Stuttgart. http://www.2-ways.de Lars.Plessmann@2-ways.de Der Mozilla Email

Mehr

ViMP 3.0. SSL Einrichtung in Apache 2.2. Verfasser: ViMP GmbH

ViMP 3.0. SSL Einrichtung in Apache 2.2. Verfasser: ViMP GmbH ViMP 3.0 SSL Einrichtung in Apache 2.2 Verfasser: ViMP GmbH Inhaltsverzeichnis Voraussetzungen...3 Eigene Zertifikate mit OpenSSL erstellen...4 Selbst-signiertes Zertifikat erstellen...4 Zertifikat mit

Mehr

Konfigurationsanleitung E-Mail Konfiguration unter The Bat!

Konfigurationsanleitung E-Mail Konfiguration unter The Bat! Konfigurationsanleitung E-Mail Konfiguration unter The Bat! E-Mail Einstellungen für alle Programme Auf diesen Seiten finden Sie alle grundlegenden Informationen um Ihren Mailclient zu konfigurieren damit

Mehr

3-349-871-01 1/7.15. GMSTHostService. Bedienungsanleitung

3-349-871-01 1/7.15. GMSTHostService. Bedienungsanleitung 3-349-871-01 1/7.15 GMSTHostService Bedienungsanleitung Inhaltsverzeichnis 1. Registrierung... 3 Erste Registrierung... 3 2. GMSTHostService Basisinformationen... 8 3. Beispiel GMSTHostService Konfiguration....

Mehr

Secure Socket Layer V.3.0

Secure Socket Layer V.3.0 Konzepte von Betriebssystem-Komponenten Schwerpunkt Internetsicherheit Secure Socket Layer V.3.0 (SSLv3) Zheng Yao 05.07.2004 1 Überblick 1.Was ist SSL? Bestandteile von SSL-Protokoll, Verbindungherstellung

Mehr

Workshop SQL Server-Installation Installation des Microsoft SQL Server 2005 EXPRESS

Workshop SQL Server-Installation Installation des Microsoft SQL Server 2005 EXPRESS Herzlich willkommen zu den Workshops von Sage. In diesen kompakten Anleitungen möchten wir Ihnen Tipps, Tricks und zusätzliches Know-how zu Ihrer Software von Sage mit dem Ziel vermitteln, Ihre Software

Mehr

MAXDATA PrimeBackup Secure Client Kurzanleitung

MAXDATA PrimeBackup Secure Client Kurzanleitung MAXDATA PrimeBackup Secure Client Kurzanleitung Inhalt Inhalt... II 1. Einführung... 1 2. Die Installation... 2 3. Erster Start... 3 3.1. Kennwort ändern... 4 3.2. Sicherung löschen... 4 3.3. Konfigurations-Möglichkeiten...

Mehr

Konfigurationsanleitung E-Mail Konfiguration unter The Bat!

Konfigurationsanleitung E-Mail Konfiguration unter The Bat! Konfigurationsanleitung E-Mail Konfiguration unter The Bat! - 1 - - Inhaltsverzeichnis - E-Mail Einstellungen für alle Programme...3 Zugangsdaten...4 The Bat! Neues E-Mail Konto einrichten...5 The Bat!

Mehr

Attribut Kürzel Beispiele Bemerkungen Country Name C DE bitte Großbuchstaben State or Province Name ST Nordrhein-Westfalen

Attribut Kürzel Beispiele Bemerkungen Country Name C DE bitte Großbuchstaben State or Province Name ST Nordrhein-Westfalen Erzeugen eines externen Schlüssels außerhalb des Browsers für Nutzerzertifikate Sollten bei Ihnen Abhängigkeiten zwischen ihrem privaten Schlüsselteil und verwendeter Hardware und oder Software bestehen,

Mehr

Allgemeine Erläuterungen zu

Allgemeine Erläuterungen zu en zu persönliche Zertifikate Wurzelzertifikate Zertifikatssperrliste/Widerrufsliste (CRL) Public Key Infrastructure (PKI) Signierung und Verschlüsselung mit S/MIME 1. zum Thema Zertifikate Zertifikate

Mehr

Die Zertifikatdienste auswählen und mit weiter fortfahren. Den Hinweis mit JA bestätigen.

Die Zertifikatdienste auswählen und mit weiter fortfahren. Den Hinweis mit JA bestätigen. Installation und Konfiguration Zertifikatdienst (CA): Zuerst muss der Zertifikatsdienst auf einem Server installiert werden. Dies erfolgt über Start -> Einstellung -> Systemsteuerung -> Software -> Windowskomponenten

Mehr

Apache HTTP-Server Teil 1

Apache HTTP-Server Teil 1 Apache HTTP-Server Teil 1 Linux-Kurs der Unix-AG Zinching Dang 24. November 2014 Apache HTTP-Server allgemein offizielle Namensherkunft: Apachen-Stamm in Nordamerika wurde 1994 auf Basis des NCSA HTTPd-Webservers

Mehr

VPN mit INSYS-Routern OpenVPN-Server mit Authentifizierung über statischen Schlüssel konfigurieren. Konfigurations-Handbuch

VPN mit INSYS-Routern OpenVPN-Server mit Authentifizierung über statischen Schlüssel konfigurieren. Konfigurations-Handbuch VPN mit INSYS-Routern OpenVPN-Server mit Authentifizierung über statischen Schlüssel konfigurieren Konfigurations-Handbuch Pos: 1 /Datenkommunikation/Configuration Guide/=== ORGA - Module ===/1 Einführung:

Mehr

Collax Mailserver. Howto. Dieses Howto beschreibt die Einrichtung eines Collax Servers als Mailserver.

Collax Mailserver. Howto. Dieses Howto beschreibt die Einrichtung eines Collax Servers als Mailserver. Collax Mailserver Howto Dieses Howto beschreibt die Einrichtung eines Collax Servers als Mailserver. Vorraussetzungen Collax Business Server Collax Groupware Suite Collax Platform Server inkl. Collax Modul

Mehr

Copyrights. Rev. 2009-04-21-1. 1997-2009 O&O Software GmbH Am Borsigturm 48 13507 Berlin Germany. http://www.oo-software.com.

Copyrights. Rev. 2009-04-21-1. 1997-2009 O&O Software GmbH Am Borsigturm 48 13507 Berlin Germany. http://www.oo-software.com. O&O DiskImage Copyrights Text, Abbildungen und Beispiele wurden mit größter Sorgfalt erstellt. Der Herausgeber übernimmt für fehlerhafte Angaben und deren Folgen weder eine juristische noch irgendeine

Mehr

Jagemann Consult we make IT

Jagemann Consult we make IT Jagemann Consult we make IT Um eine höchstmöglichste Sicherheit von Daten und System zu gewährleisten, setzen wir in Kürze im E-Learningportal ein Sicherheitszertifikat (SSL, Secure Socket Layer) ein.

Mehr

A-Plan 2010 SQL. Hinweise zur SQL-Version von A-Plan. Copyright. Warenzeichenhinweise

A-Plan 2010 SQL. Hinweise zur SQL-Version von A-Plan. Copyright. Warenzeichenhinweise A-Plan 2010 SQL Hinweise zur SQL-Version von A-Plan Copyright Copyright 1996-2010 braintool software gmbh Kein Teil dieses Handbuches darf ohne ausdrückliche Genehmigung von braintool software gmbh auf

Mehr

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse

SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Fakultät Informatik Institut für Systemarchitektur Professur für Rechnernetze SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Versuchsvorgaben (Aufgabenstellung) Der neu zu gestaltende Versuch

Mehr

Step by Step Webserver unter Windows Server 2003. von Christian Bartl

Step by Step Webserver unter Windows Server 2003. von Christian Bartl Step by Step Webserver unter Windows Server 2003 von Webserver unter Windows Server 2003 Um den WWW-Server-Dienst IIS (Internet Information Service) zu nutzen muss dieser zunächst installiert werden (wird

Mehr

VPN zum Miniserver mit Openvpn auf iphone/ipad und Synology NAS

VPN zum Miniserver mit Openvpn auf iphone/ipad und Synology NAS VPN zum Miniserver mit Openvpn auf iphone/ipad und Synology NAS Um den Zugriff auf den Miniserver aus dem Internet sicherer zu gestalten bietet sich eine VPN Verbindung an. Der Zugriff per https und Browser

Mehr

Bitte beachten Sie beim Update einer Client / Server Version die Checkliste zum Update

Bitte beachten Sie beim Update einer Client / Server Version die Checkliste zum Update Hinweise zum Update Es gibt verschiedene Möglichkeiten ein pixafe System zu aktualisieren, die vorliegenden Hinweise helfen dabei neue Versionen zu finden und diese zu installieren. Dabei werden verschiedene

Mehr

SSL-Protokoll und Internet-Sicherheit

SSL-Protokoll und Internet-Sicherheit SSL-Protokoll und Internet-Sicherheit Christina Bräutigam Universität Dortmund 5. Dezember 2005 Übersicht 1 Einleitung 2 Allgemeines zu SSL 3 Einbindung in TCP/IP 4 SSL 3.0-Sicherheitsschicht über TCP

Mehr

Modul 123. E-Mail und FTP. Unit 6. E-Mail (pop / smtp), FTP (activ/passive Mode) FTP-Server mit Microsofts IIS

Modul 123. E-Mail und FTP. Unit 6. E-Mail (pop / smtp), FTP (activ/passive Mode) FTP-Server mit Microsofts IIS Modul 123 Unit 6 (V1.1) E-Mail und FTP Zielsetzung: E-Mail (pop / smtp), FTP (activ/passive Mode) FTP-Server mit Microsofts IIS Technische Berufschule Zürich IT Seite 1 Grundlagen : Das Store-and-Forward

Mehr

Installation KVV Webservices

Installation KVV Webservices Installation KVV Webservices Voraussetzung: KVV SQL-Version ist installiert und konfiguriert. Eine Beschreibung dazu finden Sie unter http://www.assekura.info/kvv-sql-installation.pdf Seite 1 von 20 Inhaltsverzeichnis

Mehr

NetVoip Installationsanleitung für SNOM 320

NetVoip Installationsanleitung für SNOM 320 NetVoip Installationsanleitung für SNOM 320 Einrichten eines SNOM 320 für NETVOIP 1 Erste Inbetriebnahme...3 1.1 Auspacken und Einrichten, Einstecken der Kabel...3 1.2 IP-Adresse des SNOMs herausfinden...3

Mehr

ProfiWeb Konfigurationsanleitung. ProfiWeb. Konfigurationsanleitung. Seite 1

ProfiWeb Konfigurationsanleitung. ProfiWeb. Konfigurationsanleitung. Seite 1 ProfiWeb Konfigurationsanleitung Seite 1 Inhalt Inhalt...2 Vorwort...3 Allgemeines...4 Veröffentlichen Ihrer Webseiten...5 Veröffentlichen mittels FTP...5 FlashFXP...6 Microsoft Internet Explorer...6 WS_FTP...7

Mehr

Sichere Kommunikation mit Outlook 98 ohne Zusatzsoftware

Sichere Kommunikation mit Outlook 98 ohne Zusatzsoftware Sichere Kommunikation mit Outlook 98 ohne Zusatzsoftware Das E-Mail-Programm Outlook 98 von Microsoft bietet Ihnen durch die Standard- Integration des E-Mail-Protokolls S/MIME (Secure/MIME) die Möglichkeit,

Mehr

Senden von strukturierten Berichten über das SFTP Häufig gestellte Fragen

Senden von strukturierten Berichten über das SFTP Häufig gestellte Fragen Senden von strukturierten Berichten über das SFTP Häufig gestellte Fragen 1 Allgemeines Was versteht man unter SFTP? Die Abkürzung SFTP steht für SSH File Transfer Protocol oder Secure File Transfer Protocol.

Mehr

Skyfillers Online Backup. Kundenhandbuch

Skyfillers Online Backup. Kundenhandbuch Skyfillers Online Backup Kundenhandbuch Kundenhandbuch Inhalt Einrichtung... 2 Installation... 2 Software herunterladen... 2 Installation unter Windows... 2 Installation unter Mac OS X... 3 Anmelden...

Mehr

TimeMachine. Installation und Konfiguration. Version 1.4. Stand 21.11.2013. Dokument: install.odt. Berger EDV Service Tulbeckstr.

TimeMachine. Installation und Konfiguration. Version 1.4. Stand 21.11.2013. Dokument: install.odt. Berger EDV Service Tulbeckstr. Installation und Konfiguration Version 1.4 Stand 21.11.2013 TimeMachine Dokument: install.odt Berger EDV Service Tulbeckstr. 33 80339 München Fon +49 89 13945642 Mail rb@bergertime.de Versionsangaben Autor

Mehr

Steganos Secure E-Mail Schritt für Schritt-Anleitung EINLEITUNG SCHRITT 1: INSTALLATION

Steganos Secure E-Mail Schritt für Schritt-Anleitung EINLEITUNG SCHRITT 1: INSTALLATION Steganos Secure E-Mail Schritt für Schritt-Anleitung EINLEITUNG Obwohl inzwischen immer mehr PC-Nutzer wissen, dass eine E-Mail so leicht mitzulesen ist wie eine Postkarte, wird die elektronische Post

Mehr