BE:IT/Protokoll/2010-03-30
Übernommen aus: http://piratenpad.de/it-treffen-2010-03-30
Inhaltsverzeichnis
IT Treffen
(oder vielleicht doch Bundesparteitagsvorbereitung???)
Anwesend: GA, Bischof, Jbe, mpd, rka, christopher
Lagebericht zum Server von Pavel: Debian ist installiert (V 5.0), LAMP vorinstalliert.
Webmin ist installiert (das hat der Teufel gemacht!!).
"Robot": Trafficanalyse, Restart, Booten eines Rescue-Systems.
Das Ding steht da und läuft.
Empfehlung Bischof: Neuinstallation eines Debian-Minimalsystems. Martin: Xen-Installation ist auch nicht wesentlich aufwendiger als debian minimal.
"Es geht vor allem darum, schonmal einen Anfang über Ostern zu gewährleisten und die dringendsten Vorarbeiten zu verteilen."
- Stand Serveranmietung/Zusammenlegung der Hetzner-Accounts
- noch keine Rückmeldung von hetzner, ich ruf morgen mal an, und geb nochmal nen status
- Einrichtung V-Server (Xen, Hetznerhardware, 4 IPs)
- Zonendelegation berlin.piratenpartei.de
- Klärung, ob hetzner eine delegierte Subdomain verwalten kann, wenn die SLD nicht bei hetzner verwaltet wird ("zonendelegation") - alternativ hidden primary DNS, an dem Hetzner sich bedient?
- Anfrage wurde von Bischof an den Hetzner-Support geschickt.
- Klärung, ob hetzner eine delegierte Subdomain verwalten kann, wenn die SLD nicht bei hetzner verwaltet wird ("zonendelegation") - alternativ hidden primary DNS, an dem Hetzner sich bedient?
- Konzept Verteilung Dienste - VM
- Konzept Zugriff und Verantwortung
- Einrichtung Web-Server
- Einrichtung Blog (fRED oder Dave sollten wegen Design auch befragt werden)
- Einrichtung BerlinPad
- Einrichtung Wiki-Dump
- Mailingliste berlin-it@lists.piratenpartei.de wurde von Bischof beantragt (Ticket #2010033010003308).
Priorisierung Dienste
- 1= Sehr wichtig
- 2= Wichtig
- 3= Später
ENTWURF
- externe Dienste
- 1 Blog
- 1 http://www.online-spendensysteme.de/download/
- 1 Onlinemitgliedsantrag
- 2 Piratenpad auf Domain piratenzettel.de (sehr ressourcenintensiv - insb. RAM)
- 3 Receiving Mailserver für berlin.piratenpartei.de
- 3 Ticketsystem
- 3 Heartbeat (Piratenfreifunk)
- interne Dienste
- 1 SMTP
- 1 Logging
- 2 Accounting (OpenID, ...) - http://piratepad.net/openid-berlin
- 2 DNS
- 1 Monitoring (Nagios)
Tagesordnung
1 Virtualisierung
Pavel: Eher gegen Virtualisierung. Flo: Sicherheitsbedenken, wenn keine Virtualisierung stattfindet. Alex: Es ist nicht die Frage, *ob* virtualisiert wird, sondern *wie*. Jbe: Weist auf höhere Komplexität des Systems durch Virtualisierung hin, daher auch größere Gefahr von Fehlern. rka: Müssen unbedingt *alle* Dienste auf diesem Server laufen, oder kann man bestimmte Dienste, die keine sensiblen Daten verarbeiten, weiter outsourcen? Alex: Hält Outsourcing für "markenbeschädigend". Jbe: Bei Verzicht auf Virtualisierung konsequent getrennte Hardware notwendig. Pavel: Systembetrieb in unsicherer VM erzeugt auch Vertrauensschaden. Jede VM muß "dicht" sein. VMs verleiten eher zum Schludern. Update von mehreren Systemen nötig. Performance-Overhead. Plattenplatz-Probleme. Hat eher Bedenken. Wenns nicht gebraucht wird, sollte mans lassen. Flo: Möchte nicht openoffice/ImageMagick und Bankdaten in einem Server laufen haben. Wenn mehr Dienste und Admins dazukommen (Crews), brauchen wir Virtualisierung. GA: Praktische Administration ... Pavel: Fehlt positive Erfahrung mit VMs. Pavel: "Virtualisierung ist kein Sicherheitskonzept!" Jbe: Versuch, den Server mit Virtualisierung aufzusetzen. Zusammen mit Flo und AK47. Zeitverlust hinnehmen. Nach dem Test nochmal komplett plattmachen. Wird allgemein befürwortet.
Robot-Passwort: Pavel gibts an Flo. Dann wird rumgespielt.
RAM-Test wird durchgeführt.
Hetzner Xen 5.5 Anleitung: http://wiki.hetzner.de/index.php/Xenserver_5.5:_Automatische_Installation,_sw_raid1,_lokale_ISO_library
2 Wer administriert welche Dienste?
externe Dienste
Blog - Martin/Alex http://www.online-spendensysteme.de/download/ Onlinemitgliedsantrag (Pavel) Piratenpad auf Domain piratenzettel.de (sehr ressourcenintensiv - insb. RAM) - GA Receiving Mailserver für berlin.piratenpartei.de - N.N. Ticketsystem - Wenn RT: GA/Bischof Heartbeat (Piratenfreifunk) - Alex/Robin
interne Dienste
SMTP Logging Accounting (OpenID, ...) - http://piratepad.net/openid-berlin - BundesIT ist da was am Planen dran. Michael Vogel (icarus@dabo.de) ist Ansprechpartner. Abwarten ist da wohl angezeigt. DNS Monitoring Backup-Konzept - GA (Grundidee von jbe: Gegenseitiges Nutzung der Backup-Spaces mit verschlüsselten Backups) Repository f. Config-Daten Redmine
3 Wer supportet welche Dienste?
Pavel: ist nicht nötig, da die Dienste, die wir bereitstellen, nicht ausfallen werden.
Bundesnagios soll verwendet werden.
Monitoring
- Benachrichtigungsart Jabber/E-Mail/SMS/Elektroschock
- Dienstabhängig oder über CRON - smtp
- Welche Dienste sollen überwacht werden?
- Erreichbarkeit des Systems
- SSH (kommt man als Admin noch auf die Maschine)
- Sind die neuesten Sicherheitsupdates eingespielt?
- Festplattenplatz
- Raid in Ordnung
- CPU Auslastung
- Last auf dem System
Martin:
- Mit Xen gibt es einen schönen Client für den VM-Pool
- Nagios sollte tun was da steht.
- Traffic auf dem WebServer mit AW-Stats?
Beim anbieten von Maildiensten
- POP3(s) verfügbar
- IMAP(s) verfügbar
- SMTP(s) verfügbar
- Selbst in einer Blacklist gelandet?
- Virenscanner aktiv?
- Liegen noch Mails in der Mailqueue?
- Spamfilter?
- Backups?
- Welche Dienste kann man überwachen?
- Welche Tools gibt es hierfür?
- Nagios
- munin
- Wo sollen die Monitoringtools laufen?
Backups
verschlüsselte inkremementelle über keys geholt...dezentrale Resourcen bei Piraten.
disaster recovery procedures
Servername
Wir haben uns nach vorschlag von Benutzer:Alxhh auf Darkstar geeinigt.
Blog-Log
- Admin Bischof erteilt Martin Delius am 29.03.2010 nach Vorstandsbeschluss Adminrechte auf dem wordpress von berlin.piratenpartei.de
- Aktualisierung aller Plugins auf den neuesten Stand
- Ändern der Blogmailadresse auf vorstand@berlin.piratenpartei.de (ehem. generalsekretaer@...)
- Neusetzen des PW für den Benutzer 'admin' (nur mir selbst bekannt)
- Ändern der email für Benutzer 'admin' auf vorstand@... (ehem. generalsekretaer@...)
- Benutzer: rka -> Rolle 'administrator'
- Benutzer: pavel -> Rolle 'administrator'
- deaktiviert: Plugin Identi.ca Tools - falsche Accountdaten; Rollen unklar
- deaktiviert: Plugin WordPress.com Stats - kein wordpress.com API-Code
- approve comments - waren im spam gelandet
- widget: search eingefügt - navigation erleichtern