Zur allgemeinen Information - Stand Ende April 2020
Der Webtropia dedicated XEN Server-Host (die DOM 0) läuft bei uns unter opensuse 42.3 mit X11 und iceWM (für den virt-manager und yast2), weil das bislang ziemlich problemlos funktioniert.
Und jetzt werden die Gäste (die "DOM U"s) - einer nach dem anderen - installiert.
(1) Bislang läuft auch dort die Version 42.3 problemlos. (die 15.1 war damals noch nicht reif.)
(2) Die Version 15.0 (der Vorläufer der Version 42.3) sowohl als "DOM 0" als auch "DOM U" hatte Macken und ist ausgelassen.
(3) Die Version 15.1 als "DOM U" funktioniert, muß aber bei der Gast Installation explizit in der opensuse "Repo URL-Zeile" eingetragen/korrigiert werden, weil die 42.3 diese Version noch nicht kennt.
.
Eine neue Firewall unter opensuse 15.1
Weiterhin ist die neue Firewalld jetzt anders als bei 42.3 (und früher) und bringt einige Verständnisprobleme mit sich. Da genügend Plattenplatz heute fast nichts mehr kostet, sollte man auch die "DOM Us" mit X11 und icewm ausstatten. Dann bedient sich die Firewall über VNC im Virt-Manager deutlich übesichtlicher und damit besser.
https://firewalld.org/documentation/utilities/firewall-config.html
.
"public" - Neu ist die einfache Konfiguration zum Absichern des Gastes gegen Kriminelle. Alle erlaubten Anfragen von draußen werden in "public" eingetragen, auch der abweichende wichtige SSH Port (nicht mehr Port 22, sondern etwas ganz Anderes oberhalb Port 50.000)
.
"drop" - Im Bereich "drop" werden alle die Services eingetragen, die überhaupt nicht mehr auf Anfagen antworten sollen, die sich nach draußen "tot" stellen.
.
Im Vorgriff auf die Anwendungsprogramme DNS und Mail
Wir brauchen unbedingt webmin" für die Mailserververwaltung
Empfehlung :
zypper -n install openssl openssl-devel perl-Net-SSLeay perl-Crypt-SSLeay perl-Authen-PAM
Antwort:
No update candidate for 'perl-Net-SSLeay-1.81-lp151.2.4.x86_64'. The highest available version is already installed.
jetzt webmin holen
wget https://download.webmin.com/devel/rpm/webmin-1.921-1.noarch.rpm
rpm -ivh webmin-1.921-1.noarch.rpm
findet er nicht - aktuelle Version (April 2020) sei : Webmin Version 1.941.
also webmin-1.942-1.noarch.rpm
wget https://download.webmin.com/devel/rpm/webmin-1.942-1.noarch.rpm
das fuktioniert noch ...
rpm -ivh webmin-1.942-1.noarch.rpm - zeigt Fehler
da fehlt noch etwas ...........
zypper install perl-Encode-Detect - zeigt Fehler
- zu wenig RAM, also mindestens 1GB einstellen
dann ...............
rpm -ivh webmin-1.942-1.noarch.rpm
Webmin install complete. You can now login to
https://weptropia-...........-MAIL:10000/
.
Wir brauchen jetzt die Serverprogramme sendmail und dovecot
"sendmail" ist auf dem Mail-Server der MTA (der Transporteur für Mails von Draußen und nach Draußen). "sendmail" hat keine eigene Bedienoberfläche, nicht auf dem Mail-Server und auch nicht als Web-Interface. Dazu ist es einfach zu alt. Doch es ist irre robust und leistungsfähig (wenn es mal läuft). Die Bedien- Oberfläche von "sendmail" ist im Verwaltungswerkzeug "Webmin" ganz gut gelöst.
.
"dovecot" ist ebenfalls eines der unsichtbaren Server-Programme, die einen entfernten Mail-Client (wie den Thunderbird auf einem Windows PC) in die Postfächer mit den angekommenen Mails schaun lassen. Es ist quasi die Brücke zu den Postfächern. Die Mails selbst sehen Sie dann im Client.
Auch dovecot wird über webmin so leidlich konfiguriert. Und in webmin ist ein rudimentärer Mail-Clinet eingebaut. Der ist bei weitem nicht so komfortabel wie ein Thunderbird, aber extrem hilfreich, wenn die Anbindung mit dem PC nicht klappt.
Es fehlen überall die Prüfprogramme für den Fall, daß nichts so richtig geht, die sich der Server-Admin mühsam zusammen suchen muß.
.
Das aktuelle sendmail 8.15.2 V10/Berleley Programm
Bei der Installation von opensuse wird fast immer das Programm "postfix" mit installiert. Über "zypper install sendmail" holen wir uns diesen MTA und löschen über yast die postfix Programme. Sicher quälen sich einige Admins mit postfix ab, da ist mir persönlich sendmail mit webmin als Oberfläche lieber - aber das ist Geschmackssache.
"sendmail" kommuniziert mit anderen Mailservern raus und rein über den Port 25. Der muß also in der Firewall offen gehalten werden. Mail von einem externen Mail-Client nimmt Sendmail über andere Ports wie den 465 und den 587 an.
.
Der "sendmail" MTA muß gesagt bekommen, welche Mail er überhaupt annehmen darf oder soll, als die Zonen-Namen, die wir für die Mailadressen verfügbar machen. Bei uns sind das nur rde.net und ipw.net. Es können aber durchaus hunderte von Zonen sein.
Weiterhin bekommt der MTA gesagt, welche Mailadressen innerhalb dieser Zonen Mails empfangen wollen. Alles außerhalb dieser virtuellen Adressen und der Zonen wird "abgeschmettert".
Sowohl die Kommunikation mit anderen Server von Server zu Server wird inzwischen verschlüsselt wie auch die von einem entfernen Client an den MTA zu versendenden Mails. Dazu wurden neue Port-Nummern benannt, die man kennen sollte. Das kommt weiter unten beim Port-Prüfen.
.
Das aktuelle "dovecot" Mail-Abhol-Programm
Dovecot arbeitet nur in eine Richtung und ermöglicht einem externen Mail-Client, in die Postfächer auf dem Mailserver rein zu schaun. Wir wollen ganz gezielt keine Mails auf irgendeinem Server irgendwo in der Welt belassen, also kommt bei uns nur das sogeannnte POP3 Protokoll Infrage. Diese alte "Post-Office Protokoll Version 3" erlaubt (fast) nur das Reinschaun in die Postfächer und dann das Abholen und Löschen oder Leeren der Inhalte von Postfächern.
Früher wurden alle Mails im Klartext über die Leitung (oder die Luft) transportiert. Das ist heute nicht mehr gewünscht. Der Abhol-Mailverkehr wird verschlüsselt. Dazu wird der Mail-Server über vor vielen jahren neu festgelegte Ports angesprochen.
.
Die Firewall auf dem (Mail-) Server soll schützen
Darum ist (auf so gut wie jedem Server) erstmal alles Löchrige verboten. Also von Draußen soll keiner reinkommen können. Das geht natürlich nicht, denn der Server muß Mails von anderen Servern empfangen können und auch die zu sendenden Mails von den Mail-Clients annehmen.
Es müssen also "mindestens" 2 Ports von Draußen offen sein. Es sind aber mehr, weil da mal ein Verwirrspiel sowie Veränderungen im Gange waren.
Wie prüfe ich das ?
Hier eine Liste von Ports, die Mail-Verkehr betreffen.
.
- 25/tcp open smtp - von Server zu Server
- 80/tcp open http
- 110/tcp open pop3
- 143/tcp open imap - will ich nicht
- 465/tcp open smtps
- 587/tcp open submission
- 993/tcp open imaps - will ich nicht
- 995/tcp open pop3s - den brauche ich
.
Diese Zeilen sind erstmal nur geparkt
das hier in jeder VM installieren
spice.......
Man kann aus dem sogenannten DOS Fenster unter Windows (der Eigabeaufforderung) jeden Port abfragen.
Das telnet Programm liefert zumindest ene Antwort, wender Port sich rührt.
Beispiel:
telnet mail4.ipw.net 25