wget -O speedtest-cli https://raw.githubusercontent.com/sivel/speedtest-cli/master/speedtest.py
chmod +x speedtest-cli
./speedtest-cli

Bevor ihr diese Zeilen in eueren server Teil euerer nginx Konfiguration ergänzt, stellt sicher bereits ein SSL Zertifikat zu haben und den Pfad dorthin anzupassen. Darüber hinaus solltet ihr auch einen Diffie-Hellmann Key erzeugen und den Pfad dorthin ebenfalls anzupassen.

Einen Diffie-Hellmann Key wird mit folgendem Befehl erzeugt (kann sehr lange dauern):
> cd /etc/ssl/private

> openssl dhparam -out dhparams.pem 2048

> chmod 600 dhparams.pem

Habt ihr nun ein SSL Zertifikat und einen eigene DH Key, so stellt nochmals sicher die Pfade in folgendem Snippet anzupassen – dann könnt ihr es in euerer nginx Server Directive einsetzen:

listen 443 ssl http2;
ssl    on;
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
ssl_ciphers 'ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4';
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_certificate    /etc/letsencrypt/live/hilfreiche-server.tips/fullchain.pem;
ssl_certificate_key    /etc/letsencrypt/live/hilfreiche-server.tips/privkey.pem;

Zuerst konfigurieren wir die Datei /etc/hosts entsprechend unseren Anforderungen.

127.0.0.1 localhost.localdomain localhost
192.168.15.77 prox4m1.proxmox.com prox4m1 pvelocalhost

# The following lines are desirable for IPv6 capable hosts
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

Testen können wir die Einstellungen mit

hostname --ip-address

Der Befehl sollte die IP zurückgeben.

Nun fügen wir das Proxmox Repo unserer Source List hinzu:

echo "deb http://download.proxmox.com/debian/pve stretch pve-no-subscription" > /etc/apt/sources.list.d/pve-install-repo.list

Und dann noch den Key für das Repo

wget http://download.proxmox.com/debian/proxmox-ve-release-5.x.gpg -O /etc/apt/trusted.gpg.d/proxmox-ve-release-5.x.gpg

Paketliste aktualisieren und Upgrades einspielen

apt update && apt dist-upgrade

Proxmox installieren

apt install proxmox-ve

Proxmox Webinterface aufrufen

Abschließend können wir das Webinterface mit einem Browser unserer Wahl aufrufen und uns mit dem root Benutzer anmelden:

https://192.168.15.77:8006

Die Konfiguration des Netzwerkes erkläre ich hier.

Was genau ist Mailcow?

Mailcow ist eine Opensource Sammlung von Softwarepaketen (Dovecot, ClamAV, Memcached, Redis, MySQL, Unbound, PHP-FPM, Postfix, Lets Encrypt, Nginx, Rmilter, Rspamd, SOGo, Fail2ban) die zusammen mit dem mailcow UI einen sehr gut funktionierenden Mailserver darstellen. Der Entwickler nutzt diese Software selbst um damit einen Mailhosting anzubieten, was sicherlich mit ein Grund ist warum die Software an vielen Stellen wirklich praktisch und praxisnah umgesetzt wurde.

Nur noch per Docker

Seit einigen Monaten wird von mailcow nur noch als Docker Variante angeboten und weiterentwickelt.

In wenigen Minuten installiert

Dank den Installationsskript des Entwicklers ist Mailcow in weniger als 5 Minuten installiert. Jedoch muss vorher sichergestellt sein dass keine andere Mailsoftware auf dem System vorhanden ist.

Wir beginnen mit der Installation von Docker

curl -sSL https://get.docker.com/ | sh

und Docker-Compose

curl -L https://github.com/docker/compose/releases/download/$(curl -Ls https://www.servercow.de/docker-compose/latest.php)/docker-compose-$(uname -s)-$(uname -m) > /usr/local/bin/docker-compose

chmod +x /usr/local/bin/docker-compose

Als nächstes klonen wir das Mailcow Git Repo (Ich navigiere dazu immer nach /opt)

git clone https://github.com/mailcow/mailcow-dockerized && cd mailcow-dockerized

Nun noch die Konfiguration anpassen

./generate_config.sh

Und dann können wir auch schon die Docker Images pullen

docker-compose pull

Und das System starten

docker-compose up -d

Mailcow UI ist nun per HTTPS erreichbar. Für weitere Einstellungen (davon gibt es zahlreiche) empfiehlt es sich die sehr gute Doku zu lesen.

Außerdem sollte man bereits die aktuellste Version von Proxmox 4.4 installiert haben. Das machen wir mit:

apt-get update && apt-get dist-upgrade

Als zweites aktualisieren wir die Repository Listen auf Debian Stretch

sed -i ’s/jessie/stretch/g‘ /etc/apt/sources.list

Und machen das gleiche auch mit dem Proxmox Repo

sed -i ’s/jessie/stretch/g‘ /etc/apt/sources.list.d/pve-enterprise.list

An dieser Stelle empfiehlt der Hersteller alle Backport Repos zu entfernen, da Proxmox damit noch nicht getestet wurde. Ich hatte keine Backports, daher entfiel der Schritt für mich.

Update durchführen

Zunächst müssen wir die gerade geänderten Repos neu auslesen:

apt-get update

Nun stoßen wir das eigentliche Update auf Debian Stretch und Proxmox 5.0 an:

apt-get dist-upgrade

Auf meinem Server mit SSD dauerte der Vorgang knapp 5 Minuten, kann ohne SSD jedoch auch deutlich länger dauern. Während der Installation wird man hin und wieder gefragt ob man geänderte Konfugurationsdateien überschreiben will. Dies sollte man pro Datei immer einzeln abwägen – im Endeffekt habe ich während der gesamten Installation jedoch immer die alten Konfigurationen behalten.

Abschließend starten wir das System neu. Proxmox 5.0 ist jetzt einsatzbereit. Als erstes sollte man die virtuellen Maschinen wieder starten.

Offizielles MySQL Archiv hinzufügen

echo ‚deb http://repo.mysql.com/apt/debian/ jessie mysql-5.7‘ > /etc/apt/sources.list.d/mysql.list

Sicherstellen das APT per HTTPS kommunizieren kann

apt–get install apt–transport–https

Archiv Schlüssel importieren

apt–key adv —keyserver pgp.mit.edu —recv–keys 5072E1F5

Apt aktualisieren

apt-get update

MySQL 5.7 installieren

apt–get install mysql–community–client mysql–community–server

Als erstes müssen wir die Paketquelle hinzufügen, dazu erweitern wir die Datei /etc/apt/sources.list um folgende Zeile:

deb http://packages.x2go.org/debian jessie main

 

Nun aktualisieren wir unsere Paketlisten

apt-get update

Und installieren den nötigen Key

apt-get install x2go-keyring && apt-get update

Jetzt kann der eigentliche Server installiert werden

sudo apt-get install x2goserver x2goserver-xsession

Die Installation des x2go Servers ist damit auch schon fertig.

Nun brauchen wir noch eine GUI. Ich habe mich für MATE entschieden:

sudo apt-get install mate-desktop-environment-extras

Um auf die GUI zugreifen zu brauchen wir einen Benutzer mit Shell Zugriff. Auch das geht recht einfach mit

adduser <benutzername>

Nun können wir uns den x2go Client installieren (gibt es für Linux, Windows, Mac und sogar den Raspberry Pi) und uns an unserem Server anmelden.

• PHP scheint zur Abfrage von Systemumgebungsvariablen nicht richtig eingerichtet zu sein. Der Test mit getenv („PATH“) liefert nur eine leere Antwort zurück.
  Bitte die Installationsdokumentation auf Hinweise zur PHP-Konfiguration durchlesen, sowie die PHP-Konfiguration Ihres Servers überprüfen, insbesondere dann, wenn PHP-FPM eingesetzt wird.

In unserem Beispiel setzen wir PHP7 als FPM Modul ein. Daher müssen wir in der Datei /etc/php/7.0/fpm/pool.d/www.conf folgende Zeilen auskommentieren (den Strichpunkt am Zeilenanfang entfernen)

env[HOSTNAME] = $HOSTNAME
env[PATH] = /usr/local/bin:/usr/bin:/bin
env[TMP] = /tmp
env[TMPDIR] = /tmp
env[TEMP] = /tmp

Abschließend starten wir PHP7-FPM neu

/etc/init.d/php7.0-fpm reload

• Der „X-XSS-Protection“-HTTP-Header ist nicht so konfiguriert, dass er „1; mode=block“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
• Der „X-Content-Type-Options“-HTTP-Header ist nicht so konfiguriert, dass er „nosniff“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
• Der „X-Robots-Tag“-HTTP-Header ist nicht so konfiguriert, dass er „none“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
• Der „X-Frame-Options“-HTTP-Header ist nicht so konfiguriert, dass er „SAMEORIGIN“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
• Der „X-Download-Options“-HTTP-Header ist nicht so konfiguriert, dass er „noopen“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
• Der „X-Permitted-Cross-Domain-Policies“-HTTP-Header ist nicht so konfiguriert, dass er „none“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.

Beheben lässt sich das sehr leicht. Verwendet man nginx muss man lediglich in die nginx v-host Konfiguration ein paar Zeilen ergänzen. Die Datei findet man im Normalfall unter /etc/nginx/sites-enabled/default

Hinzugefügt werden muss innerhalb des Serverblocks folgendes

add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload;";
add_header X-Content-Type-Options nosniff;
add_header X-XSS-Protection "1; mode=block";
add_header X-Robots-Tag none;
add_header X-Download-Options "noopen";
add_header X-Permitted-Cross-Domain-Policies none;
add_header Referrer-Policy no-referrer;

Abschließend den Server neustarten

/etc/init.d/nginx restart

Um ein Update durchzuführen genügt es

apt-get update

und

apt-get upgrade

durchzuführen.

Bei mir läuft die Proxmox Installation so nun schon seit einigen Tagen stabil.