Bevor ihr diese Zeilen in eueren server Teil euerer nginx Konfiguration ergänzt, stellt sicher bereits ein SSL Zertifikat zu haben und den Pfad dorthin anzupassen. Darüber hinaus solltet ihr auch einen Diffie-Hellmann Key erzeugen und den Pfad dorthin ebenfalls anzupassen.

Einen Diffie-Hellmann Key wird mit folgendem Befehl erzeugt (kann sehr lange dauern):
> cd /etc/ssl/private

> openssl dhparam -out dhparams.pem 2048

> chmod 600 dhparams.pem

Habt ihr nun ein SSL Zertifikat und einen eigene DH Key, so stellt nochmals sicher die Pfade in folgendem Snippet anzupassen – dann könnt ihr es in euerer nginx Server Directive einsetzen:

listen 443 ssl http2;
ssl    on;
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
ssl_ciphers 'ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4';
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_certificate    /etc/letsencrypt/live/hilfreiche-server.tips/fullchain.pem;
ssl_certificate_key    /etc/letsencrypt/live/hilfreiche-server.tips/privkey.pem;

Zuerst konfigurieren wir die Datei /etc/hosts entsprechend unseren Anforderungen.

127.0.0.1 localhost.localdomain localhost
192.168.15.77 prox4m1.proxmox.com prox4m1 pvelocalhost

# The following lines are desirable for IPv6 capable hosts
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

Testen können wir die Einstellungen mit

hostname --ip-address

Der Befehl sollte die IP zurückgeben.

Nun fügen wir das Proxmox Repo unserer Source List hinzu:

echo "deb http://download.proxmox.com/debian/pve stretch pve-no-subscription" > /etc/apt/sources.list.d/pve-install-repo.list

Und dann noch den Key für das Repo

wget http://download.proxmox.com/debian/proxmox-ve-release-5.x.gpg -O /etc/apt/trusted.gpg.d/proxmox-ve-release-5.x.gpg

Paketliste aktualisieren und Upgrades einspielen

apt update && apt dist-upgrade

Proxmox installieren

apt install proxmox-ve

Proxmox Webinterface aufrufen

Abschließend können wir das Webinterface mit einem Browser unserer Wahl aufrufen und uns mit dem root Benutzer anmelden:

https://192.168.15.77:8006

Die Konfiguration des Netzwerkes erkläre ich hier.

Diese Anleitung funktioniert sowohl für die Desktop Variante des Firefox, als auch für die Android Version.

Wichtig: Wir setzen keinen eigenen Auth Server auf, sondern verwenden den offiziellen von Firefox. Es ist außerdem wichtig im Firefox zuerst den eigenen Sync Server zu konfigurieren und sich erst danach mit dem Firefox Konto anzumelden. Nur wenn man sich an diese Reihenfolge hält, wird der eigene Syncserver verwendet.

Vorraussetzungen

Unser Server braucht nur wenige Abhängigkeiten. Diese installieren wir zuerst:

apt install python-dev git-core python-virtualenv g++

Installation des Firefox Sync Server

Der Syncserver ist in einem Git Repository abgelegt. Um diesen zu clonen wechseln wir in das /opt/ Verzeichnis:

cd /opt
git clone https://github.com/mozilla-services/syncserver
cd syncserver

Und builden das ganze

make build

Grundlegende Konfiguration

Nun stellen wir die wichtigsten Einstellungen ein. Dazu bearbeiten wir die syncserver.ini. „public_url“ist die URL unter der der Syncserver von extern erreichbar sein wird:

 [syncserver]
 public_url = http://localhost:5000/
 

Der Syncserver hält in der Standardeinstellung alle Daten nur im Arbeitsspeicher. Nach einem Neustart wären diese also weg. Um hier sqlite oder MySQL zu verwenden, kann mein eine der folgenden Zeilen nutzen:

[syncserver]
sqluri = sqlite:////path/to/database/file.db

oder 
sqluri = pymysql://username:password@db.example.com/sync

Nun müssen wir dem Server noch erlauben neue Benutzer anzunehmen:
 allow_new_users = true

Den Server starten

Den Server kann man einfach mit folgendem Befehl starten.

make serve

Damit läuft der Server jedoch nur solange das Terminalfenster geöffnet ist. Um den Server auch weiterhin laufen zu lassen nutzen wir das Programm „screen“

apt install screen

Und starten den Server damit

screen -dmS firefoxSyncServer make serve

Mit „screen -r“ kann man sich nun in das virtuelle Terminal verbinden und mit STRG+D trennen.

Optimierungen

Auch wenn der Sync Server so bereits arbeiten würde, empfiehlt es sich diesen hinter einem Apache oder nginx Webserver zu betreiben, da der integrierte Webserver nicht der Beste ist. Um das zu realisieren habe ich mich für nginx und gunicorn entschieden.

nginx installieren

apt install nginx

gunicorn installieren

cd /opt/syncserver

local/bin/easy_install gunicorn

nginx Konfiguration

server {
 listen 443 ssl;
 server_name sync.example.com;

ssl_certificate /path/to/your.crt;
 ssl_certificate_key /path/to/your.key;

location / {
 proxy_set_header Host $http_host;
 proxy_set_header X-Forwarded-Proto $scheme;
 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
 proxy_set_header X-Real-IP $remote_addr;
 proxy_redirect off;
 proxy_read_timeout 120;
 proxy_connect_timeout 10;
 proxy_pass http://127.0.0.1:5000/;
 }
 }

Damit ist der Firefox Sync Server erreichbar.

Firefox konfigurieren

Im Firefox müssen wir nun noch in der Adresszeile „about:config“ eingeben und dort nach dem Feld „identity.sync.tokenserver.uri“ suchen. Den Wert ändern wir auf unseren neuen Server ab:

http://sync.example.com/token/1.0/sync/1.5

Nun nutzt Firefox unseren eigenen Sync Server. Erst jetzt dürfen wir uns mit unserem Firefox Konto im Browser anmelden. Sollten wir bereits angemeldet sein, müssen wir uns ab- und wieder anmelden.

Es würde sich nun noch empfehlen den nginx Webserver und damit die Kommunikation zwischen Firefox und Sync Server mit einem SSL Zertifikat zu verschlüsseln.

Weitere Einstellungsmöglichkeiten und mehr Informationen findet man in der öffentlichen Dokumentation.

Offizielles MySQL Archiv hinzufügen

echo ‚deb http://repo.mysql.com/apt/debian/ jessie mysql-5.7‘ > /etc/apt/sources.list.d/mysql.list

Sicherstellen das APT per HTTPS kommunizieren kann

apt–get install apt–transport–https

Archiv Schlüssel importieren

apt–key adv —keyserver pgp.mit.edu —recv–keys 5072E1F5

Apt aktualisieren

apt-get update

MySQL 5.7 installieren

apt–get install mysql–community–client mysql–community–server

• PHP scheint zur Abfrage von Systemumgebungsvariablen nicht richtig eingerichtet zu sein. Der Test mit getenv („PATH“) liefert nur eine leere Antwort zurück.
  Bitte die Installationsdokumentation auf Hinweise zur PHP-Konfiguration durchlesen, sowie die PHP-Konfiguration Ihres Servers überprüfen, insbesondere dann, wenn PHP-FPM eingesetzt wird.

In unserem Beispiel setzen wir PHP7 als FPM Modul ein. Daher müssen wir in der Datei /etc/php/7.0/fpm/pool.d/www.conf folgende Zeilen auskommentieren (den Strichpunkt am Zeilenanfang entfernen)

env[HOSTNAME] = $HOSTNAME
env[PATH] = /usr/local/bin:/usr/bin:/bin
env[TMP] = /tmp
env[TMPDIR] = /tmp
env[TEMP] = /tmp

Abschließend starten wir PHP7-FPM neu

/etc/init.d/php7.0-fpm reload

• Der „X-XSS-Protection“-HTTP-Header ist nicht so konfiguriert, dass er „1; mode=block“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
• Der „X-Content-Type-Options“-HTTP-Header ist nicht so konfiguriert, dass er „nosniff“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
• Der „X-Robots-Tag“-HTTP-Header ist nicht so konfiguriert, dass er „none“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
• Der „X-Frame-Options“-HTTP-Header ist nicht so konfiguriert, dass er „SAMEORIGIN“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
• Der „X-Download-Options“-HTTP-Header ist nicht so konfiguriert, dass er „noopen“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
• Der „X-Permitted-Cross-Domain-Policies“-HTTP-Header ist nicht so konfiguriert, dass er „none“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.

Beheben lässt sich das sehr leicht. Verwendet man nginx muss man lediglich in die nginx v-host Konfiguration ein paar Zeilen ergänzen. Die Datei findet man im Normalfall unter /etc/nginx/sites-enabled/default

Hinzugefügt werden muss innerhalb des Serverblocks folgendes

add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload;";
add_header X-Content-Type-Options nosniff;
add_header X-XSS-Protection "1; mode=block";
add_header X-Robots-Tag none;
add_header X-Download-Options "noopen";
add_header X-Permitted-Cross-Domain-Policies none;
add_header Referrer-Policy no-referrer;

Abschließend den Server neustarten

/etc/init.d/nginx restart


Um die Farben für die Bash zu aktivieren, muss lediglich folgender Inhalt in die Datei **.bashrc** im Userhome Verzeichnis kopiert werden:

# If not running interactively, don't do anything
case $- in
    *i*) ;;
      *) return;;
esac

# don't put duplicate lines or lines starting with space in the history.
# See bash(1) for more options
HISTCONTROL=ignoreboth

# append to the history file, don't overwrite it
shopt -s histappend

# for setting history length see HISTSIZE and HISTFILESIZE in bash(1)
HISTFILESIZE=99999999
HISTSIZE=99999999

# check the window size after each command and, if necessary,
# update the values of LINES and COLUMNS.
shopt -s checkwinsize

# If set, the pattern "**" used in a pathname expansion context will
# match all files and zero or more directories and subdirectories.
#shopt -s globstar

# make less more friendly for non-text input files, see lesspipe(1)
#[ -x /usr/bin/lesspipe ] && eval "$(SHELL=/bin/sh lesspipe)"

# set variable identifying the chroot you work in (used in the prompt below)
if [ -z "${debian_chroot:-}" ] && [ -r /etc/debian_chroot ]; then
    debian_chroot=$(cat /etc/debian_chroot)
fi

# set a fancy prompt (non-color, unless we know we "want" color)
case "$TERM" in
    xterm-color) color_prompt=yes;;
esac

# uncomment for a colored prompt, if the terminal has the capability; turned
# off by default to not distract the user: the focus in a terminal window
# should be on the output of commands, not on the prompt
force_color_prompt=yes

if [ -n "$force_color_prompt" ]; then
    if [ -x /usr/bin/tput ] && tput setaf 1 >&/dev/null; then
        # We have color support; assume it's compliant with Ecma-48
        # (ISO/IEC-6429). (Lack of such support is extremely rare, and such
        # a case would tend to support setf rather than setaf.)
        color_prompt=yes
    else
        color_prompt=
    fi
fi

if [ "$color_prompt" = yes ]; then
    PS1='${debian_chroot:+($debian_chroot)}\[\033[01;31m\]\u\[\033[01;33m\]@\[\033[01;36m\]\h \[\033[01;33m\]\w \[\033[01;35m\]\$ \[\033[00m\]'
else
    PS1='${debian_chroot:+($debian_chroot)}\u@\h:\w\$ '
fi
unset color_prompt force_color_prompt

# If this is an xterm set the title to user@host:dir
case "$TERM" in
xterm*|rxvt*)
    PS1="\[\e]0;${debian_chroot:+($debian_chroot)}\u@\h: \w\a\]$PS1"
    ;;
*)
    ;;
esac

# enable color support of ls and also add handy aliases
if [ -x /usr/bin/dircolors ]; then
    test -r ~/.dircolors && eval "$(dircolors -b ~/.dircolors)" || eval "$(dircolors -b)"
    alias ls='ls --color=auto'
    #alias dir='dir --color=auto'
    #alias vdir='vdir --color=auto'

    #alias grep='grep --color=auto'
    #alias fgrep='fgrep --color=auto'
    #alias egrep='egrep --color=auto'
fi

# colored GCC warnings and errors
#export GCC_COLORS='error=01;31:warning=01;35:note=01;36:caret=01;32:locus=01:quote=01'

# some more ls aliases
#alias ll='ls -l'
#alias la='ls -A'
#alias l='ls -CF'

# Alias definitions.
# You may want to put all your additions into a separate file like
# ~/.bash_aliases, instead of adding them here directly.
# See /usr/share/doc/bash-doc/examples in the bash-doc package.

if [ -f ~/.bash_aliases ]; then
    . ~/.bash_aliases
fi

# enable programmable completion features (you don't need to enable
# this, if it's already enabled in /etc/bash.bashrc and /etc/profile
# sources /etc/bash.bashrc).
if ! shopt -oq posix; then
  if [ -f /usr/share/bash-completion/bash_completion ]; then
    . /usr/share/bash-completion/bash_completion
  elif [ -f /etc/bash_completion ]; then
    . /etc/bash_completion
  fi
fi

Das ganze wird dann noch aktiviert:

. .bashrc

Da ich schon länger Proxmox 3.4 einsetze und damit sehr zufrieden bin, juckt es mich natürlich in den Fingern mal das neue Proxmox 4.2 auszuprobieren. Ich habe dafür einen ungenutzten Server von Hetzner verwendet, grundsätzlich sollte die Installation aber auch mit anderen Servern funktionieren.

Ausgangssituation ist ein frisch aufgesetztes Debian 8.

Proxmox wird per apt-get installiert, dafür müssen wir jedoch erst die source.list um das entsprechende Repository erweitern:

vi /etc/apt/sources.list

Folgende Zeile müssen wir hinzufügen

deb http://download.proxmox.com/debian jessie pve-no-subscription

Nun noch den Key importieren

wget -O- "http://download.proxmox.com/debian/key.asc" | apt-key add -

Und das System auf den neusten Stand aktualisieren

apt-get update
apt-get upgrade
apt-get dist-upgrade

**Jetzt können wir mit der eigentlichen Installation von Proxmox 4.2 beginnen**

apt-get install pve-firmware pve-kernel-4.4.10-1-pve pve-headers-4.4.10-1-pve

Ist die Installation der Pakete abgeschlossen starten wir den Server neu

reboot

Und prüfen dass auch wirklich der Proxmox Kernel geladen wurde:

uname -r

Dieser Befehl sollte eine ähnliche Ausgabe bringen wie „4.2.6-1-pve“, wichtig ist dabei das „-pve“ zum Schluss.
Der Proxmox Kernel ist nun installiert, als nächstes installieren wir das Proxmox Virtual Environment:

apt-get install proxmox-ve

Auch danach müssen wir den Server neustarten

reboot

Damit ist Proxmox grundsätzlich erstmal installiert, nun gilt es jedoch noch das Netzwerk zu konfigurieren. Zuerst müssen wir das IP Forwarding aktivieren:

sysctl -w net.ipv4.ip_forward=1
sysctl -w net.ipv6.conf.all.forwarding=1

Dann passen wir die Datei /etc/network/interfaces wie folgt an:

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
        address  >ServerIp< netmask 255.255.255.224 gateway >Gateway< pointopoint >Gateway< iface eth0 inet6 static address >ServerIpv6< netmask 128 gateway >GatewayIpv6< up sysctl -p auto vmbr1 iface vmbr1 inet static address >ServerIp< netmask 255.255.255.255 bridge_ports none bridge_stp off bridge_fd 0 pre-up brctl addbr virbr1 up ip route add >Zusätzliche IP (VM-IP)< /32 dev vmbr1 down ip route del >Zusätzliche IP (VM-IP)< /32 dev vmbr1

Die nötigen Daten für ServerIp, GatewayIp sowie ServerIpv6 und GatewayIpv6 werden euch im Robot von Hetzner angezeigt, teilweise verstecken sich die Infos hinter einem Mouseover-Effekt.
Für die zukünftigen virtuellen Maschinen müsst ihr seperate IPs bei Hetzner bestellen und diese dann wie angegeben in die Konfiguration aufnehmen.

Startet den Server neu und ihr könnt nun über HTTPS und Port 8006 die WebGUI aufrufen

https://serverip:8006

Die WebGUI wurde um einiges moderner gestaltet, funktioniert im Grunde jedoch noch wie vorher. Lediglich beim Erstellen eines Containers muss man nun die IP Adresse mit der „../32“ Schreibweise zu ordnen: