BE:IT/Protokoll/2010-03-30

Aus Piratenwiki Mirror
Zur Navigation springen Zur Suche springen

Übernommen aus: http://piratenpad.de/it-treffen-2010-03-30

IT Treffen

(oder vielleicht doch Bundesparteitagsvorbereitung???)

Anwesend: GA, Bischof, Jbe, mpd, rka, christopher


Lagebericht zum Server von Pavel: Debian ist installiert (V 5.0), LAMP vorinstalliert. Webmin ist installiert (das hat der Teufel gemacht!!). "Robot": Trafficanalyse, Restart, Booten eines Rescue-Systems. Das Ding steht da und läuft.

Empfehlung Bischof: Neuinstallation eines Debian-Minimalsystems. Martin: Xen-Installation ist auch nicht wesentlich aufwendiger als debian minimal.

"Es geht vor allem darum, schonmal einen Anfang über Ostern zu gewährleisten und die dringendsten Vorarbeiten zu verteilen."

  • Stand Serveranmietung/Zusammenlegung der Hetzner-Accounts
    • noch keine Rückmeldung von hetzner, ich ruf morgen mal an, und geb nochmal nen status
  • Einrichtung V-Server (Xen, Hetznerhardware, 4 IPs)
  • Zonendelegation berlin.piratenpartei.de
    • Klärung, ob hetzner eine delegierte Subdomain verwalten kann, wenn die SLD nicht bei hetzner verwaltet wird ("zonendelegation") - alternativ hidden primary DNS, an dem Hetzner sich bedient?
      • Anfrage wurde von Bischof an den Hetzner-Support geschickt.
  • Konzept Verteilung Dienste - VM
  • Konzept Zugriff und Verantwortung
  • Einrichtung Web-Server
  • Einrichtung Blog (fRED oder Dave sollten wegen Design auch befragt werden)
  • Einrichtung BerlinPad
  • Einrichtung Wiki-Dump
  • Mailingliste berlin-it@lists.piratenpartei.de wurde von Bischof beantragt (Ticket #2010033010003308).


Priorisierung Dienste

1= Sehr wichtig
2= Wichtig
3= Später

ENTWURF

externe Dienste
1 Blog
1 http://www.online-spendensysteme.de/download/
1 Onlinemitgliedsantrag
2 Piratenpad auf Domain piratenzettel.de (sehr ressourcenintensiv - insb. RAM)
3 Receiving Mailserver für berlin.piratenpartei.de
3 Ticketsystem
3 Heartbeat (Piratenfreifunk)
interne Dienste
1 SMTP
1 Logging
2 Accounting (OpenID, ...) - http://piratepad.net/openid-berlin
2 DNS
1 Monitoring (Nagios)

Tagesordnung

1 Virtualisierung

Pavel: Eher gegen Virtualisierung. Flo: Sicherheitsbedenken, wenn keine Virtualisierung stattfindet. Alex: Es ist nicht die Frage, *ob* virtualisiert wird, sondern *wie*. Jbe: Weist auf höhere Komplexität des Systems durch Virtualisierung hin, daher auch größere Gefahr von Fehlern. rka: Müssen unbedingt *alle* Dienste auf diesem Server laufen, oder kann man bestimmte Dienste, die keine sensiblen Daten verarbeiten, weiter outsourcen? Alex: Hält Outsourcing für "markenbeschädigend". Jbe: Bei Verzicht auf Virtualisierung konsequent getrennte Hardware notwendig. Pavel: Systembetrieb in unsicherer VM erzeugt auch Vertrauensschaden. Jede VM muß "dicht" sein. VMs verleiten eher zum Schludern. Update von mehreren Systemen nötig. Performance-Overhead. Plattenplatz-Probleme. Hat eher Bedenken. Wenns nicht gebraucht wird, sollte mans lassen. Flo: Möchte nicht openoffice/ImageMagick und Bankdaten in einem Server laufen haben. Wenn mehr Dienste und Admins dazukommen (Crews), brauchen wir Virtualisierung. GA: Praktische Administration ... Pavel: Fehlt positive Erfahrung mit VMs. Pavel: "Virtualisierung ist kein Sicherheitskonzept!" Jbe: Versuch, den Server mit Virtualisierung aufzusetzen. Zusammen mit Flo und AK47. Zeitverlust hinnehmen. Nach dem Test nochmal komplett plattmachen. Wird allgemein befürwortet.

Robot-Passwort: Pavel gibts an Flo. Dann wird rumgespielt.

RAM-Test wird durchgeführt.

Hetzner Xen 5.5 Anleitung: http://wiki.hetzner.de/index.php/Xenserver_5.5:_Automatische_Installation,_sw_raid1,_lokale_ISO_library

2 Wer administriert welche Dienste?

externe Dienste

Blog - Martin/Alex http://www.online-spendensysteme.de/download/ Onlinemitgliedsantrag (Pavel) Piratenpad auf Domain piratenzettel.de (sehr ressourcenintensiv - insb. RAM) - GA Receiving Mailserver für berlin.piratenpartei.de - N.N. Ticketsystem - Wenn RT: GA/Bischof Heartbeat (Piratenfreifunk) - Alex/Robin

interne Dienste

SMTP Logging Accounting (OpenID, ...) - http://piratepad.net/openid-berlin - BundesIT ist da was am Planen dran. Michael Vogel (icarus@dabo.de) ist Ansprechpartner. Abwarten ist da wohl angezeigt. DNS Monitoring Backup-Konzept - GA (Grundidee von jbe: Gegenseitiges Nutzung der Backup-Spaces mit verschlüsselten Backups) Repository f. Config-Daten Redmine

3 Wer supportet welche Dienste?

Pavel: ist nicht nötig, da die Dienste, die wir bereitstellen, nicht ausfallen werden.

Bundesnagios soll verwendet werden.


Monitoring

  • Benachrichtigungsart Jabber/E-Mail/SMS/Elektroschock
  • Dienstabhängig oder über CRON - smtp
  • Welche Dienste sollen überwacht werden?
  1. Erreichbarkeit des Systems
  2. SSH (kommt man als Admin noch auf die Maschine)
  3. Sind die neuesten Sicherheitsupdates eingespielt?
  4. Festplattenplatz
  5. Raid in Ordnung
  6. CPU Auslastung
  7. Last auf dem System

Martin:

  • Mit Xen gibt es einen schönen Client für den VM-Pool
  • Nagios sollte tun was da steht.
  • Traffic auf dem WebServer mit AW-Stats?

Beim anbieten von Maildiensten

  1. POP3(s) verfügbar
  2. IMAP(s) verfügbar
  3. SMTP(s) verfügbar
  4. Selbst in einer Blacklist gelandet?
  5. Virenscanner aktiv?
  6. Liegen noch Mails in der Mailqueue?
  7. Spamfilter?
  8. Backups?
  • Welche Dienste kann man überwachen?
  • Welche Tools gibt es hierfür?
  1. Nagios
  2. munin
  • Wo sollen die Monitoringtools laufen?

Backups

verschlüsselte inkremementelle über keys geholt...dezentrale Resourcen bei Piraten.

disaster recovery procedures

Servername

Wir haben uns nach vorschlag von Benutzer:Alxhh auf Darkstar geeinigt.

Blog-Log

  1. Admin Bischof erteilt Martin Delius am 29.03.2010 nach Vorstandsbeschluss Adminrechte auf dem wordpress von berlin.piratenpartei.de
  2. Aktualisierung aller Plugins auf den neuesten Stand
  3. Ändern der Blogmailadresse auf vorstand@berlin.piratenpartei.de (ehem. generalsekretaer@...)
  4. Neusetzen des PW für den Benutzer 'admin' (nur mir selbst bekannt)
  5. Ändern der email für Benutzer 'admin' auf vorstand@... (ehem. generalsekretaer@...)
  6. Benutzer: rka -> Rolle 'administrator'
  7. Benutzer: pavel -> Rolle 'administrator'
  8. deaktiviert: Plugin Identi.ca Tools - falsche Accountdaten; Rollen unklar
  9. deaktiviert: Plugin WordPress.com Stats - kein wordpress.com API-Code
  10. approve comments - waren im spam gelandet
  11. widget: search eingefügt - navigation erleichtern