re:oyd (7): Dynamisches DNS@Pogoplug v2

Damit unsere Server bei wechselnder IP-Adresse (aufgrund der 24h Zwangstrennung) von außen erreichbar bleibt, bietet es sich an, einen Anbieter von DDNS Services zu nutzen. Der wohl bekannteste, DynDNS bietet leider keine kostenlosen Accounts mehr an. Es gibt aber Alternativen, etwa DNSdynamic. Glück hat, wer einen Router sein eigen nennt, der mit entsprechenden kostenlosen Anbietern zusammenarbeitet. Mein Netgear DGND3800B kennt leider bisher nur DynDNS. Eine Anfrage beim Support stellt zwar in Aussicht, dass ein zukünftiges Firmeware-Update weitere Anbieter hinzufügen wird, aber bis dahin muss Abhilfe geschaffen werden. Da der pogoplug als Server ja sowieso den ganzen Tag läuft, kann er auch gleich die IP-Adresse bei DNSdynamic auf dem aktuellen Stand halten. Dafür brauchen wir nur ein Account, ein bisschen bash-Programmierung und eine cron-job.

  1. Als erstes richten wir unseren Account bei DNSdynamic ein: Accoutname: „MEIN@ACCOUNT.DE“, Passwort: „PASSWORT“, URL: „royd.dnsd.me“ – ist doch gut zu merken ;-)
  2. Eine Datei myDNSdynamic.ip ohne Inhalt und eine Datei updateIP.sh mit folgendem Inhalt im Verzeichnis „/usr/sbin“ erstellen:
    #!/bin/sh
    FILE="/usr/sbin/myDNSdynamic.ip"; #DATEI IN DER DIE JEWEILS LETZTE IP GESPEICHERT WIRD
    MYOLDIP=`head -n 1 $FILE`;
    MYIP=$(wget -O - -q icanhazip.com); #AKTUELLE IP ABRUFEN
    if [ "$MYIP" != "$MYOLDIP" ]  #WENN SICH IP GEÄNDERT HAT, BEI DNSDYNAMIC AKTUALISIEREN
            then
            echo $MYIP > $FILE; 
            URL="https://www.dnsdynamic.org/api/?hostname=royd.dnsd.me&myip="${MYIP};
            wget -O - -q --user MEIN@ACCOUNT.DE --password PASSWORT $URL;
    fi 
    
  3. Die gerade erstellte Datei ausführbar machen:
    chmod +x /usr/sbin/updateIP.sh
  4. Und jetzt noch einen cron-job erstellen, der die Datei alle 5 Minuten aufruft:
    crontab -e

    Folgenden Inhalt einfügen:

    */5 * * * * /bin/sh /usr/sbin/updateIP.sh

re:oyd (6): SSL web/php@Pogoplug v2

Da private Dateien auf unserem Server gespeichert und übertragen werden sollen, macht es Sinn, alle Verbindungen über SSL abzusichern. Infos wie das geht, finden sich etwa hier oder hier.
Zunächst brauchen wir die notwendigen Schlüssel, um eine sichere SSL-Verbindung aufbauen zu können. Normalerweise werden diese extern zertifiziert, wir zertifizieren uns die Schlüssel jedoch selber (das führt allerdings dazu, dass alle Browser uns später beim Aufrufen unsere Serverwebseite darauf hinweisen werden, dass die Identität des Schlüssels nicht festgestellt werden kann und daher nicht vertrauenswürdig sei).

  1. Als erstes wechseln wir in das Verzeichnis, wo später die Schlüssel liegen sollen:
    cd /etc/nginx/
  2. Dann erstellen wir den privaten Schlüssel:
    openssl genrsa -des3 -out server.key 1024
  3. Jetzt das Certificate Signing Request erstellen:
    openssl req -new -key server.key -out server.csr
  4. Um Nginx automatisch mit SSL starten zu können, ohne jedes mal unsere Passwort angeben zu müssen:
    cp server.key server.key.org
    openssl rsa -in server.key.org -out server.key
  5. Und zum Schluss signieren wir unsere Serverzertifikat mit einer Laufzeit von 10 Jahren:
    openssl x509 -req -days 3650 -in server.csr -signkey server.key -out server.crt

Als nächsten müssen wir nginx mitteilen, dass wir ab jetzt eine SSL Zertifikat haben und ALLE Verbindungen über SSL aufbauen wollen. Dafür müssen wir die Konfigurationsdatei von nginx wie folgt (ACHTUNG, nur ausschnittsweise Darstellung der Datei) anpassen (/etc/nginx/nginx.conf):

server {
       listen       80;
       server_name  localhost; # SPÄTER MUSS HIER DER DYNDNS NAME HIN
       rewrite ^ https://$server_name$request_uri? permanent; # ALLE http Anfragen in https Anfragen ändern
        
       location / {
            root   /srv/http;
            index  index.php index.html index.htm;
       }
 
       location ~ \.php$ {
            root   /srv/http;
            fastcgi_pass  unix:/var/run/php-fpm/php-fpm.sock; 
            fastcgi_index  index.php;
            fastcgi_param SCRIPT_FILENAME /srv/http$fastcgi_script_name;
            fastcgi_param HTTPS on;
            include  fastcgi_params;
       }
}

server {
        listen  443;
        server_name  localhost;   # SPÄTER MUSS HIER DER DYNDNS NAME HIN
        ssl     on;
        ssl_certificate      /etc/nginx/server.crt;
        ssl_certificate_key  /etc/nginx/server.key;
        ssl_session_timeout  5m;
        ssl_protocols  SSLv2 SSLv3 TLSv1;
        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers   on;

        location / {
            root   /srv/http;
            index index.php index.html index.htm;
        }

        location ~ \.php$ {
        root   /srv/http;
        fastcgi_pass  unix:/var/run/php-fpm/php-fpm.sock; 
        fastcgi_index  index.php;
        fastcgi_param SCRIPT_FILENAME /srv/http$fastcgi_script_name;
        fastcgi_param HTTPS on;
        include  fastcgi_params;
        fastcgi_param HTTP_AUTHORIZATION $http_authorization;
        fastcgi_param htaccessWorking true;
}

Jetzt nur noch nginx neustarten

systemctl restart nginx

und unser pogoplug-Server sollte alle Verbindungen über SSL absichern.

re:oyd (5): Web/PHP-Server@Pogoplug v2

Die begrenzten Ressourcen unseres Pogoplugs sprechen dagegen Arkansas 501 find phone , einen klassischen LAMP-Server mit Apache aufzusetzen. Eine bessere Wahl ist nginx oder lighttpd. Da es für lighttpd nur wenig weiterführende Artikel im Netz gibt, nehmen wir das verbreitetere nginx. Dazu kommt PHP mit einer alternativen FastCGI Implementation: PHP-FPM, PHP-GD für Grafikfunktionen und sqlite als Datenbank.

pacman -S nginx php php-fpm php-sqlite sqlite php-gd

Damit nginx und PHP immer automatisch starten fügen wir beide in den Service-Manager ein:

systemctl enable nginx
systemctl enable php-fpm

Als nächstes müssen wir noch die Web-Verzeichnisse anpassen und nginx mit php-fpm verbinden.

  1. Dazu zunächst in das nginx-Verzeichnis wechseln:
    cd /etc/nginx
  2. Dort die Datei nginx.conf öffnen (etwa mit vi) undd die folgenden Zeilen anpassen:
    location / {
       root   /srv/http;
       index  index.php index.html index.htm;
    }
  3. sowie die folgende auskommentierten Zeilen finden und entsprechend anpassen:
    location ~ \.php$ {
        root   /srv/http;
        fastcgi_pass   unix:/var/run/php-fpm/php-fpm.sock;
        fastcgi_index   index.php;
        fastcgi_param   SCRIPT_FILENAME $document_root$fastcgi_script_name;
        include   fastcgi_params;
    }

Jetzt müssen wir nur noch nginx und php-fpm starten und der Server läuft:

systemctl start nginx
systemctl start php-fpm

Ein Aufruf der IP-Adresse des Pogoplug im Browser sollte jetzt zu einer Fehlermeldungsseite (403) führen. Das ist richtig, wir haben ja noch keinen Webinhalt erstellt. Dazu wechseln wir jetzt ins Hauptverzeichnis unsere Webinhalte

cd /srv/http

und erstellen die Datei index.php (etwa mit vi). In die Datei schreiben wir folgenden Inhalt, um unsere PHP-Konfiguration auf der Webseite anzeigt:


Jetzt sollte ein Aufruf der Pogoplug-IP im Browser eine Webseite mit der PHP-Konfiguration anzeigen. Damit läuft unsere Web/PHP-Server.