Wiederaufnahme Fitness-Training
Nach dem ich beim letzten Umzug mein Fahrrad eingebüßt hatte, habe ich mir heute ein neues bestellt. Ein MTB in der Einsteigerklasse - reicht für mich vollkommen aus. Die Kritiken waren durchgehend positiv. Ich bin dann mal gespannt wie ein Flitzebogen, wenn es eintrifft.
Freudige Erwartung
Die Tage dürfte es bald soweit sein, dass der neue dedizierte Server bereit steht und der Umzug vom VServer von Strato beginnen kann. Atm bastle ich grade in meiner VMWare auf Basis Debian6 das neue Serverkonzept zusammen.
Ich denke in Zukunft werde ich wohl auf eine Serververwaltungssoftware wie Webmin und Co. komplett verzichten. Postfix wird vermutlich durch Exim ersetzt, der bisherige ProFTPd durch vsFTPd. Bzgl. mySQL vs. MariaDB bin ich gespannt wegen der Kompatibilität. Nur beim Webserver bin ich noch unentschieden - Nginx oder Apache. Für letzteren spricht das unkomplizierte URL-Rewriting, dass bei den meisten Webanwendungen heutzutage bisher nur auf Apache ausgelegt ist.
Mal schauen.
Unsere Steuergelder bei der Arbeit
Folge 1
Na sowas aber auch - das "Elena"-Verfahren wird eingestampft - grandioses Fuck-Up eines typischen Regierungs-IT-Projektes. Und wer zahlt's wieder? Natürlich wir als Steuerzahler. Und wenn ich mir die nächsten Rohrkrepierer par excellence aka ePerso und diese komische neue Krankenkassenkarte anschaue, könnte ich so'nen Hals kriegen -.-
Troubleshooting und so
So richtig rund läuft das alles irgendwie noch nicht. Der Hiawatha Webserver hat scheinbar in Verbindung mit dem Reverse Proxy Pound die "zarte" Tendenz, den Proxy und damit sich selbst auszusperren, auf Grund der integrierten Ban-Funktionen. Eigen verursachte DOS sind antürlich ein absolutes No-Go. Die Ursachenforschung gestaltet sich aus mehreren Gründen äußerst zäh.
Problem Nr. 1 sind die mangelhaften Error-Logs. Aus einem zur Zeit noch nicht nachvollziehbaren Grund wird praktisch nix in die error.log geschrieben, auch wenn der Server massenhaft 500er Errors produziert. Das ist bei Apache anders, da kann man wenigstens den Auslöser erkennen und sich dann vorantasten. Aber ohne den Auslöser eines Fehlers zu kennen, wird die Suche nach der Ursache praktisch aussichtslos. Ich werde heute nochmal ein wenig mit den Protokollierungseinstellungen experimentieren und ein paar Fehler provozieren, mal sehen ob ich Fortschritte erreiche. Obwohl ich da, nach dem Studium einiger Forenbeiträge im Netz, Zweifel habe, da das Problem bei Hiawatha und PHP mit den fehlenden Logeinträgen nicht nur bei mir aufzutreten scheint.
Problem Nr. 2 besteht in einigen Konfigurationsoptionen. So sollte die Option HideProxy eigentlich dafür sorgen, dass Pound zuverlässig von der Abschussliste genommen wird. Offensichtlich gilt das nicht für alle Ban-Funktionen gleichermaßen. Ein Garbage-Ban wurde nämlich dennoch auf den Proxy gelegt. Weiterhin sollte man annehmen, dass wenn sämtliche Ban-Funktionen auskommentiert sind, diese auch disabled sind. Denkste - das Resultat nach dem Neustart des Webservers - eine magere Error 503 "Service not available" Meldung. WTF?!
Vorläufiges Fazit: Hiawatha in Verbindung mit den Reverse Proxy Pound scheint mir derzeit kein geeignetes Gespann. Die erweiterten Sicherheitsfunktionen des Hiawatha sind aus meiner Sicht nur dann zu gebrauchen, wenn der Webserver in der Front läuft. Das mangelhafte Error-Logging im Zusammenhang mit PHP gefällt mir so gar nicht - dagegen ist ja Apache schon geradezu Luxus.
Hiawatha in der Front ist jedoch für mein Szenario nicht geeignet, weil ich im Backend noch einen Tomcat für ein paar Sachen brauche und Hiawatha dafür keinen Connector bzw. Proxy-Funktionalität mitbring und lt. Entwickler auch nie vorgesehen ist.
Nach dem damit Hiawatha schon weitestgehend verworfen ist, stellt sich die Frage, ob ein Versuch mit Nginx den Aufwand lohnt. Hmm, zumindest ein paar Untersuchungen werde ich wohl noch anstellen müssen.
Trick 17 mit Selbstverarschung?!
So, ich habe meinen Fehler von gestern gefunden - Typ: Trick17 mit Selbstverarschung. Merke: Wenn man einen Reverse Proxy in der Front einsetzt, sollte man darauf achten, dass der Webserver mit Ban-Funktionen für zuviele Requests/Connections pro Client auch die ursprünglichen Clients erkennt und nicht die IP des Reverse Proxy.