Diskussion/Brainstorming für Apache VHosts-Konfiguration

[quadaptor]

Hallo zusammen,

seit geraumer Zeit mache ich mir Gedanken über verschiedene Ansätze einer "idealen" (den Ansprüchen entsprechend) VHost-Konfiguration. Mir geht es hierbei um die Ausarbeitung eines Konzeptes, optimiert auf Wartbarkeit, Flexibilität und natürlich der Einhaltung von Sicherheitskriterien.

Bei einem solchen Konzept sollten die Möglichkeiten des FTP-Zugriffs natürlich inbegriffen sein. Des Weiteren spielt die Auswertung der Logfiles pro VHost/Domain (?) eine wesentliche Rolle. Die Option eines SSH-Zugangs wäre natürlich optimal. Die PHP-Einstellungen müssen sich selbstverständlich nach den VHosts richten.

Ich nenne das ganze deshalb Konzept, weil wir hoffentlich irgendwo einen Punkt erreichen, an dem es sich lohnt, eine Zusammenfassung unser aller Informationen in eine ordentliche Form zu bringen, und diese in einem Wiki (z.B. http://de.gentoo-wiki.com/) veröffentlichen.

Nachfolgend möchte ich euch meine bisherigen Überlegungen unterbreiten, die evtl. als Grundlage des Konzeptes dienen können.

Basis: Kunden- oder Domain
Mir stellte sich bisher die Frage, wie und wo VHosts am besten beginnen sollten. Sind VHosts einfache Domains? Beziehen sich VHosts auf Kunden (Linux Benutzerrechte?)?

Subdomains
Sind Subdomains eigenständige VHosts oder liegen sie idealerweise in einem VHost über ihrer Domain?

Rechte
Ein weiter Punkt, der zu beachten ist, ist die Vergabe von Rechten. In der Theorie ist vieles möglich, muss allerdings auch mit den Linux-Rechten zu vereinbaren sein. Wem gehören die Dateien? Wer hat Zugriff auf sie? FTP-Benutzer? Zu beachten ist, dass der Apache nur Dateien eines Benutzer und einer Gruppe lesen kann.

Administration
Ist eine allgemeingültige Administration möglich, oder muss für jeden Kunden/Domain/Subdomain eine eigene VHost eingerichtet werden? Können diese Informationen in einer Datenbank/LDAP stehen? Muss nach jeder VHost-Änderung tatsächlich der Apache neu gestartet werden?

Techn. Ansätze
Ein, in der Tat noch sehr unkonkreter Ansatz für die Realisierung zwischen Verknüpfungen (Domain <=> Subdomain und/oder Domain <=> Kunden und/oder Konfiguration <=> Domain, usw.) wäre die Verwendung von Links (ln).

Logfiles
Wie konkret sind Logfiles? Können sie nur pro Domain ausgewertet werden, pro Subdomain, pro Kunden, pro Domain inkl. Subdomains, oder eine Mischung aus diesen Vorschlägen?

SSH
Ist eine Zugriffsmöglichkeit via SSH überhaupt realisierbar? Stichpunkt: chroot. Wir wollen ja die Sicherheit wahren und keinem uneingeschränkten Zugriff geben.

Ich hoffe, mein Ziel verständlich gemacht zu haben. Nun seid ihr gefragt...

Liebe Grüße,
Dennis

[Joe User]

Für ein solches Konzept muss zunächst festgelegt werden, was dem Kunden gestattet werden soll:
*) Wie soll der Kunde auf sein Home zugreifen dürfen (FTP/SSH/SFTP/SCP/WebDAV/...)?
*) Welche weiteren Dienste soll der Kunde nutzen dürfen (Web/Mail/DBMS/CVS/Cron/...)?
*) Wie sollen die Kunden voreinander geschützt werden (Chroot/Jails/vServer/...)?
*) Wieviele Kunden können bei den vorhandenen Ressourcen untergebracht werden?
*) Was soll der Kunde selbstständig Konfigurieren dürfen/müssen?
*) Welches OS/Welche Software kann obige Anforderungen erfüllen?
*) Sicherheitskonzept und vieles mehr...

Das wäre meine grobe und unvollständige Checkliste...

[rootsvr]

Du stellst zumindest in meinen Augen ein paar Begriffe in den Raum ohne explizit zu erwähnen was Du machen willst.

Ob ich bei einer Subdomain seperat logge oder es in die Oberdomain miteinfliesst ist einfach eine Frage ob es gebraucht wird oder nicht. Bei mir (meinen Kunden, Projekten etc.) ist uninteressant wieviel Traffic eine Subdomain macht, ich will aber wissen wieviel Datenverkehr eine (gesamt) Domain erzeugt. Daher stellt sich mir deine Frage nicht. Ich mach immer eine Logfile auswertung pro Domain, bzw Webspace (3 Domains auf gleichen Content = ein Logfile) pro Kunde mach ich bisher nicht, da normalerweise Kunden mit mehreren seperaten Projekten diese auch gern einzeln aufgelistet haben wollen.

Wie Du Kunden mit ln verbinden willst, oder was da gewünschtes Ziel ist habe ich leider nicht verstanden.

Rechte und Co hängt vom verwendeten Software Ansatz ab. Ich setze SuExec nach dem Howto ein, damit habe ich gewisse Einschränkungen bzw. vorgaben (pro domain einen User der für ftp und php genutzt wird, Apache in der Gruppe drinnen ...).

Andere Fragen versteh ich nicht, bzw. versteh nicht warum du die "diskutieren" willst.

[lucki2]

Ich hoffe, mein Ziel verständlich gemacht zu haben.

Nein, hast Du nicht. Dein Ziel hast Du nicht mal erwähnt.
Doch: ein HOWTO zu verfassen.
Zu diesem Ziel kann ich Dich schon ermutigen, aber ich würde Dir raten erst mal auf http://www.tldp.org/ zu gehen und zu schauen, was es dort gibt und welcher Thematik Du Dich widmen willst.
Vielleicht überlegst Du Dir auch, ob es nicht Sinn macht dem Projekt zu helfen und einige der etwas in die Jahre gekommenen Dokumente auf einen aktuellen Stand zu bringen.
Wenn Du das nicht willst, macht es dennoch Sinn Da hin zu schauen, denn Du lernst einschätzen wie umfangreich ein sinnvolles Howto sein soll, daß auch gepflegt wird. Thema einschränken ist evtl. eine gute Idee.
Außerdem würde ich mir jenes mal anschauen:
http://tldp.org/LDP/LDP-Author-Guide/html/index.html

Weiter: warum ausgerechnet Gentoo? Nichts gegen Gentoo selber, ich habe das auch auf einem Rechner aber am Ende hat auf einem Server ein Compiler nichts verloren - oder?

Die erste Frage, die ich zum Ansatz stelle ist: Wofür braucht $user SSH? Kann $user mit Unix umgehen? Wie sieht der Vertrag dann aus?
Die zweite ist: warum steht das dann unter Webserver? Verstehe ich nicht...

[flo]

Es gibt Leute, die mach sich solche Konzepte, schreiben Software, die das alles implementiert und dann gibt es Foren, die "Administrationshilfen" heißen und sich mit den Problemen all jener Leute beschäftigen, die aus dem Rahmen fallen.

Im Ernst - die Config gerade eines LAMP-Systems hängt immens von den Anforderungen ab, ob Kunden (=nicht uneingeschränkt vertrauenswürdiger Benutzerkreis) darauf zugreifen oder ob es ein "Projektserver" ist, der mehr oder weniger eine Präsenz bedient. Sicher betrifft das in erster Linie, die Dienste die nach außen hin die "Arbeit" machen müssen, aber die anderen Dienste sind auch betroffen.

FTP/SSH: Der Webdesigner aus der Kreisklasse ist nicht unbedingt die Zielgruppe, der ich unentgeltlich drei Stunden lang ssh und/oder scp/sftp erklären möchte.

Proxy: Bei einer Projektmaschine vernachlässigbar.

Backupstrategie: Wenn alle Daten aus einer Quelle kommen, ist das Backup nicht ultrawichtig, bei Kundendaten schon, weil das Wiederherstellen nunmal sehr lange dauern kann und evtl. den Kunden Geld kostet.

Vhosts: Lohnt sich Mass Virtualhosting oder nicht?

DBs: Welches Datenbanksystem wird eingesetzt?

Es gibt genügend HowTos und genügend Software, die Lösungen bereithalten - die Arbeit eines weiteren Howtos würde ich mir da sparen - es ist alles gesagt und selbst für Einzelprobleme steht genügend lesenswertes zur Verfügung.

flo.