Hosting

Aktualisierung von Debian Linux-Systemen

Die aktuelle Version von Debian Linux trägt die Nummer 11 und den Namen "Bullseye".

Grundsätzliche Hinweis zu dieser Veröffentlichung finden Sie auf den offiziellen Webseiten des Debian-Projekts.
Bitte lesen Sie diese sorgfältig durch, bevor Sie eine Aktualisierung des Betriebssystems vornehmen.
Wenn Sie zusätzliche Software installiert haben, die nicht aus den offiziellen Debian-Paketquellen stammt müssen Sie vorher sicherstellen, dass diese auch mit Debian 10 kompatibel ist.

Upgrade

Die offizielle Anleitung zum Durchführen eines Upgrades von der vorherigen Debian-Version finden Sie auf den offiziellen Webseiten des Debian-Projekts.

Bei Debian-Installation des ZDV (Server oder Desktop) ist darüber hinaus lediglich zu beachten, dass der lokale Agent unseres Konfigurationsmanagementsystems CFEngine vor dem Upgrade gestoppt und anschließend wieder gestartet wird.

Der wichtigste Grund, warum diese Aktualisierung nicht durch das ZDV automatisch vorgenommen wird ist, dass beim Upgrade einiger Pakete auch (lokal veränderte) Konfigurationsdateien aktualisiert werden (müssen). Apt wird Sie für jede dieser Dateien fragen. Die Einschätzung, ob die Änderungen dabei einfach überschrieben werden können oder nicht sollte nicht automatisch getroffen werden.
Alle Änderungen an Dateien, die seitens des ZDV vorgenommen werden (müssen) werden im Zweifelsfall durch CFEngine wieder vorgenommen, wenn Sie auch in dieser Debian-Version noch nötig sind, wenn Sie also nach Dateien gefragt werden, die Sie nicht geändert haben können Sie problemlos die aktualisierte Version aus dem Paket installieren.

Ohne Anspruch auf Vollständigkeit ist hier eine Auflistung von Dateien, die durch das ZDV verändert werden und die aus unserer Sicht problemlos aktualisiert werden können:
/etc/systemd/journald.conf, /etc/burp/burp.conf, /etc/cron.d/burp, /etc/services, /etc/default/sysstat, /etc/ssh/ssh_config, /etc/ssh/sshd_config, /etc/chrony/chrony.conf, /etc/apt/apt.conf.d/50unattended-upgrades

Auflistung der wesentlichen Schritte

Veröffentlicht am

Internetseiten: Dateiupload

Die folgenden Einstellungen gelten für alle bei uns gehosteten Verzeichnisse und für Virtual Hosts.

 

Inhaltsverzeichnis

  1. Schreibberechtigung
  2. Dateiupload unter Windows
  3. Dateiupload unter Linux
  4. Dateiupload per FTP

Schreibberechtigung

Zum Aktualisieren von Internetseiten direkt auf einem VirtualHost benötigen Sie eine Schreibberechtigung für Ihren JGU-Account in dem Verzeichnis, in dem die Internetseiten gespeichert sind.

Bei Verwendung der zentralen Installationen von → OpenText oder → WordPress ist dies nicht notwendig.

VirtualHost-Rechte verwalten Sie selbst. Sollte unklar sein, wer bei Ihnen der Verwalter ist, fragen Sie uns → webmaster@uni-mainz.de, unter Angabe von

  • Verzeichnispfad und
  • Accountnamen

Bitte senden Sie uns diese Mail von Ihrem Uni-Accout aus, damit der Absender eindeutig identifizierbar ist. Eine Schreibberechtigung kann nur für Inhaber eines JGU-Accounts erteilt werden. Vielen Dank für Ihr Verständnis.

Dateiupload unter Windows

Bitte beachten Sie: Wenn Ihre Schreibberechtigung für einen Web-Bereich neu eingetragen wurde, müssen Sie sich (einmalig) neu in die Domäne uni-mainz einloggen, damit Ihre Gruppenzugehörigkeit aktualisiert wird. Danach können Sie die Webseiten als Laufwerk unter Windows verbinden, wie im Folgenden beschrieben:

Um Ihre Webseiten unter Windows zu speichern, muss ein Laufwerk Ihres Rechners mit dem Datenbereich für Webseiten verbunden werden. Nutzen Sie hierzu eine der folgenden Anleitungen.

Unter Windows 8 gehen Sie im Explorer in den Bereich 'Dieser PC' und wählen dort im Reiter 'Computer' den Punkt 'Netzlaufwerk verbinden' aus:

Unter Windows 7 klicken Sie auf 'Start' und wählen den Punkt 'Computer' aus. Klicken Sie dann oben auf 'Netzlaufwerk verbinden':

 

Die folgende Vorgehensweise ist bei allen drei Betriebssystemen gleich:

Sie wählen im folgenden Dialogfenster zunächst einen freien Laufwerksbuchstaben (z.B. G:) und geben als Ordner
\\uni-mainz.de\dfs\public\www\
ein:

Bestätigen Sie mit einem Klick auf 'Fertig stellen'.

Nachdem das Laufwerk verbunden wurde, klicken Sie sich im Windows Explorer unter dem Laufwerk durch die Verzeichnishierarchie bis zu Ihrem Web-Bereich weiter. Die Webseiten von Virtual Hosts finden Sie unter dem Namen Ihres Virtual Hosts ...

Persönlichen Bereich (public_html) verbinden, hier ist der Pfad:

für Mitarbeiter: \\uni-mainz.de\dfs\public\www-ma\ihrbenutzername

für Studierende: \\uni-mainz.de\dfs\public\www-stud\ihrbenutzername

An dieser Stelle können Sie natürlich nicht nur Dateien hochladen, sondern auch direkt, z.B. im Editor, bearbeiten. Obacht, klickt man eine Webseite an, öffnet sie sich normalerweise im Browser. Mit Rechtsklick - Öffnen mit - App - Editor funktioniert das ändern.

Dateiupload unter Linux

Auf Linux-Desktop-Systemen mit Anbindung an die zentrale Nutzerverwaltung und Heimatverzeichnisse (z.B. ZDV Linux) können Sie unter folgenden Pfaden auf die Webbereiche zugreifen:

/uni-mainz.de/public/www/VirtualHost-Name (für Virtual Hosts) bzw.
/uni-mainz.de/public/www-ma/ZDV-Benutzername (für Mitarbeiter) bzw.
/uni-mainz.de/public/www-stud/ZDV-Benutzername (für Studierende).

Beachten Sie, dass Sie unter Umständen den gesamten Pfad korrekt eingeben müssen, da Sie nicht berechtigt sind, den Verzeichnisinhalt der Zwischenebene (www-ma bzw. www-stud) aufzulisten.

Wenn Sie z.B. Nautilus als graphischen Dateimanager verwenden, können Sie STRG + L drücken um den Pfad direkt einzugeben.

Dateiupload per FTP

Verwenden Sie eine verschlüsselte FTP-Verbindung (explizite Verschlüsselung über SSL).

Servername: ftp.uni-mainz.de

Die Pfadangabe für die VirtualHosts auf dem FTP-Server (in FileZilla ist das die Angabe zum 'Standardordner auf dem Server') lautet: /uni-mainz.de/public/www/ gefolgt vom Namen Ihres VirtualHost.

Beispiel für www.chemie.uni-mainz.de:  /uni-mainz.de/public/www/www.chemie.uni-mainz.de

Mit Ihrem persönlichen Heimatverzeichnis werden Sie automatisch verbunden, wenn Sie eine FTP-Verbindung zu ftp.uni-mainz.de mit Ihrem JGU-Accountnamen öffnen.

Ihr persönlicher Web-Bereich:

/uni-mainz.de/public/www-ma/ZDV-Benutzername (für Mitarbeiter) bzw.
/uni-mainz.de/public/www-stud/ZDV-Benutzername (für Studierende)

Veröffentlicht am

Datenbank-Hosting

Das Zentrum für Datenverarbeitung unterstützt im Rahmen von wissenschaftlichen Projekten Datenbank-Hosting mit MySQL (Version 5) oder MS SQL.

Wenn Sie zunächst prüfen möchten, ob der Betrieb einer eigenen Datenbank (für Webseiten oder für andere Zwecke) den Aufwand lohnt, empfehlen wir, zunächst zu prüfen, ob eine der von uns zentral gehosteten Anwendungen Ihre Anforderungen erfüllt. Die zentral gehosteten Anwendungen finden Sie hier: → Server und Datenbanken. Bei Rückfragen können Sie sich an die → ZDV-Hotline wenden.

MySQL-Datenbanken zur Nutzung im Web-Bereich können Sie mit dem folgenden Formular beantragen:

Benötigen Sie eine MySQL-Datenbank für andere Zwecke als für Webseiten oder eine MS-SQL-Datenbank?
Bitte wenden Sie sich mit diesem Wunsch an folgende Mailadresse: hotline@zdv.uni-mainz.de. Bitte nennen Sie in der Mail Ihre Anforderungen und den Verwendungszweck der Datenbank, sowie diejenigen JGU-Accounts, für die administrativer Zugang gewünscht wird.

Veröffentlicht am

Windows Server Hosting

Das ZDV ermöglicht den Betrieb eigener, selbst-verwalteter Server als vir­tuelle Systeme an und berät bei der Auswahl der für den jeweiligen Server benötigten Ressourcen und den Grad , um einen sicheren und effizienten Betrieb zu gewährleisten.
Dieses Angebot gilt für Fachbereiche, Institute, Arbeitsgruppen und andere Einrichtungen der Universität.

Dienstleistungen des ZDV

Erstellung des Servers als virtuelles System, Zuweisung der benötigten Ressourcen, Installation des Betriebssystems, Eintrag in das DNS, Eintrag von Zertifikaten für den administrativen Zugriff durch die den Server betreibende Einrichtung, automatische Installation von Sicherheitsupdates. Beratung und Hilfe bei Problemen.

Voraussetzungen

Es muss mindestens eine Person benannt werden, die über ausreichende Kenntnisse in der Administration eines Windows-Servers verfügt.

Verantwortlichkeit der betreibenden Einrichtung

Da die betreibende Einrichtung bzw. die von ihr dafür benannte Administration uneingeschränkten Zugriff auf das System hat, ist sie für den sicheren Betrieb des Systems verantwortlich. Hierzu gehört, dass sie sich regelmäßig über Sicherheitslücken informiert und bei deren Auftreten entsprechende Maßnahmen ergreift.

Im Falle nicht geschlossener kritischer Sicherheitslücken, einer Kompromittierung des Systems oder einer Gefährdung weiterer Systeme behält sich das ZDV das Recht vor, das System umgehend zu sperren, bzw. herunterzufahren.

Einschränkungen

Die virtuellen Server sind nicht geeignet für dauerhaft rechenintensive Aufgaben wie Simulationen oder Auswertungen.

Ansprechpartner für die Einrichtung eines Windows-Servers

Wenn Sie einen Windows-Server eingerichtet bekommen möchten, wenden Sie sich bitte per Mail an: system@uni-mainz.de .

Veröffentlicht am

Linux-Server-Hosting

Das ZDV ermöglicht den Betrieb eigener und selbst-verwalteter vir­tueller Server. Es berät bei der Auswahl der für den jeweiligen Server benötigten Ressourcen, um einen sicheren und effizienten Betrieb zu gewährleisten.
Dieses Angebot gilt für Fachbereiche, Institute, Arbeitsgruppen und andere Einrichtungen der Universität.

Voraussetzungen

Es muss mindestens eine Person benannt werden, die über ausreichende Kenntnisse in der Administration eines Linux-Servers verfügt.

Dienstleistungen des ZDV

  • Erstellen des virtuellen Servers.
  • Zuweisung der benötigten Ressourcen.
  • Installation des Betriebssystems (Debian).
  • Eintrag in das DNS.
  • Das Verteilen von öffentlichen SSH Schlüsseln.
  • Einbinden des Servers in die Infrastruktur des ZDV (Backup, Systemüberwachung, Mail).
  • Automatische Installation von Sicherheitsupdates für das Betriebssystems.
    (❗❗Dies beinhaltet keine Updates für Programme die von Administrator installiert worden sind.❗❗).
  • Beratung und Hilfe bei Problemen mit dem virtuellen Server.

Verantwortlichkeit der betreibenden Einrichtung

Da die betreibende Einrichtung bzw. die von ihr dafür benannte Administration uneingeschränkten Zugriff auf das System hat, ist sie für den sicheren Betrieb des Systems verantwortlich. Hierzu gehört, dass sie sich regelmäßig über Sicherheitslücken informiert und bei deren Auftreten entsprechende Maßnahmen ergreift.

Im Falle nicht geschlossener kritischer Sicherheitslücken, einer Kompromittierung des Systems oder einer Gefährdung weiterer Systeme behält sich das ZDV das Recht vor, das System umgehend zu sperren, bzw. herunterzufahren.

Einschränkungen

Die virtuellen Server sind nicht geeignet für dauerhaft rechenintensive Aufgaben, wie Simulationen oder Auswertungen.

Einen virtuellen Server Beantragen

Hier können Sie einen Antrag auf einen virtuellen Server stellen.

Weitere Informationen

Um einen Missbrauch des Mailsystems der Universität zu verhindern, ist der Versand von Mailnachrichten an der Universität Mainz üblicherweise nur nach einer vorherigen Anmeldung möglich, wie es bei einem Mailprogramm wie Outlook oder Thunderbird der Fall ist.

Hierdurch kann das Mailsystem des ZDV zuverlässig zwischen einer berechtigten Nutzung und einem Missbrauch unterscheiden und z.B. dafür sorgen, dass niemand außer Ihnen Nachrichten mit Ihrer Mailadresse versendet.

Erfolgt der Mailversand aber direkt aus einer Fachanwendung auf ihrem Server, besteht diese Möglichkeit häufig nicht. Um dennoch Mailnachrichten aus Anwendungen versenden zu können, wurde ein Mailproxy eingerichtet.

Tragen Sie bitte folgende Angaben in Ihre Fachanwendung oder Ihr Mailprogramm ein:
Mail- oder SMTP-Server: mailproxy.zdv.uni-mainz.de
Port: 25
Verschlüsselung: Optional
Authentifizierung (Name und Passwort): Nicht notwendig

Die e-Mail wird an den Proxy-Mailserver der Uni gesendet, dieser entscheidet dann, ob eine Berechtigung besteht, dass Ihr Server eine solche e-Mail versenden darf.
Um einen Mailversand zu erlauben, muss eine Regel für Ihre Fachanwendung erstellt werden.

Dabei ist es wichtig, an welche Empfänger eine e-Mail versendet werden soll.

Prinzipiell ist der Versand an beliebige Adressen möglich, aber es gibt folgende Einschränkungen:

  • Ein Versand mit einer persönlichen Absenderadresse ist nicht möglich.
  • Wenn auf die Mailnachrichten geantwortet werden soll, muss die Absenderadresse eine gültige Funktionsadresse, wie z.B. info@uni-mainz.de sein.
  • Wenn nicht auf die Mailnachrichten geantwortet werden soll, kann die Absenderadresse auch die Form noreply@uni-mainz.de haben.
  • Sollen Nachrichten an Adressen außerhalb der Universität Mainz versandt werden, *muss* der globale Teil der Adresse (d.h. »uni-mainz.de‹ für die Adresse ›info@uni-mainz.de‹) auch außerhalb der Universität bekannt sein, da sonst die Nachricht von den externen Mailservern nicht angenommen wird. Aus diesem Grund können nur universitätsintern bekannte Adressen, wie info@server.fachbereich.uni-mainz.de i.d.R. nicht verwendet werden.

Es ist möglich, für jeden Server beliebig viele Regeln zu erstellen. Wenn Sie dem ZDV die entsprechenden Angaben mitteilen, erstellen wir gerne die für Ihr System notwendigen Regeln.
Wir benötigen dafür:

  • Den Namen ihres Servers
  • Die Absenderadresse
  • Die Empfangsadresse

Hier einige Beispiele:

System: interner-server.zdv.uni-mainz.de

Absenderadresse: info@uni-mainz.de
Emmpfangsadressen: Beliebig, weltweit

Absendeadresse: news@zdv.uni-mainz.de
Empfangsdadressen: nur Uni Mainz

Absendeadresse: status@zdv.uni-mainz.de
Empfangsdadressen: postmaster@uni-mainz.de

Um eine Regel für ihren Server zu erstellen senden Sie eine eMail mit dem Betreff "Mailproxy" an: linux@uni-mainz.de

Um die Sicherheit der Server an der Server der Universität zu erhöhen, ist es den Servern in der Standardeinstellung nicht möglich, eine Verbindung zum Internet aufzubauen.

Falls Ihr Server die Eigenschaft benötigt, eine Verbindung zum Internet aufzubauen, muss eine Regel für Ihren Server angelegt werden. Diese Regeln werden auf dem Webproxy der Universität eingerichtet.
Ihr Server sendet dann eine Anfrage an den Proxy. Dieser prüft dann anhand der eingestellten Regeln, ob diese Anfrage zulässig ist oder nicht.

Einrichten des Proxy auf dem Server

Um den Proxy in Ihrem System einzurichten fügen sie Folgende Zeilen in die /etc/enviroment ein.

http_proxy=http://webproxy.zdv.uni-mainz.de:3128
https_proxy=http://webproxy.zdv.uni-mainz.de:3128
no_proxy=localhost,0.0.0.0,127.0.0.1,127.0.0.0/12,.zdv.uni-mainz.de,.uni-mainz.de,zdv.net,rlp.net,*.zdv.uni-mainz.de,*.uni-mainz.de,*.zdv.net,*.rlp.net,10.94.0.0/12,10.96.0.0/12
HTTP_PROXY=http://webproxy.zdv.uni-mainz.de:3128
HTTPS_PROXY=http://webproxy.zdv.uni-mainz.de:3128
NO_PROXY=localhost,0.0.0.0,127.0.0.1,127.0.0.0/12,.zdv.uni-mainz.de,.uni-mainz.de,zdv.net,rlp.net,*.zdv.uni-mainz.de,*.uni-mainz.de,*.zdv.net,*.rlp.net,10.94.0.0/12,10.96.0.0/12

Hinzufügen von Regeln

Um eine Regel hinzuzufügen, schicken Sie bitte eine e-Mail mit dem Betreff webproxy an: linux@uni-mainz.de.

Geben Sie an, welche Domains Ihr Server ansprechen soll z.B. "unterwebseite.webseite.de" oder "*webseite.de".

CFEngine ist ein Programm, um eine Vielzahl von Computern von einem zentralen Server aus zu verwalten. So muss nicht jeder Computer von Hand konfiguriert werden.
CFEngine ist auf dem ZDV Linux und auf einem virtuellen Server installiert und eingerichtet.
CFEngine besteht aus 2 Komponenten.

  1. Einem Client, der auf dem lokalen Computer läuft und Änderungen am System vornimmt.
  2. Einem Server, der dem lokalen Client vorgibt, was für Änderungen vorgenommen werden sollen.

Die Änderungen auf dem lokalen Computer bestehen aus dem Erstellen, Löschen oder Ändern von Dateien.

Da auf verschiedenen Computern unterschiedliche Änderungen vorgenommen werden müssen, z.B. verschiedene Distributionen, Server oder Desktop, werden jedem Computer verschiedene Klassen zugeordnet.
Der Server gibt dem Client die Anweisung, eine Änderung für eine bestimmte Klasse durchzuführen. Der Client überprüft die Klasse des Computers mit der Anweisung des Servers und nimmt bei einer Übereinstimmung eine Änderung vor.
Dabei kann es vorkommen, dass Einstellungen, die manuell am Computer durchgeführt worden sind, von CFEngine wieder überschrieben werden.

Von mir benötigte Einstellungen werden von CFEngine überschrieben

Wenn von Ihnen vorgenommene Änderungen von CFEngine überschrieben werden, können Ausnahmen für Ihre Computer hinzugefügt werden.
Wenn Sie eine Ausnahme benötigen, senden Sie eine e-Mail an unix@uni-mainz.de mit dem Betreff "CFEngine". Wir werden dann mit Ihnen zusammenarbeiten, um eine Ausnahme zu erstellen.

Welche Dateien werden von CFEngine geändert

Die benötigten Konfigurationen werden vom ZDV aktuell gehalten und an neue Anforderungen angepasst. Auch sind auf einem Desktop andere Konfigurationen notwendig, als auf einem Server.
Daher wird hier beschrieben, wie man die aktuellen Änderungen von CFEngine auslesen kann.
Dazu muss man wissen, in welcher Klasse sich der Computer befindet und welche Änderungen für diese Klasse vorgenommen werden.

In welchen Klassen ist mein Computer?

Um zu erfahren, in welchen Klassen sich der Computer befindet, geben Sie
cf-promises --show-classes
mit root Rechten in das Terminal ein.
Sie erhalten eine Liste mit allen Klassen des Computers.

Wo steht, welche Dateien geändert werden?

Alle möglichen Änderungen sind in .cf-Dateien gespeichert. Diese Dateien können unter /var/lib/cfengine3/inputs/local/ gefunden werden. Der Name der jeweiligen Datei gibt an, was konfiguriert wird.
Wenn Sie die Datei öffnen, können sie sehen, welche Veränderungen vorgenommen werden.

Lesen einer .cf Datei

.cf Dateien sind in Abschnitte unterteilt. Diese erkennt man daran, dass diese eingerückt sind.
Änderungen an Dateien findet man in dem Abschnitt files.
Hier ist ein Ausschnitt aus der backup.cf datei.

...
	files:

		burpclients.!backup_01::

		    "/etc/cron.d/burp"
                        copy_from	=> secure_cp_b("$(g.dir_masterfiles)/etc/cron.d/burp", $(sys.policy_hub));

		burpclients::

		    "/etc/burp/burp.conf"
                        copy_from	=> secure_cp_b("$(g.dir_masterfiles)/etc/burp/$(sys.host).conf", $(sys.policy_hub));

		    "/etc/burp/clientconfdir/incexc/zdv"
                        copy_from	=> secure_cp_b("$(g.dir_masterfiles)/server/backup-01/etc/burp/clientconfdir/incexc/zdv", $(sys.policy_hub));
...

Zeile 2: Ab hier beginnt der Abschnitt "files:" Alles, was hinter files: eingerückt ist, gehört zu diesem Abschnitt.

Zeile 4: Hier wird festgelegt, für welche Klassen eine Änderung vorgenommen werden soll. Alles, was eingerückt ist, wird für die festgelegten Klassen ausgeführt.
Bei der Zuordnung der Klassen gibt es verschiedene Möglichkeiten:

  • Klasse1: Hier wird nur eine Klasse abgefragt.
  • Klasse1.Klasse2:: Der Punkt heißt, dass sich der Computer in beiden Klassen befinden muss.
  • Klasse1|Klasse2:: Das | heißt, dass sich der Computer in Klasse1 oder in Klasse2 befinden muss.
  • Klasse1.!Klasse2:: Das ! steht für ein nicht. Der Computer muss sich in Klasse1, aber nicht in Klasse 2 befinden.

In diesem Fall wird, aufgrund des !, der Befehl aus Zeile 6 und 7 nur ausgeführt, wenn der Computer in der Klasse burbclients und nicht in der Class backup_01 ist.

Zeile 6: Hier wird festgelegt, welche Datei geändert werden soll.

Zeile 7: Hier wird festgelegt, wie die Datei geändert werden soll. In diesem Fall wird die Datei durch eine auf dem Server gespeicherte Datei ersetzt.

Zeile 9: Hier wird ein neuer Abschnitt festgelegt, der ausgeführt wird, wenn der Computer in der Klasse burbclients ist.
Zeilen 11, 14: Welche Dateien geändert werden sollen, wie Zeile 6.
Zeilen 12, 15: Was für Änderungen vorgenommen werden, wie Zeile 7.

So lässt sich herausfinden, welche Dateien auf dem Computer verändert werden.

Einrichten von CFEngine auf meinem Server

Wenn Sie eine Linux Version des ZDV Installieren oder einen virtuellen Server des ZDV betreiben, wird CFEngine automatisch installiert und eingerichtet.
Falls Sie Ihre Linux Distribution selbst installiert haben, müssen Sie, um CFEngine nutzen zu können, dies installieren und einrichten.

Dabei ist zu beachten, dass das ZDV nicht für alle Distributionen eine zentrale Konfiguration vornimmt. Wenn die von Ihnen benutze Distribution sich in keiner von ZDV bearbeiteten Klasse befindet, werden keine Änderungen vorgenommen.

Installation
Installieren Sie das CFEngine Paket für Ihre verwendete Distribution z.B. cfengine3(Debian, Ubuntu), cfengine(Suse, Fedora).

Einrichten
Geben Sie nach der Installation cf-agent -B config-01 mit root Rechten in das Terminal ein.
Damit weisen Sie Ihren Client an, auf dem ZDV Server nach möglichen Änderungen zu schauen.

Die Universität betreibt einen OpenID Connect Server. Damit ist es möglich, einen Benutzer vom ZDV authentifizieren zu lassen und Daten über diesen Benutzer abzurufen.

Wie OpenId Connect in einen Client implementiert wird, kann hier nachgelesen werden.

Die aktuelle Konfiguration des Servers des ZDV kann unter openid.uni-mainz.de/.well-known/openid-configuration eingesehen werden.

Eine Implementierung von OpenID Connect kann nur nach vorheriger Absprache mit dem ZDV erfolgen. Dafür senden Sie bitte eine e-Mail mit dem Betreff OpenId Connect an hotline@uni-mainz.de.
Für die Einrichtung benötigen wir die folgenden Informationen.

  • Welche Claims benötigt werden
  • Eine gültige Redirect_URL für Ihre Webseite.
    Wenn sie eine Applikation entwickeln wollen, wird dies individuell abgestimmt.
  • Welcher Flow benutzt werden soll:
    • Authorization Code Flow (es wird empfohlen diesen Flow zu verwenden).
    • Implicit Flow
    • Hybrid Flow

Vom ZDV werden die folgenden Parameter festgelegt:

  • client_id
  • client_secret (Falls dies erforderlich ist.)
Veröffentlicht am

WordPress: eigene Installation auf einem VirtualHost des ZDV aktualisieren – HowTo…

Inhaltsverzeichnis

  1. Sicherungsmaßnahmen
  2. WordPress aktualisieren
  3. Plugins aktualisieren
  4. Fehlerbehebung (error log)
  5. Zu guter Letzt

Wenn man weiß, dass in der Gegend Diebe unterwegs sind, lässt man seine Haustür nach Möglichkeit nicht sperrangelweit offen stehen.

Oder doch?

Im öffentlichen Internet sind 'Diebe' ('Hacker') unterwegs.
Jeden Tag, jede Stunde, jede Minute, jede Sekunde.
Für manche von uns ist das vielleicht schockierend, wenn sie es das erste Mal hören.
Aber es ist - leider - eine Tatsache.

Was kann man da tun?

Die erste Antwort: Die Haustür zumindest nicht sperrangelweit offen lassen.

Hacker suchen oft einfach nach veralteten Installationen mit bekannten Sicherheitslücken.

Gem. Beschluss des Senats der Universität gilt für selbstinstallierte Software im Web-Bereich folgendes Verfahren:

VERFÜGBARE UPDATES FÜR SELBSTINSTALLIERTE SOFTWARE MÜSSEN SPÄTESTENS 3 TAGE NACH DEREN ERSCHEINEN INSTALLIERT SEIN. Ansonsten sind wir gem. Senatsbeschluss gehalten, Ihren Web-Bereich zu sperren, um Sicherheit und Effizienz des Web-Hostings der Universität gewährleisten zu können. Eine Aufhebung der Sperre erfolgt umgehend, sobald Sie die Aktualisierung vorgenommen haben.
Bei selbstinstallierten Software-Paketen ist sicherzustellen, dass diese langfristig gewartet werden.

Wir empfehlen die Nutzung eines zentral gehosteten Systems.
Im Folgenden finden Sie das Vorgehen zur Aktualisierung eines selbstinstallierten WordPress-Systems auf einem VirtualHost der Universität Mainz. Nebenbei: wenn Sie die zentrale WordPress-Installation des ZDV nutzen, entfällt dieser Aufwand für Sie vollständig (darum kümmert sich dann das ZDV).

Sicherungsmaßnahmen

Gibt es im Installationsverzeichnis eine Datei mit dem Namen .htaccess? Falls nicht, legen Sie diese an. Fügen Sie in diese Datei folgenden Code ein:

<Files "wp-login.php">
Order Deny,Allow
Deny from All
Allow from .uni-mainz.de
</Files>

Erläuterung: Dies ist die effektivste mögliche Absicherung gegen Botnetz-Attacken von außen. Login ins Backend ist damit nur noch über das Netz der Universität möglich. Alle Redakteure können sich jedoch weiterhin von überall auf der Welt einloggen, wenn sie eine VPN-Verbindung oder einen Terminalserver nutzen.

Weitere Hinweise für eine sicherere Konfiguration von WordPress finden Sie in diesem Artikel hier - einfach umsetzbar ist darin z.B. 'Step 2 – Setting up a secure configuration file' und 'Step 3 – Setting up a secure administration', sowie in diesem Artikel von Mike Kuketz.

Einen sehr guten Überblick über die besten Sicherungsmaßnahmen für WordPress finden Sie außerdem auf: http://wpsecure.net/secure-wordpress-advanced/

WordPress aktualisieren

WordPress-Updates erscheinen in unregelmäßigen Abständen. Eine Übersicht über vergangene und zukünftige Versionen finden Sie z.B. hier.

Bitte beachten: Eine automatisierte Aktualisierung von WordPress über das Web-Dashboard bzw. über FTP ist auf den VirtualHosts des ZDV aus Sicherheitsgründen nicht möglich.

Sie benötigen daher Schreibzugriff für das Installationsverzeichnis auf dem jeweiligen VirtualHost. Verbinden Sie sich mit diesem Verzeichnis wie hier beschrieben.

Optional: Machen Sie vor dem Update ein Backup Ihrer WordPress-Datenbank, z.B. mit einem kostenlosen Tool wie HeidiSQL. Informationen zur Datenbank-Verbindung finden Sie in der Regel in der Datei wp-config.php im Installationsverzeichnis auf dem VirtualHost...

  1. Laden Sie ein aktuelles WordPress herunter. Sie bekommen es als ZIP-Paket z.B. bei wordpress.org hier.
  2. Entpacken Sie diese Zip-Datei mit einem Tool Ihrer Wahl (unter Windows 7 z.B. einfach durch Mausklick rechts auf die Datei -> Alle extrahieren.) Im Folgenden nennen wir dies den entpackten Download.
  3. Löschen Sie die Verzeichnisse /wp-admin und /wp-includes im Installationsverzeichnis von WordPress auf dem VirtualHost. Ganz richtig: Diese beiden Verzeichnisse löschen. Vollständig.
  4. Kopieren Sie die gleichnamigen Verzeichnisse aus dem entpackten Download an die gleiche Stelle auf dem VirtualHost, wo Sie deren Vorgänger gerade gelöscht haben.
  5. Kopieren Sie das Verzeichnis /wp-content aus dem entpackten Download in das Installationsverzeichnis auf dem VirtualHost, so dass es den alten Ordner /wp-content überschreibt. Wichtig: Dieser Ordner darf nicht gelöscht, sondern nur mit den aktuellen Dateien aus dem entpackten Download überschrieben werden.
  6. Kopieren Sie alle Dateien aus dem Basisverzeichnis (oberste Ebene: readme.html, license.txt usw. ...) des entpackten Downloads direkt in das Installationsverzeichnis von WordPress auf dem VirtualHost. Dabei werden ebenfalls die meisten Dateien überschrieben, d.h. durch die aktuelle Version ersetzt.
  7. Loggen Sie sich danach mit dem Admin-Account in das WordPress-Dashboard ein wie immer. Wenn Sie aufgefordert werden, Ihr Blog auf Knopfdruck zu aktualisieren, tun Sie dies.
    Überprüfen Sie, ob die installierten Plugins noch funktionieren.

Plugins aktualisieren

ACHTUNG: Plugins enthalten häufig größere Sicherheitslücken als die eigentliche WP-Installation und sollten daher IMMER mit aktualisiert werden!

Das Vorgehen für die Plugin-Aktualisierung ist ähnlich: Laden Sie die aktuelle Version des Plugins herunter, entpacken Sie es und speichern Sie den entpackten Plugin-Ordner im Verzeichnis \wp-content\plugins des Installationsverzeichnisses - wobei alte Versionen durch die neue Version überschrieben werden.

Es ist nicht möglich, die Installation über die Webseite vorzunehmen (vom Dashboard aus)!

Jedwede Installation funktioniert nur über wordpress.org und manuelles Auspacken und Kopieren der Dateien zum Beispiel mit dem Windows-Dateiexplorer, und nicht per http!

Fehlerbehebung (error log)

Sollten während der Installation oder auch später Fehler passieren, bedenken Sie, daß Sie keinen Zugriff auf die Logdateien haben und Sie daher nicht effektiv Fehler beheben können.

Zu guter Letzt

Prüfen Sie demnächst in regelmäßigen Abständen, ob es wieder ein WordPress-Update gibt...

Vielen Dank für Ihre Aufmerksamkeit.

Veröffentlicht am

Web-Hosting

Das Zentrum für Datenverarbeitung (ZDV) stellt Einrichtungen der JGU folgende Dienste zur Verfügung:

  • WordPress
    Websites im JGU-Layout.
  • SharePoint
    Intranets für Personen an der JGU. Voraussetzung ist der JGU-Account
  • Web-Server
    Websites mit eigenen Web-Applikationen und Layouts.
  • Virtuelle Server
    Anwendungen, bei denen Sie den vollen Zugriff auf einen Server benötigen.
Veröffentlichen Sie Ihre Inhalte leicht und schnell. WordPress wird vom ZDV betreut, Sie konzentrieren sich auf die Inhalte.
WordPress richtet sich an Einrichtungen der JGU, die sich im Internet präsentieren wollen.

Vorteile

  • Vollständige Betreuung der Software (Updates)
  • Einfache Bedienung.
  • Darstellung der Webseiten im Corporate Design der JGU.
  • Monatliche Einführungskurse

Nachteile

  • Corporate Design der JGU fest vorgegeben.
  • Auswahl aus einer Liste vorgegebener Plugins.
  • Keine Installation zusätzlicher Plugins.
Alles über die WordPress-Multisite an der JGU
Ihre Website richtet sich nicht an die Internet-Öffentlichkeit, sondern es handelt sich um ein Intranet oder eine Team-Website. Dafür kann möglicherweise kostenlos und ohne administrativen Aufwand Ihrerseits die ZDV  Infrastruktur genutzt werden, z.B. durch → Hosting in der SharePoint-Umgebung.
Für das Hosten eigener Websites und Web-Applikationen wird ein kompletter LAMP-Stack bereitgestellt. Damit entwickeln Sie selbst Web-Applikationen.
Der Web-Server wird vom ZDV bereitgestellt und betreut. Für die Entwicklung und Betreuung der Website oder Anwendung sind Sie selbst verantwortlich.
Mit dem Web-Server setzen Einrichtungen eigene (CMS-)Systeme auf und betreuen sie selbst.

Vorteile

  • Der Web-Server wird vom ZDV betreut.
  • Individualisierte Webseiten und Anwendungen.

Nachteile

  • Aufwand bei der Erstellung und Betreuung der Website.
  • Versionen der Programme auf dem Web-Server werden vom ZDV vorgegeben.

→ Weitere Informationen zu Web-Servern des ZDV

Auf den Virtuellen Server greifen Sie mit root-Rechten zu und passen diesen nach Belieben an. Auch das Einrichten eines Webservers ist möglich. Sie sind für alle installierten Programme verantwortlich. Das ZDV stellt das Betriebssystem und die Anbindung an das Universitätsnetzwerk bereit.

Mit dem Virtueller Server administrieren Einrichtungen an der JGU einen eigenen Linux Server.

Vorteile

  • Sie haben die volle Kontrolle.

Nachteile

  • Sehr hoher Betreuungsaufwand.

→ Weitere Informationen zu virtuellen Servern des ZDV..

Veröffentlicht am