PROWeb - Projekt-Webserver
Dienstbeschreibung
PROWeb steht für den Dienst Projekt-Web-Server. Damit werden gesicherte Webserver für spezielle Projekte realisiert (sog. „Microsites“). PROWeb steht für alle Struktureinheiten der TU Chemnitz zur Verfügung.
- Die Administrationsverantwortung hinsichtlich Betrieb und Pflege des Systems für einen solchen Server liegt beim URZ.
- Die inhaltliche Verantwortung für die Webseiten bzw. Webanwendungen liegt beim jeweiligen Auftraggeber.
- Das URZ erstellt eine Grundkonfiguration des Webservers, der Auftraggeber kann die Funktionalität durch Installation weiterer Komponenten seinen Wünschen anpassen (z. B. Tomcat, Content Management System).
- Erhöhte Sicherheitsstandards gegenüber den zentralen Webservern:
- HTML-, PHP oder CGI-Dateien sind nur durch Berechtigte lesbar.
- Durch PROWeb-Server geschriebene Daten sind nur von Berechtigten einsehbar.
- Verschlüsselung der Übertragung durch SSL/TLS und projekteigene Zertifikate.
- Der Dienst wird auf Basis eines virtuellen Servers (VPSH) erbracht. Dafür fallen für den Auftraggeber Kosten an.
Leistungsmerkmale
| Leistungsmerkmal | PROWeb SL7 |
|---|---|
| Betriebssystem | Scientific Linux 7 |
| Software | Apache 2.4, PHP 5.4, auf Wunsch PHP 7, MariaDB / MySQL 5.5 |
| Installation und laufende Pflege des Basissystems | URZ |
| Konfiguration Webserver, SSL-Zertifikat, Einbindung Web-Trust-Center |  |
| Nutzung des TUCAL-Autorensystems für Webseiten | 1.4 |
| Nutzung anderer Content-Management-Plattformen | |
| Hochverfügbarkeit | |
| individuelle Wünsche (z. B. cron-Skripte) | |
| Serverzugang per Secure Shell, SFTP, SCP | |
| weitere Software-Pakete, z. B. Tomcat | |
| Hardware-Parameter anpassbar | |
Die Spezifikation des Dienstes regelt das Service Level Agreement (SLA).
Der Weg zum eigenen PROWeb-Server
- Sie beauftragen einen neuen Projekt-Webserver
- Sie wählen einen Projektnamen. Dieser Name ist wichtig – so sollte er sein:
- kurz, d. h. schreib- und druckbar (Empfehlung: vier bis zwölf Zeichen, Kleinbuchstaben, Ziffern, Bindestrich, keine Umlaute)
- prägnant, d. h. merkbar und Ihr Projekt gut beschreibend
- eindeutig, d. h. möglichst unverwechselbar
- sicher, d. h. juristisch nicht anfechtbar – kein Marken- oder Produktname
- Aus dem Namen bildet sich der Name des Webservers, der Rechnername und eine E-Mail-Adresse.
- Webserver:
www.projektname.tu-chemnitz.de(http und https) - Rechnername:
www-projektname.hrz.tu-chemnitz.de(Secure-Shell-Zugang)
- Webserver:
- Desweiteren schildern Sie das Anliegen und legen einige technische Parameter fest.
- Sie wählen einen Projektnamen. Dieser Name ist wichtig – so sollte er sein:
- Wir prüfen den Auftrag und richten den PROWeb-Server ein
- Der Projektname und das Anliegen wird mit der Pressestelle und Crossmedia-Redaktion abgestimmt.
- Im URZ werden die technischen Voraussetzungen geschaffen (virtueller Server, DNS-Einträge, Gruppen-Mailbox, Zertifikate, Grundkonfiguration).
- Nach Fertigstellung erhalten Sie per E-Mail die Zugangsdaten.
- Zur Begleichung der Kosten wird ein ME-Schein an die Kontaktperson gesendet.
- Sie erstellen die Inhalte
- Die vom Auftraggeber genannten Funktionsadmins haben Zugang zum PROWeb-Server (Secure Shell, scp) und können ggf. Software installieren und konfigurieren. Wir empfehlen, dass Sie die Mechanismen von ToSCA benutzen, um die Konfiguration des Systems zu sichern.
- Zum Erstellen der Inhalte steht das Autorensystem TUCAL zur Verfügung.
- Pflege und Wartung
- Den Inhalt pflegen Sie in eigener Verantwortung. Sie haben Zugriff auf Log-Dateien.
- Sie bearbeiten regelmäßig die E-Mail, die in der zugeordneten Gruppen-Mailbox ankommt.
- Das URZ sichert die Verfügbarkeit und andere administrative Aufgaben (siehe SLA) und berät Sie bei Fragen.
- Für administrative Aufgaben (Einsicht in Statistiken und Log-Dateien, Festlegen von Backup, Admins usw.) stellen wir eine Web-Oberfläche zur Verfügung.
- Für die Datensicherung (Backup) sind Sie verantwortlich. Sie können dafür den Backup-Dienst des URZ benutzen (siehe FAQ).
- Vor Ablauf der Laufzeit schicken wir eine E-Mail mit Informationen zur Verlängerung oder Abmeldung.
Service Level Agreement (SLA) für PROWeb-Server
Für PROWeb-Server gelten die SLAs für Virtual Private Server Hosting und Linux VPS. Diese Vereinbarung regelt spezielle Leistungsmerkmale und Bedingungen zwischen Auftraggeber und dem URZ als Service Provider (Auftragnehmer), die sich aus Betrieb und Nutzung eines PROWeb-Servers ergeben.
- Spezifikation eines PROWeb-Server-Auftrages
- Leistungsumfang
- Leistungsparameter
- Laufzeiten, Änderungen und Kündigung
Spezifikation eines PROWeb-Server-Auftrages
Der Projektname und das Anliegen wird vom Auftragnehmer mit der Pressestelle und Crossmedia-Redaktion abgestimmt. Der Name kann, auch im Nachhinein, ohne Angabe von Gründen abgelehnt werden.
Leistungsumfang
- Installation und Konfiguration eines Web-Servers
- Ausstellung von SSL/TLS-Zertifikaten der TUC/URZ-CA
- Bereitstellung einer E-Mail-Adresse als Gruppen-Mailbox
- Beratung und Unterstützung des Auftraggebers
Leistungsparameter
- Als Betriebssystem kommt Scientific Linux (64 oder 32-Bit) zum Einsatz.
- Standardmäßig enthält der WWW-Server folgende Software:
- Apache Web-Server mit mod_ssl, CGI
- PHP mit Unterstützung für MySQL
- System- und Netzwerksicherheit
- zeitnahes Einspielen von Security-Patches der WWW-Server-Komponenten
Laufzeiten, Änderungen und Kündigung
Es gelten die Bedingungen zu Kosten, Laufzeiten, Änderung und Kündigung des Dienstes Virtual Private Server Hosting.
Antworten auf häufig gestellte Fragen
Fragen zum Web-Server
Steht das Autoren- und Layoutsystem der TU Chemnitz zur Verfügung?
Ja, Sie können über den Administrator-Bereich
https://www.projekt.tu-chemnitz.de/tuc-admin/ auf den webbasierten Dateimanager zugreifen und Ihre Dateien bearbeiten.
Alle Funktionen von TUCAL sind nutzbar.
Im Administrator-Bereich stehen weitere Funktionen zur Verfügung:
- Anschauen der Serverkonfiguration und des aktuellen Server-Status
- Anschauen der Log-Dateien und der Serverstatistik (mittels awstats)
- Ändern der Berechtigung zum Zugriff auf den Administrator-Bereich
- Steuerung der Datensicherung
Kann ich auch ein eigenes Content-Management-System einsetzen?
Ja, Sie können sich ein Content-Management-System installieren. Dazu sind Linux-Kenntnisse und der Zugang per Secure Shell nötig.
Wie ist der Webserver konfiguriert?
/etc/httpd/conf/httpd.conf– die Basiseinstellungen, hier keine Änderungen vornehmen, wird zentral gepflegt!/etc/httpd/conf/server.conf– serverspezifischee Einstellungen- Konfig-Dateien in
/etc/httpd/conf.dwerden nicht automatisch in die Serverkonfiguration übernommen, sondern müssen hier perInclude …eingeschlossen werden.
- Konfig-Dateien in
/etc/php.ini– Einstellungen für PHP, hier keine Änderungen vornehmen, wird zentral gepflegt!/var/www/html– dieDocumentRoot, d. h. diese Dateien werden dem Besucher angezeigt.- Startseite sollte
index.htmloderindex.phpheißen - PHP-Code wird auch in
.html-Dateien ausgeführt. - Anweisungen zur Steuerung können in
.htaccess-Dateien geschrieben werden.
- Startseite sollte
- Die aktuelle Konfiguration und der Status ist über den Administrator-Bereich einsehbar.
Reservierte Pfade
In der Server-Konfiguration sind diese Pfade bereits belegt und für Sie nicht nutzbar:
https://www.projekt.tu-chemnitz.de/tuc-admin/– Der Zugang für die Administratorenhttps://www.projekt.tu-chemnitz.de/tucal/– TUCAL-Layouthttps://www.projekt.tu-chemnitz.de/awstats/– Nutzungsstatistik
Linux-Systemadministration
Wer darf sich auf dem Server per Secure Shell anmelden?
Das dürfen zunächst ausschließlich die Funktions-Administratoren und einige mit der Systempflege beauftragte URZ-Mitarbeiter. Der Funktions-Administrator kann weitere Funktions-Administratoren benennen:
Übersicht „Virtual Privat Server Hosting“ → Klick auf Servernamen …
Zusätzlich kann der Funktions-Administrator weiteren Nutzern den normalen Zugang erlauben, indem die Nutzerkennzeichen in der Datei
/etc/login.access ergänzt werden. Um zum Beispiel dem Nutzer mit Nutzerkennzeichen otto Zugang zu erlauben, ist Folgendes zu tun:
- Ergänzen in
/etc/login.access(vor der letzten Zeile mit -):+ : otto : ALL - Dann die Datei
/etc/login.accesssichern – siehe „Wie funktioniert das mit den Konfigurations-Dateien in ToSCA“ und Beschreibung von ToSCA.
Wie erlange ich root-Rechte?
Als Funktions-Admin mittels sudo, z. B.:
sudo suservice httpd restart– httpd (Apache) neu startensudo bash– eine root-Shell starten, beenden mitexit
Wie installiere ich zusätzliche Software-Pakete?
Mittels yum, z. B.:
- Auflisten vorhandener Pakete:
yum list 'php*'- listet bereits installierte und zusätzlich vorhandene Pakete, die mit
phpbeginnen.
- listet bereits installierte und zusätzlich vorhandene Pakete, die mit
- Installation zusätzlicher Pakete:
sudo yum -d2 install php-mcrypt- installiert (als root) das Paket
php-mcrypt(+ evtl. weiterer benötigter Pakete)
- installiert (als root) das Paket
Datensicherung: Backup und Restore
Ziel der Datensicherung ist es, ein System nach Fehlern (Hardwarefehler, versehentliches Löschen) mit geringem Aufwand wiederherstellen zu können.
- Wiederherstellung des Basissystems und der Konfiguration:
- Mittels ToSCA erfolgt die Installation des Basissystems und der benötigten Softwarepakte sowie das Einspielen der konkreten Konfigurationsdateien.
- Für die Installation mit dem entsprechenden Paketen sorgt das URZ.
- Die Konfigurationsdateien muss der Funktions-Admin ins ToSCA-Repository schaffen. Nur dann können diese im Fehlerfall auch wieder hergestellt werden.
- Wiederherstellen von Daten:
- Daten, z. B. Webseiten Ihres PROWeb-Servers unter
/var/www/html, ggf. auch andere, müssen geeignet gesichert werden. - Möglichkeit 1: Rsync-Dienst des URZ – Im Administrator-Bereich tragen Sie im Punkt Datensicherung die zu sichernden Verzeichnisse ein. Ab dem nächsten Tag haben Sie von dort aus dann Zugang zu den gesicherten Daten.
- Möglichkeit 2: Sie organisieren das selbst, d. h. Sie fertigen selbst Backups des relevanten Datenbestandes des PROWeb-Servers auf einem anderen Rechner an.
- Daten, z. B. Webseiten Ihres PROWeb-Servers unter
Wie funktioniert das mit den Konfigurations-Dateien in ToSCA?
Verändern Sie Konfigurationsdateien, z. B. die httpd-Konfig /etc/httpd/conf/server.conf, dann müssen die in ein Repository gesichert werden.
- Beschreibung von ToSCA
- Übersicht über Repository-Verzeichnisse:
/usr/local/bin/tosca-diff -r - Liste aller Dateien in Repositories:
/usr/local/bin/tosca-diff -l - Unterschiede zwischen Dateien auf dem Rechner und im Repository:
/usr/local/bin/tosca-diff
listet Kommandos zum Abgleich aus.
Nach dem Ändern und Testen von Konfigurationsdateien auf dem Server starten Sie als root /usr/local/bin/tosca-diff und führen dann für die von ihnen geänderten Dateien die ausgegebenen cp -Befehle aus. Ändern Sie eine Konfigurationsdatei, die noch nicht in einem Repository ist, kopieren Sie diese Datei(en) in ein geeignetes Repository-Verzeichnis. Bei System-Release-abbhängigen Dateien (das sind die meisten) kopieren Sie die Datei am besten nach /afs/tu-chemnitz.de/ToSCA/ROOTS/SL_7/FU_XXX_PROWEB_PROJEKT_SERVER/…
/etc/httpd/conf/server.conf und /etc/php.ini geändert.
shell> sudo bash -- als root arbeiten
shell# tosca-diff -- Unterschiede zu Repositories anzeigen
DIFF: /etc/httpd/conf/server.conf
cp /etc/httpd/conf/server.conf /afs/tu-chemnitz.de/ToSCA/ROOTS/SL_7/FU_URZ_PROWEB_PROJEKT2_SERVER/etc/httpd/conf/server.conf
shell# cp /etc/httpd/conf/server.conf /afs/tu-chemnitz.de/ToSCA/ROOTS/SL_7/FU_URZ_PROWEB_PROJEKT2_SERVER/etc/httpd/conf/server.conf
-- /etc/httpd/conf/server.conf ins Repository gesichert
shell# tosca-diff -r
...
/afs/tu-chemnitz.de/ToSCA/ROOTS/SL_7/FU_URZ_PROWEB_PROJEKT2_SERVER
...
shell# mkdir -p /afs/tu-chemnitz.de/ToSCA/ROOTS/SL_7/FU_URZ_PROWEB_PROJEKT2_SERVER/etc
shell# cp /etc/php.ini /afs/tu-chemnitz.de/ToSCA/ROOTS/SL_7/FU_URZ_PROWEB_PROJEKT2_SERVER/etc/php.ini
-- /etc/php.ini ins Repository gesichert
shell# exit -- root-Shell verlassen, Weiterarbeit als normaler Nutzer
Somit ist sichergestellt, dass die richtigen Konfigurationsdateien bei einer eventuell notwendigen Neuinstallation des Systems wiederhergestellt werden können.
