Navigation

Universitäts­rechen­zentrum
PROWeb-Server

PROWeb - Projekt-Webserver

Dienstbeschreibung

PROWeb steht für den Dienst Projekt-Web-Server. Damit werden gesicherte Webserver für spezielle Projekte realisiert (sog. „Microsites“). PROWeb steht für alle Struktureinheiten der TU Chemnitz zur Verfügung.

  • Die Administrationsverantwortung hinsichtlich Betrieb und Pflege des Systems für einen solchen Server liegt beim URZ.
  • Die inhaltliche Verantwortung für die Webseiten bzw. Webanwendungen liegt beim jeweiligen Auftraggeber.
  • Das URZ erstellt eine Grundkonfiguration des Webservers, der Auftraggeber kann die Funktionalität durch Installation weiterer Komponenten seinen Wünschen anpassen (z. B. Tomcat, Content Management System).
  • Erhöhte Sicherheitsstandards gegenüber den zentralen Webservern:
    • HTML-, PHP oder CGI-Dateien sind nur durch Berechtigte lesbar.
    • Durch PROWeb-Server geschriebene Daten sind nur von Berechtigten einsehbar.
    • Verschlüsselung der Übertragung durch SSL/TLS und projekteigene Zertifikate.
  • Der Dienst wird auf Basis eines virtuellen Servers (VPSH) erbracht. Dafür fallen für den Auftraggeber Kosten an.

Leistungsmerkmale

LeistungsmerkmalPROWeb SL7
Betriebssystem Scientific Linux 7
Software Apache 2.4, PHP 5.4, auf Wunsch PHP 7, MariaDB / MySQL 5.5
Installation und laufende Pflege des Basissystems URZ
Konfiguration Webserver, SSL-Zertifikat, Einbindung Web-Trust-Center Ja
Nutzung des TUCAL-Autorensystems für Webseiten Ja 1.4
Nutzung anderer Content-Management-Plattformen Ja
Hochverfügbarkeit Ja
individuelle Wünsche (z. B. cron-Skripte) Ja
Serverzugang per Secure Shell, SFTP, SCP Ja
weitere Software-Pakete, z. B. Tomcat Ja
Hardware-Parameter anpassbar Ja

Die Spezifikation des Dienstes regelt das Service Level Agreement (SLA).

Der Weg zum eigenen PROWeb-Server

  1. Sie beauftragen einen neuen Projekt-Webserver
    • Sie wählen einen Projektnamen. Dieser Name ist wichtig – so sollte er sein:
      • kurz, d. h. schreib- und druckbar (Empfehlung: vier bis zwölf Zeichen, Kleinbuchstaben, Ziffern, Bindestrich, keine Umlaute)
      • prägnant, d. h. merkbar und Ihr Projekt gut beschreibend
      • eindeutig, d. h. möglichst unverwechselbar
      • sicher, d. h. juristisch nicht anfechtbar – kein Marken- oder Produktname
    • Aus dem Namen bildet sich der Name des Webservers, der Rechnername und eine E-Mail-Adresse.
      • Webserver:www.projektname.tu-chemnitz.de (http und https)
      • Rechnername: www-projektname.hrz.tu-chemnitz.de (Secure-Shell-Zugang)
    • Desweiteren schildern Sie das Anliegen und legen einige technische Parameter fest.
      Beauftragen eines neuen PROWeb-Servers
  2. Wir prüfen den Auftrag und richten den PROWeb-Server ein
    • Der Projektname und das Anliegen wird mit der Pressestelle und Crossmedia-Redaktion abgestimmt.
    • Im URZ werden die technischen Voraussetzungen geschaffen (virtueller Server, DNS-Einträge, Gruppen-Mailbox, Zertifikate, Grundkonfiguration).
    • Nach Fertigstellung erhalten Sie per E-Mail die Zugangsdaten.
    • Zur Begleichung der Kosten wird ein ME-Schein an die Kontaktperson gesendet.
  3. Sie erstellen die Inhalte
    • Die vom Auftraggeber genannten Funktionsadmins haben Zugang zum PROWeb-Server (Secure Shell, scp) und können ggf. Software installieren und konfigurieren. Wir empfehlen, dass Sie die Mechanismen von ToSCA benutzen, um die Konfiguration des Systems zu sichern.
    • Zum Erstellen der Inhalte steht das Autorensystem TUCAL zur Verfügung.
  4. Pflege und Wartung
    • Den Inhalt pflegen Sie in eigener Verantwortung. Sie haben Zugriff auf Log-Dateien.
    • Sie bearbeiten regelmäßig die E-Mail, die in der zugeordneten Gruppen-Mailbox ankommt.
    • Das URZ sichert die Verfügbarkeit und andere administrative Aufgaben (siehe SLA) und berät Sie bei Fragen.
    • Für administrative Aufgaben (Einsicht in Statistiken und Log-Dateien, Festlegen von Backup, Admins usw.) stellen wir eine Web-Oberfläche zur Verfügung.
    • Für die Datensicherung (Backup) sind Sie verantwortlich. Sie können dafür den Backup-Dienst des URZ benutzen (siehe FAQ).
    • Vor Ablauf der Laufzeit schicken wir eine E-Mail mit Informationen zur Verlängerung oder Abmeldung.

Service Level Agreement (SLA) für PROWeb-Server

Für PROWeb-Server gelten die SLAs für Virtual Private Server Hosting und Linux VPS. Diese Vereinbarung regelt spezielle Leistungsmerkmale und Bedingungen zwischen Auftraggeber und dem URZ als Service Provider (Auftragnehmer), die sich aus Betrieb und Nutzung eines PROWeb-Servers ergeben.

Spezifikation eines PROWeb-Server-Auftrages

Bitte beauftragen Sie einen PROWeb-Server über dieses Auftragsformular.

Der Projektname und das Anliegen wird vom Auftragnehmer mit der Pressestelle und Crossmedia-Redaktion abgestimmt. Der Name kann, auch im Nachhinein, ohne Angabe von Gründen abgelehnt werden.

Leistungsumfang

  • Installation und Konfiguration eines Web-Servers
  • Ausstellung von SSL/TLS-Zertifikaten der TUC/URZ-CA
  • Bereitstellung einer E-Mail-Adresse als Gruppen-Mailbox
  • Beratung und Unterstützung des Auftraggebers

Leistungsparameter

  • Als Betriebssystem kommt Scientific Linux (64 oder 32-Bit) zum Einsatz.
  • Standardmäßig enthält der WWW-Server folgende Software:
    • Apache Web-Server mit mod_ssl, CGI
    • PHP mit Unterstützung für MySQL
  • System- und Netzwerksicherheit
    • zeitnahes Einspielen von Security-Patches der WWW-Server-Komponenten

Laufzeiten, Änderungen und Kündigung

Es gelten die Bedingungen zu Kosten, Laufzeiten, Änderung und Kündigung des Dienstes Virtual Private Server Hosting.

Antworten auf häufig gestellte Fragen

Fragen zum Web-Server

Steht das Autoren- und Layoutsystem der TU Chemnitz zur Verfügung?

Ja, Sie können über den Administrator-Bereich https://www.projekt.tu-chemnitz.de/tuc-admin/ auf den webbasierten Dateimanager zugreifen und Ihre Dateien bearbeiten. Alle Funktionen von TUCAL sind nutzbar.

Im Administrator-Bereich stehen weitere Funktionen zur Verfügung:

  • Anschauen der Serverkonfiguration und des aktuellen Server-Status
  • Anschauen der Log-Dateien und der Serverstatistik (mittels awstats)
  • Ändern der Berechtigung zum Zugriff auf den Administrator-Bereich
  • Steuerung der Datensicherung

Kann ich auch ein eigenes Content-Management-System einsetzen?

Ja, Sie können sich ein Content-Management-System installieren. Dazu sind Linux-Kenntnisse und der Zugang per Secure Shell nötig.

Wie ist der Webserver konfiguriert?

  • /etc/httpd/conf/httpd.conf – die Basiseinstellungen, hier keine Änderungen vornehmen, wird zentral gepflegt!
  • /etc/httpd/conf/server.conf – serverspezifischee Einstellungen
    • Konfig-Dateien in /etc/httpd/conf.d werden nicht automatisch in die Serverkonfiguration übernommen, sondern müssen hier per Include … eingeschlossen werden.
  • /etc/php.ini – Einstellungen für PHP, hier keine Änderungen vornehmen, wird zentral gepflegt!
  • /var/www/html – die DocumentRoot, d. h. diese Dateien werden dem Besucher angezeigt.
    • Startseite sollte index.html oder index.php heißen
    • PHP-Code wird auch in .html-Dateien ausgeführt.
    • Anweisungen zur Steuerung können in .htaccess-Dateien geschrieben werden.
  • Die aktuelle Konfiguration und der Status ist über den Administrator-Bereich einsehbar.

Reservierte Pfade

In der Server-Konfiguration sind diese Pfade bereits belegt und für Sie nicht nutzbar:

  • https://www.projekt.tu-chemnitz.de/tuc-admin/ – Der Zugang für die Administratoren
  • https://www.projekt.tu-chemnitz.de/tucal/ – TUCAL-Layout
  • https://www.projekt.tu-chemnitz.de/awstats/ – Nutzungsstatistik

Linux-Systemadministration

Wer darf sich auf dem Server per Secure Shell anmelden?

Das dürfen zunächst ausschließlich die Funktions-Administratoren und einige mit der Systempflege beauftragte URZ-Mitarbeiter. Der Funktions-Administrator kann weitere Funktions-Administratoren benennen:

Übersicht „Virtual Privat Server Hosting“ → Klick auf Servernamen …

Zusätzlich kann der Funktions-Administrator weiteren Nutzern den normalen Zugang erlauben, indem die Nutzerkennzeichen in der Datei /etc/login.access ergänzt werden. Um zum Beispiel dem Nutzer mit Nutzerkennzeichen otto Zugang zu erlauben, ist Folgendes zu tun:

  • Ergänzen in /etc/login.access (vor der letzten Zeile mit -): + : otto : ALL
  • Dann die Datei /etc/login.access sichern – siehe „Wie funktioniert das mit den Konfigurations-Dateien in ToSCA“ und Beschreibung von ToSCA.

Wie erlange ich root-Rechte?

Als Funktions-Admin mittels sudo, z. B.:

  • sudo suservice httpd restart – httpd (Apache) neu starten
  • sudo bash – eine root-Shell starten, beenden mit exit

Wie installiere ich zusätzliche Software-Pakete?

Mittels yum, z. B.:

  • Auflisten vorhandener Pakete: yum list 'php*'
    • listet bereits installierte und zusätzlich vorhandene Pakete, die mit php beginnen.
  • Installation zusätzlicher Pakete: sudo yum -d2 install php-mcrypt
    • installiert (als root) das Paket php-mcrypt (+ evtl. weiterer benötigter Pakete)

Datensicherung: Backup und Restore

Ziel der Datensicherung ist es, ein System nach Fehlern (Hardwarefehler, versehentliches Löschen) mit geringem Aufwand wiederherstellen zu können.

  1. Wiederherstellung des Basissystems und der Konfiguration:
    • Mittels ToSCA erfolgt die Installation des Basissystems und der benötigten Softwarepakte sowie das Einspielen der konkreten Konfigurationsdateien.
    • Für die Installation mit dem entsprechenden Paketen sorgt das URZ.
    • Die Konfigurationsdateien muss der Funktions-Admin ins ToSCA-Repository schaffen. Nur dann können diese im Fehlerfall auch wieder hergestellt werden.
  2. Wiederherstellen von Daten:
    • Daten, z. B. Webseiten Ihres PROWeb-Servers unter /var/www/html, ggf. auch andere, müssen geeignet gesichert werden.
    • Möglichkeit 1: Rsync-Dienst des URZ – Im Administrator-Bereich tragen Sie im Punkt Datensicherung die zu sichernden Verzeichnisse ein. Ab dem nächsten Tag haben Sie von dort aus dann Zugang zu den gesicherten Daten.
    • Möglichkeit 2: Sie organisieren das selbst, d. h. Sie fertigen selbst Backups des relevanten Datenbestandes des PROWeb-Servers auf einem anderen Rechner an.

Wie funktioniert das mit den Konfigurations-Dateien in ToSCA?

Verändern Sie Konfigurationsdateien, z. B. die httpd-Konfig /etc/httpd/conf/server.conf, dann müssen die in ein Repository gesichert werden.

  • Beschreibung von ToSCA
  • Übersicht über Repository-Verzeichnisse: /usr/local/bin/tosca-diff -r
  • Liste aller Dateien in Repositories: /usr/local/bin/tosca-diff -l
  • Unterschiede zwischen Dateien auf dem Rechner und im Repository: /usr/local/bin/tosca-diff
    listet Kommandos zum Abgleich aus.

Nach dem Ändern und Testen von Konfigurationsdateien auf dem Server starten Sie als root /usr/local/bin/tosca-diff und führen dann für die von ihnen geänderten Dateien die ausgegebenen cp -Befehle aus. Ändern Sie eine Konfigurationsdatei, die noch nicht in einem Repository ist, kopieren Sie diese Datei(en) in ein geeignetes Repository-Verzeichnis. Bei System-Release-abbhängigen Dateien (das sind die meisten) kopieren Sie die Datei am besten nach /afs/tu-chemnitz.de/ToSCA/ROOTS/SL_7/FU_XXX_PROWEB_PROJEKT_SERVER/…

Sie haben z. B. /etc/httpd/conf/server.conf und /etc/php.ini geändert. 
 shell> sudo bash                     -- als root arbeiten
 shell# tosca-diff                    -- Unterschiede zu Repositories anzeigen
   DIFF: /etc/httpd/conf/server.conf
   cp /etc/httpd/conf/server.conf /afs/tu-chemnitz.de/ToSCA/ROOTS/SL_7/FU_URZ_PROWEB_PROJEKT2_SERVER/etc/httpd/conf/server.conf
 shell# cp /etc/httpd/conf/server.conf /afs/tu-chemnitz.de/ToSCA/ROOTS/SL_7/FU_URZ_PROWEB_PROJEKT2_SERVER/etc/httpd/conf/server.conf
            -- /etc/httpd/conf/server.conf ins Repository gesichert
 shell# tosca-diff -r
    ... 
    /afs/tu-chemnitz.de/ToSCA/ROOTS/SL_7/FU_URZ_PROWEB_PROJEKT2_SERVER
    ...
 shell# mkdir -p /afs/tu-chemnitz.de/ToSCA/ROOTS/SL_7/FU_URZ_PROWEB_PROJEKT2_SERVER/etc
 shell# cp /etc/php.ini /afs/tu-chemnitz.de/ToSCA/ROOTS/SL_7/FU_URZ_PROWEB_PROJEKT2_SERVER/etc/php.ini
           -- /etc/php.ini ins Repository gesichert
 shell# exit                       -- root-Shell verlassen, Weiterarbeit als normaler Nutzer

Somit ist sichergestellt, dass die richtigen Konfigurationsdateien bei einer eventuell notwendigen Neuinstallation des Systems wiederhergestellt werden können.

Presseartikel