Knaģa emuāri

11. jūlijā lapas, kas izvietotas uz miga.lv servera, nebija pieejamas, jo vienlaicīgi nomira uzreiz divi cietie diski. Visu informāciju izdevās atgūt un naktī uz 12. jūliju viss atkal sāka strādāt, šoreiz tika pievienots vēl trešais disks, lai samazinātu iespēju, ka šādas nedienas atkārtotos.

Atvainojos par sagādātajām neērtībām!

Uz miga.lv tikko tika atjaunināta e-pastu servera SmarterMail versija uz jaunāko 7.0 versiju. Visi, kas izmanto e-pasta tīmekļa vietni http://mail.miga.lv/ uzreiz ievēros, ka mainījies ir vizuālais noformējums, taču tāpat ir pieejamas arī vairākas jaunas funkcijas.

Dažas no tām:

• vienkāršāka un ātrāka e-pastu meklēšana;
• iespēja saglabāt pielikumus uz servera un pārsūtīt tikai saites uz tiem (šobrīd limits ir 20Mb vienam failam) – var noderēt gadījumos, kad saņēmēja serveris pielikumus bloķē;
• kontaktu sadaļa padarīta ērtāka;
• e-pastiem iespēja uzlikt pazīmi “follow-up” (līdzīgi kā to ļauj darīt Outlook);
• sinhronizāciju centrs, kurā var pārskatīt visas izveidotās sinhronizācijas ar mobilajām iekārtām vai e-pasta programmām (piemēram, Outlook vai Thunderbird).

Uz miga.lv ir atjaunināta e-pasta servera versija no SmarterMail 6.1 uz 6.6 (izmaiņu saraksts). Izmaiņas nav nekādas lielās, dažādi sīki labojumi. Būtiskākais ir tas, ka vajadzētu būt uzlabotai ātrdarbība – iepriekšējā versija pamanījās noēst 100% CPU un turēt dažus e-pastus bezgalīgā mēstuļu pārbaudes procesā.

Uzgāju milzīgi detalizētu rakstu par HTTP pieprasījumu pāradresācijām (redirect). Derētu izlasīt ikvienam, kam interesē SEO (search engine optimization) vai kas veido mājas lapas, izmantojot tajās pāradresācijas.

The anatomy of a server sided redirect: 301, 302 and 307 illuminated SEO wise

Nesenā miga.lv programmatūras atjaunināšana uz SmarterMail 6.0 izraisīja mēstuļu filtra nekorektu darbību, tika veikta nozīmīga izmaiņa mēstuļu filtrēšanā – ieviests greylisting (wikipedia). Īsumā – šis filtrs nepazīstamu sūtītāju e-pastus pirmajā reizē noraida. Īstie sūtītāji vienmēr mēģina vēlreiz, bet mēstuļu sūtītāji taupa savus resursus un atkārtoti vēstuli nosūtīt mēģina gaužām reti.

Šis filtrs uzreiz akceptē visus sūtītājus, kas atrodas Latvijā – pagaidām mēstules no Latvijas datoriem tiek sūtītas gana reti, kā arī dažādus populārākos e-pastu servisus, piemēram, gmail. Tādēļ galvenie cietēji ir dažādas tīmekļa lapas, kas, piemēram, sūta foruma reģistrācijas apstiprinājumus. Šie apstiprinājumi tagad var kavēties līdz pat 15 vai 30 minūtēm, atkarībā no sūtītāja.

Labā ziņa ir tā, ka katrs lietotājs savos uzstādījumos šo filtru var atslēgt, ja, piemēram, nepieciešams steidzami saņemt minēto reģistrācijas apstiprināšanas e-pastu.

Papildus šim jauninājumam šodien tika atjaunināta programmatūra uz SmarterMail 6.1.3518 versiju (izmaiņu saraksts), kurā solīta mēstuļu filtra SpamAssassin darbības uzlabošanās. Šī filtra sliktā darbība bija galvenais iemesls, kāpēc pēdējās pāris nedēļās mēstuļu atpazīšana bija tik sliktā līmenī.

Nobeigumā daži attēli, kas parāda greylisting noderīgumu.

Ienākošo mēstuļu skaits pa dienām (te gan jāņem vērā, ka pēdējās nedēļās daļa mēstuļu netika atpazītas):

Kopējais ienākošo un izejošo e-pastu skaits pa dienām:

Izejošo SMTP savienojumu skaits pa dienām (parāda, cik daudz savienojumu agrāk tika veidoti, lai paziņotu kādam citam serverim, ka mēstules adresāts nav atrasts):

Uz miga.lv ir atjaunināta e-pasta servera versija uz SmarterMail 6.0 (izmaiņu saraksts). Izmaiņas nav pārāk mainījušas mail.miga.lv saskarni, taču daži jaunumi ir. Piemēram, e-pastu saraksts vairs nedalās lapās, bet ir viens garš, skrollējams saraksts. Kā arī uzstādījumu sadaļā parādījusies iespēja nomigrēt uz savu kontu visus datus no citas esošas pastkastītes (piemēram, gmail).

Krietni uzlabots arī mēstuļu filtrs - tagad mēstules tiek filtrētas, izmantojot daudz vairāk dažādus bloku sarakstus (RBL), kas, cerams, aizsargās pret gadījumiem, kad kādu IP kāds no servisiem nobloķējis netaisnīgi.

http://miga.lv lapai tika veikta kosmētiskā operācija, kas, cerams, to padarīs daudz pievilcīgāku jebkura apmeklētāja acīs. Cerība arī, ka nedaudz uzlabosies google meklētājā, kur meklējot "hostings" līdz šim migas lapa pirmajās desmit lapās nebija atrodama.

Pagaidām reģistrācija un pārvaldes modulis tiek izmantots no vecās versijas, bet ar laiku arī tas tiks nomainīts.

P.S. Pārvarēju sevi un miga.lv šobrīd ir pirmā lapa, kur kolonnu izkārtojumu veidoju ar tīru CSS, bez tabulām. Nebija jau nemaz tik grūti, kā varētu likties.

Šodien tika atjaunots SSL sertifikāts miga.lv servisiem (FTPS, HTTPS, IIS7 remote management). Iepriekšējā sertifikāta derīguma termiņš izbeidzās pirms pāris dienām tāpēc iespējams, ka kāds redzēja atbilstošos brīdinājumus.

Neliela piebilde - kad sertifikāta pieprasījums tiek izpildīts, nevajag jauno sertifikātu kaut kādu iemeslu dēļ dzēst ārā. Otru reizi izpildīt sertifikāta pieprasījumu nav iespējams. Kļūda, kura man izleca otrajā mēģinājumā, bija "certEnroll::CX509Enrollment::p_InstallResponse: ASN1 bad tag value met. 0x8009310b (ASN: 267)". Paglāba informācija šajā rakstā: The Way I See It. Pievienoju sertifikātu ar roku un izpildīju rakstā minēto pēdējo komandu, lai sertifikātam atjaunotu privāto atslēgu.

Viens no lielākajiem ieguvumiem, izmantojot Microsoft Internet Information Services, ir grafiskais pārvaldes rīks, kas būtiski atvieglo dažādu tīmekļa servera uzstādījumu konfigurēšanu. Zemāk aprakstīti soļi, kas jāveic, lai no sava datora ar grafisko vidi pieslēgtos miga.lv serverim.

1. Atbalstītās operētājsistēmas: Windows XP SP2+, Windows Server 2003 SP1+, Windows Vista SP1+.

2. Jāinstalē IIS 7.0 Manager for Remote Administration: 32bit vai 64bit (instrukcija un instalācija). Jāņem vērā, ka uz Windows Vista šis ir papildinājums iebūvētajam rīkam, kas ļauj pārvaldīt tikai lokālo serveri.

3. Jāpalaiž Internet Information Services (IIS) Manager.

4. Sadaļā Connection tasks jāizvēlas Connect to a site...

5. Laukā Server name jānorāda miga.lv, bet laukā Site name jānorāda Jūsu domēna vārds, piemēram, knagis.miga.lv vai meritus.lv.

6. Spiežot Next, tiks pieprasīts lietotāja vārds un parole - tie jāievada tieši tādā pašā formā kā http://miga.lv pārvaldes modulī.

7. Pēc Next nospiešanas tiek piedāvāta iespēja nodēvēt savienojumu kādā specifiskā vārdā, pēc Finish nospiešanas atvērsies pārvaldes rīks.

8. Pēc šiem soļiem ļoti iespējams, ka parādīsies jautājums, vai vēlaties instalēt dažas specifiskas bibliotēkas. Tam vajadzētu piekrist, jo tās nodrošina dažādas papildus iespējas, kā konfigurēt savu domēnu.

Turpmāk pie sava domēna pārvaldes varēsiet tikt, izvēloties attiecīgo ierakstu kreisajā malā, tikai katru reizi būs no jauna jānorāda lietotāja vārds un parole.

IIS Manager ļauj konfigurēt dažādus tīmekļa lapas aspektus, piemēram, norādīt, ka noteiktas direktorijas saturs tiek parādīts lietotājam (Directory Browsing), vai arī tieši otrādi - ļauj aizliegt piekļuvi kādas direktorijas saturam (Authorization Rules).

Lielākā daļa no izmaiņām, kuras serveris ļauj veikt domēna īpašniekiem, tiek saglabātas Web.config failos, kuriem var piekļūt, izmantojot FTP. Līdz ar to arī pati konfigurācija var tikt veikta, izmainot atbilstošos failos un augšupielādējot tos caur FTP.

Šim rakstam drīzumā sekos dažu atsevišķu pārvaldes rīka funkciju sīkāks apraksts ar pamācībām.

Pienācis laiks aprakstīt kādu drošības caurumu, kas bija viens no galvenajiem iemesliem, kāpēc atteicos no vecā miga.lv servera un Apache web servera. Šis raksts netika rakstīts ar domu, ka kāds šo caurumu nu sāks izmantot (ceru, ka lielajos hostinga serveros tas nav iespējams), bet, lai serveru administratoros raisītu pārdomas par to, kā, apvienojot dažas nekaitīgas funkcijas, var panākt sliktas lietas.

Problēma sastāvēja no vairākām, atsevišķi nekaitīgām, detaļām:

• uz servera bija atļauts .htaccess failā definēt MIME tipus;
• PHP moduli web serveris palaiž atkarībā no faila MIME tipa;
• uz servera bija iespējams veidot un lietot simboliskos linkus.

Katrs no šiem punktiem ir nepieciešams noteiktos scenārijos un pats par sevi neko sliktu nevar izdarīt.

Par caurumu tie pārvērtās sekojošā situācijā:

• servera ļaunais lietotājs izveido simbolisko linku uz kāda cita klienta direktoriju;
• ļaunais lietotājs direktorijā, kurā atrodas šis links, izveido .htaccess failu;
• .htaccess failā ļaunais lietotājs norāda, ka .php failiem MIME tips ir text/plain, papildus vēl ieslēdz arī direktoriju pārlūkošanu;
• ļaunais lietotājs caur pārlūkprogrammu piekļūst šim linkam, iegūstot pieeju visiem otra klienta .php failiem kā tekstam.

Tā kā .php failos parasti ir tīrā tekstā saglabātas datubāzes paroles, ļaunais lietotājs var piekļūt svešām datubāzēm. Papildus ļaunais klients iegūst pieeju cita lietotāja intelektuālajam īpašumam (lapas kodam).

Vienīgā aizsardzība, kas tika izveidota uz miga.lv vecā servera, bija regulāra pārbaude, vai kāds lietotājs neveido simboliskos linkus uz svešām direktorijām. Diemžēl, nesamazinot piedāvāto funkcionalitāti, ar izmantoto programmatūru šo caurumu izlabot nevarēja.