W nocy z piątku na sobotę (o północy czasu GMT czyli o pierwszej czasu środkowoeuropejskiego) nastąpi rekonfiguracja i restart wszystkich maszyn wirtualnych hostowanych na hell.pl. W czasie przerwy przeprowadzone zostaną następujące zmiany:
- instalacja nowszej wersji jądra systemu operacyjnego,
- rekonfiguracja niektórych wewnętrznych usług i serwisów,
- wymagające restartu zmiany w konfiguracji maszyn wirtualnych
Koszty utrzymania.
Szczegóły dotyczące kosztów utrzymania, terminów, kont bankowych itp. znajdują się na niedawno otwartym piekielnym wiki pod adresem https://wiki.hell.pl/admin:utrzymanie. Wiki wymaga zalogowania kontem i hasłem do hell; połączenie jest szyfrowane. Jeśli hasło nie działa, proszę o kontakt pocztą elektroniczną na baran+admin AT hell.pl lub jabberem na baran AT hell.pl.
Ponieważ nie udało mi się dotrzeć do wszystkich użytkowników hell, termin decyzji o zamknięciu lub pozostawieniu działającego konta na hell przesuwamy na koniec lutego 2011.
Adresy kontaktowe.
Proszę o przesłanie na adres baran+admin AT hell.pl danych kontaktowych użytkowników – tak, żebyśmy mogli się skontaktować ze wszystkimi nawet w sytuacji niedostępności usług na hell. Preferowany zestaw to adres e-mail + telefon, ale sam adres e-mail powinien być wystarczający. Dane nie są i nie będą udostępniane osobom nie związanym z hell.
Pod powyższym adresem uruchomiliśmy serwis, w którym powoli dokumentujemy wszystkie usługi dostępne na hell. Serwis wymaga połączenia szyfrowanego i zalogowania się przy użyciu hellowej nazwy użytkownika i hasła.
Jeśli udało nam się skonfigurować wszystko poprawnie, blog informacyjny hell powinien teraz rozpowszechniać swoje miazmaty także na Facebooku.
Co zrobić, pokusa była zbyt silna.
W nocy z piątku na sobotę (o północy czasu GMT czyli o pierwszej czasu środkowoeuropejskiego) nastąpi restart limbo.hell.pl, a co za tym idzie wszystkich hostowanych maszyn wirtualnych (inferno, genie, vault i quiston); powodem restartu są:
- instalacja nowszej wersji jądra systemu operacyjnego
- wymagające restartu zmiany w konfiguracji maszyn wirtualnych (głównie zmiana rozmiarów dostępnej przestrzeni dyskowej).
Odspamianie – systemowo
Wdrożyliśmy właśnie sprawdzanie i znakowanie poczty na poziomie systemu dostarczania poczty. Wiadomości rozpoznane jako spam są oznaczane; nie odrzucamy (i nie będziemy odrzucali) listów ze względu na wynik ich identyfikacji przez system antyspamowy.
System pocztowy (MTA) weryfikuje pocztę przekazując ją do sprawdzenia przez spamd z pakietu spamassassin i może dodawać nastepujące nagłówki:
X-MTA-Spam-Score:
X-MTA-Spam-Report:
oraz X-MTA-Spam-Flag:
Nagłówek „X-MTA-Spam-Flag: YES” jest dodawany wyłącznie w przypadku wykrycia spamu; pozostałe znajdują się w każdym przeanalizowanym mailu i zawierają sumaryczną punktację oraz szczegółowy raport.
Filtrowanie poczty pod kątem obecności nagłówka X-MTA-Spam-Flag: powinno wystarczyć do rozpoznania większości spamu.
Spamassassin
Zainstalowana na inferno.hell.pl instancja programu spamassassin skonfigurowana jest w postaci usługi systemowej (spamd).
Można jej – jak do tej pory – używać niezależnie (choć w przypadku korzystania ze standardowej konfiguracji, bez modyfikowania typowych ustawień, jest to niepotrzebne marnowanie zasobów). Jeśli z jakichś powodów decydujecie się na osobne uruchamianie odspamiacza, zalecamy korzystanie z usługi poprzez wywoływanie ‘spamc’ – połączenie z systemowym demonem spamd jest znacznie szybsze niż uruchamianie programu ‘spamassassin’.
Poczta w zasadzie po prostu działa.
Konfiguracja jest niemalże identyczna jak na poprzednim serwerze, konta użytkowników i hasła się nie zmieniły – ale trzeba będzie zmienić nazwy serwerów SMTP/POP3/IMAP.
Nowe ustawienia:
- SMTP: mail.hell.pl, port 25 (TLS), 587 (TLS) lub 465 (SSL); preferowany jest port 587/TLS ,
- POP3: mail.hell.pl, port 995 (wyłącznie SSL),
- w pliku $HOME/.spop3d można wskazać, w jakim miejscu przechowywana jest poczta; więcej w dokumentacji dot-spop3d(1)
- IMAP: mail.hell.pl, porty 143 (TLS) lub 993 (SSL),
- serwer IMAP standardowo szuka poczty w katalogu $HOME/Maildir,
- w najbliższym czasie uruchomimy mechanizm, który przy połączeniu się protokołem IMAP będzie automatycznie importował pocztę z pliku $HOME/Mailbox,
- SIEVE: mail.hell.pl; programy korzystające z protokołu MANAGESIEVE powinny połączyć się automatycznie.
Uwaga: wrzucenie na serwer i aktywowanie skryptów sieve spowoduje, że MTA zacznie używać dovecotowego mechanizmu dostarczania poczty i reguł zawartych w dostarczonych skryptach.
MTA reguł dostarczania poczty szuka w następującej kolejności (używana jest pierwsza znaleziona metoda):
- w skryptach sieve, jeśli zainstalowane przy pomocy protokołu MANAGESIEVE,
- w plikach .forward-suffix, .forward+suffix (dla adresów typu user+suffix@doma.in)
- w plikach .forward
- w pliku .mailfilter (reguły programu maildrop)
- w pliku .procmailrc (reguły procmaila)
W razie nieskonfigurowania żadnej z tych metod używany jest standardowy mechanizm systemowy: dostarczanie do pliku $HOME/Mailbox (wkrótce: do katalogu $HOME/Maildir)
Certyfikaty.
W ramach ogólnego porządkowania konfiguracji i w związku ze zmianą adresów utworzyliśmy nowe CA i certyfikaty kryptograficzne:
Zaimportowanie tego certyfikatu do $ULUBIONEGO_PROGRAMU_POCZTOWEGO powinno wystarczyć, żeby programy pocztowe nie płakały z powodu nieznanego im CA i obcych certyfikatów. Można też, oczywiście, przekonać program pocztowy, że certyfikat jest jak najbardziej w porządku.
Odspamianie.
Przeprowadzka
Ostatnia faza przenosin hell.pl rozpocznie się ósmego grudnia. Niestety, będzie się to wiązało z czasowym brakiem dostępu do www, poczty i kont shellowych (już przeniesiony serwer jabbera będzie działał bez przerw).
Dane użytkowników zostały już przekopiowane; ostateczna synchronizacja powinna zająć kilkanaście-kilkadziesiąt minut.
Podejmujemy wszelkie starania, żeby nie dopuścić do utraty poczty przychodzącej na adresy użytkowników, nie możemy jednak zagwarantować, że wszystkie listy nadesłane w trakcie przenosin dotrą do użytkowników po przeprowadzce (jakkolwiek nie spodziewamy się, żeby wystąpiły jakieś poważniejsze problemy).
Sposób dostępu do poczty zostanie (najprawdopodobniej) zmieniony i uporządkowany. Szczegółowe informacje o zmianach w konfiguracji podamy na blogu.
Harmonogram
Migracja zakończy się tak szybko jak to możliwe, nie jesteśmy jednak w stanie podać konkretnych terminów; najważniejsze usługi postaramy się przywrócić w pierwszej kolejności.
- dostęp do kont shellowych na serwerze hell.pl zostanie zablokowany 8.12.2010 o czwartej po południu,
- wszystkie wpisy w DNS dla hell.pl i innych domen serwowanych przez dns.hell.pl zostaną przekonfigurowane do korzystania z nowych adresów IP,
- konta użytkowników i dane znajdujące się w /srv/www zostaną zsynchronizowane z nowym serwerem
- zawartość baz danych używanych przez blogi i inne aplikacje WWW zostanie skopiowana na nowy serwer
- serwisy WWW zostaną przekonfigurowane (i zaczną wracać sukcesywnie w miarę postępu prac)
- dostęp do kont shellowych zostanie przywrócony po sprawdzeniu poprawności transferu danych użytkowników,
- dostęp do poczty zostanie przywrócony po zakończeniu konfiguracji i testów systemu pocztowego
- pozostałe serwisy wrócą w miarę ich (ponownej) konfiguracji
Informacje o stopniu zaawansowania prac będziemy podawali na bieżąco na blogu i blipie (tag #piekło). Prosimy o nienękanie pytaniami w trakcie pracy.
Comments (0)
Themocracy