Testy serwera hostingowego Opcje

[dragossani]

Ze względu na duże zapotrzebowanie wśród forumowiczów na darmowy lub bardzo tani hosting z dostępem do odpowiednich technologii, podjęto w Newcomo prace nad przygotowaniem odpowiedniej platformy serwerowej dla tego typu usług. Oferta hostingowa skierowana będzie do pasjonatów php i technologii pośrednio z nim związanych. Pakiet funkcjonalności obejmował będzie dostęp do Apache, php, MySQL, Postgres w wersjach stabilnych (port 80) jak i rozwojowych (port 8080), konta pocztowe, oraz dostęp do shella. Ze względów bezpieczeństwa nie będzie można używać FTP - należy posłużyć się SCP (np. WinSCP). Profil usługi powoduje też, że na serwerze obowiązywał będzie zakaz działalności komercyjnej. Aby ułatwić życie majsterkowiczom, wiele z opcji konfiguracyjnych zostanie oddane w ręce użytkowników.

Prace nad przygotowaniem powyższej platformy podzielone zostały na kilka etapów:
1. Udostępnienie do testów shella, Apache, php, MySQL i Postgres w wersjach stabilnych. Testy powinny objąć kwestie bezpieczeństwa, oraz kontrolę poprawności działania wszystkich elementów.
2. Udostępnienie do testów Apache, php, MySQL i Postgres w wersjach rozwojowych. Cel testów podobny jak na etapie poprzednim.
3. Udostępnienie do testów wszystkich mechanizmów związanych z funkcjonowaniem poczty. Ze względu na potencjalną możliwość nadużyć, testy na tym etapie ograniczone będą prawdopodobniej do zaufanej grupy osób.
4. Udostępnienie do testów wszystkich drobnych udogodnień. Na tym etapie celem testów jest przede wszystkim kontrola wygody korzystania z kont i sprawdzenie czy nie brakuje jakiś przydatnych mechanizmów.
5. Przeniesienie sprawdzonej konfiguracji na maszynę produkcyjną i udostępnienie usług.

Niniejszym wkraczamy w pierwszy etap testów. Liczę, że forumowicze (oraz krewni i znajomi królika) włączą się aktywnie w testy powyższej konfiguracji. Docelowo hosting na tej maszynie sprzedawany będzie za 50 zł / rok, a zawierał będzie wszystkie funkcjonalności, łączenie z shellem i pocztą. Myślę, że to oferta atrakcyjna dla wielu - liczę więc że chętnych do testowania nie zabraknie.

Informacje o maszynie: http://hackme.php.pl (212.126.1.6), SSH na standardowym porcie 22, konta od "user1" do "user10", hasła takie jak nazwa konta, podobnie nazwy baz i hasła do nich. Na jednym koncie może być zalogowany równocześnie tylko jeden użytkownik, więc w razie braku możliwości zalogowania się na dane konto, proszę spróbować innego. Dostęp do baz na razie wyłącznie z localhost. Wszystkie uwagi na temat wyników testów proszę przysyłać na konto: hackme@php.pl lub publikować w poniższym wątku. Bardzo proszę też o uwagi na temat tego, czego oczekiwalibyście od takiego serwera.

=== BUGLIST ===
1. quota [załatana]
2. mutt [zadziała podczas testów poczty]
3. find [zeżarł pamięć, poprawiamy kontolę zasobów...]
4. krenel w /usr/src [załatany]
5. pakiety w /var/log [załatane]
6. wget [działa]
7. uprawnienia w SCP [załatane]

== POSTULATY ==
1. Logi Apache [jest]
2. Logi MySQL i Postgres [będą]
3. Logi Cron [będą]
4. SSL [będzie]
5. BitchX [po testach - będzie]
6. Sockety w ogóle [decyzja po testach]
7. gcc [decyzja po testach]
8. c jako cgi [decyzja po testach]
9. socket dla DNS [jest]

[spenalzo]

Ooo, bardzo fajnie
Chciałbym sie tylko dowiedzieć, czemu nie będzie można tam prowadzić działalności komercyjnej?

[FiDO]

Bardzo ciekawa inicjatywa, chyba sie skusze

Jaka bedzie quota na pliki/baze?

[Jabol]

już testowałem - muszę przyznać że działą bardzo fajnie - bardzo szybko.

[dragossani]

Parę dodatkowych informacji:

Na serwerze będzie obowiązywał zakaz działalności komercyjnej z kliku powodów:
1. Cena - 50 zł / rok i ktoś ma tam móc Allegro postawić? No to już chyba pprzesada.
2. Bezpieczeństwo - jeśli konto jest z shellem i przeznaczone dla pasjonatów to o wandalizm nietrudno. Oczywiście zrobimy co się da żeby tego uniknąć - stąd testy, ale nie chcemy ryzykować umieszczając obok poważne projekty komercyjne.
3. Wydajność - hosting dla działalności komercyjnej bedzie umieszczony na osobnej maszynie aby zapewnić stabilną wydajność.

Oczywiście hosting dla działalności komercyjnej również będzie sprzedawany (z resztą już jest sprzedawany) ale na nieco innych zasadach. Dodam, że Newcomo zajmuje się również sponsoringiem (w tym darmowy hosting) ale wtedy zasady negocjowane są indywidualnie i raczej dotyczy to witryn o już ustalonej, wysokiej oglądalności.

Odpowiadając na pytania o quotę - 50 MB WWW i katalog domowy, 50 MB poczta, 50 MB MySQL, 50 MB Postgres.

Jeśli chodzi o wydajność to na razie całość stoi na dość słabej maszynie. Docelowa konfiguracja będzie znacznie wydajniejsza. Bawimy się w tej chwili dwuprocesorowym Mac'iem, ale myślę że docelowo będzie to jeszcze inna, nowa maszyna.

Jeśli chodzi o testy - na razie odzew jest skromny. Nie wierzę, że nie macie żadnych wymagań co do konfiguracji. Każda uwaga jest cenna. Od tego zależy jaki będzie docelowy kształt udostępnionej platformy. Każde testowe konto dysponuje subdomeną, np: user4.hackme.php.pl, pliki z katalogu /www każdego usera są przez tą domenę dostępne. Można więc do woli bawić się skryptami - do czego zachęcam. Kompilacja php jest wyjątkowo bogata (phpinfo), warto więc sprawdzić bardziej egzotyczne funkcjonalności (Java itd.).

Ciekawi mnie jakie elementy uatrakcyjniły by korzystanie z serwera? Dostęp do logów - których? Dostęp do konfiguracji - procmail, wirtualki, przekierowania, subdomeny, fetchmail, cron, logrotate? Jeszcze coś? Udało się komuś coś zhaczyć? Dzięki z góry za każdą informacje.

[orson]

witam ...

moze kazdy user mialby w katalogu logs wycinek logow z bazy, apache, crona itp. dotyczacy tylko jego konta mozna by bardzo latwo budowac statystyki .... w apache chyba da sie rozdzielic logi dla kazdego virtuala

pomysl swietny ... macie odemnie $klient++ na takie cos

cya

[PMadej]

testowalem ... i po niewielkich problemach (nie z winy serwera) udalo mi sie postawic na nim to co chcialem ...
serwerek jest zauwazalnie wolniejszy niz ten na ktorym stoi forum. Mam nadzieje ze ten ostateczny bedzie szybszy ... jesli tak to jak orson $klient++;

[kliszaq]

ello
mysle ze jakbyscie wmontowali tam jeszcze Open SSL-a byloby full wypas, gdyz praktycznie nie ma mozliwosci testowania polaczen https w necie z taka cene....

[kris_]

co by tu duzo mowic:
- quota nie działa
- brak komeny mail, nie ma pine
czesto server sie wiesza
np mutt:
-- Mutt: Compose [Approx. msg size: 0.1K Atts: 1]----------------------------Error sending message, child exited 127 (Exec error.).

find mi z segfaultowal
[5] Segmentation fault find / >a1.txt

- chocby w /var/log widac wszystkie zainstalowane pakiety z ich wersjami
- nie ma suida na su a jest np na ping,at i crontabie
- jest suid na pinga a nie ma dostepu do socketa
- w /usr/src leza zrodla kernela z konfiguracja dostepne do odczytu dla kazdego
- generalnie nie dzialaja sockety sieciowe

tak naprawde konto jest na tyle ograniczone ze wlasciwie uzywanie go mija sie troche z celem
brakuje odpowiednich ograniczen w wykorzystaniu zasobow, a w zamian jest wiele bezsensownych i upierdliwych limitow
na koncie nie odpali sie zadnej binarki, nie dokona zadnego polaczenia sieciowego, mozna co najwyzej odpalic skrypt shellowy albo php

[dragossani]

Dzięki kris_ za konkretny raport.
- Pierwsze słyszę, że quota nie działa, ale sprawdzimy, sprawdzimy...
- Mail, pine, subdomena mail itd.: na tym etapie nie testujemy jeszcze poczty . Przeczytaj mój post dokładnie.
- Mutt i find do poprawki: kernel je przycina: dzięki za info.
- /var/log i /usr/src: do poprawki: dzięki za info.
- po co ci su?
- Sockety celowo wycięte: ktoś będzie potrzebował to dostanie. No chyba, że krisów socketowców znajdzie się dużo to zastanowimy się... Wszyscy chcą sockety? Please vote.
- Ograniczenia zasobów obejmują na razie odpowiednie priorytety procesów. Co proponujesz jeszcze?
- Upierdliwe limity można nieco rozluźnić, po to są te testy. :wink: Napierw "deny 4 all" potem rozluźniamy. Prawda?
No to walczymy dalej.

[Jabol]

sockety powinny być... chociażby jakieś ftp albo takie ( BitchX ? )
może jeszcze by się przydał gcc.

[dragossani]

Tak jak przypuszczałem trzeba będzie ustalić kompromisy między bezpieczeństwem, a wygodą.
- BitchX - czemu nie.
- Sockety, hmm... Ciężko kontrolować, łatwo broić. Ale możemy to przećwiczyć.
- gcc? Rozumiem, że do tego źródełka najnowszych rootkitów dociągane cronem do katalogów domowych? Sorki za sarkazm, ale to spore ryzyko. Możemy spróbować udostępnić gcc, ale może potestujmy na razie to co jest i na końcu pobawimy się ze sprawdzaniem czy da się nabroić z użyciem gcc.

W pierwszym poście tworzę listę bugów i postulatów, wraz ze statusem. Będę korygował na bierząco.

[Jabol]

- gcc? Rozumiem, że do tego źródełka najnowszych rootkitów dociągane cronem do katalogów domowych? Sorki za sarkazm, ale to spore ryzyko. Możemy spróbować udostępnić gcc, ale może potestujmy na razie to co jest i na końcu pobawimy się ze sprawdzaniem czy da się nabroić z użyciem gcc.

Oprócz tych zastosowań zawsze może dojść potrzeba skompilowania sobie czegoś na linuxie dla osób spod wina... przyznam, że ryzyko jest spore, ale ... no cóż ... chciałbym mieć c ( może również możliwość uruchamiania c jako cgi ).

a tak wogóle to chciałem sobie coś sciągnąc wgetem ale się nie udało bo "host was found" :/, czy też coś nie tak z dns'em

[kris_]

nie ma socketu na polaczenie z 53(dns)
co do socketu dla bitchxa to jestem przeciwko bo ludzie zaczna boty stawiac a to ma byc do pracy a nie do zabawy
co do kompilatora to po co wam misiaczki komplikator skoro partycje so noexec (pewnie ze mozna przez biblioteke hackowac ale to nie o to chodzi)
co do su to nie chodzilo mi o to ze mi zalezy, ale uniemozliwia to zdalna administracje (ja wiem ze wy logujecie sie ssh na roota ale to zenada) , powinien byc suid na su ale tylko dla grupy wheel/root
no a w druga strone po co suid na pingu skoro nie ma socketa
raczej załozcie pinga bez suidow, sa tez takie dzialaja na udp

[dragossani]

Z tym su to może i racja, choć raczej jest tak, że śpimy z serwerami i w ogóle nie ma zdalnej administracji.

Z tym BitchX mam nieco inne zdanie. Możliwość grzebania przy mechanizmach IRCowych to nie tylko zabawa. Każda wiedza jest cenna.

Może warto, tak jak sugerował Jabol, dać gcc ale tylko w celu obsługi cgi?

[Jabol]

o i wiem. IPv6 zarówna do php jak i do zwykłych aplikacji - np. ssh oraz tych uruchamianych z serwera.

[PMadej]

jeszcze mam jedną sugestię. Na serwerze mają być dostępnych full opcji. Osobiście nie będę z większości z nich nigdy korzystał i dlatego sie zastanawiam nad tym czy mam płacić za coś czego nie potrzebuje. Dobrze by bylło gdyby był jakiś podstawowy zestaw i do tego płatne osobno dodatki.

Co sądzisz o tym dragossani?

[orson]

witam ...

czy ja wiem mysle ze to i tak jest bardzo atrakcyjna cenowo oferta wiec poco robic chlopaka klopotow roznymi wersjami konta, oplatami, wymaganiami itp.

cya

[kris_]

Z tego co ja rozumiem ich intencje to ten server ma sluzzyc do rozwijania i testowania wlasnego softu. Jakosc polaczen, zasobow i bezpieczenstwo nie sa tam w zaden sposob zagwarantowane i stawianie jakiegokolwiek komercyjnego serwisu na tym serverz bylo by nieporozumieniem. Cena jest adekwatna do jakosci konta.

[dragossani]

Wracając do spraw testów - na hackme.php.pl udostępniliśmy już:
- Apache 2.0.47 (port 8080, katalog WWW2 w domowym)
- php 5.0 beta
- MySQL 4.1 alpha (port 3307, binaria: /usr/local/mysql2/bin/ )
- Postgres 7.4 beta 5 (port 5433, binaria: /usr/local/pgsql2/bin/ )
Pojawiły się też: Links, Lynx i wget.

Miłego testowania. :wink: