Entwicklertagebuch: Neue Umgebung
Hallo Administrator User,
der seit Wochen geplante Umzug in die Aixit Cloud ist abgeschlossen. Wir haben das Portal und alles was dazugehört (Mailsystem, Datenbanken, Suchmaschine, Firmenseite, etc.) erfolgreich virtualisiert und in die Cloud des Aixit Rechenzentrums verschoben. Für uns hat das den Vorteil, dass wir keine eigene Hardware mehr betreiben, kaufen und pflegen müssen. Die Risiken durch Hardware-Ausfälle wurden damit minimiert. Die Cloud-Umgebung von Aixit ist frei skalierbar und wir können sie hervorragend an des Wachstum unsere Seite anpassen. Die damit freigewordenen Ressourcen fließen nun wieder in die Weiterentwicklung der Seite.
Zusätzlich haben wir das Betriebssystem und auch die einzelnen Dienste aktualisiert. Aus Fedora wurde Ubuntu TLS, aus MySQL Version 5 wurde Version 8, aus PHP 7 wurde Version 7.2 usw. Bei der Umstellung der MySQL Datenbank gab es einige Fehler, da von Seiten der Datenbank vieles intern geändert wurde. Mit Hilfe unsere User konnten wir aber alle bekannten Probleme beheben. Danke.
Solltet ihr jetzt noch Fehler oder Probleme auf der Seite entdecken, freue ich mich auf eine interne Mail oder auf einen Kommentar hier in diesem Beitrag.
Ich hoffe die Änderungen gefallen und freue mich auf Euer Feedback.
P.S. Wer Interesse hat seine Plattform oder Firma in die Aixit Cloud zu bringen kann gerne . Wir beraten oder begleiten Firmen bei diesem Schritt. Die Aixit Cloud wird in einem zertifizierten Rechenzentrum in Frankfurt am Main betrieben. Das Rechenzentrum erfüllt alle europäischen und deutschen Datenschutz Anforderungen (DS-GVO).
Gruß
Frank
der seit Wochen geplante Umzug in die Aixit Cloud ist abgeschlossen. Wir haben das Portal und alles was dazugehört (Mailsystem, Datenbanken, Suchmaschine, Firmenseite, etc.) erfolgreich virtualisiert und in die Cloud des Aixit Rechenzentrums verschoben. Für uns hat das den Vorteil, dass wir keine eigene Hardware mehr betreiben, kaufen und pflegen müssen. Die Risiken durch Hardware-Ausfälle wurden damit minimiert. Die Cloud-Umgebung von Aixit ist frei skalierbar und wir können sie hervorragend an des Wachstum unsere Seite anpassen. Die damit freigewordenen Ressourcen fließen nun wieder in die Weiterentwicklung der Seite.
Zusätzlich haben wir das Betriebssystem und auch die einzelnen Dienste aktualisiert. Aus Fedora wurde Ubuntu TLS, aus MySQL Version 5 wurde Version 8, aus PHP 7 wurde Version 7.2 usw. Bei der Umstellung der MySQL Datenbank gab es einige Fehler, da von Seiten der Datenbank vieles intern geändert wurde. Mit Hilfe unsere User konnten wir aber alle bekannten Probleme beheben. Danke.
Solltet ihr jetzt noch Fehler oder Probleme auf der Seite entdecken, freue ich mich auf eine interne Mail oder auf einen Kommentar hier in diesem Beitrag.
Ich hoffe die Änderungen gefallen und freue mich auf Euer Feedback.
P.S. Wer Interesse hat seine Plattform oder Firma in die Aixit Cloud zu bringen kann gerne . Wir beraten oder begleiten Firmen bei diesem Schritt. Die Aixit Cloud wird in einem zertifizierten Rechenzentrum in Frankfurt am Main betrieben. Das Rechenzentrum erfüllt alle europäischen und deutschen Datenschutz Anforderungen (DS-GVO).
Gruß
Frank
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 393707
Url: https://administrator.de/knowledge/entwicklertagebuch-neue-umgebung-393707.html
Ausgedruckt am: 21.12.2024 um 14:12 Uhr
21 Kommentare
Neuester Kommentar
Hallo Frank,
vielen Dank für die fülle an Informationen.
Ich erhalte immer wieder - nicht reproduzierbar - beim ersten Aufruf der Seite einen Fehler 500. Drücke ich F5 wird die Seite problemlos geladen. Die Problematik habe ich nun schon im Firefox, Google Chrome und Internet Explorer feststellen können. Betriebssystem ist zu Hause Windows 10 und Büro Windows 7.
Nachtrag 21:30 Uhr:
Nachdem Abschicken des Kommentars sah die Seite so aus:
Gruß,
Dani
vielen Dank für die fülle an Informationen.
Ich erhalte immer wieder - nicht reproduzierbar - beim ersten Aufruf der Seite einen Fehler 500. Drücke ich F5 wird die Seite problemlos geladen. Die Problematik habe ich nun schon im Firefox, Google Chrome und Internet Explorer feststellen können. Betriebssystem ist zu Hause Windows 10 und Büro Windows 7.
Nachtrag 21:30 Uhr:
Nachdem Abschicken des Kommentars sah die Seite so aus:
Gruß,
Dani
Moin Frank,
... und bei der Webserver-Konfiguration besteht auch noch etwas Handlungsbedarf (Keylänge, CAA, HSTS, Certificate Chain, XSS Protection, Content Security Policy, OCSP Stapling, Cipher Suites, etc...).
Gruß,
Dani
... und bei der Webserver-Konfiguration besteht auch noch etwas Handlungsbedarf (Keylänge, CAA, HSTS, Certificate Chain, XSS Protection, Content Security Policy, OCSP Stapling, Cipher Suites, etc...).
Gruß,
Dani
Hi Dani,
zur ersten Antwort kann ich nichts sagen, ich habe versucht das Verhalten zu reproduzieren und nichts gefunden. Warum bei dir die CSS-Datei nicht richtig geladen werden, weiß ich nicht. Ich habe die Seite auf Rechnern getestet, die sie noch nie geöffnet hatten und es funktioniert alles ohne Probleme.
Hat noch jemand so ein Verhalten erlebt?
das wundert mich schon, ist es doch das gleiche Zertifikat wie vorher auch. Da war es ein A+. Das werde ich mir am Montag noch genauer anschauen müssen.
Meinst du den "X-XSS-Protection response header"? Den hatten wir bisher nicht und glaube auch nicht, dass man es braucht.
hatten wir vorher auch nicht und auch hier glaube ich nicht, dass man es wirklich braucht.
Es ist nicht der Webserver, der das SSL ausliefert, es ist der HAProxy.
Gruß
Frank
zur ersten Antwort kann ich nichts sagen, ich habe versucht das Verhalten zu reproduzieren und nichts gefunden. Warum bei dir die CSS-Datei nicht richtig geladen werden, weiß ich nicht. Ich habe die Seite auf Rechnern getestet, die sie noch nie geöffnet hatten und es funktioniert alles ohne Probleme.
Hat noch jemand so ein Verhalten erlebt?
This server's certificate chain is incomplete. Grade capped to B.
das wundert mich schon, ist es doch das gleiche Zertifikat wie vorher auch. Da war es ein A+. Das werde ich mir am Montag noch genauer anschauen müssen.
XSS Protection
Meinst du den "X-XSS-Protection response header"? Den hatten wir bisher nicht und glaube auch nicht, dass man es braucht.
Content Security Policy,
hatten wir vorher auch nicht und auch hier glaube ich nicht, dass man es wirklich braucht.
und bei der Webserver-Konfiguration besteht auch noch etwas Handlungsbedarf
Es ist nicht der Webserver, der das SSL ausliefert, es ist der HAProxy.
Gruß
Frank
Hallo Frank,
hier kein Problem damit, allerdings sind afaik die CSP und XSS gesetzt:
https://www.ssllabs.com/ssltest/analyze.html?d=www.certifiedit.net
Bzgl. des Zertifikats würde ich in dem Fall den HAProxy prüfen, je nach dem ist dort Zert-Chain nicht (richtig) eingebunden.
VG
PS: Wegen CSS, STRG+F5 hat bei mir geholfen.
hier kein Problem damit, allerdings sind afaik die CSP und XSS gesetzt:
https://www.ssllabs.com/ssltest/analyze.html?d=www.certifiedit.net
Bzgl. des Zertifikats würde ich in dem Fall den HAProxy prüfen, je nach dem ist dort Zert-Chain nicht (richtig) eingebunden.
VG
PS: Wegen CSS, STRG+F5 hat bei mir geholfen.
Update:
ups, da habe ich statt des fullchain.pem lediglich das cert.pem verwendet. Der Fehler ist behoben.
ist nun eingeschaltet
Alle Änderungen sind gemacht und wir haben wieder ein A+
So schnell kann es gehen
Gruß
Frank
This server's certificate chain is incomplete. Grade capped to B.
ups, da habe ich statt des fullchain.pem lediglich das cert.pem verwendet. Der Fehler ist behoben.
HSTS
ist nun eingeschaltet
und bei der Webserver-Konfiguration besteht auch noch etwas Handlungsbedarf
Alle Änderungen sind gemacht und wir haben wieder ein A+
So schnell kann es gehen
Gruß
Frank
Moin Frank,
Ich möchte bezüglich den CSP bzw. XSS sicherlich nicht deine Gewissenhaftigkeit bzw. Vertaulichkeit in Frage stellen. Fehler sind menschlich und kommen früher oder später immer mal vor. Beide Funktionen tragen meiner Meinung nach zum Schutz der Besucher einer Webseite bei. Heutzutage sind Wettbewerbe unter Skriptkiddies an der Tagesordnung. Umso bekannter einer infizierte Webseite ist deso größer wird das Ego.
Gruß,
Dani
zur ersten Antwort kann ich nichts sagen, ich habe versucht das Verhalten zu reproduzieren und nichts gefunden.
es passierte bisher selten im Verhältnis zu meinen Aktivitäten hier. Gerade eben durch mehrere Beiträge gelesen und auf einmal kommt der Fehler 500 zum Vorschein. Schließe ich den Browser Tab und öffne die selbe Seite wieder, erscheint der Inhalt ohne Probleme.Ich möchte bezüglich den CSP bzw. XSS sicherlich nicht deine Gewissenhaftigkeit bzw. Vertaulichkeit in Frage stellen. Fehler sind menschlich und kommen früher oder später immer mal vor. Beide Funktionen tragen meiner Meinung nach zum Schutz der Besucher einer Webseite bei. Heutzutage sind Wettbewerbe unter Skriptkiddies an der Tagesordnung. Umso bekannter einer infizierte Webseite ist deso größer wird das Ego.
X-Frame-Options DENY
X-Frame-Options DENY
Wird im Header doppelt gesetzt. Einmal reicht... X-Frame-Options DENY
Gruß,
Dani
Guten Abend,
konnte das Problem von @Dani gerade selber nachvollziehen. Allerdings habe ich den Http Status Code 503 erhalten.
Viele Grüße,
Exception
konnte das Problem von @Dani gerade selber nachvollziehen. Allerdings habe ich den Http Status Code 503 erhalten.
Viele Grüße,
Exception
Guten Abend Frank,
die Ladezeiten verschiedener Seiten liegt gerade bei knapp 8-10 Sekunden.
Nachtrag: 22:48 Uhr
Das Senden des Kommentars hat ebenfall knapp 8 Sekunden gedauert.
Anschließend ist das Problem aus Kommentar #1 wieder aufgetreten.
Nachtrag: 22:51 Uhr
Die Ladezeiten habe ich sowohl unter Unitymedia als auch DTAG DCIP festgestellt.
Nachtrag: 23:03 Uhr
Alles wieder in grünen Bereich (zwischen 2-5 Sekunden).
Gruß,
Dani
die Ladezeiten verschiedener Seiten liegt gerade bei knapp 8-10 Sekunden.
https://administrator.de/user/dani/
https://administrator.de/user/dani/
https://administrator.de/forum/
https://administrator.de/highscore/
https://administrator.de/user/dani/
https://administrator.de/forum/
https://administrator.de/highscore/
Nachtrag: 22:48 Uhr
Das Senden des Kommentars hat ebenfall knapp 8 Sekunden gedauert.
Anschließend ist das Problem aus Kommentar #1 wieder aufgetreten.
Nachtrag: 22:51 Uhr
Die Ladezeiten habe ich sowohl unter Unitymedia als auch DTAG DCIP festgestellt.
Nachtrag: 23:03 Uhr
Alles wieder in grünen Bereich (zwischen 2-5 Sekunden).
Gruß,
Dani
Hi,
ja, ich teste gerade verschiedene "PHP FPM process manager" Einstellungen, da ich das Problem mit den 500er Meldungen dort vermute. Ich habe verschiedene Einstellungen geändert und jetzt werde ich das genauer beobachten. Die 500er Meldungen kamen auch schon vor der Umstellung, nur nicht so häufig.
Sollte ab sofort wieder eine 500er Meldung erscheinen, wäre mir mit der genauen Fehlermeldung (500, 503 etc.) und der genauen Zeit dazu geholfen. Auch habe ich meine Statistik erweitert, so das ich den Grund für die 500er Fehler hoffentlich schneller finden kann.
ist korrigiert.
Gruß
Frank
ja, ich teste gerade verschiedene "PHP FPM process manager" Einstellungen, da ich das Problem mit den 500er Meldungen dort vermute. Ich habe verschiedene Einstellungen geändert und jetzt werde ich das genauer beobachten. Die 500er Meldungen kamen auch schon vor der Umstellung, nur nicht so häufig.
Sollte ab sofort wieder eine 500er Meldung erscheinen, wäre mir mit der genauen Fehlermeldung (500, 503 etc.) und der genauen Zeit dazu geholfen. Auch habe ich meine Statistik erweitert, so das ich den Grund für die 500er Fehler hoffentlich schneller finden kann.
X-Frame-Options DENY doppelt
ist korrigiert.
Gruß
Frank
Update:
Laut Logfile gab es heute keine einzige 500er Fehlermeldung mehr. Sollte doch ein User heute diese Fehlermeldung bekommen haben, dann bitte melden.
Das Problem lag beim PHP FPM Process Manager. Normalerweise lassen ich den unter "dynamic" laufen d.h es gibt nur ein paar PHP Grundprozesse und sollten mehr Leute die Seite aufrufen, werden neue PHP Prozesse geöffnet. Das läuft unter einer VM aber anscheinend nicht so gut, da diese etwas träge sind. Die Lösung dazu ist einfach: Entweder man öffnet von Anfang an mehr Vorhalteprozesse und das "dynamische" regelt nur noch die Spitzen, oder man stellt das Ganze gleich auf "static" und öffnet einfach so viele Prozesse wie man max. braucht. "dynamic" hat den Vorteil, das man auch mit wenig RAM viele Prozesse dynamisch öffnen und wieder schließen kann. Hat man aber genug RAM, kann man auf das Auf- und Zu der Prozesse verzichten. Genau das mache ich nun, da ich genügend RAM in meinen VMs habe. Seit der Umstellen auf "static" gab es laut Logfile keinen Fehler mehr. Auch der Seitenaufbau hat sich spürbar verbessert. Wer also mit PHP FPM und Virtuellen Umgebungen liebäugelt, sollte viel RAM haben und der Process Manager auf "static" stellen.
Gruß
Frank
Laut Logfile gab es heute keine einzige 500er Fehlermeldung mehr. Sollte doch ein User heute diese Fehlermeldung bekommen haben, dann bitte melden.
Das Problem lag beim PHP FPM Process Manager. Normalerweise lassen ich den unter "dynamic" laufen d.h es gibt nur ein paar PHP Grundprozesse und sollten mehr Leute die Seite aufrufen, werden neue PHP Prozesse geöffnet. Das läuft unter einer VM aber anscheinend nicht so gut, da diese etwas träge sind. Die Lösung dazu ist einfach: Entweder man öffnet von Anfang an mehr Vorhalteprozesse und das "dynamische" regelt nur noch die Spitzen, oder man stellt das Ganze gleich auf "static" und öffnet einfach so viele Prozesse wie man max. braucht. "dynamic" hat den Vorteil, das man auch mit wenig RAM viele Prozesse dynamisch öffnen und wieder schließen kann. Hat man aber genug RAM, kann man auf das Auf- und Zu der Prozesse verzichten. Genau das mache ich nun, da ich genügend RAM in meinen VMs habe. Seit der Umstellen auf "static" gab es laut Logfile keinen Fehler mehr. Auch der Seitenaufbau hat sich spürbar verbessert. Wer also mit PHP FPM und Virtuellen Umgebungen liebäugelt, sollte viel RAM haben und der Process Manager auf "static" stellen.
Gruß
Frank
Moin Frank,
Sehe ich anders! Gerade die Blogs von Troy Hunt und Scott Helme finde ich dazu lesenswert...
Viele Grüße
Hendrik
Content Security Policy,
hatten wir vorher auch nicht und auch hier glaube ich nicht, dass man es wirklich braucht.Sehe ich anders! Gerade die Blogs von Troy Hunt und Scott Helme finde ich dazu lesenswert...
Viele Grüße
Hendrik
Hi @ottinho,
gut ich formuliere es mal anders: Die CSP (Content Security Policy) ist vom Ansatz her eine gute Sache, aber für Seiten wie unsere, die von Werbeagenturen betreut werden und Banner eingebunden haben, funktionieren sie einfach nicht.
Es ist schier unmöglich alle Scripte und Domänen der Agenturscripte zu identifizieren, da bei CSP auch die "dahinter" liegenden Scripte angegeben werden müssen. Scriptcode, die die Agentur von Dritten bekommt, würden dann nicht mehr funktionieren.
Generell haben wir aber alle relevanten Header integriert:
Ihr könnt das auch unter securityheaders.com jederzeit prüfen. Dort haben wir ein "A". Das "A+" bekommt man nur, wenn man noch die CSP einbindet.
Gruß
Frank
gut ich formuliere es mal anders: Die CSP (Content Security Policy) ist vom Ansatz her eine gute Sache, aber für Seiten wie unsere, die von Werbeagenturen betreut werden und Banner eingebunden haben, funktionieren sie einfach nicht.
Es ist schier unmöglich alle Scripte und Domänen der Agenturscripte zu identifizieren, da bei CSP auch die "dahinter" liegenden Scripte angegeben werden müssen. Scriptcode, die die Agentur von Dritten bekommt, würden dann nicht mehr funktionieren.
Generell haben wir aber alle relevanten Header integriert:
- X-Frame-Options
- X-XSS-Protection (habe ich jetzt auch aktiviert)
- X-Content-Type-Option
- Referrer-Policy
- Feature-Policy
- Strict-Transport-Security
Ihr könnt das auch unter securityheaders.com jederzeit prüfen. Dort haben wir ein "A". Das "A+" bekommt man nur, wenn man noch die CSP einbindet.
Gruß
Frank
Moin @Frank,
konnte soeben für ein paar Minuten Administrator.de nicht erreichen.
Als Fehler kam Http Status Code 503. (Uhrzeit: 17:03)
Viele Grüße
Exception
konnte soeben für ein paar Minuten Administrator.de nicht erreichen.
Als Fehler kam Http Status Code 503. (Uhrzeit: 17:03)
Viele Grüße
Exception
Zitat von @Dani:
Moin Frank,
es geht bei mir leider munter weiter: 12:33 Uhr - 503 Service Unavailable, No server is available to handle this request.
Hier ebenfalls in unregelmäßigen Abständen.Moin Frank,
es geht bei mir leider munter weiter: 12:33 Uhr - 503 Service Unavailable, No server is available to handle this request.
Gruß A.