admtech
Goto Top

Entwicklertagebuch: Neue Umgebung

Hallo Administrator User,

der seit Wochen geplante Umzug in die Aixit Cloud ist abgeschlossen. Wir haben das Portal und alles was dazugehört (Mailsystem, Datenbanken, Suchmaschine, Firmenseite, etc.) erfolgreich virtualisiert und in die Cloud des Aixit Rechenzentrums verschoben. Für uns hat das den Vorteil, dass wir keine eigene Hardware mehr betreiben, kaufen und pflegen müssen. Die Risiken durch Hardware-Ausfälle wurden damit minimiert. Die Cloud-Umgebung von Aixit ist frei skalierbar und wir können sie hervorragend an des Wachstum unsere Seite anpassen. Die damit freigewordenen Ressourcen fließen nun wieder in die Weiterentwicklung der Seite.

Zusätzlich haben wir das Betriebssystem und auch die einzelnen Dienste aktualisiert. Aus Fedora wurde Ubuntu TLS, aus MySQL Version 5 wurde Version 8, aus PHP 7 wurde Version 7.2 usw. Bei der Umstellung der MySQL Datenbank gab es einige Fehler, da von Seiten der Datenbank vieles intern geändert wurde. Mit Hilfe unsere User konnten wir aber alle bekannten Probleme beheben. Danke.

Solltet ihr jetzt noch Fehler oder Probleme auf der Seite entdecken, freue ich mich auf eine interne Mail oder auf einen Kommentar hier in diesem Beitrag.

Ich hoffe die Änderungen gefallen und freue mich auf Euer Feedback.

P.S. Wer Interesse hat seine Plattform oder Firma in die Aixit Cloud zu bringen kann gerne . Wir beraten oder begleiten Firmen bei diesem Schritt. Die Aixit Cloud wird in einem zertifizierten Rechenzentrum in Frankfurt am Main betrieben. Das Rechenzentrum erfüllt alle europäischen und deutschen Datenschutz Anforderungen (DS-GVO).

Gruß
Frank

Content-Key: 393707

Url: https://administrator.de/contentid/393707

Ausgedruckt am: 29.03.2024 um 15:03 Uhr

Mitglied: Dani
Dani 24.11.2018 aktualisiert um 21:31:06 Uhr
Goto Top
Hallo Frank,
vielen Dank für die fülle an Informationen.

Ich erhalte immer wieder - nicht reproduzierbar - beim ersten Aufruf der Seite einen Fehler 500. Drücke ich F5 wird die Seite problemlos geladen. Die Problematik habe ich nun schon im Firefox, Google Chrome und Internet Explorer feststellen können. Betriebssystem ist zu Hause Windows 10 und Büro Windows 7.

Nachtrag 21:30 Uhr:
Nachdem Abschicken des Kommentars sah die Seite so aus:
2018-11-24 21_29_39-window


Gruß,
Dani
Mitglied: Dani
Dani 25.11.2018 aktualisiert um 01:11:22 Uhr
Goto Top
Moin Frank,
... und bei der Webserver-Konfiguration besteht auch noch etwas Handlungsbedarf (Keylänge, CAA, HSTS, Certificate Chain, XSS Protection, Content Security Policy, OCSP Stapling, Cipher Suites, etc...). face-confused


Gruß,
Dani
Mitglied: Frank
Frank 25.11.2018 um 03:10:00 Uhr
Goto Top
Hi Dani,

zur ersten Antwort kann ich nichts sagen, ich habe versucht das Verhalten zu reproduzieren und nichts gefunden. Warum bei dir die CSS-Datei nicht richtig geladen werden, weiß ich nicht. Ich habe die Seite auf Rechnern getestet, die sie noch nie geöffnet hatten und es funktioniert alles ohne Probleme.

Hat noch jemand so ein Verhalten erlebt?

This server's certificate chain is incomplete. Grade capped to B.

das wundert mich schon, ist es doch das gleiche Zertifikat wie vorher auch. Da war es ein A+. Das werde ich mir am Montag noch genauer anschauen müssen.

XSS Protection

Meinst du den "X-XSS-Protection response header"? Den hatten wir bisher nicht und glaube auch nicht, dass man es braucht.

Content Security Policy,

hatten wir vorher auch nicht und auch hier glaube ich nicht, dass man es wirklich braucht.

und bei der Webserver-Konfiguration besteht auch noch etwas Handlungsbedarf

Es ist nicht der Webserver, der das SSL ausliefert, es ist der HAProxy.

Gruß
Frank
Mitglied: falscher-sperrstatus
falscher-sperrstatus 25.11.2018 aktualisiert um 03:20:51 Uhr
Goto Top
Hallo Frank,

hier kein Problem damit, allerdings sind afaik die CSP und XSS gesetzt:

https://www.ssllabs.com/ssltest/analyze.html?d=www.certifiedit.net

Bzgl. des Zertifikats würde ich in dem Fall den HAProxy prüfen, je nach dem ist dort Zert-Chain nicht (richtig) eingebunden.

VG

PS: Wegen CSS, STRG+F5 hat bei mir geholfen.
Mitglied: Frank
Frank 25.11.2018 um 03:41:51 Uhr
Goto Top
Update:

This server's certificate chain is incomplete. Grade capped to B.

ups, da habe ich statt des fullchain.pem lediglich das cert.pem verwendet. Der Fehler ist behoben.

HSTS

ist nun eingeschaltet

und bei der Webserver-Konfiguration besteht auch noch etwas Handlungsbedarf

Alle Änderungen sind gemacht und wir haben wieder ein A+

2018-11-25

So schnell kann es gehen face-wink

Gruß
Frank
Mitglied: falscher-sperrstatus
falscher-sperrstatus 25.11.2018 um 03:56:57 Uhr
Goto Top
Kleinigkeiten, die manchmal viel bewirken face-wink
Mitglied: Dani
Dani 25.11.2018 aktualisiert um 11:22:46 Uhr
Goto Top
Moin Frank,
zur ersten Antwort kann ich nichts sagen, ich habe versucht das Verhalten zu reproduzieren und nichts gefunden.
es passierte bisher selten im Verhältnis zu meinen Aktivitäten hier. Gerade eben durch mehrere Beiträge gelesen und auf einmal kommt der Fehler 500 zum Vorschein. Schließe ich den Browser Tab und öffne die selbe Seite wieder, erscheint der Inhalt ohne Probleme.

Ich möchte bezüglich den CSP bzw. XSS sicherlich nicht deine Gewissenhaftigkeit bzw. Vertaulichkeit in Frage stellen. Fehler sind menschlich und kommen früher oder später immer mal vor. Beide Funktionen tragen meiner Meinung nach zum Schutz der Besucher einer Webseite bei. Heutzutage sind Wettbewerbe unter Skriptkiddies an der Tagesordnung. Umso bekannter einer infizierte Webseite ist deso größer wird das Ego.

X-Frame-Options DENY
X-Frame-Options DENY
Wird im Header doppelt gesetzt. Einmal reicht... face-wink


Gruß,
Dani
Mitglied: 129580
129580 25.11.2018 aktualisiert um 22:41:41 Uhr
Goto Top
Guten Abend,

konnte das Problem von @Dani gerade selber nachvollziehen. Allerdings habe ich den Http Status Code 503 erhalten.

Viele Grüße,
Exception
Mitglied: Dani
Dani 25.11.2018 aktualisiert um 23:03:42 Uhr
Goto Top
Guten Abend Frank,
die Ladezeiten verschiedener Seiten liegt gerade bei knapp 8-10 Sekunden.

Nachtrag: 22:48 Uhr
Das Senden des Kommentars hat ebenfall knapp 8 Sekunden gedauert.
Anschließend ist das Problem aus Kommentar #1 wieder aufgetreten.

Nachtrag: 22:51 Uhr
Die Ladezeiten habe ich sowohl unter Unitymedia als auch DTAG DCIP festgestellt.

Nachtrag: 23:03 Uhr
Alles wieder in grünen Bereich (zwischen 2-5 Sekunden).


Gruß,
Dani
Mitglied: falscher-sperrstatus
falscher-sperrstatus 25.11.2018 um 22:49:23 Uhr
Goto Top
Kann ich nicht bestätigen, der Aufruf deiner Seite ist etwas gehemmt, 1-2 Sek gefühlt, aber der Rest passt. Hab aber das Gefühl, dass heute generell was im Netz nicht so ganz stimmt, kann natürlich auch am örtlichen ISP liegen...

Schönen Abend
Mitglied: Frank
Frank 25.11.2018, aktualisiert am 26.11.2018 um 00:42:45 Uhr
Goto Top
Hi,

ja, ich teste gerade verschiedene "PHP FPM process manager" Einstellungen, da ich das Problem mit den 500er Meldungen dort vermute. Ich habe verschiedene Einstellungen geändert und jetzt werde ich das genauer beobachten. Die 500er Meldungen kamen auch schon vor der Umstellung, nur nicht so häufig.

Sollte ab sofort wieder eine 500er Meldung erscheinen, wäre mir mit der genauen Fehlermeldung (500, 503 etc.) und der genauen Zeit dazu geholfen. Auch habe ich meine Statistik erweitert, so das ich den Grund für die 500er Fehler hoffentlich schneller finden kann.

X-Frame-Options DENY doppelt

ist korrigiert.

Gruß
Frank
Mitglied: Frank
Frank 26.11.2018 aktualisiert um 22:28:11 Uhr
Goto Top
Update:

Laut Logfile gab es heute keine einzige 500er Fehlermeldung mehr. Sollte doch ein User heute diese Fehlermeldung bekommen haben, dann bitte melden.

Das Problem lag beim PHP FPM Process Manager. Normalerweise lassen ich den unter "dynamic" laufen d.h es gibt nur ein paar PHP Grundprozesse und sollten mehr Leute die Seite aufrufen, werden neue PHP Prozesse geöffnet. Das läuft unter einer VM aber anscheinend nicht so gut, da diese etwas träge sind. Die Lösung dazu ist einfach: Entweder man öffnet von Anfang an mehr Vorhalteprozesse und das "dynamische" regelt nur noch die Spitzen, oder man stellt das Ganze gleich auf "static" und öffnet einfach so viele Prozesse wie man max. braucht. "dynamic" hat den Vorteil, das man auch mit wenig RAM viele Prozesse dynamisch öffnen und wieder schließen kann. Hat man aber genug RAM, kann man auf das Auf- und Zu der Prozesse verzichten. Genau das mache ich nun, da ich genügend RAM in meinen VMs habe. Seit der Umstellen auf "static" gab es laut Logfile keinen Fehler mehr. Auch der Seitenaufbau hat sich spürbar verbessert. Wer also mit PHP FPM und Virtuellen Umgebungen liebäugelt, sollte viel RAM haben und der Process Manager auf "static" stellen.

Gruß
Frank
Mitglied: ottinho
ottinho 27.11.2018 aktualisiert um 15:36:28 Uhr
Goto Top
Moin Frank,

Content Security Policy,
hatten wir vorher auch nicht und auch hier glaube ich nicht, dass man es wirklich braucht.

Sehe ich anders! Gerade die Blogs von Troy Hunt und Scott Helme finde ich dazu lesenswert...

Viele Grüße
Hendrik
Mitglied: Frank
Frank 30.11.2018 aktualisiert um 16:41:29 Uhr
Goto Top
Hi @ottinho,

gut ich formuliere es mal anders: Die CSP (Content Security Policy) ist vom Ansatz her eine gute Sache, aber für Seiten wie unsere, die von Werbeagenturen betreut werden und Banner eingebunden haben, funktionieren sie einfach nicht.

Es ist schier unmöglich alle Scripte und Domänen der Agenturscripte zu identifizieren, da bei CSP auch die "dahinter" liegenden Scripte angegeben werden müssen. Scriptcode, die die Agentur von Dritten bekommt, würden dann nicht mehr funktionieren.

Generell haben wir aber alle relevanten Header integriert:

  • X-Frame-Options
  • X-XSS-Protection (habe ich jetzt auch aktiviert)
  • X-Content-Type-Option
  • Referrer-Policy
  • Feature-Policy
  • Strict-Transport-Security

Ihr könnt das auch unter securityheaders.com jederzeit prüfen. Dort haben wir ein "A". Das "A+" bekommt man nur, wenn man noch die CSP einbindet.

Gruß
Frank
security_options_admo
Mitglied: 129580
129580 02.12.2018 aktualisiert um 17:07:22 Uhr
Goto Top
Moin @Frank,

konnte soeben für ein paar Minuten Administrator.de nicht erreichen.
Als Fehler kam Http Status Code 503. (Uhrzeit: 17:03)

Viele Grüße
Exception
Mitglied: Dani
Dani 02.12.2018 um 19:46:34 Uhr
Goto Top
Moin Frank,
hatte zwischen 17:23 und 17:35 Uhr permanent den selben Fehler erhalten.


Gruß,
Dani
Mitglied: falscher-sperrstatus
falscher-sperrstatus 02.12.2018 um 19:49:10 Uhr
Goto Top
Ebenfalls hier.
Mitglied: Frank
Frank 02.12.2018 aktualisiert um 22:06:41 Uhr
Goto Top
Hallo User,

ja, wir hatten heute zwischen 17:17 und 19:20 Uhr ein paar Probleme mit dem Netzwerk. Der Fehler ist gefunden und es läuft alles wieder so, wie es soll. Ich entschuldige mich für die Unannehmlichkeiten.

face-smile

Gruß
Frank
Mitglied: Dani
Dani 03.12.2018 um 12:35:07 Uhr
Goto Top
Moin Frank,
es geht bei mir leider munter weiter: 12:33 Uhr - 503 Service Unavailable, No server is available to handle this request.


Gruß,
Dani
Mitglied: 137846
137846 03.12.2018 aktualisiert um 12:43:51 Uhr
Goto Top
Zitat von @Dani:

Moin Frank,
es geht bei mir leider munter weiter: 12:33 Uhr - 503 Service Unavailable, No server is available to handle this request.
Hier ebenfalls in unregelmäßigen Abständen.

Gruß A.
Mitglied: Frank
Frank 03.12.2018 um 15:42:04 Uhr
Goto Top
Hi,

das Rechenzentrum arbeitet daran, dass Problem zu beheben.

Gruß
Frank