Für Produktivsysteme - ubtue/ub_tools GitHub Wiki

Apache

Aus Gründen der Suchmaschinenoptimierung + Benutzerfreundlichkeit lohnt es sich, mod_deflate zu verwenden.

AddOutputFilterByType DEFLATE text/html text/css text/javascript text/xml application/javascript application/xml

(XML für Sitemaps)

Zusätzlich sollte pro VirtualHost ein AliasMatch für die zutreffende robots.txt eingerichtet werden:

AliasMatch ^/robots.txt$ /usr/local/vufind/public/robots/ixtheo.txt

Die Option X-Frame-Options sollte auf DENY gesetzt werden (oder zumindest sameorigin, siehe security.conf unter Ubuntu).

Falls WebDAV betrieben werden soll, muss /var/lib/dav für Benutzer vufind und 700 Zugriffsrechten angelegt werden. Weiterhin muss auth_digest aktiviert werden (a2enmod auth_digest).

Falls modsecurity aktiv ist, muss zur Vermeidung von "false positives" in /etc/apache2/mods-enabled/security2.conf die Regel SecRuleRemoveById 980130 932115 949110 hinzugefügt werden.

Solr

Es sollte sichergestellt sein, dass in /usr/local/vufind/solr/vendor/server/resources/log4j2.xml <SizeBasedTriggeringPolicy> und <DefaultRolloverStrategy> so gesetzt werden, dass das Logging einen ausreichend langen Zeitraum abdeckt.

Firewall

Falls eine Firewall eingesetzt wird, sollte die BSZ FTP Verbindung geprüft werden. Zusätzlich zum Anlegen einer entsprechenden Firewall-Regel für Port 21 ist die Verwendung des ip_conntrack_ftp Kernel-Modul notwendig (für die Zweitverbindung). Um das passende Kernel-Modul permanent zu aktvieren, muss ein Eintrag in /etc/modules.conf für nf_conntrack_ftp hinzugefügt werden. Zusätzlich muss die Datei /etc/sysctl.d/10-conntrack.conf angelegt und folgender Inhalt eingefügt werden: net.netfilter.nf_conntrack_helper=1. Anschließend Maschine neu starten.

Zum Datentransfer vom Test- zum Liveserver ist eine Freischaltung in /etc/hosts.allow sinnvoll.

Postfix

Für div. Formulare lohnt es sich, den Uni-Spamfilter zu verwenden. TueFind setzt bei den entsprechenden Mails einen Header. Postfix muss so konfiguriert sein, dass es Mails mit diesem Header an einen anderen Mailserver leitet. Dafür sind folgende Schritte notwendig:

  • postfix-pcre installieren, falls noch nicht vorhanden
  • /etc/postfix/header_dependent_relay anlegen mit folgendem Inhalt: /^X-TueFind-Spamfilter:.*enabled.*/ FILTER smtp:[a1541.mx.srv.dfn.de]
  • In /etc/postfix/main.cf folgende Zeile hinzufügen: header_checks = pcre:/etc/postfix/header_dependent_relay

Datenschutz

Logrotate

Für Produktivsysteme muss sichergestellt werden, dass die Anforderungen der aktuellen Datenschutzerklärung eingehalten werden. Z.B. muss logrotate so eingerichtet werden, dass Logdaten nach spätestens 90 Tagen gelöscht werden.

/etc/logrotate.d/apache2 => maxage 90 einfügen

Referrer-Policy

/etc/apache2/conf-available/privacy.conf anlegen und in conf-enabled verlinken Inhalt: Header set Referrer-Policy: "same-origin"

Ggf. muss davor mod_headers aktiviert werden, damit die o.g. Konfiguration überhaupt in Apache ausführbar ist: a2enmod headers

Prüfen mittels: https://webbkoll.dataskydd.net