So wurden mit PHP 5.3 Beispielweise Namespaces und Late Static Bindings integriert. In PHP 6.0 werden überflüssige Funktionen wie register_globals, magic_quotes, register_long_arrays und der safe_mode abgeschafft, dafür gibt es einen vollständigen Unicode Support.

Leider kommt man bei diversen Linux Distributionen als PHP Entwickler immer nur mit recht viel Geduld zum Genuss der teilweise recht praktischen Neuerungen.
Deshalb gibt es die Möglichkeit PHP manuell aus dem Quellcode heraus zu installieren, bzw. sich selbst ein kleines .deb-Paket zu basteln.

Das ganze wurde auf einem Debian Lenny getestet, sollte sich aber mit kleineren Änderungen (ggf. andere Paketnamen bei den Abhängigkeiten) auch auf ähnliche Systeme wie Ubuntu übertragen lassen.

Vorarbeiten
Vor einer manuellen Installation sollten alle Pakete von PHP komplett entfernt werden.

apt-get --purge remove php5 php5-* libapache2-mod-php5

Der folgende Prozess erstellt ein “All-in-One” Paket, welches bereits alle zusätzlichen Erweiterungen (wie php5-curl, php5-mysql usw.) enthält.

Aufgrund dessen kann es eventuell zu mehren Abhänigkeitsproblemen bei Applikationen wie phpMyAdmin und anderen aus den Repositorys installieren Paketen kommen. Als Workaround kann man diese Pakete mit mittels –force Parameter installieren, oder aber sie einfach nur mehr komplett per Hand pflegen.

Bau des Paketes
Um PHP kompilieren zu können, werden für die Abhängigkeiten zunächst einige Pakete benötigt.

apt-get install gcc automake make checkinstall libjpeg62-dev libpng12-dev apache2-prefork-dev libbz2-dev libcurl4-openssl-dev libjpeg-dev libpng-dev libxpm-dev libxft-dev libt1-dev libgd2-xpm-dev libgmp3-dev libsasl2-dev freetds-dev libmysqlclient15-dev unixodbc-dev libpspell-dev librecode-dev libsnmp-dev libsqlite0-dev libtidy-dev libxslt1-dev x11proto-core-dev libxau-dev libpthread-stubs0 libpthread-stubs0-dev libxdmcp-dev libxcb1-dev libxcb-xlib0-dev x11proto-input-dev x11proto-kb-dev xtrans-dev libx11-dev libxpm-dev libexpat1-dev libfreetype6-dev pkg-config libfontconfig1-dev apache2-mpm-prefork apache2-utils apache2.2-common comerr-dev libapr1 libapr1-dev libaprutil1 libaprutil1-dev libaspell-dev freetds-common libdb4.6-dev libgmpxx4ldbl libice-dev libidn11-dev libkadm55 libkrb5-dev libldap2-dev libodbcinstq1c2 libpcre3-dev libpq-dev libsensors-dev libsm-dev libsnmp-perl libsqlite3-dev libssl-dev libsybdb5 libt1-5 libtidy-0.99-0 libwrap0-dev libxaw7-dev libxaw7-dev libxext-dev libxmu-dev libxmu-headers libxrender-dev libxt-dev uuid-dev x11proto-render-dev x11proto-xext-dev libmcrypt4 libmcrypt-dev libmhash-dev

Zusätzlich, wenn PHP6 installiert wird ist noch das folgende Paket von nöten:

apt-get install libicu-dev

Nun kann man den Sourcecode von PHP 5.3 herunterladen und entpacken.

cd /usr/src && wget http://de3.php.net/get/php-5.3.0.tar.gz/from/de.php.net/mirror
tar xf php-5.3.0.tar.gz && cd php-5.3.0

Bzw. wenn man PHP 6.0 aus den täglichen Snapshots installieren möchte:

cd /usr/src && wget http://snaps.php.net/php6.0-latest.tar.gz
tar xf php6.0-latest.tar.gz && cd php6.0-*/

Nun ist es Zeit für das configure Script. Für PHP 5.3 führt man hier folgendes aus:

./configure --prefix=/usr --with-apxs2=/usr/bin/apxs2 --with-config-file-path=/etc/php5/apache2 --with-config-file-scan-dir=/etc/php5/apache2/conf.d --mandir=/usr/share/man --disable-debug --with-regex=php --disable-rpath --disable-static --with-pic --with-layout=GNU --with-pear=/usr/share/php --enable-calendar --enable-sysvsem --enable-sysvshm --enable-sysvmsg --enable-bcmath --with-bz2 --enable-ctype --with-db4 --without-gdbm --with-iconv --enable-exif --enable-ftp --with-gettext --enable-mbstring --with-pcre-regex=/usr --enable-shmop --enable-sockets --enable-wddx --with-libxml-dir=/usr --with-zlib --with-kerberos=/usr --with-openssl=/usr --enable-soap --enable-zip --with-exec-dir=/usr/lib/php5/libexec --without-mm --with-curl=shared,/usr --with-zlib-dir=/usr --with-gd=shared,/usr --enable-gd-native-ttf --with-gmp=shared,/usr --with-jpeg-dir=shared,/usr --with-xpm-dir=shared,/usr/X11R6 --with-png-dir=shared,/usr --with-freetype-dir=shared,/usr --with-t1lib=shared,/usr --with-ldap=shared,/usr --with-ldap-sasl=/usr --with-mhash=shared,/usr --with-mysql=shared,/usr --with-mysqli=shared,/usr/bin/mysql_config --with-pspell=shared,/usr --with-unixODBC=shared,/usr --with-xsl=shared,/usr --with-snmp=shared,/usr --with-sqlite=shared,/usr --with-mssql=shared,/usr --with-tidy=shared,/usr --with-xmlrpc=shared --with-pgsql=shared,/usr --enable-gd-native-ttf --enable-dba=shared --with-openssl-dir=shared,/usr --enable-gd-jis-conv --enable-json --with-mcrypt=shared,/usr --enable-pcntl --with-pdo-mysql --with-pdo-odbc=unixODBC,/usr --with-pdo-pgsql=shared,/usr --with-pdo-sqlite --enable-xmlreader --with-tsrm-pthreads

Für PHP 6.0, mit minimalen Änderungen:

./configure --prefix=/usr --with-apxs2=/usr/bin/apxs2 --with-config-file-path=/etc/php6/apache2 --with-config-file-scan-dir=/etc/php6/apache2/conf.d --mandir=/usr/share/man --disable-debug --with-regex=php --disable-rpath --disable-static --with-pic --with-layout=GNU --enable-calendar --enable-sysvsem --enable-sysvshm --enable-sysvmsg --enable-bcmath --with-bz2 --enable-ctype --with-db4 --without-gdbm --with-iconv --enable-exif --enable-ftp --with-gettext --enable-mbstring --with-pcre-regex=/usr --enable-shmop --enable-sockets --enable-wddx --with-libxml-dir=/usr --with-zlib --with-kerberos=/usr --with-openssl=/usr --enable-soap --enable-zip --libexecdir=/usr/lib/php6/libexec --without-mm --with-curl=shared,/usr --with-zlib-dir=/usr --with-gd --enable-gd-native-ttf --with-gmp=shared,/usr --with-jpeg-dir=shared,/usr --with-xpm-dir=shared,/usr/X11R6 --with-png-dir=shared,/usr --with-freetype-dir=shared,/usr --with-t1lib=shared,/usr --with-ldap=shared,/usr --with-ldap-sasl=/usr --with-mhash=shared,/usr --with-mysql=shared,/usr --with-mysqli=shared,/usr/bin/mysql_config --with-pspell=shared,/usr --with-unixODBC=shared,/usr --with-xsl=shared,/usr --with-snmp=shared,/usr --with-sqlite=shared,/usr --enable-sqlite-utf8 --with-mssql=shared,/usr --with-tidy=shared,/usr --with-xmlrpc=shared --with-pgsql=shared,/usr --enable-gd-native-ttf --with-icu-dir=/usr --enable-dba=shared --with-openssl-dir=shared,/usr --enable-gd-jis-conv --enable-json --with-mcrypt=shared,/usr --enable-pcntl --with-pdo-mysql --with-pdo-odbc=unixODBC,/usr --with-pdo-pgsql=shared,/usr --with-pdo-sqlite --enable-xmlreader --with-tsrm-pthreads

Jetzt kann man den make Befehl ausführen. Hat man einen Dualcore/Quadcore Prozessor, kann man den Prozess mittels dem Parameter -jX (X für die Anzahl an Kernen) beschleunigen.

make -j2

Um im letzten Schritt das Debian Paket zu erstellen, gibt man für PHP 5.3 den folgenden Befehl ein:

checkinstall -D --install=no --fstrans=no --maintainer=root@example.org --reset-uids=yes --nodoc --pkgname=php5 --pkgversion=5.3.0 --pkgrelease=`date +%Y%m%d%H%M` --arch=amd64

Oder für Version 6.0:

sudo checkinstall -D --install=no --fstrans=no --maintainer=root@example.org --reset-uids=yes --nodoc --pkgname=php6 --pkgversion=6.0.0-dev --pkgrelease=`date +%Y%m%d%H%M` --arch=amd64

Sollte man kein 64 Bit Debian/Ubuntu betreiben, so muss man –arch=amd64 entsprechend anpassen (auf i386, i486 oder i586 usw.). Der Switch –maintainer sollte auch noch an die eigene E-Mail Adresse angepasst werden.

checkinstall frägt auch noch nach einer Beschreibung des Paketes und zusätzlichen Infos. Dies kann man aber alles getrost ignorieren und mit Enter bestätigen.

Fehler bei checkinstall
Bricht checkinstall mit einem Fehler ala “Error: At least one `LoadModule’ directive already has to exist…”, liegt das daran, dass die httpd.conf des Apache2 Webservers leer ist. Hier gibt es einen kleinen Workaround:

echo "#LoadModule directive to aid module installations" >> /etc/apache2/httpd.conf
echo "#LoadModule dummy_module /usr/lib/apache2/modules/mod_dummy.so" >> /etc/apache2/httpd.conf

Anschließend checkinstall erneut ausführen.

Installation und Test
Ist der Prozess abgeschlossen befindet sich im aktuellen Verzeichnis ein Paket, welches man wie folgt installieren kann:

dpkg -i *.deb

Um zu testen ob PHP korrekt installiert wurde kann man in der Shell den Befehl “php -v” ausführen. Angezeigt werden sollte die entsprechende Version und das Build Datum, z. B. “PHP 5.3.0 (cli) (built: Sep 23 2009 00:00:00)”.

Für mich hat kvm gegenüber seinen Konkurrenten wie XEN folgende Vorteile:

• Kein spezieller Kernel des Hostsystems wie bei XEN benötigt
• Alle Gastsysteme haben so ihre “eigenen Kernel”
• KVM ist im Standard Kernel von Debian enthalten
• Extrem einfache Administration
• Es werden sehr viele unterschiedliche Gastsysteme unterstützt

Installation
Zu allererst muss für KVM wie für XEN auch die BIOS Einstellung Virtualization Technology aktiviert sein. Sollte ja eigentlich logisch sein.

Unter Debian und/oder Ubuntu muss nun das Paket kvm installiert werden. Zusätzlich benötigten wir noch das Paket bridge-utils. Das ist nötig um das Network Interface eth0 zu “bridgen”, sprich um eine “Netzwerk-Brücke” zu den Gastsystemen zu bauen und ihnen so Zugang zum Netz (falls gewünscht) zu ermöglichen. Wer lediglich ein einfaches System ohne Netzwerkanbindung benötigt, kann das Paket einfach weg lassen.

root@server01 ~ $ apt-get install kvm bridge-utils

Alle Abhängigkeiten werden dabei wie immer automatisch mitinstalliert.

Nun ist eine kleine Änderung an der Datei /etc/network/interfaces nötig, um die Bridge zu aktivieren. Aus dem Standard Interface eth0…

# The primary network interface
auto eth0
iface eth0 inet static
  address 192.168.168.100
  netmask 255.255.255.0
  gateway 192.168.168.1
  network 192.168.168.0
  broadcast 192.168.168.255

wird ein bridged Interface br0…

# The primary network interface
auto br0
iface br0 inet static
  bridge_ports eth0
  address 192.168.168.100
  netmask 255.255.255.0
  gateway 192.168.168.1
  network 192.168.168.0
  broadcast 192.168.168.255

Wie man sieht wird hier einfach nur jeweils eth0 durch br0 getauscht und die Zeile “bridge_ports eth0″ hinzugefügt.

Als Gastsystem werde ich hier als Beispiel mal ein Debian Lenny 5.0 installieren. Eine Installation von einem Windows, ReactOS oder sonstigen unterscheidet sich aber nur sehr geringfügig. Dazu brauchen wir zunächst einmal das entsprechende Installationsmedium als ISO:

root@server01 ~ $ wget -O debian.iso http://cdimage.debian.org/debian-cd/5.0.0/i386/iso-cd/debian-500-i386-businesscard.iso

Nun generieren wir uns eine virtuelle Festplatte, hier mit 10 Gigabyte Speicher:

root@server01 ~ $ kvm-img create size 10G vserver.img

Nun kommen wir zum eigentlich starten des virtuellen Systems. Dazu benötigten wir noch einige Informationen:

• Wie viele virtuelle CPUs soll der Gast bekommen?
• Wie viel virtuellen RAM bekommt der Gast?
• Zusätzlich eine eindeutige MAC-Adresse (am besten erdacht)

Soweit so gut, hat man das kann man die Maschine auch schon starten. Ich habe hier mal nur die wichtigsten Parameter angegeben. kvm unterstützt noch einige mehr. Diese schlägt man am besten ebenfalls einmal in den man Pages nach.

kvm \
    -name vserver \ # Der "Name" des Systems (optional)
    -smp 2 \ # Die Anzahl der virtuellen CPUs
    -m 512 \ # Wie viel Speicher bekommt das System (hier 512 MB)
    -hda vserver.img \ # Die Festplatte (hda) des Systems
    -cdrom debian.iso \ # eine CD im virtuellen Laufwerk (optional)
    -boot c \ # Bootsequenz: C steht für die Festplatte, D für die CD
    -net nic,macaddr=00:16:3B:00:00:03 \ # Die MAC-Adresse des vServers
    -net tap \ # Für das bridged Network Interface
    -vnc :0 \ # Der VNC-Server mitstarten (:0 entspricht dem Port 5900)
    -pidfile /var/run/vserver.pid \ # Ein Pidfile in dem die Prozess-ID geschrieben wird
    -daemonize # Parameter für das starten als des Servers als Deamon

Nun ist der Server gestartet und man kann sich per VNC über die IP des Hostsystems (hier 192.168.168.100) und des entsprechenden VNC-Ports (hier 5900) anmelden. Per VNC installiert man die Maschine nun einmalig, klatscht noch direkt einen SSH-Server nach und voila, fertig!

Zusammenfassend
kvm wirkt recht stabil und läuft flüssig. Allerdings setze ich es noch nicht weiter in produktiven Projekten ein. Momentan setze ich es dazu ein, binnen von Minuten ein “sauberes” Testsystem bereit zu stellen. Dafür eignet sich kvm wohl besser als Beispielsweiße XEN.

Ein Problem ist mir bei meinen Tests leider aufgefallen: ich konnte mich, sobald ich kvm zusätzlich ein Passwort für den VNC-Server übergeben habe, nicht mehr per VNC auf dem Server einloggen. Möglicherweiße lag das aber an meinem Client (vncviewer). Also habe ich den VNC-Server per iptables nur für meine IP-Adresse/mein Netz freigegeben. Über Feedback zum Thema Passwort Authentifikation bei VNC/KVM wäre ich daher sehr erfreut.

Ein lästiges Problem bleibt allerdings trotzdem noch: die langen Startparameter. Man kann sich zwar hierfür jeweils Start- und Stopscripte basteln, allerdings gibt es auch eine schönere Lösung. Diese heißt libvirt. Darüber werde ich allerdings mehr in einem weiteren Post und in naher Zukunft schreiben.

Für alle die noch mehr über kvm erfahren wollen kann ich die Projekt eigene Linux KVM-Wiki empfehlen.

Trotzdem braucht man passwortlose Logins des öfteren. Ein gutes Beispiel hierfür sind automatisierte Backups per Cronjob. An dieser Stelle kommt keychain ins Spiel. Hier handelt es sich um ein Programm, welches die Umgebungsvariablen des SSH-Agents speichert und so auch anderen Login-Shells zur Verfügung stellt.

Das Passwort muss also nur ein ein einziges mal eingegeben werden und steht dann solange zur Verfügung bis der keychain Deamon beendet wird.

Installation
Unter Debian und Ubuntu-Systemen muss hierzu das Paket keychain installiert werden.

root@server01 ~ $ apt-get install keychain

Anschließend muss (wenn nicht schon geschehen) ein SSH-Key generiert werden, natürlich mit einer entsprechenden Passphrase. Dazu kann wie gewohnt das Kommando ssh-keygen verwandt werden. Informationen dazu findet man auf der entsprechenden Man-Page. Ich möchte hier gar nicht weiter darauf eingehen, weil ich mal davon ausgehe, dass Menschen, die sich so etwas einrichten, wissen was sie tun.

Anschließend muss der Key in keychain importiert werden. Dies geschiet folgendermaßen:

root@server01 ~ $ keychain --quiet ~/.ssh/id_rsa

Hier wird einmalig nach der Passphrase des SSH-Keys gefragt. Anschließend kann man sich ohne weiteres auf allen Servern Passwortlos einloggen. Wird die Sitzung beendet müssen die Umgebungsvariablen per

source ~/.keychain/$HOSTNAME-sh

neu geladen werden.

Automatisches Freischalten des Keys
Um die gespeicherten Umgebungsvariablen beim Einloggen eines Users automatisch zu laden, kann man sich das folgende Snippet in die Servereigene ~/.bash_profile kopieren. Sofern der SSH-Key (in diesem Fall ein RSA2 Key) noch nicht geladen wurde, wird er hier zusätzlich noch automatisch importiert und nach dem Passwort gefragt. Der Parameter $HOSTNAME sollte entsprechend angepasst werden.

if [[ -f ~/.ssh/id_rsa ]]; then
  keychain --quiet ~/.ssh/id_rsa
  source ~/.keychain/$HOSTNAME-sh
fi

Der Parameter –quiet unterdrückt hier die “größere” Ausgabe, um nicht weiter zu stören. Das Kommando source importiert die Umgebungsvariablen.

Bei einem Script, welches z. B. per Cronjob gestartet wird, kann die Einbindung von Keychain folgendermaßen aussehen:

#!/bin/bash
# MeinScript.sh

# Umgebungsvariablen laden
source /root/.keychain/$HOSTNAME-sh

# Per SCP eine Datei hohlen
scp root@192.168.168.26:/root/foo /root/bar

Sobald der Deamon keychain beendet wird (z. B. in dem der Server stromlos gemacht oder rebootet wird), hat ein Angreifer keine Chance mehr.

Dieser Befehl entfernt alle nervigen Thumbs.db Dateien aus dem Verzeichniss ~/Bilder

find ~/Bilder -name 'Thumbs.db' -exec rm -v {} \;

Hier noch ein Befehl, mit dem man als Backupdateien (mit ~ endend) löschen kann:

find ~/Dokumente -name '*~' -exec rm -v {} \;