Server administrieren - wo fange ich an?

Zitat von Bud

Wie lange behaltet ihr tägliche/wöchentliche/monatliche Backups?

Privat: Die letzten 7 Tage und der letzte Monat.

Beruflich: Die letzten 7 Tage, 4 Wochen, 6 Monate und ein jährliches Backup.

Wir sind kürzlich erst von 12 Monaten auf 6 Monate runter, weil es einfach solche riesigen Datenmengen sind in die wir nicht reinschauen werden. Dadurch sind wir von 244TB auf 141TB runter

Aber schon cool wie die Komprimierung und Deduplizierung von Veeam die 141TB auf 52TB drückt.

EDIT:

Zitat von aRaphael

Diesen Prune-Simulator finde ich ganz nett:

https://pbs.proxmox.com/docs/prune-simulator/

Direkt mal abgespeichert! Richtig gut

Ich verwende für die Backups Duplicati (via Docker). Da kann man die ganzen Parameter und Verschlüsselung schön per GUI einstellen.

Ich hänge mich hier mal dran mit ein paar Fragen:

Meine SSH Absicherung bisher:

- Kein root login erlaubt

- Anderer SSH Port

- Limit auf SSH Port in der UFW

- SSH Mit Key + Passwort + 2FA => "bombensicher", aber div. Dinge kann ich dadurch nicht mehr machen, z.B. automatsiche SSH Aktionen zwischen 2 Servern etc

Wie würdet Ihr SSH absichern. Nur mit Key, oder Key + PW? Damit eben automatische Prozesse wie o.g. (wieder) funktionieren

Erfahrungen mit Crowdsec vs. Fail2Ban?

Wie sind Eure Erfahrungen mit Crowdsec im Vergleich zu Fail2ban? Aktuell nutze ich letzteres unter anderem in Kombi mit einer IP Blockliste von ca. 3 Mio IPs.

Gesichert soll damit SSH, eine Nextcloud, ein nginx, eine Dockerumgebung mit div. Containern etc.Und die üblichen IPs der Portscanner (soweit jemals möglich)

Empfehlenswert?

2 Domains auf einen Server zeigen lassen?

Aktuell habe ich mehrere Server. Einen NExtcloud mit nginx, der unter http://www.donain1.de erreichbar ist und u.a. einen für Docker. Dort sind div. Dienste direkt per IP (Wireguard) oder per NPM über www.xy. domain2.de erreichbar.

Möchte demnächst alles unter ein Dach auf einen Server packen.

Frage:

Kann man einrichten, dass die Nextcloud weiter über den Nginx unter domain1.de erreichbar ist und das ganze Docer Zeug per NPM über doamin2.de? Oder beißt sich da was?

Danke für Tipps, Erfahrungen, Anmerkungen

Zitat von Interessent

Meine SSH Absicherung bisher: […]

Danke für Tipps, Erfahrungen, Anmerkungen

1. Port-Knocking mit ausreichend langer Klopfsequenz hält die Logs sauber und arbeitet zuverlässig (eine globale Suche nach "knock"/"knockd" hier im Forum – und etwas Ausdauer – sollte ein paar Diskussionen/Erfahrungswerte auflisten)
2. Verschiedene sshd-Instanzen/-Regeln für VPN und Zugriffe von außen sollten das o. g. Problem mit automatisierten SSH-Aktionen lösen

Zitat von Interessent

Kann man einrichten, dass die Nextcloud weiter über den Nginx unter domain1.de erreichbar ist und das ganze Docer Zeug per NPM über doamin2.de? Oder beißt sich da was?

Du kannst natürlich über einen A Record mehrere Domains / Subdomains auf einen Server zeigen lassen und diese auch per Proxy an unterschiedliche Dienste weiterleiten.

Du kannst jedoch nicht zwei Anwendungen auf dem gleichen Port betreiben. Und Nginx wie NPM brauchen in Deinem Fall beide die Ports 80 und 443. Das wird also so nicht funktionieren. Du wirst daher die Nextcloud über den NPM laufen lassen müssen (oder alles andere über Nginx, aber ich denke nicht dass das die bessere Option ist.).

OK, Danke. Dann lasse ich das vll doch lieber. Wie ich die Nextcloud mit dem nginx hinter den NPM bringe, sagt mir spontan nix.

Wenn man den Standard Port aktiv lässt sieht das in etwa so aus:

zJq2G1zXAh (1).png

Zitat von Interessent

Wie ich die Nextcloud mit dem nginx hinter den NPM bringe, sagt mir spontan nix.

Gar nicht. Der "nginx" ist auch nur ein Reverse Proxy für Nextcloud. Diese Aufgabe kann auch genau so gut NPM (ist ja auch "Nginx"ProxyManager) übernehmen. D.h. Du machst den Nginx Teil von Nextcloud weg und setzt NPM davor.

Ich glaube dann bleibe ich bei meinen 2 Servern. Ich hab jeweils alles komplett dokumentiert. Nextcloud Setup ändern und hinter NPM bringen ist wieder ewiges Gefummel...

Ja, Nextcloud hinter NPM setzen ist m.E. in der Tat nicht so ganz einfach, man kann die Einstellungen für nginx schon auch "irgendwie" in NPM einbauen, aber trivial ist es nicht. Ich habe mir daher beim roten H lieber einen Storage Share geholt, da wird das Hosting für mich erledigt und ich kann es einfach nur (als Google Drive und MS OneDrive Ersatz) verwenden. Zudem kann man es schön mit meiner 5 TB Storage Box koppeln.

Zitat von Bud

Da mir die Entscheidung schwerfällt, und ich sie vermutlich so oder so bereuen werde...

Bin inzwischen nicht mehr der größten Fan von Portainer - da die Compose Files sehr komisch speichert und man daher von Portainer abhängig wird.
Nutze daher inzwischen Dockege: Compose Files landen in einem selbstbestimmten Ordner, GUI ist schneller (kommt btw. von Uptime Kuma Entwickler, daher ist das GUI auch sehr ähnlich) - https://github.com/louislam/dockge

Ich selbst betreibe auch einige Container basierte Umgebungen. Die laufen mittlerweile fast alle auf ARM Servern. 80% der Container baue ich sowieso selbst. Da stelle ich selbst sicher, dass es diese auch für arm64/aarch64 gibt. Die anderen sind auch kein Problem. Probleme mit der ARM Architektur sind mittlerweile wirklich selten.

Ausnahme ist bzw. war z.B. Neuvector, was ich nicht zum Laufen bekommen habe. Das gab es lange nicht als ARM Version. Das hat sich jetzt aber wohl auch geändert. Das zeigt, dass man darauf definitiv auf ARM setzen kann, weil sich in die Richtung einfach sehr viel bewegt.

Zitat von Bud

Welchen Server für Docker (+ Portainer)

Die Frage hast du doch schon fast selbst beantwortet:

"Die Cores meiner Server idlen fast alle, es ist eher der RAM der mich beschränkt."

Um maximale Kompatibilität sicher zu stellen würde ich keinen ARM Server nehmen. Wenn das Ziel ist, möglichst viele Server auf einem zu konsolidieren (macht ja gerade mit Docker Sinn), dann den mit dem meisten RAM. Daher habe ich für den RS abgestimmt, der zudem noch verlässlichere CPU Kerne hat.

Ich hatte vor Docker auch mehrere kleine Systeme, dann alles auf einen größeren konsolidiert. Wäre bei Dir auch ausstehend.

Der ARM hat standardmäßig nur einen Monat Laufzeit, evtl interessant wenn Du es bereust.

Wie installierst du den Docker denn? Erfahrungsgemäß ist es das beste Docker mit curl -sSL https://get.docker.com/ | CHANNEL=stable sh. Zumindest ist das meine Erfahrung.

Ich bin mit beiden Installations-Methoden bisher gut gefahren, wobei ich mit docker und ufw auf Debian/Ubuntu (trotz ufw-docker) nie richtig warm geworden bin... ich versuche gerade alle meine container auf podman rootless zu portieren...