(S)FTP-Server einrichten auf debian - SSL Config falsch?

  • Hallo netcup-Forenuser,


    ich bin Neuling als admin auf einem vServer. Linux- / Unix- Kenntnisse sind vorhanden, aber stark ausbaufähig =O


    Ich habe einen kleinen vServer, und dort folgendes System aufgesetzt:

    • debian 9 (stretch) - minimal - MINIMAL SYSTEM WITH SSH PREINSTALLED
    • Vesta CP, darüber nginx und Apache installiert

    Ziel ist es, vorerst nur Statischen Content auszuliefern, und freilich e-mail. Läuft soweit.


    Allerdings kriege ich keine (s)ftp-Verbindung gebacken. So sieht die /etc/vsftpd.conf aus:


    Im syslog sehe ich, dass der ftp-daemon nicht gestartet werden kann, ich bin aber (glaube ich) nach Anleitung vorgegangen:


    Code
    Jul 28 11:30:32 v2202107152527158073 systemd[1]: Starting vsftpd FTP server...
    Jul 28 11:30:32 v2202107152527158073 systemd[1]: Started vsftpd FTP server.
    Jul 28 11:30:32 v2202107152527158073 systemd[1]: vsftpd.service: Main process exited, code=exited, status=2/INVALIDARGUMENT
    Jul 28 11:30:32 v2202107152527158073 systemd[1]: vsftpd.service: Unit entered failed state.
    Jul 28 11:30:32 v2202107152527158073 systemd[1]: vsftpd.service: Failed with result 'exit-code'.
    Jul 28 11:30:42 v2202107152527158073 clamd[638]: Thu Jul 28 11:30:42 2022 -> SelfCheck: Database status OK.


    In welchen Log-Files sehe ich genaueres?


    Vielen, vielen Dank für die Hilfe! :thumbup:


    Gruß,

    tajbender




    p.s.: Ich vermute ja, dass es mit dem SSL-Zertifikat zusammenhängt (ohne die geringste Ahnung zu haben). Da ich ja sowieso eins brauche für https, "reicht" ein kostenloses von Cloudfare oder Let's Encrypt?
    Erfahrungen, Empfehlungen?

    vServer VPS 200 G8 - debian 9 (Stretch) minimal - Vesta CP

    Einmal editiert, zuletzt von tajbender ()

  • Also bevor wir jetzt auf das eigentliche Problem eingehen, würde ich ehrlich gesagt empfehlen, dass du das ganze nochmal mit einem aktuellen Debian (11) aufsetzt. Die 9er Version hat nicht mal mehr LTS Unterstützung und da Stretch keinerlei Support mehr erhält, wirst du früher oder später sowieso immer mehr Probleme bekommen.


    Vielleicht erübrigt sich in den neueren Repos auch das ganze und funktioniert direkt :)

  • Hallo Valkyrie,


    Danke erstmal für Deinen Hinweis. Tatsächlich hatte ich ursprünglich Debian 11 installiert, allerdings knallte dann die Installation von Vesta CP. Dies unterstützt derzeit tatsächlich nur Debian 9 (Vesta Control Panel — Install (vestacp.com))


    Da das Debian 9-Image im SCP als LTS benannt ist, dachte ich dem wäre (noch) so =O;(

    Gäbe es eine (kostenlose) Alternative zu Vesta CP? Dann würde ich den Server tatsächlich neu aufsetzen.


    Vielen Dank und viele Grüße,

    tajbender


    p.s.: Da ich derzeit nur statische html-Seiten ausliefern werde, brauche ich dafür überhaupt einen Apachen - reicht nicht ngix solo?

    vServer VPS 200 G8 - debian 9 (Stretch) minimal - Vesta CP

    Einmal editiert, zuletzt von tajbender () aus folgendem Grund: Weitere Frage

  • Es gab wohl ein Edit von dir ^^


    Grundsätzlich: was du oben versucht hast, ist vermutlich FTPS

    SFTP basiert auf dem SSH Protokoll und braucht keine TLS Zertifikate.

    SFTP wird unter anderem von OpenSSH bereitgestellt - dem Default SSH Server.



    p.s.: Da ich derzeit nur statische html-Seiten ausliefern werde, brauche ich dafür überhaupt einen Apachen - reicht nicht ngix solo?

    Ja, da reicht Apache2 oder nginx. Die auszuliefernden Daten kommen z.B. nach /var/www/

    Es ist auch ohne weiteres Möglich php später nachzurüsten, bei beiden.



    p.s.: Ich vermute ja, dass es mit dem SSL-Zertifikat zusammenhängt (ohne die geringste Ahnung zu haben). Da ich ja sowieso eins brauche für https, "reicht" ein kostenloses von Cloudfare oder Let's Encrypt?

    Dafür ist Let's Encrypt da - das funktioniert einwandfrei über den Certbot.

    Beim Certbot gibst du an welche Domain und welchen Webserver du benutzt, und dann gehts direkt los.

    https://certbot.eff.org/

  • Welche Funktionalität brauchst du? Was sind deine Anforderungen?


    Wonach suchst du genau?

    Ich hatte früher bei meinem shared hoster PLESK.


    Derzeit sehe ich folgenden Bedarf:

    • Statistiken, Logs
    • E-Mail Einrichtung, Konfiguration
    • Domain-Setup, Subdomains, DNS
    • Backup

    Scriptsprachen wie php/perl nutze ich derzeit nicht, auch mittelfristig sehe ich das nicht.


    Da ich derzeit nur statische html-Seiten ausliefern will, brauche ich dafür überhaupt einen Apachen - reicht nicht ngix solo?


    Vielen Dank und viele Grüße,
    tajbender

    vServer VPS 200 G8 - debian 9 (Stretch) minimal - Vesta CP

  • Der VPS 200 hat limitierte Ressourcen ;)



    Statistiken, Logs

    Die Logs werden auf dem Server abgelegt - unter /var/logs/nginx bspw.

    Die kannst du mit matomo oder webalizer grafisch aufbereiten. Gibt aber noch weitere Tools.



    E-Mail Einrichtung, Konfiguration

    Das ist viel Aufwand und eigentlich willst du das nicht. Falls doch: mailcow https://mailcow.email/



    Domain-Setup, Subdomains, DNS

    Das willst du wirklich nicht.

    Dafür brauchst du mehr als einen Server - den Job solltest von anderen machen lassen, z.B. vom Domain Anbieter oder Cloudflare.


    Subdomains im Webserver werden in der Konfiguration eingetragen.



    Backup

    Kommt darauf an, wohin.

    Ein Backup auf dem gleichen Server ist kein Backup.

    Überlege dir ein Backup Konzept und ein Ziel - wohin mit meinem Backup.

    Dann kann man z.B. Borg bemühen.


    Wenn du ein Konzept hast und lieb fragst, scriptet dir das bestimmt auch jemand.


    Wenn es doch ein Control Panel sein soll:

    https://froxlor.org/

    https://www.keyhelp.de/

    https://www.cloudron.io/

    oder ein Webhosting - die Hostings bei Netcup basieren auf Plesk.

    Die Mailcow hat auch direkt ein Admin Interface, aber nur für die Mailcow an sich.

  • Backup: Irgendwo Backupspace mieten (z.B. *etzner Storagebox) und dorthin sichern, zum Beispiel mit Borg.


    Fang erstmal langsam an, also nur mit einem Webserver.

    Vermeide Mail wie der Teufel das Weihwasser, macht nur Ärger.


    Und am besten lernst du das ganze mit einem aktuellen Debian und lässt irgendeine grafische Konfigurationsoberfläche gleich weg.

    Auch auf der Kommandozeile kann man ne Subdomain mit ner handvoll Befehle anlegen, dafür braucht man kein unglaublich umfangreiches Webinterface was einen noch dazu dran hindert auf ein aktuelles Debian zu gehen.

  • Klingt so, als sei für dich ein Controlpanel die beste Wahl. H6G hat ja schon ein paar erwähnt.

    Ich persönlich kann davon Keyhelp sehr empfehlen. Das habe ich auch einem Bekannten auf seinem Server installiert und er ist davon begeistert.

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | Webhosting EiWoMiSau


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

    Danke 1
  • Hallo nochmal,


    vielen, vielen Dank für die umfangreichen und vor allem schnellen Antworten...

    1.) Gut, das System neu aufzusetzen hatte ich sowieso schon gesehen als ich ins Licht geblickt habe...
    2.) Mit Domain-Admin, Subdomains meine ich keine umfangreichen Spielereien, sondern einfach nur (einmalig) Domain.xyz auf Server/-Verzeichnis einrichten, fettich. Gut, brauche ich wohl kein gui-schnick-schnack, sehe ich ein.

    3.) Thema E-Mail: Aber wenn die Domains doch auf den vServer zeigen, dann muss ich doch auch den mail-server auf der Kiste laufen lassen?!? Und auch hier will ich keine großen Dramen, eine handvoll Postfächer per imap und ich bin glücklich.

    4.) Die Backups wollte ich auf mein NAS sichern. Automatisiert, idealerweise. Also cron?


    Vielen, vielen Dank nochmal,


    Gruß,

    tajbender

    vServer VPS 200 G8 - debian 9 (Stretch) minimal - Vesta CP

  • 2.) Mit Domain-Admin, Subdomains meine ich keine umfangreichen Spielereien, sondern einfach nur (einmalig) Domain.xyz auf Server/-Verzeichnis einrichten, fettich. Gut, brauche ich wohl kein gui-schnick-schnack, sehe ich ein.

    Die DNS/Domainverwaltung machst du ja über das CCP. Dort machst du dann z.B. einen A-Record auf deine IP und kommst dann über diese (Sub-)Domain direkt an deinen Server. Wenn dein Webserver (Nginx/Apache) auf eine bestimmte Subdomain lauschen soll, musst du nur bei dem vHost den Namen angeben :)


    3.) Thema E-Mail: Aber wenn die Domains doch auf den vServer zeigen, dann muss ich doch auch den mail-server auf der Kiste laufen lassen?!? Und auch hier will ich keine großen Dramen, eine handvoll Postfächer per imap und ich bin glücklich.

    Nein, der Email Server muss zum Glück dann nicht auf den vServer zeigen :) Mit den MX Records gibst du im DNS gesondert das Ziel der Mails an. Der Server und seine sonstigen Anwendungen werden größtenteils einfach durch A / AAAA (und andere) realisiert.


    Email ist leider oft ein Thema mit jeder Menge Bauchschmerzen. Das würde ich leider auch nicht empfehlen, erst recht nicht als Neuling. Du kannst dir das Wissen natürlich aneignen und probieren, aber das wird kein "hier was eintragen, da was eintragen, fertig". Wird spätestens dann richtig lustig, wenn mal unweigerlich von den großen Anbietern geblockt wird.


    4.) Die Backups wollte ich auf mein NAS sichern. Automatisiert, idealerweise. Also cron?

    Da gibt es viele Möglichkeiten, je nachdem was du betreibst und je nachdem wie deine Backups aussehen. Das reicht von .zip Dateien automatisiert per SSH ziehen und ablegen lassen bis Komplettlösungen, die dir Images erstellen. Vielleicht kannst du dein NAS sogar direkt per VPN anbinden und den Server alles erledigen lassen. Kommt eben drauf an, was du da betreibst.

  • Prinzipiell willst du sicherlich dass das NAS sich das Backup irgendwie holt. Dein NAS mit den Backups von außen aus dem Internet erreichbar machen solltest du vielleicht möglichst vermeiden. Klar, VPN wäre eine Lösung, setzt aber halt auch irgendwie vorraus dass das NAS aus dem Internet erreichbar ist.

  • Email ist leider oft ein Thema mit jeder Menge Bauchschmerzen. Das würde ich leider auch nicht empfehlen, erst recht nicht als Neuling. Du kannst dir das Wissen natürlich aneignen und probieren, aber das wird kein "hier was eintragen, da was eintragen, fertig". Wird spätestens dann richtig lustig, wenn mal unweigerlich von den großen Anbietern geblockt wird.


    Hmm... Dass ich geblockt werden könnte, daran hab ich nie gedacht :P

    Aber könnte / würde ich das nicht sowieso werden, wenn ich email-Adresse "meinuser@meinedomain.tld" nutze?
    Oder erledigt sich das von selbst, wenn die Mails von einem z.B. *etzner-Server kommen?


    Prinzipiell willst du sicherlich dass das NAS sich das Backup irgendwie holt. Dein NAS mit den Backups von außen aus dem Internet erreichbar machen solltest du vielleicht möglichst vermeiden. Klar, VPN wäre eine Lösung, setzt aber halt auch irgendwie vorraus dass das NAS aus dem Internet erreichbar ist.


    Das NAS ist eine DiskStation 913, 4-bay. Bisher aber nur als reines Datengrab und Git-Server verwendet.


    Wenn der vServer mal rund läuft, sollen die Backups da drauf. Per FritzBox könnte ich den auch per DynDNS ins Netz bringen. Aus Sicherheitsgründen wollte ich das aber eigentlich nicht... =O


    Am liebsten würde ich die Backups also von der DiskStation über ftp ziehen wollen...

    vServer VPS 200 G8 - debian 9 (Stretch) minimal - Vesta CP

  • Hay,

    Aber könnte / würde ich das nicht sowieso werden, wenn ich email-Adresse "meinuser@meinedomain.tld" nutze?
    Oder erledigt sich das von selbst, wenn die Mails von einem z.B. *etzner-Server kommen?

    Manche größeren E-Mail-Empfänger (vor allem freemail-Anbieter wie google, gmx, aber sehr berüchtigt auch microsoft mit outlook, live, hotmail) blocken mit Blocklist per IP. Doch zu unser aller Leidwesen wird nicht nur die IP geblockt, sondern gerade auch das ganze Netzwerksegment, also wenn jemand in der IP-Nachbarschaft Müll baut, bist Du mitbetroffen, selbst wenn Du alles richtig gemacht hast. Ist dann viel Arbeit, das wieder los zu bekommen. Ein professioneller E-Mail Hoster macht das schon von sich aus - oder hat sogar schon ein passendes Abkommen mit der Gegenstelle getroffen.


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

    Einmal editiert, zuletzt von CmdrXay ()

    Gefällt mir 5 Danke 1
  • Wenn der vServer mal rund läuft, sollen die Backups da drauf. Per FritzBox könnte ich den auch per DynDNS ins Netz bringen. Aus Sicherheitsgründen wollte ich das aber eigentlich nicht... =O

    Es wäre sicherlich wirklich besser, wenn du mit deinem NAS das Backup pullst und nicht von deinem vServer aus darauf pusht. Man muss ja nicht unnötig die Scheunentore öffnen :)


    Am liebsten würde ich die Backups also von der DiskStation über ftp ziehen wollen...

    Ich hab leider keine Synology da, aber das sollte möglich sein. Wie ThomasChr erwähnte würde ich aber auch rsync empfehlen, da auf deinem vServer hier sowieso der SSH Server läuft und rsync über den selben Port das Backup ziehen kann. Damit hättest du noch einen Dienst weniger auf den du aufpassen müsstest ^^

  • Wenn du ne etwas neuere Fritzbox hast, könntest du auch ziemlich easy mit WireGuard eine VPN-Verbindung zwischen deinem Heimnetz und deinem Server herstellen. Dann kann meiner Meinung nach auch ruhig der Server das Backup über das VPN auf den NAS pushen.

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | Webhosting EiWoMiSau


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

    Danke 1
  • Wenn du ne etwas neuere Fritzbox hast

    aber derzeit nur mit Laborversionen möglich und somit nur bedingt empfehlenswert. (meiner Meinung nach ist's sogar ein no go; dafür ist mir mein Router und ein funktionierendes Heimnetz sowie stabiler Internetzugang schlicht zu wichtig als dass ich hier mit Testversionen experimentiere :D)


    freue mich aber auch schon sehr auf die Releaseversion mit Wireguard - so spare ich mir eine weitere VM zuhause. :)

  • Hallo nochmal, und guten Abend,


    Erstmal vielen, vielen lieben Dank für die zahlreichen, ausführlichen und netten Antworten :thumbup:


    Okay, also soweit habe ich Dank Euch einen viel besseren Überblick. Server neu aufsetzen, ohne CP, evtl. mal KeyHelp ankucken.


    Zum Thema eMail, das sich ja als die größte Hürde herauszustellen scheint, aber noch zwei Fragen:


    1.) @H6G Von mailcow gibt es dedizierte Miet-Server, sowie eine "Distribution" auf GitHub. Meinst Du damit, einen Mail-/Groupware-Server zu mieten?
    Oder die "fertige Distribution" auf den Server aufzuspielen?


    Hay,

    Manche größeren E-Mail-Empfänger (vor allem freemail-Anbieter wie google, gmx, aber sehr berüchtigt auch microsoft mit outlook, live, hotmail) blocken mit Blocklist per IP. Doch zu unser aller Leidwesen wird nicht nur die IP geblockt, sondern gerade auch das ganze Netzwerksegment, also wenn jemand in der IP-Nachbarschaft Müll baut, bist Du mitbetroffen, selbst wenn Du alles richtig gemacht hast. Ist dann viel Arbeit, das wieder los zu bekommen. Ein professioneller E-Mail Hoster macht das schon von sich aus - oder hat sogar schon ein passendes Abkommen mit der Gegenstelle getroffen.


    CU, Peter


    2.) Okay, aber angenommen, ich würde gar keinen richtigen POP3 bzw. IMAP Mail-Server betreiben, sondern nur Umleitungen auf gmail, gmx, hotmail & Co, wäre das Blacklist-Problem damit erledigt?


    Also z.B. webmaster@superhypermeganet.com weiter geleitet auf max.mustermann@gmail.com. Wäre damit das Blacklisting-Problem beseitigt?


    Und würde dann aber beim Empfänger der Mail nicht als Absender max.mustermann@gmail.com stehen, statt webmaster@superhypermeganet.com?


    Vielen, vielen Dank nochmal,


    Gruß, tajbender

    vServer VPS 200 G8 - debian 9 (Stretch) minimal - Vesta CP

  • Hay,

    Also z.B. webmaster@superhypermeganet.com weiter geleitet auf max.mustermann@gmail.com. Wäre damit das Blacklisting-Problem beseitigt?

    Blacklisting betrifft nur das Senden von E-Mails. Was - mit Verlaub - aufgrund des 70er/80er Jahre SMTP-Protokolls die Konfiguration eines sendenden Hosts zur reinste Hölle macht.


    Also mit einfachen Worten: wenn Du nur Empfänger bist und die E-Mails weiterleitet, hast Du maximal das Problem zur Stelle, an die weiter geleitet wird. Wenn Dein Host von gmail als Spamschleuder gewertet wird, ist Deine E-Mail (eingehend) auch tot.


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

    Einmal editiert, zuletzt von CmdrXay ()

    Danke 1