Das längste Thema

  • Bei mir gar nicht... Ich musste msmtp auch mit openssl selbst kompilieren, anderweitig wollte er sich nicht mit meiner mailcow verbinden... Vielleicht liegt es ja daran...

    Auf jeden Fall danke für die Rückmeldung, da kann ich ja auf Fehlersuche gehen:rolleyes::)

    Hab da ehrlich gesagt nix umgestellt. Zumindest erinnere ich mich an nix. Lief out of the box. Hatte ssmtp quasi aus Not ersetzt weil das unter Debian 10 nicht mehr lief (siehe mein thread dazu)


    Danach funktionierte apticron wie vorher 😊

  • Laut qualis SSL Test habe ich sogar TLS1.3 auf Systemen aktiviert, wo nur TLS1.2 vHosts sind? Auch in der globalen Config von nginx kein TLS1.3

    So ein bisschen scheint das da mit rein zu spielen: https://serverfault.com/questi…g-enabled-in-nginx-config

    Aber auch nicht ganz.


    Egal ob:

    Code
    1. nginx version: nginx/1.14.2
    2. built with OpenSSL 1.1.1a 20 Nov 2018 (running with OpenSSL 1.1.1c 28 May 2019)

    oder:

    Code
    1. nginx version: nginx/1.16.0
    2. built with OpenSSL 1.1.1b 26 Feb 2019 (running with OpenSSL 1.1.1c 28 May 2019)



    Oder kann es sein, dass der Qualys Test da defekt ist? Mit OpenSSL Client funktioniert SNI einwandfrei und ich bekomme nicht alle Zertifikate des Servers.

  • Qualys dürften viel Zeit/Mühe in die Tests investiert haben…

    Eventuell ein bug welcher im dev-Zweig schon behoben wurde?

    Das sind die www Varianten die SNI brechen - da nimmt nginx wohl den ersten Server Block der existiert.

    Gibt es eine Möglichkeit das Verhalten zu unterbinden? Also alles, was nicht zum server_name passt zu blockieren?

  • Das sind die www Varianten die SNI brechen - da nimmt nginx wohl den ersten Server Block der existiert.

    Gibt es eine Möglichkeit das Verhalten zu unterbinden? Also alles, was nicht zum server_name passt zu blockieren?

    Gegebenenfalls via "catch all"/default (https://serverfault.com/q/699119/346625)?

    Ein paar zusätzliche Infos (Konfigurationsauszug, Distributionsinfo, "nginx -V"-Ausgabe) würden nginx-Kundigen wohl bessere Ansatzpunkte liefern, sonst muss man "alles" durchprobieren inkl. Session-Cache (https://serverfault.com/a/704910/346625) usw.

  • Ich hatte das nginx und TLS Thema unlängst erst bei einem Kunden. Zuerst greift natürlich immer die globale Config und danach die des vHosts (ist bei unterschiedlichen TLS Versionen die nicht 1.3 sind auch kein anderes Verhalten).


    Soweit ich das sehen konnte siehst du das ‚Problem‘ jedoch nicht bei allen SSL Tests. Ich hab das dann nicht weiterverfolgt, kann mir aber vorstellen dass die Session angepasst wird sobald sie im richtigen vhost gelandet ist.?

  • Apropos benachrichtigen lassen... Kennt jemand eine Alternative zu apticron?


    Ich hätte hier was, das basiert aber auf telegram-cli bzw. Mails. Müsstest du dir etwas umbasteln, wenn du es anders haben magst. :)

    Dann einfach als Cronjob setzen. ;)

  • H6G meinst Du tatsächlich, dass Du mehrere unterschiedliche vHosts hast, jedes mit ein anderen SSL-Zertifikat

    aber bei SSLLabs ALLE diese Zertifikate geliefert werden?

    wenn dem so ist, hast eher ein Problem auf Deiner Seite, weil dies so nicht passieren darf;

    das falsche Zertifikat - das standardmäßige Zertifikat, ist aber immer das selbe - weil der Client mit SNI ein Problem hat ja, aber andere defintiiv nein;

  • meinst Du tatsächlich, dass Du mehrere unterschiedliche vHosts hast, jedes mit ein anderen SSL-Zertifikat

    aber bei SSLLabs ALLE diese Zertifikate geliefert werden?

    wenn dem so ist, hast eher ein Problem auf Deiner Seite, weil dies so nicht passieren darf;

    das falsche Zertifikat - das standardmäßige Zertifikat, ist aber immer das selbe - weil der Client mit SNI ein Problem hat ja, aber andere defintiiv nein;

    Naja.


    Problem 1:

    Die www. Subdomain wird vom SSL Test mit geprüft, sollte aber nicht. Diese kann ich zwar in einem Server Block schalten, will ich aber nicht.

    Wie kann ich die Verbindung ablehnen, wenn kein Server Block passt?


    SSL Labs zeigt ja nicht an, bei welcher Anfrage Kombi was ausgeliefert wird, und zeigt dadurch natürlich eine Mischung der normalen Domain und der www. Subdomain an.


    Prolem 2:

    TLS 1.3 ist nicht explizit deaktiviert oder aktiviert, wird aber trotzdem verwendet. nginx zu alt, OpenSSL zu neu.

    Hier einfach nginx updaten.

  • Wie kann ich die Verbindung ablehnen, wenn kein Server Block passt?

    wie oben vom 'standardmäßigen Zertifikat' die Rede ist,

    dieses bezieht sich auf genau den EINEN vHost;

    welcher bei HTTP z.B. bei http://IPaddr/ zum Tragen kommt

    und bei HTTPS(HTTP over SSL/TLS), gibt es die selbe Analogie;


    es hindert einem niemand daran z.B. https://IPaddr/ als URL zu verwenden;

    dass hier nur selten ein korrektes Zertifikat kommt ist auch klar - keine IP weder in x509v3 Erweiterungen noch im CN des x509-SSL-Zertifikates;

  • Hat wer aktuell noch Probleme mit den VPS 500? Ohne jetzt die Logs zu checken, da gerade unterwegs,...


    Ohne das der Server neugestartet wurde, sind Mailcow und Bitwarden für mehrere Minuten bis zu einer halben Stunde nicht erreichbar. Außer docker und nginx als reverse proxy läuft da nicht viel auf der Kiste.


    Die anderen 500er laufen unauffällig, bzw. werden nicht so streng gemonitored. Die 200er und RS laufen ohne Probleme.


    Irgendwie strange 🤔

  • Was für Hardware verwendet man eigentlich im Jahr 2019 für einen Linux Homeserver? Gibt es da Empfehlungen von der Stange oder soll ich mir selbst etwas zusammenstellen? :/


    Das System sollte nicht zu groß sein, headless betrieben werden, zur KVM-Virtualisierung dienen, muss geräuschmäßig unter Normallast mindestens wohnzimmertauglich (noch besser schlafzimmertauglich) sein und sollte Platz für ein paar 3,5" Platten bieten. RAM sollte (optional) mindestens 32GB möglich sein. CPU-Leistung ist nicht das Problem, da reichen schwächere Prozessoren, wenn es genügend Kerne (4) gibt. Wenn man eine eigene Erweiterungskarte unterbringen kann, wäre ich nicht unglücklich.


    Ich überlege nämlich langfristig (bis 2020), meinen NUC der ersten Generation in Rente zu schicken. Der hat jetzt fünf Jahre Dauerbetrieb auf dem Buckel. Leistungsmäßig reicht er zwar noch, aber der neue Homeserver könnte weitere Aufgaben übernehmen: Eventuell schicke ich meine alten Synology NAS endlich in Rente…


    Fix ist noch nix, mal schauen! :saint:

  • Ahahaha, einer meiner Server crasht seit heute morgen ständig, da irgend ne SQL Abfrage in nem loop verläuft.


    Hab jetzt mehrfach auf Anfrage wie WhatsApp MySQL neugestartet...


    Bin gerade ein wenig von mir selbst begeistert 😂😂 Hab das Skript gerade auf dem Smartphone getippt und führe es jede Minute mit nem cronjob vom Hub Server aus 😂


    Löst das Problem zwar nicht, aber ich muss mir nicht anhören, dass der Server nicht erreichbar ist 😂😂🤣🤣


    [Ende Eigenlob] 🤣