Das längste Thema

  • das ist kein Sprachproblem von Microsoft, sondern ein Entscheidungsproblem deinerseits.


    Ich persönlich bevorzuge US, manch anderer GB. Der Unterschied liegt größtenteils in der Rechtschreibung.

    Meine Produkte: definitiv zu viele, RS, VPS, Domains, Webhosting, ...

  • Dann gib das "Frei" doch einfach als zusätzliches Datum mit an, berechnet als 100 - Bananen - Äpfel - Kirschen - Birnen.

    macht Sinn , danke :)

    an so einfache Sachen hab ich garnicht gedacht

    It's me, only me, pure michi 🦆

    RS 1000 SAS G8 | Cyber Quack

    VPS: 50 G7 |B Ostern 2017|200 | Karneval | piko

    WH: SmallEi | Adv17 Family |4000 SE|1000 SE

  • Ich bastel mir gerade mal wieder ein Bash Script...


    Der Output schaut etwa so aus: <domain>,<dateiname> und geht über mehrere Zeilen.

    Jetzt möchte ich die erste Spalte, also die domain nach dopplern durchsuchen. Unabhängig vom Dateinamen, der by the way nicht entfernt werden darf.


    Wie mache ich das am ehesten? Irgendwie bin ich da mit meinem Latein am Ende... :(

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • Hilft dir vielleicht comm?

    Nein. Witzigerweise hatte ich einen Denkfehler, wodurch ich mein "sort -u -t, -k2,2" auf jede Zeile einzeln angewendet habe. Nachdem ich den Befehl mit etwas Bastelei auf alle Zeilen angewendet habe, ging es auf einmal... Augen auf im Straßenverkehr. Oder so. :P


    Danke trotzdem!

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • Soo... also falls jemand OCSP caching betreiben mag und certbot nutzt --> *klick*


    Andere Frage - beim Public Key Pinning hinterlegt man ja so wie ich das verstanden habe den Public Key. Was ist, wenn jetzt, wie es bei Lets Encrypt üblich ist, das Zertifikat erneuert wird. Ändert sich dann der Public Key und man muss ihn in der config ebenfalls ändern, oder bleibt der gleich?

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • Warum sollte sich der Public Key ändern? Der stammt von private Key ab und der ändert sich auch nicht.


    Es heißt ja Public Key Pinning, nicht Zertifikats Pinning.

    "Security is like an onion - the more you dig in the more you want to cry"

  • Warum sollte sich der Public Key ändern? Der stammt von private Key ab und der ändert sich auch nicht.


    Es heißt ja Public Key Pinning, nicht Zertifikats Pinning.

    Wenn du Certbot nutzt, wird standardmäßig jedes Mal ein neuer PrivKey generiert. Auszug aus den Command Line Options

    Zitat
    Code
    --reuse-key           When renewing, use the same private key as the                        existing certificate. (default: False)

    Quelle: https://certbot.eff.org/docs/u…tbot-command-line-options


    Das Problem mit dem nach Renewal ungültigen TLSA hatte ich auch, hinzufügen des Parameters hat geholfen.

  • Es heißt ja Public Key Pinning, nicht Zertifikats Pinning.

    stimmt, und die Basis des PINs ist der private Key :D


    openssl pkey -in ./sslcert.key -outform DER -pubout |openssl dgst -sha256 -binary |openssl enc -base64

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Soo... also falls jemand OCSP caching betreiben mag und certbot nutzt --> *klick*


    Das ist keine gute und zuverlässige Option zu prüfen, welcher Webserver eigentlich genutzt wird.

  • Das ist keine gute und zuverlässige Option zu prüfen, welcher Webserver eigentlich genutzt wird.

    Alternative? Prozesscheck? Oder ein Check auf die Binary?


    Kritik ist das eine und auch kein Problem - aber dann sag mir bitte auch, was ich besser machen kann. Danke! :)

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • Alternative? Prozesscheck? Oder ein Check auf die Binary?


    Kritik ist das eine und auch kein Problem - aber dann sag mir bitte auch, was ich besser machen kann. Danke!

    Dein Skript schlägt aus, wenn ich z.B. Apache und nginx installiert habe - in dem Fall wird nur nginx behandelt und dann springt er zum EOF.

    Das Einfachste wäre natürlich per Argument zu bestimmen, welcher Webserver gemeint ist.

  • Alternative? Prozesscheck? Oder ein Check auf die Binary?


    Kritik ist das eine und auch kein Problem - aber dann sag mir bitte auch, was ich besser machen kann. Danke! :)

    Was macht dein Skript wenn der nginx mal installiert war und jetzt nur noch der User dafür existiert?


    Es gibt hier keine richtige Lösung. Das was du präferierst wirst der Flavour von deinem Skript sein.


    Ich persönlich würde im automatischen Modus entweder gar nichts oder nur einen Apache unterstützen. Ich denke die Nutzeranzahl eh ist begrenzt, da vieles heutzutage über Software wie Plesk läuft. Im professionellen Bereich wirst du auf dedizierte Loadbalancer stoßen, da bist du dann auch draußen.

    "Security is like an onion - the more you dig in the more you want to cry"

  • Alternative? Prozesscheck? Oder ein Check auf die Binary?

    Eine Prozessüberprüfung wäre IMHO am sinnvollsten – wenn kein Prozess läuft, welcher Port 443 bedient, entfällt die Notwendigkeit einer Konfigurationsauffrischung mittels "reload". Und wenn ein Prozess läuft, dann lässt sich genau darüber ermitteln, welcher Webserver/Dienst ihn bedient. Etwa wie folgt:

    Code
    SERVICENAMES=$(netstat -tulpen | grep ':443 ' | sed -e 's|.*/||g' | sort | uniq)

    $SERVICENAMES kann mehrere Einträge enthalten, und wenn das Script auf einer Host-Maschine mit entsprechenden Containern läuft, dann sollte hier ggf. noch ermittelt werden, welche Dienste wirklich im Kontext des Scripts ausgeführt werden.

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

  • Bzgl. des Scripts schaue ich dann mal, was ich machen kann.


    Andere Frage bzw. andere Thema.

    Wie kann ich bei nginx (als reverse Proxy) konfigurieren, dass er statt einem Statuscode 403 oder 404 Statuscode 444 bzw. nichts ausliefert?

    Ich probiere es gerade mit error page und location, aber das scheint bei reverse Proxy nicht zu gehen... aber aus dem Internetz werde ich auch nicht so recht schlau.

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber