Das längste Thema

Hmpf, doch ein Grund erstmal hier zu bleiben. Danke für dein Check!

Zitat von sla

Hmpf, doch ein Grund erstmal hier zu bleiben. Danke für dein Check!

Es gibt auch gar nicht die Möglichkeit eigene ISOs zu mounten bzw. zu installieren oder eigene Images zu nutzen. Daher erübrigt sich die Frage nach BIOS/UEFI im Grunde eigentlich auch. Man ist hier auf die paar Images beschränkt, die zur Verfügung gestellt werden. Ich würde jetzt mal vermuten, dass das der Hintergedanke bei der Frage war.

Ist z.B. für mich blöd, weil ich gerne Fedora Server einsetze. Gibt es zwar bei Netcup auch nicht (mehr) als Image oder ISO, man kann es aber jederzeit zumindest selbst hochladen und installieren.

Zitat von charmin.armin

kommt das nicht bekannt vor?

Das sind keine selbst vergebenen Passwörter, sondern von Netcup generierte Passwörter - hat mit deiner verlinkten Seite immer noch nix zu tun, weil man die Passwörter sowieso sofort ändert. Dafür reicht auch die TLS Transportverschlüsselung und es bedarf da keiner anderen Maßnahmen.

Zitat von Paul

Ist z.B. für mich blöd, weil ich gerne Fedora Server einsetze

Richtig, setze auch auf Fedora. Die drohende Ankündigung BIOS Boot rauszuwerfen zwingt mich diese Frage zu stellen 🙃

Zitat von H6G

Das sind keine selbst vergebenen Passwörter, sondern von Netcup generierte Passwörter - hat mit deiner verlinkten Seite immer noch nix zu tun, weil man die Passwörter sowieso sofort ändert. Dafür reicht auch die TLS Transportverschlüsselung und es bedarf da keiner anderen Maßnahmen.

Wehe dem, der die Passwörter nicht sofort ändert und es soll sogar noch Mailserver ohne Mandatory TLS geben aber wir gehen da von unterschiedlichen Wissen aus (nicht umsonst wird seit langem versucht, Security by Design in die Köpfe zu bringen - Standardnutzer haben leider nicht das Sicherheitsbewusstsein welches wir voraussetzen daher bedarf es anderer Maßnahmen. Alleine schon aus Reputationsgründen)

"So lange nicht einfach nur ein neues Passwort gesetzt wird, dass dann für immer so bleibt und Klartext per Mail verschickt wird..."

Ich stehe gerade irgendwie auf dem Schlauch bezüglich Nginx Reverse Proxy und wenn ich google finde ich nicht exakt was ich will. Man findet so viele verschiedene Konfigurationen, keine Ahnung was ich wirklich brauche. Vielleicht kann mir jemand etwas verlinken oder in die richtige Richtung weisen:

1 Reverse Proxy - 3 kleine Websites. Alles soll durch den Reverse Proxy gehen und dort sollen bestenfalls auch die Lets Encrypt Zertifikate liegen. Der Proxy an sich funktioniert, aber er meckert rum, weil HTTPS und HTTP gemischt werden. Wenn ich add_header 'Content-Security-Policy' 'upgrade-insecure-requests'; hinzufüge, ist in der URL Leiste die Warnung weg, aber bei Anmeldefenstern bleibt es.

Kann ich bei den Websites alleine HTTP lassen? Benötige ich nur eine spezielle Config? Jetzt beim schreiben wundert es mich gerade, dass er nie bei irgendwelchen anderen Anwendungen gemeckert hat, die standardmäßig auch nur auf HTTP lauschen.

Zitat von charmin.armin

Wehe dem, der die Passwörter nicht sofort ändert und es soll sogar noch Mailserver ohne Mandatory TLS geben aber wir gehen da von unterschiedlichen Wissen aus (nicht umsonst wird seit langem versucht, Security by Design in die Köpfe zu bringen - Standardnutzer haben leider nicht das Sicherheitsbewusstsein welches wir voraussetzen daher bedarf es anderer Maßnahmen. Alleine schon aus Reputationsgründen)

Security by Design bei "Standardnutzern", die ihr per E-Mail zugesendetes Root Passwort nicht ändern?

Da ist das geknackte E-Mail Konto (oder meinetwegen auch Microsoft mit ihrer neuen Outlook Version) das geringste Problem, weil hier die Leute noch ganz anders auf den Server zugreifen und ihn übernehmen. Da auf eine ISO 27002 zu pochen und mit unverschlüsselten E-Mail Servern daherzukommen ist nicht zielführend.

es liegt in der Verantwortung desjenigen, der ein Mail mit einem generierten Passwort erhalten hat, dieses auch zeitnah neu zu setzen;

ISO27002 ist nett bringt aber nicht den Benefitt, den der Durchschnitt durch andere Dinge mehr als umkehrt;

Zitat von mainziman

es liegt in der Verantwortung desjenigen, der ein Mail mit einem generierten Passwort erhalten hat, dieses auch zeitnah neu zu setzen;

ISO27002 ist nett bringt aber nicht den Benefitt, den der Durchschnitt durch andere Dinge mehr als umkehrt;

ich sehe den Dienstleister in der Verantwortung, ein Mail mit Klartext-Passwort erst gar nicht zu verschicken: der Nutzer sollte bei Anmeldung (oder Verlust mittels Link) ein Passwort setzen. Fehlt nur noch, dass Passkopien per eMail auch kein Problem darstellen, da ja eh transportverschlüsselt

"Benefit, den der Durschnitt durch andere Dinge mehr als umkehrt" ist wie gemeint?

Zitat von charmin.armin

ich sehe den Dienstleister in der Verantwortung, ein Mail mit Klartext-Passwort erst gar nicht zu verschicken: der Nutzer sollte bei Anmeldung (oder Verlust mittels Link) ein Passwort setzen. Fehlt nur noch, dass Passkopien per eMail auch kein Problem darstellen, da ja eh transportverschlüsselt

Es ist immer ein Kompromiss zwischen Sicherheit und Komfort. Das initiale Root Passwort erhält man ja auch nur nach der Ersteinrichtung des Servers. Weitere Neuinstallationen lassen sich auch ohne E-Mail durchführen. In diesem Fall wird das Password dann einmalig im SCP angezeigt. Durch die automatische Erstinstallation seitens Netcup gibt es im Grunde keine andere Wahl als dass Netcup das Passwort dann per E-Mail übermittelt. Finde ich auch völlig ok. Es ist eine Service Leistung für den Kunden, damit er direkt loslegen kann. In der Regel installiert man über das SCP ja sowieso nochmal sein gewünschtes Image neu oder installiert gänzlich über ein ISO. In diesem Fall hat sich das Thema ja auch erledigt.

Man kann jetzt natürlich fragen, warum Netcup überhaupt ein Image vorinstallieren muss. Bei anderen Providern werden die VPS oft offline zur Verfügung gestellt und der Kunde muss erst aktiv ein Image installieren. Da sind wir aber wieder beim Thema Komfort. Netcup hat sich dafür entschieden. Aber das macht Netcup jetzt nicht sicherer oder unsicherer als andere Provider. Es ist immer noch die Verantwortung des Admins wie er seine Systeme betreibt.

Zitat von Paul

Es ist immer ein Kompromiss zwischen Sicherheit und Komfort. Das initiale Root Passwort erhält man ja auch nur nach der Ersteinrichtung des Servers. Weitere Neuinstallationen lassen sich auch ohne E-Mail durchführen. In diesem Fall wird das Password dann einmalig im SCP angezeigt. Durch die automatische Erstinstallation seitens Netcup gibt es im Grunde keine andere Wahl als dass Netcup das Passwort dann per E-Mail übermittelt. Finde ich auch völlig ok. Es ist eine Service Leistung für den Kunden, damit er direkt loslegen kann. In der Regel installiert man über das SCP ja sowieso nochmal sein gewünschtes Image neu oder installiert gänzlich über ein ISO. In diesem Fall hat sich das Thema ja auch erledigt.

Hmm, andere Anbieter schaffen es, bei Ersteinrichtung/Registrierung, dasst selbst ein Passwort setzen kannst und welches Passwort siehst im SCP (hab meine VPS alle von Netcup abgezogen, Sorry)?

Zitat von charmin.armin

ich sehe den Dienstleister in der Verantwortung, ein Mail mit Klartext-Passwort erst gar nicht zu verschicken: der Nutzer sollte bei Anmeldung (oder Verlust mittels Link) ein Passwort setzen. Fehlt nur noch, dass Passkopien per eMail auch kein Problem darstellen, da ja eh transportverschlüsselt

"Benefit, den der Durschnitt durch andere Dinge mehr als umkehrt" ist wie gemeint?

Inwiefern erhöht der Link die Sicherheit?

Sollte jemand wirklich Zugriff auf das Email Postfach haben, kann er auch einfach den Link kopieren - der einzige Vorteil bestünde darin,dass man dem Link ein gewisses Ablauf Datum zu weißen kann - der Angriffer kann aber natürlich auch selber Links generieren und z.B. durch Wahl einer unüblich Uhrzeit, die Mail auch 'verstecken'

(Und es sollte nartürlich beim Passwort Reset und einer erst Anmeldung mit dem neuem Passwort, das sofortige Setzen eines eignen Passwortes verlangt werden)

Zitat von tom434

Inwiefern erhöht der Link die Sicherheit?

Sollte jemand wirklich Zugriff auf das Email Postfach haben, kann er auch einfach den Link kopieren - der einzige Vorteil bestünde darin,dass man dem Link ein gewisses Ablauf Datum zu weißen kann - der Angriffer kann aber natürlich auch selber Links generieren und z.B. durch Wahl einer unüblich Uhrzeit, die Mail auch 'verstecken'

(Und es sollte nartürlich beim Passwort Reset und einer erst Anmeldung mit dem neuem Passwort, das sofortige Setzen eines eignen Passwortes verlangt werden)

Ablaufdatum ist schon mal ein großes Plus und wenn jemand Zugriff auf das Postfach hat, hilft sowieso nur ein anderer Faktor wie zB zusätzliche Geheimfrage/antwort aber das haben wir schon alles durchgekaut

Zitat von charmin.armin

Ablaufdatum ist schon mal ein großes Plus und wenn jemand Zugriff auf das Postfach hat, hilft sowieso nur ein anderer Faktor wie zB zusätzliche Geheimfrage/antwort aber das haben wir schon alles durchgekaut

Aber das zeigt dann nicht wirklich auf, wiso ein Passwort per Mail unsicher sein soll als ein Link.

(Dem Passwort könnte man ja sogar auch ein Ablaufdatum geben).

Zitat von ThomasChr

Shopware 5 wäre auch sofort meine Empfehlung gewesen. Bei Shopware 6 ist wohl alles deutlich komplizierter geworden…

Wenns was kleines ist würd mir auf Anhieb Woocommerce oder Oxid einfallen.

Lohnt es denn deiner Meinung nach noch mit Version 5 CE anzufangen (EoL Juli 2024) oder direkt auf Version 6 CE aufbauen und den scheinbar größten Aufwand in Kauf nehmen?

Woocommerce & Oxid wären wahrscheinlich auch nicht verkehrt aber dann ist es mir doch lieber eine reine Shopsoftware mit einer großen Community zu nutzen.

Zitat von Bensen

Lohnt es denn deiner Meinung nach noch mit Version 5 CE anzufangen (EoL Juli 2024) oder direkt auf Version 6 CE aufbauen und den scheinbar größten Aufwand in Kauf nehmen?

Sicherlich macht Shopware 5 jetzt (leider) keinen Sinn mehr für einen Neuanfang.

Shopware 6 ist kompliziert, teilweise etwas zu kompliziert, aber dafür auch sehr mächtig.

Wenn du genug technisches Knowhow hast kannst du das wahrscheinlich auch stemmen. Eine typischer Shopbetreiber mit weniger technischem Knowhow ist halt schnell verloren und auf eine Agentur angewiesen.

Gerade mal ein aktuelles Debian 12 mit dem Netcup Image installiert. Da ist doch tatsächlich die /etc/resolv.conf als immutable markiert.

# lsattr /etc/resolv.conf 
----i---------e------- /etc/resolv.conf

War das schon immer so? Ich habe mich nämlich gewundert, warum mein Ansible Playbook hier gerade fehlschlägt.

Zitat von Paul

War das schon immer so?

Ja.

Zitat von H6G

https://forum.netcup.de/admini…solv-conf-ubu/#post208039

Ja.

Danke! Da nimmt man einmal nicht sein gewohntes Fedora und dann sowas. Dann kommt halt jetzt noch zusätzlich dieser Task in meine Standard Rolle

- name: Remove immutable flag from /etc/resolv.conf
  ansible.builtin.file:
    path: /etc/resolv.conf
    attributes: 'e'

Habe es erst mit "-i" versucht, aber das ist nicht idempotent.

Zitat von Paul

Danke! Da nimmt man einmal nicht sein gewohntes Fedora und dann sowas.

Daher auch die Empfehlung per ISO zu installieren, damit Cloud-Init und systemd-resolved einem den Tag nicht vermiesen.