Posts by eripek

Quote from tab

Weil kleine Server zu horten finanziell günstiger ist als große Server zu horten .

Oder etwas ernsthafter... Mindestens zwei bis drei der ganz kleinen werde ich für Monitoring-Aufgaben einsetzen. Außerdem sind meine - bis auf zwei VC1-1 beim Mitbewerber aus Berlin alle unterschiedlich. Somit kann ich relativ einfach feststellen, welcher Kleinserver mir am Ende für die zuverlässige Erledigung welcher Aufgaben ausreicht. Ich will ja nicht z.B. einen eigenen, von den größeren Servern genutzten Resolver haben, der regelmäßig wegen Ressourcenmangel abschmiert.

Dann probiere ich mit den Serverchen auch verschiedene Software aus. Wireguard Server, UltraVNC-Server, eventuell auch ein zentraler Zertifikatsserver und ein Matomo-Server. Ideen habe ich noch viele, aber das werden jedenfalls die nächsten.

Auch wenn ich mal eine Netzwerkkonfiguration in Ruhe ausprobieren will/muss, mache ich das lieber auf einem kleinen Serverchen, das sonst keine wichtigen Aufgaben zu erledigen hat, als direkt auf meinem Mail- oder Webserver.

Display More

Irgendwo ist dann aber doch der Punkt erreicht, wo bare metal mit Proxmox billiger kommt.

Um diese Zeit sollte man eher das Bad assimilieren, Zähne putzen und sich in seine Alkoven zurückziehen, um sich zu regenerieren.

Quote from Paul

Für meine Monitoring Server braucht es dann aber schon 2+ vCores, wobei das fast auch noch unter klein fällt. Da kommt in Summe also schon was zusammen. Da ist es immer praktisch, wenn man mal für einen spontanen Test so 1 bis 2 auf Halde hat, die sonst nichts zu tun haben .

Ich denke, dass die Borgqueen darauf hinaus wollte. Ein fetter Server, der selber virtualisiert erscheint ihr effizienter. Möglicherweise hast Du, Borgqueen die Information, dass auf unseren Servern hier das Problem mit nicht hardwareunterstützter nested virualization besteht, solange die nicht gegen Aufpreis pro Core in der Vergangenheit aktiviert wurde, nicht assimiliert?

Nested Virtualization für Root Server

cat /sys/module/kvm_intel/parameters/nested  

cat /sys/module/kvm_amd/parameters/nested  

https://pve.proxmox.com/wiki/Nested_Virtualization

Oh, es gibt immer einen Grund für eine isoliert für sich stehende Instanz. Die Borg müssten das wissen, nachdem Admiral Janeway die Ältere von der Borg Queen assimiliert worden ist, wo sie sich etwas etwas eingefangen haben.

Wohin hast Du es denn installiert? Stimmt der Pfad der Domain auf den Filesystem mit dem, was die Logs Dir da sagen überein? Oder hast Du nachher etwas verschoben? Kannst Du die Datei über das Filesystem (per ssh) oder im CCP/Plesk-Filemanager denn sehen?

Php7.4 gilt übrigens als veraltet.

Was tut er denn Unnettes? OpenVPN hijacken oder stören? Kompression hast Du hoffentlich nicht (mehr) dort aktiviert.

https://community.openvpn.net/openvpn/wiki/VORACLE

Quote from ramstein

sodele,

die Verbindung läuft über openVPN, Port 1900

Aber wider erwarten ist auch da im openvpn.log nicht ein Fitzel dieses Domainnamens zu finden.

(es macht auch nicht wirklich Spaß durch ein 4GB Logfile zu grebben - Fragt nicht, das ist in Ordnung da das File so groß ist.)

sehr spannend ...

Display More

Logrotate könnte helfen?

Äh.. sorry - ich habe da zwischen zwei Threads etwas verwechselt.
Joomla selbst ist jetzt nicht unbedingt das primäre Problem, obwohl es hier in der Vergangenheit durchaus eher zu Hacks gekommen ist, weil die Updatestrategie zwischen Major-Releases dort erfahrungsgemäß nicht so reibungslos klappt, wie bei Wordpress und auch die Module in der Vergangenheit mit eigenen Updatern dahergekommen sind, die nur funktioniert haben, bis wieder ein Lizenzwechsel vorgekommen und oder eine neue Softwareschmiede entstanden ist, und dann Installationen verwaist geblieben sind. Das passiert im Wordpress-Universum (bislang) noch nicht.

Im Zweifelsfall bitte den Support fragen, denn ich weiß ja nicht, ob der FTP-Zugang noch funktioniert. Wenn er es noch tut, kannst Du ein Backup der Seite machen. Eventuell geht das auch über den Filemanager im Plesk, der über das CCP erreichbar sein sollte (Archiv erstellen und herunterladen).

Ebenso solltest Du die Datenbank sichern, um sie analysieren zu können.

Es müsste auch ein Verzeichnis logs geben, in dem Du die Zugriffe auf den Webserver finden solltest. Da siehst Du möglicherweise welches Formular von welchem Modul hier betroffen war. Wenn Du Pech hattest, war es ein Hack. Du wirst dann in Deinem Backup zumeist entsprechende Zeichenketten und obskuren oder obfusziereten MIME-codierten Programmcode finden.In seltenen Fällen kann es auch ein ungeschickt designtes Form gewesen sein, bei dem man an andere Personen Mails schicken konnte, als diejenige, dies bekommen sollte.

Wenn Dir die Expertise dafür fehlt, geh vom Hack aus.

Die Datenbank und die Struktur solltest Du also dann „plätten“ und aus einem Backup von vor dem Problem wieder einspielen, dann sofort alle Updates machen, oder gleich alles neu machen.

Wenn Dein Hostingpaket mit einem Wordpress-Toolkit ausgestattet ist, nütze es. Es kann Dir die Verwaltung vereinfachen und die Installation etwas „härten“.

Es folgen die üblichen Tips, Captchas zu aktivieren und darauf zu achten, dass Dein Formular in gar keinem Fall Mails an externe Adressen etwas anderes verschickt, als Bestätigungen, und, dass an diese dort eben auch nichts angehängt werden kann. Mach bei E-Mailadressen eine doppelte Eingabe auch einen „validation“, damit sie nicht zu lang ist und nur die zulässigen Zeichen enthält. Beschränke den Text im Eingabefeld und überprüfe ihn. Am besten nur Klartext zulassen und HTML oder sonstige Codeteile blockieren... und mit einem Captcha-Timer eine Verzögerung einbauen.

Es kann auch nicht schaden, für die von Dir verwendeten Module eine Google-Suche nach dem Modulnamen und hacked oder exploit zu machen, um zu sehen, ob die eingesetzte Version ein bekanntes Problem hat oder eventuell gar nicht mehr weiterentwickelt wird. Nimm nur gewartete Module und Themes, für die es regelmäßig Updates gibt.

Welches Hostingprodukt hast Du denn genau? Ein paar Werte kann man im Plesk ja anpassen. Wieder andere kann man über die .htaccess anpassen - die harten Limits gibt jedoch das gebuchte Produkt vor.

Darf ich einen eigenen Thread zu einer Tutorial-Wunschliste anregen?

Deswegen:

Probleme mit Microsoft 365

Eventuell mit Abstimmung, pro anregendem Posting, wie interessant es für die Community wäre.

Quote from RAD750

Wenn die Rechnung im Bankeinzug hängt, geht leider auch kein PayPal.

Habe ich schon erwähnt, wie praktisch ich eine Debitkarte von Curve für solche Zwecke finde? Leider gilt auch hier das untere 50 Cent-Limit, das sich mit einem Guthabensystem umgehen ließe...

Quote from Virinum

[...] Oder du betreibst selber einen Nameserver und lässt die gewünschten Records per NS-Eintrag auf deinen Nameserver zeigen (so brauchst du nur einen Server und keine zwei), bei dem du dann z.B. 1 als TTL nehmen könntest (0 solltest du nicht nehmen, da 0 nicht im Standard definiert ist und das zu Problemen führen kann).
[...]

Das Stichwort „Subdomain“ im ursprünglichen Sinn und Kontext von DNS ist hier möglicherweise ein Mittelweg:

Ein NS- Record oder mehrere davon verweisen für eine Subdomain (3rd-level oder mehr) an fremde Nameserver, die in irgendeiner Form unter Eigenkontrolle stehen. Da gelten dann auch nicht die Vorgaben der TLD hinsichtlich der Redundanz und Netzsegmentierung der Nameserver und dort kann die SOA freilich geringere Intervalle für TTL und Refresh haben, ohne die gesamte Domain (2nd-level) diesen Werten zu unterwerfen.

Quote from Bud

Das kann dauern...

Display Spoiler

IMG_9300.png

Meine ganzen BF-Produkte vom letzten Jahr werden abgerechnet und eingezogen und blockieren dadurch den Wechsel - was hat das für einen Sinn?

Da bleibt Dir nur, die Rechnung vorab nocheinmal mit paypal zu bezahlen und die Buchhaltung um Rücküberweisung des Bankeinzugs, falls er bis dahin stattgefunden haben sollte, zu ersuchen.

Habe ich jemanden GUTHABENSYSTEM rufen hören?

Quote from m_ueberall

Hier gibt es zwei kurze Videos, die mir spontan einfallen, um zunächst die Fragen einzuordnen: Grundlegende Hilfestellung/Ausblick und DIY-Voraussetzungen – Diese sollte man keinesfalls überspringen, zumal sie erstaunlicherweise nicht mit den vermuteten Suchbegriffen (ZFS, Dateisystem, Administration) verknüpft sind! (Und das meine ich ernst, falls die Hervorhebung der beiden Worte in diesem Absatz aus irgendeinem Grund nicht gut sichtbar wurde – die beiden Videos setzen den perfekten Ton.)

Während die Nutzung von grundlegenden ZFS-Features wie Snapshots/zusätzlichen Dateikopien/Komprimierung wirklich einfach ist und bei konsequenter Umsetzung unternehmenskritische Vorteile mit sich bringt (Windows-Ransomeware verliert den Schrecken, wenn alle wichtigen Daten nur über NFS-/CIFS-Mounts zugreifbar sind, die von abgeschotteten Nicht-Windows-Servern mit ZFS-Dateisystemen und automatischen Snapshots bedient werden), trifft das auf die Installation in Verbindung mit Linux nicht ganz zu. Die Administration/Wartung ist als durchaus aufwendig einzuschätzen, und die vollständige Planung, Analyse/Bewertung und Umsetzung einer entsprechenden Strategie für den professionellen Einsatz (egal ob privat oder beruflich), welche auch die Nutzung von entfernten virtuellen KVM-Instanzen beinhaltet, kann eine Herausforderung sein – einfach, weil es zu viele zu beachtende Details/Wahlmöglichkeiten gibt, welche anwendungs-/einsatzspezifische Erfahrungswerte bedingen, oder sonst … sind ganz schnell die gespeicherten Informationen verloren. [*]

Nach diesen Vorbemerkungen nun zu den beiden Fragen (man kann hier dutzende von weiterführenden Links einfügen, aber das würde mich jetzt noch eine Stunde kosten):

1. "Dateisystem aussuchen": Hier muss man unterscheiden, ob ZFS direkt auf dem Wurzelverzeichnis "/" zum Einsatz kommen soll (ZFS-on-Root) oder nicht:
   1. Wenn nicht, dann ist der Einsatz grundsätzlich jederzeit möglich, wenn man eine entsprechende Partition oder ein Block-Device hierfür zur Verfügung stellt (eine Dateisystemkonvertierung von bspw. ext4, wie sie Btrfs anbietet, gibt es standardmäßig nicht – die Dateien müssen umkopiert werden!)
   2. ZFS ist bei FreeBSD quasi "direkt an Bord", bei Linux hingegen haben die OpenZFS-Entwickler permanent mit den Linux-Schnittstellen zu kämpfen, sodass die Nutzung der Kombination von Kernel- und ZFS-Paketen eine sorgfältige Planung erfordert und generell nur zeitversetzt erfolgen kann (Fedora-Nutzer wissen hiervon ein Lied zu singen). Die Linux-Distribution, welche hier die beste Unterstützung für die Einbindung der Upstream-OpenZFS-Versionen bietet, ist Ubuntu, welche auch einen entsprechenden Installer mitbringt. Jetzt das große ABER: Canonical passt die Upstream-Versionen (mehr oder weniger zugegebenermaßen notgedrungen) an und hat in der Vergangenheit mit ZSYS ein Hilfswerkzeug erstellt, welches den Nutzer unterstützt, was das Booten von älteren Sicherheitskopien (via Snapshots) erleichtern soll – das wird aber nicht mehr adäquat gewartet. Da es insbesondere bei Dateisystemen wichtig ist, dass man bei Problemen andere Nutzer (derselben/einer vergleichbaren Konfiguration) fragen kann, empfiehlt es sich, die jeweilige stabile Upstream-Version (vor Erscheinen von v2.2.2 wäre das immer noch v2.1.3, wenn der Einstieg zum jetzigen Zeitpunkt erfolgen muss!) zu nutzen – diese ist in der Regel für die eigene Distribution selbst zu übersetzen (und zwar besser in einem isolierten Container oder einer dedizierten Build-Maschine). Ebenfalls zu beachten: Das Netcup-Rettungssystem kann mit ZFS-on-Root nicht umgehen – spätestens an dieser Stelle ist ein eigenes "Rettungs-/Installations-ISO" erforderlich, welches man stattdessen bootet (für Ubuntu bietet sich hier die Modifikation des Standard-Desktop-ISO-Abbilds mittels "cubic" an).
2. "dd oder ZFS-Funktionalität": Im Katastrophenfall, wenn nichts mehr geht, würde man natürlich zunächst vor jeglichen Reparaturbemühungen via "dd" ein 1:1-Abbild wegspeichern – wie in jedem anderen Fall auch; ansonsten bietet ZFS hier alle erforderlichen Werkzeuge, um die Inhalte von Datasets/ZVOLs(=ZFS-Block-Devices) zu sichern/restaurieren. (Da ZFS und Btrfs COW-Dateisysteme sind, ist die interne Dateisystemorganisation natürlich ungleich komplexer, was man bei der Analyse im vorgenannten Katastrophenfall berücksichtigen muss!) Ein "zfs send"-Datenstrom lässt sich hierbei grundsätzlich natürlich auch auf einem Nicht-ZFS-Dateisystem ablegen von dort via "zfs recv" wieder einlesen, eine belastbare Integritätsprüfung ist aber logischerweise immer nur bei/nach dem "zfs recv" möglich.

Bevor man erste Erfahrungen mit der Konfiguration eines eigenen (Linux-)Systems sammelt, empfiehlt es sich unter Umständen, "Komplettlösungen" wie TrueNAS oder Proxmox ins Auge zu fassen, die ZFS "mitbringen", um erste Erfahrungen mit der Nutzung/Konfigurationsanpassung zu sammeln, wodurch man nicht auf die aufwendige eigene Bewertung von möglichen Updates (und deren Anpassung/Installation) angewiesen ist – vorzugsweise auf lokaler, eigener Hardware. Hierfür sollte man die anbietereigenen Foren/Mailinglisten/Anleitungen verfolgen (parallel zu denen von OpenZFS).

Aus dem Obigen sollte man als interessierter Leser/zukünftiger ZFS-Nutzer mitnehmen, dass man sehr viel lesen/lernen muss; direkt ein einzelnes Howto zu verlinken wäre mbMn an dieser Stelle grob fahrlässig und kontraproduktiv.

[*] KMU(-Repräsentanten), welche sich dieser Herausforderung stellen wollen und/oder müssen, aber insbesondere auch die Chancen nutzen wollen, kann ich beruflich gerne zu den branchenüblichen Tagessätzen von der Erstberatung bis zur Umsetzung (ohne "vendor lock-in") unterstützen.

Display More

Mach bitte eine Anleitung aus dem Post und reich sie für einen Tutorial-Gutschein ein, wenn das noch nicht passiert sein sollte. Das ist wichtig!

Pressente to continue.

Quote from KB19

Afaik schreibt die EU hierfür vor, dass u.a. der Betrag der Überweisung sichtbar sein muss bzw. bestätigt werden muss. Das geht bei TOTP u.ä. Lösungen leider nicht. Hierfür einen neuen (offenen) Standard zu schaffen wäre allerdings sicher möglich. Aber daran hat offenbar niemand Interesse. Jede Bank kocht ihr eigenes Süppchen

Moment... ob der Betrag bei der Überweisung sichtbar ist oder nicht, hat mit 2FA erst einmal nichts zu tun. Wenn ich eine Push-TAN in Form eines Vergleichscodes erhalte - etwa beim Login, ist das etwas anderes, als, wenn ich einen TAN und eine Passphrase auf der Website eintippe.

Es gibt ja, wie gesagt auch cardTAN, wo ich den Betrag auch nicht auf dem Codegenerator sehe. Im übrigen geht mir der Bürokratismus von Brüssel, der keine Rücksicht auf insbesondere ältere Nutzer nimmt, gehörig auf den Geist. Wie erklärt man etwa einer Bankkundin in der Mitte ihrer 80er, dass sie jetzt ein Smartphone braucht, weil die Überweisungen mit SMS-TAN abgedreht worden sind, nachdem Jahre zuvor schon die TAN-Listen abgeschafft worden sind. Konnte sie bisher noch in eine Filiale gehen, ist der Filialbesuch inzwischen eine Weltreise, weil es einfach selbst in der Großstadt von der Hausbank im näheren Umkreis keine Filiale mehr gibt, wo es früher gleich drei (!) waren. Die Kontoführungsgebühren sind seit den 1970er übrigens auch nicht gesunken...

Quote from marcquark

my bad, ich hatte die Posts durcheinander geworfen und dachte du redest von einem emulierten Android auf x86.

Anhand des UA könntest du auch Desktopclients filtern, wenn du mal von einem 0815 Anwender ausgehst, der eher aus Gewohnheit noch mit einer alten Möhre surft, als mit Absicht (gespoofter UA usw.). Trotzdem machen des die Banken ja mWn eher alle nicht.

Und zumindest meine Banking App ist ans Secure Element mit PIN/Biometrie geknüpft, sodass ich direkt in der App eine Zahlung freigeben kann, ohne zusätzliche TAN App. Das ergibt für mich dann auch Sinn, dass sie für so eine App dann eine entsprechend strenge Schiene fahren, welche Versionen und ggf. auch Hardwareplattformen supported sind. Wer weiß vielleicht müssten sie für x86 Android, selbst wenn es die Voraussetzungen mitbringt, irgendeine Zertifizierung durchlaufen wo es einfach den Aufwand nicht wert ist?

Witzigerweise möchte ja jede Bank ihre eigene App für den zweiten Faktor nützen. Sie könnten andererseits dafür auch den Google/Microsoft Authenticator verwenden, der wohl keine geringeren Sicherheitsstandards hat. Gut, vielleicht begründen sie es mit Datenschutz. Dann könnte man aber immer noch anstelle von angeblich zu unsicheren SMS-TANs auf etablierte Messenger-APIs setzen, die Ende-zu-Ende-Verschlüsselung unterstützen.

Interessanterweise schreiben manche Banken aber nicht einmal ausschließlich über ihre Banking Apps Nachrichten an Kunden, sondern antworten auch auf E-Mails, wo man nach E2E-Verschlüsselung vergeblich sucht.

Wenn das Handy etwas auf dem Entwicklungslevel eines Staatstrojaners einfängt, ist sind alle zweiten Faktoren egal. Wir leben in technologisch interessanten Zeiten.

Quote from michaeleifel

Hat er den Ententest schon bestanden?

Ich würde das Thema der Entemotionalisierung zuführen.

ich glaube, die Manpage für fstrim unter Ubuntu ist fehlerhaft:

Dort steht:

fstrim [-Aa] [-o offset] [-l length] [-m minimum-size] [-v mountpoint

sollte das nicht

fstrim [-Aa] [-o offset] [-l length] [-m minimum-size] [-v] mountpoint

lauten?

Quote from Bond007

Ok, die Frage kann ich nun selbst beantworten.

Die Gültigkeit steht nun bei allen Einträgen auf "gültig", scheint wohl ein paar Minuten zu dauern, bis das umgesetzt wird.

Sehe ich es richtig, dass nun die URL ohne www erreichbar sein sollte bzw. der Blog auch nun unter dieser URL erreichbar sein sollte?

Dauert das auch hier ein wenig, bis das umgesetzt wurde?

Display More

DNS-Daten werden in der Regel gecacht. Von Deinem Internetprovider, von Deinem Router, Deinem Windows Domaincontroller oder DNS oder Deinem PC.... selbst Google hat bei den Public Resolvern freilich einen Cache. Welcher der beteiligten Server die Daten wie lange vorhält, hängt von der jeweiligen Software ab, und, ob sie die Time-to-Live in der SOA respektiert. Man kann aber auf den eigenen Systemen die Caches flushen und dasselbe kann man bei Google und anderen Betreibern von public caching resolvern beantragen. Das kann die Sache mit dem Neuladen der Zone zumindest punktuell beschleunigen.