Posts by Lukay

    Moin moin,


    sagt mal, haben eure Systeme auch in letzter Zeit nen bissel Schluckauf? Sowohl gestern als auch heute wurden die VPS 500 kurz rebootet, ohne Hinweis per mail.

    Aufgefallen ist mir in den letzten Tagen (oder eher Nächten) ICMP Timeouts und Paketverlust.

    Aber ein Reboot ist bei mir nicht passiert.

    So ähnlich hab ich das auch bei den Spectre-Updates erlebt.

    Bei mir lief zwar danach alles wieder, aber meine Server waren 30 Minuten fast eingefroren, weil der Host scheinbar so eine große IO-Last hatte.

    Methoden muss ich mit der Zeit lernen und Zeit habe ich nunmal wenig

    Dann wird das schwierig.

    Anfang 2016 hatte ich noch GAR keinen Plan von der Materie. Innerhalb der letzten Jahre habe ich einen großteil meiner Freizeit in mein Setup investiert. (Das nun schon aus mehreren Servern, VPNs, Hypervisor-Trägern und VMs besteht).

    Gerade am Anfang braucht sowas sehr viel Zeit. Da macht man auch mal ein Tutorial 2 oder 3 mal, weil man aus Unachtsamkeit was übersehen hat oder man sich aus Unerfahrenheit die falsche Software raus gesucht hat.

    Und langsam, mit der Zeit bekommt man ein Gefühl dafür und es klappt immer besser.

    Aber bis man dahin kommt, muss man viel lernen.


    Anhand deines Verhaltens glaube ich nicht, dass du bereits soweit bist.


    Noch ein Tipp: Im "freien" Internet muss man immer mit schlimmsten rechnen. Das durch die Leute hier im Forum war nur die "lite" Version.

    Wenn es jemand geschafft hat, sich per SSH einzuloggen (erst mal egal welcher User), ist das schon das KO.

    Von dem Minecraftserver als Root wollen wir mal nicht reden..

    SSH Keys verwende ich zwar bisher auch noch nicht, aber dafür zumindest Passwörter, die sich nur noch mein Passwortmanager merken kann.

    Ich würde einfach Nextcloud für sowas nehmen, das sollte auch Videos im Browser abspielen können, außer du willst ein Forum der Communityfunktion wegen. Für reines Filesharing scheint es mir der falsche Ansatz. Soll man die Videos kommentieren können?

    Besonders viel würde zwar in dem Forum nicht abgehen, aber praktisch wäre es schon ein "echtes" Forum dafür zu haben. Für reine Textbeiträge, Informationen teilen etc..

    Ich habe ein anliegen, vielleicht kann mir ja jemand helfen:


    Mein Freundeskreis und ich zocken gerne in unserer Freizeit. Teilweise nehmen wir den Spaß auch auf, um witzige/besondere Stellen raus zu schneiden.

    Nun stehen wir vor dem Problem, dass wir die Clips miteinander teilen wollen. Möglichst an einem zentralen Punkt, unabhängig von anderen (Selbst gehostet).

    Mir ist die Idee gekommen eine "normale" Foren-Software dafür zu nutzen. In der Hoffnung, dass irgendjemand bereits vor dem gleichen Problem stand und ein Plugin oder ähnliches geschrieben hat.

    Wichtig wäre mir, dass man die Videos in Posts einbetten kann und sie direkt im Browser abspielen (streamen) kann.


    Aktuell probiere ich bereits mit MyBB rum. Aber Bilder haben dort (zumindest ohne Plugin) keine Vorschau und Videos werden nur zum Download angeboten.

    Ich hab auch schon was von einer Verbindung zwischen Coppermine und MyBB gelesen. Aber das sind alles Beiträge aus den Jahren 2008-2012.

    Bevor ich da anfange zu probieren würde ich gerne wissen, ob jemand von euch einen konkreten Vorschlag hat.

    Ich bin nicht an MyBB gebunden. Also jegliche kombi aus Software/Plugin kann ich mir mal anschauen..

    aber wenn es jemand darauf anlegt, findet er eine Schwachstelle ...

    Deswegen, und dank meiner Paranoia habe ich die Files jetzt mal verschoben..

    PHP
    1. <?php
    2. echo file_get_contents("./.htpasswd");

    Das ist mir schon klar.. ich gehe in meinem Szenario davon aus, dass der Angreifer draußen sitzt

    Bei Apache 2.4 unter Debian 9 ist standardmäßig folgendes in der apache.conf enthalten:


    Code
    1. #
    2. # The following lines prevent .htaccess and .htpasswd files from being
    3. # viewed by Web clients.
    4. #
    5. <FilesMatch "^\.ht">
    6. Require all denied
    7. </FilesMatch>

    Solange du das nicht wieder überschreibst, ist das also grundsätzlich kein Problem.

    Ah, da hätte ich auch selbst drauf kommen können, die configs zu durchsuchen.. :D


    Danke für den Hinweis :thumbup:

    Ich habe heute von einem Arbeitskollegen gehört, dass man seine .htpasswd files am besten nicht im Document-Root rumliegen lässt, sondern außerhalb lagert.

    Seiner ansicht nach ist die Datei nämlich von aussen lesbar. Nachdem ich jetzt mal im Internet verschiedene Tutorials zu dem Thema durchgelesen habe, ist mir aufgefallen, dass dies dort teilweise ebenso erwähnt wird.


    Ich bin bisher davon ausgegangen, dass sich mein Webserver (Apache) darum kümmert, dass diese Files nicht aufrufbar sind.

    (laut meinen Tests sind sie das auch nicht.. sowohl .htacess, als auch .htpasswd)

    Auch im Internet finde nichts funktionierendes, um diese Files abzurufen.

    Bezieht sich die Aussage auf einen theoretischen Fall (Sicherheitslücke, vielleicht ein Specialchar im Requestpath) oder ist es ein echtes Sicherheitsrisiko?

    weil der Lüfter vom Netzteil oben ist?;)

    Pro Tip:

    Das Netzteil umdrehen, dann ist der Lüfter unten! :D

    Gehäuse, die das Netzteil unten haben, haben auch immer Öffnungen nach unten. So bekommt das Netzteil frische Luft!

    Selbstverständlich kann es auch an irgendwas Anderem liegen, aber das ist dann etwas, das per Default installiert und aktiv ist.

    Mit der Tatsache, dass Froxlor immer vorinstalliert ist, bin ich auch nicht ganz so zufrieden..

    Ich hatte bereits 2 VPS, um die ich mich nach der Bestellung 2-3 Monate nicht gekümmert habe und bei denen ich dann bei meinem ersten Connect ein und ausgehende Verbindungen zu Polnischen und Russichen Servern in der Prozelliste hatte.

    Hattest du das dem Support von Netcup gemeldet?

    Vielleicht können die was an der Generierung der Passwörter anpassen..

    (Oder man findet eine andere Schwachstelle, durch die ein eindringen möglich wäre)

    Du könntest dir ein Script mit Cronjob schreiben, dass die Seite überwacht, und dir bei einer Änderung eine Mail oder eine Telegram Nachricht schickt.

    Genau so hab ich das gemacht :D

    Mails bekommt man ja sowieso schon als Push aufs Handy..

    Nochmal zur Sache wegen der Firefox-Addons:

    Ich nutze das Add-On auch.

    Hab schon am Tag des Problems (wie von Heise.de beschrieben) die Einstellung, die eine Zertifizierung der Add-ons voraussetzt, deaktiviert und dann meinen Profile-Ordner aus einem Backup wiederhergestellt.

    So hab ich alle Einstellungen, Daten und Tabs behalten

    Zusätzliche Info:

    Dabei handelt es sich um ein CPU-Feature, dass dir Virtualisierung ermöglicht.

    Da du aber bereits in einer virtuellen Maschine bist, wird das wohl nicht so performant werden.

    Android Studio möchte das, da der Android-Emulator (AVD) mittlerweile in Android Studio integriert ist.