BTW/OT: S/MIME - Personal Free Use Zertifikate sind offenbar am Aussterben.
cacert hat doch erst beschlossen weiterzumachen (trotz letsencrypt). Erst wenn das Projekt auch beerdigt wird bleibt nur noch PGP und Geschäftsmails ..
Posts by Steini
-
-
_spf TXT "v=spf1 ip4:IPV4ADDR ip6:IPV6ADDR -all"
Ich habe einfach überall bei SPF "mx" drin stehen, statt die IPs explizit anzugeben. Eine Fehlerquelle weniger, wenn doch mal die IP vom Mailserver geändert wird. Da braucht man dann auch nix mit redirect einträgen. Zumindest, wenn ich das richtig verstanden habe
Edit: Geht natürlich nur, wenn der Posteingangsserver auch der Postausgangsserver ist. Aber das ist zumindest bei mir so
-
Das führt dann zu einem 500er Fehler und es geht gar nix mehr. Laut error log ist das Problem wohl...
Scheint als wärst du an die Grenzen des Webhostingtarifs gestoßen
Andererseits scheint die Fehlermeldung nichts mit dem Server zu tun zu haben, sondern die Clients (oder bots?) beenden die Verbindung, bevor der Server antworten konnte. Zumindest behauptet das https://stackoverflow.com/a/48468294, bzw. ausführlicher hier:
https://www.tablix.org/~avian/…n_ap_pass_brigade_failed/
Edit: In einem Beitrag drunter auf Stackoverflow sind auch noch Optionen, die man ausprobieren kann. Ich glaube aber nicht, dass das bei einem Webhostingtarif geht.
-
https://de.wordpress.org/plugins/http-security/
CSP (Content-Security-Policy) nutzen! Wird komischerweise selten genannt, ist aber meiner Meinung nach eines der wichtigsten Dinge.
Testen z.B. hier: https://observatory.mozilla.org/
-
Habe deswegen jetzt alle möglichen Tutorials zum Thema Sicherheit gelesen, und gängige Sachen wie SSH Keys, root login deaktivieren, fail2ban, automatische Sicherheitsupdates und Firewall hab ich schon konfiguriert.
Benutze für SSH mal einen nicht-standardport, dann sollten die Verbinungsanfragen deutlich runter gehen.
Um auf deine ursprüngliche Frage zurück zu kommen:
Jetzt möchte ich aber nginx installieren und das auf Port 80 nutzen, und nextcloud dann halt auf irgendeinem anderen Port.
So, dass beides parallel funktioniert.
Apache2 ist ein Webserver, genauso wie nginx. Nextcloud ist eine PHP basierte Website die sowohl mit apache als auch nginx benutzt werden kann. Wenn du keine Ahnung hast, wieso willst du dann nginx einsetzen? Vermutlich läuft momentan Apache auf Port 80. Du müsstest das also beenden und stattdessen nginx installieren. Ich bezweifel aber, dass du das tatsächlich willst. Vermutlich willst du deine Zufriedenheitsgarantie in Anspruch nehmen, Zuhause eine VM aufsetzen und das da ausprobieren.
-
Hat mail.ru auf SPF umgestellt? Ich bekomme seit ein paar Tagen massenhaft Rückmeldungen, dass (unlegitimierte) mails von meinen Domains (zurecht!) abgewiesen wurden. Das habe ich bisher noch von keinem Anbieter bekommen (hoffentlich, weil es nicht vor kam). Die entsprechenden Domains sind allesamt quasi unbekannt und oft irgendwelche dämlichen subdomains, z.B. sowas wie usa.urlaub.domain.de. Alle haben letsencrypt Zertifikate, von wo das vermutlich extrahiert wurde (oder vom DNS..).
Dann hat sich das Einrichten von SPF/DMARC ja zumindest mal gelohnt!
-
Wer es noch nicht gesehen hat: CVE-2019-11043
Remote code execution mit nginx und php-fpm.
Es gibt einen Exploit zum ausprobieren(?): https://github.com/neex/phuip-fpizdam
Habe es erst über die Nextcloud Mitteilung mitbekommen (für alle, die Nextcloud mit nginx einsetzen, die Standardkonfiguration ist verwundbar!): https://nextcloud.com/blog/urg…y-issue-in-nginx-php-fpm/
Also: Schön updaten!
-
E-Mails z. B. an "Kontakt_a@meine-domain.de" oder "kontakt_A@meine-domain.de" abgelehnt werden.
Mit welcher Fehlermeldung? [edit]: Habe gerade gesehen, dass das schon gefragt (aber nicht beantwortet) wurde, aber da mir Nachrichten dieses Nutzers standardmäßig nicht angezeigt werden, habe ich das nicht bemerkt
Hervorhebung von mir:
The local-part of a mailbox MUST BE treated as case sensitive. Therefore, SMTP implementations MUST take care to preserve the case of mailbox local-parts. In particular, for some hosts, the user "smith" is different from the user "Smith". However, exploiting the case sensitivity of mailbox local-parts impedes interoperability and is discouraged. Mailbox domains follow normal DNS rules and are hence not case sensitive.
Naja, der Webserver muss die Schreibweise beim local part beibehalten und es KANN mailserver geben, die das in unterschiedliche Postfächer machen, davon wird aber ausdrücklich gewarnt (und macht meines Wissens nach auch keiner der verbreiteten Mailserver):
While the above definition for Local-part is relatively permissive, for maximum interoperability, a host that expects to receive mail SHOULD avoid defining mailboxes where the Local-part requires (or uses) the Quoted-string form or where the Local-part is case-sensitive.
Ich gehe mal davon aus, dass die meisten Mailserver dazu da sind, Mails zu empfangen und man deshalb case-insensitive sein will.
-
Bei dieser Gelegenheit möchte ich dem Thread mal zum 10 jährigen Bestehen gratulieren!
perryflynn Wäre eine Gelegenheit, die Threadstatistik zu aktualisieren!
-
Die meisten Probleme mit der VNC Konsole liegen an falschen Tastaturlayouts. Es werden nicht die "Symbole" durchgereicht, sondern die Tastencodes. Und wenn der Server denkt, er hätte eine (standard) Englische Tastatur, dann wird es mit den meisten Passwörtern schwierig. Ansonsten ist es bei Linux normal, dass man die Passworteingabe nicht sieht. Einfach "blind" eingeben und Enter drücken.
-
Mit konkreten Fehlermeldungen kann man besser helfen!
Grundsätzlich sollte es kein Problem sein mit einer alten PHP Version das Wordpress zum laufen zu bekommen und dann upzudaten.
Die Datenbank ist vermutlich zu groß um sie auf einmal hochzuladen. Da kann es helfen sie in kleinere Happen zu splitten (z.B. damit: https://philiplb.de/sqldumpsplitter3/ )
Also: Am besten nochmal von vorne anfangen.
- Daten ins Webhost hochladen (wenn es eine Fehlermeldung gibt, posten!)
- Wenn sich die Domain der Seite ändert, das in der SQL Datei ersetzen (nach „siteurl“ und „home“ suchen)
- Datenbank in Häppchen hochladen (kenne mich mit dem Webhostng nicht aus, würde 10MB Dateigröße vermuten/befürchten?) Alternativ das SQL-file per FTP/SCP hochladen und auf der Konsole importieren (wenn ihr das könnt)
- In der wp-config.php die Parameter „DB_NAME“, „DB_USER“, „DB_PASSWORD“und „DB_HOST“ anpassen.
Dann die Seite aufrufen und genaue Fehlermeldung posten. Wenn es keinen Fehler gibt, Wordpress updaten und PHP Version auf etwas Aktuelles stellen (>7.2).
-
Ich würde die Cloud in einer Subdomain installieren und eine Um-/Weiterleitung von der alten Stelle machen. Ist imho am saubersten und erleichtert die Wartung in der Zukunft.
Ansonsten habe ich dein Setup nicht ganz verstanden, würde die Subdomainlösung aber unabhängig davon wählen
-
Naja, da sowohl mailcow als auch ispconfig unter der Haube mit Postfix, Dovecot und Rspamd arbeiten gibt es ja quasi nur Unterschiede in den verwendeten Standardeinstellungen. Man kann natürlich über die Vor- und Nachteile von Docker philosophieren, aber an der Qualität der Spambekämpfung macht das keinen Unterschied.
-
Kann jemand hier eine Agentur oder Einzelperson empfehlen für einen Relaunch einer Webseite von einem Verein welche am besten in ein Wordpress soll (Wartbarbeit, evtl. günstiger im Design da nur "Anpassungen" im Design notwendig) zu einem fairen Preis?
"Faire" Preise sind für Vereine meist zu teuer
Wordpress Support gibts auch von Leuten hier im Forum (da gab es doch gerade mal was.): https://forum.netcup.de/sonsti…ordpress-wartungsservice/
-
Dran denken, vorher den SPF Record entsprechend anzupassen
-
Liebe Leut, danke dafür, daß Ihr solche Dinge hier anbringt, bevor Heise&Co wach werden.
Wobei das ja auch ein bisschen arg Markschreierisch aufgemacht ist. Vernünftige User betrifft der Bug ja garnicht. Mit einer selten dämlichen Konfiguration ist es möglich mit sudo Rootrechte zu bekommen, obwohl das in genau diesem Sonderfall nicht gewünscht war. Ich weiß nicht, wie euch das geht, aber ich benutze sudo entweder um als unprivilegierter User Dinge als root auszuführen, oder um als root Dinge als unpriveligierter Nutzer auszuführen. Wieso man als Nutzer unbedingt Dinge mit einem anderen (beliebigen) Nutzer (außer root) ausführen will erschließt sich mir nicht. Und dafür in der Konfigdatei eine Whitelist an Usern hat in der pauschal alle(!) stehen und der Rootuser dann wieder explizit ausgenommen ist.
Wer seine Konfiguration so aufsetzt hat es auch verdient von dem Bug betroffen zu sein.
-
"aktuell" und "debian" in einem Thread, da ist immer schon mal Popcorn angesagt.
Die Philosophie von Debian ist, dass man veraltete Pakete einsetzt und das als Stabil ansieht. Die "Stable" Distribution bedeutet demnach "alt und stabil" und zeichnet sich durch wenige Updates (könnte immer was kaputt gehen) aus. Für den Stable Zweig gibt es deshalb (im Normalfall) nur Sicherheitskritische updates, keine Feature-upgrades. Will man neue Features haben muss man sich selbst darum kümmern (oder eine andere Distribution nehmen). Manche Pakete bieten deshalb eigene Paketquellen mit aktuellen Paketen an (z.B. sury für PHP, rspamd, etc..).
Für den "normalen" Server ist das durchaus Sinnvoll. Man will ja nicht, dass ein Update den Serverbetrieb beeinträchtigt. So kann man dann (mit geringerer Ausfallgefahr) unattended updates für Sicherheitspatches einrichten. Jetzt ist es aber so, dass Entwickler ihre Sicherheitspatches oft nur in die aktuelle Version (die auch neue Features hat) einpflegen. Für Debian ist das ein Problem, die Sicherheitspatches müssten nämlich Rückportiert werden. Und dafür braucht man Manpower, viele sehen darin auch wenig Sinn. Bei dem phpmyadmin Paket kommt erschwerend hinzu, dass das Debianpaket mittlerweile verwaist ist.
Andererseits sollte man immer (spätestens?) mit dem ersten point release auf die neue Debianversion updaten. Und da Debian 10.1. am 7. September rauskam
Ich habe bei mir so eine "halbgare" Lösung am laufen, falls es doch mal wieder ein vernünftiges Paket im Debian Repo gibt. Habe das Debianpaket installiert und die Files überschrieben. Die Anleitung war aus dem Internet, ich finde das Original aber gerade nicht. Credits sollten natürlich dort hin gehen ..
Danach das Webverzeichnis löschen:
Aktuelle Version downloaden, entpacken und an die richtige Stelle verschieben
Konfig anpassen
Einen Blowfish Key generieren, z.B. hier: https://www.motorsportdiesel.com/tools/blowfish-salt/pma/ und eintragen.
Temporäres Verzeichnis anlegen
Bei einem phpmyadmin update mache ich das gleiche nochmal, also ab Verzeichnis löschen.
-
Edit: Immer diese doofen Edits :p
Edith hat es nicht leicht im Leben.
Hat aber zumindest ein kurzes Leben (10 Minuten oder so?)
Von wegen kurzem Leben: Ist was zum 10-jährigen des Threads geplant?
Edit: Nur noch zwei Wochen ...
-
Don't even think about it.
https://rspamd.com/downloads.html <-- den hier nutzen, dann sollte es auch klappen.
Guter Punkt. Ich habe auch Quark erzählt. Sind natürlich die Pakete von https://rspamd.com/apt-stable installiert
[edit]
Nein, ist es tatsächlich nicht ,.. Ich habe blind die Anleitung befolgt, aber nicht sichergestellt, dass auch tatsächlich die neue Version installiert wird
Funktioniert jetzt, ein "apt install rspamd/buster" hats gebracht. Da habe ich mir wohl mit apt pinning ins Knie geschossen, dass nur auf stable/testing ging, nicht zu buster ...
-
Hier gibts ja einige Rspamd user. Ich habe das Problem, dass bei mir die Grafiken nicht erzeugt/angezeigt werden. Hat mich bisher nicht gestört, wollte dem aber doch mal auf den Grund gehen. Installiert ist das ganze aus den Buster Paketquellen.
Ist mit allen Browsern/Systemen gleich (Powerbook, Linux Desktop, Mobil ...)
Die Chrome JS Console gibt zwei Fehler aus. Die erste Fehlermeldung vor der Passworteingabe, die zweite danach:
Das ganze sieht dann so aus
Screen Shot 2019-10-09 at 12.46.38.jpg
Es läuft über einen Apache reverse proxy, gibt aber das gleiche aus, wenn ich über einen SSH tunnel auf localhost zugreife. Da das ganze aus den Systemquellpaketen kommt, vermute ich mal dass die Softwareversionen passen sollten, sonst wäre das Internet voll von dem Problem. Vermuten würde ich also eine Art Rechteproblem? Ich bekomme aber keine Fehlermeldungen..
Im rspamd log finde ich nichts. Also keine Fehler und im Debuglog wird nur angezeigt, welche Dateien aufgerufen werden..
Im Apache access.log taucht ein 403er auf, sonst 200er
