Beiträge von Steini

    Genau so ist es. Ich würde gerne das Passwort deswegen so lassen. :) Wobei es weniger um den Hersteller als um die Firma die einmal im Jahr zur Hardware Wartung kommt geht. :)

    Falls du mit dem exploit an die passwd kommst, einfach einen zweiten Nutzer mit UID0 anlegen und damit einloggen ;)

    Tipp: SSL-Zertifikatsanforderung bzw. wenigstens die Challenge-Bestätigung auf einen zentralen Host verlagern, dann ist so ein API-Tausch in Zukunft ein Kinderspiel. 8)


    Wenn Du da sowieso schon ran musst, kommt es darauf auch nicht mehr an…

    Das stimmt wohl. Aber wie hast du das realisiert? Als post-action verteilt der zentrale Host dann die Zertifikate? Dann müsste der ja Zugriff auf alle Rechner bekommen. Oder holen sich die Hosts per cron alle Monat oder so ein aktuelles Zertifikat vom zentralen Server? :/

    Der root server und die Websites sind ja kein Problem, Kopfzerbrechen breitet mir aber zum Beispiel mein Heimequipment. Es gibt leider Hosts da weiß ich gar nicht, wie ich das ordentlich lösen würde. Die "home assistant" VM zum Beispiel. NAS und OpenWRT Router sollten kein Problem sein.

    Bisher habe ich mich immer davor gedrückt Privatekeys zu verteilen und jeder Host hat seinen eigenen acme client. In Verbindung mit meiner miserablen Dokumentation hat das den Nachteil, dass ich gar nicht so genau weiß welche Hosts alle so Zertifikate abrufen. Aber das könnte ich ja bei Letsencrypt nachschauen, was so an subdomains gelistet ist .. :saint:

    Ich bin erstaunt wie viele hier ihren Router in einer VM betreiben.

    So was würde ich mich nicht trauen und hätte in meinen Augen zu viele Nachteile/Gefahren.

    Welche Nachteile/Gefahren bereiten dir denn Kopfzerbrechen? (Ich halte das auch nicht für das non-plus-Ultra, vielleicht übersehe ich ja auch was wichtiges)


    Dann gibt es doch ganz schnell zirkuläre Abhängigkeiten oder übersehe ich da gerade etwas?

    Ja, da muss man aufpassen. Anfangs hatte ich zum Beispiel den Host noch auf DHCP stehen, was natürlich schief geht, wenn man den DHCP-Server dann darauf virtualisiert. Mittlerweile funktioniert es zwar gut, aber ich versuche möglichst vor Ort zu sein wenn ich den Host mal reboote ;) ). Sehe ich auch als größtes Problem, wo viele Leute darauf trainiert sind bei Problemen mal den Stecker vom Router zu ziehen.

    Wenn man solche Anfängerfehler überstanden hat sehe ich da aber viele Vorteile. Ich kann die Leistung nach Bedarf anpassen (also hauptsächlich RAM), einfaches Backupmanagement, super Skalierbar (wenn z.B. failover, etc (neu) benötigt wird), einfacher Umzug auf "neue" Hardware. Upgrades, neue Settings, etc.. können einfach getestet werden oder wieder zurückgesetzt.

    Tatsächlich stand ich aber vor einem ähnlichen Problem wie du und habe Hardware gesucht. Da wollte ich aber auch noch einen 10G SFP+ Port für die Zukunft haben und habe da nichts gefunden was so ganz meinen Anforderungen/Budget entsprochen hätte. Ein Freund hat mir die VM empfohlen und das war erst mal so eine Notlösung, fand ich jetzt aber so gut dass ich dabei bleiben werde. Wenn irgendwann benötigt, kann ich einen SFP+ Port per PCIe Karte nachrüsten. Und wenn ein stärkerer Prozessor benötigt wird kann ich einfach umziehen. Wenn ich jetzt fast vierstellig für ein Gerät mit SFP+ Ports ausgegeben hätte müsste ich das aus Geiz- Nachhaltigkeitsgründen auch entsprechend lange benutzen.

    Ich war kurz davor einen Netgate 6100 zu kaufen, aber das war mir dann doch zu teuer, wo die NAS doch sowieso immer läuft, kann ich mir auch die 30€ Stromkosten pro Jahr für ein extra Gerät sparen. (Abgesehen davon, das ich OPNsense gegenüber pfSense bevorzugen würde und die nicht unterstützten wollte)..


    Edit:

    Zum Eingangssignal: Mein LTE Router kann kein nur-Modem Betrieb, deswegen läuft der extra in einem eigenen VLAN über den Switch an den Trunk Port (weil der Router im Dach steht und der Server im Keller). Die Glasfaser in Zukunft wird direkt an den Router gesteckt. Früher mit DSL hatte ich das Herstellergerät auch im Routermodus, weil das noch Analogtelefone bedient hat (und Gäste-WLAN). Mittlerweile brauche ich das aber nicht mehr (VoIP Telefone und VLAN-fähiger AP)

    Ich hatte noch mein altes NAS auf Basis eines Celeron N3150 mit 8 GB Ram und habe da mittlerweile VMs für alle Lebenslagen. Da läuft zwar kein OPNsense sondern ein OpenWRT (das hatte ich vorher auf meinem Router und habe es dann in die VM umgezogen, so konnte ich die config behalten).

    Die Kiste hat noch eine 2.5 GBit NIC bekommen. Der interne GBit Anschluss ist an die VM durchgereicht als WAN Anschluss, der 2.5 Gibt geht als VLAN Trunc an den Host und da hängt dann die VM dran.

    Läuft bisher ohne Probleme, da wird aber aktuell auch nur LTE geroutet (und inter-VLAN, aber das Gästenetz / IoT ist jetzt nicht so Ressourcenhungrig). Der Galsfaseranschluss hätte schon lange da sein sollen, kommt aber wohl doch erst Ende Q3 (ob dieses Jahr bleibt weiter Spannend ...). Aber das sollte er eigentlich hinbekommen.

    Vorteil war für mich auch, dass sie Kiste sowieso läuft und ich die 8W vom vorherigen Router eingespart habe. Ich war eigentlich echt erstaunt was der N3150 schafft obwohl er jetzt doch relativ alt ist. Habe mich vor einiger Zeit mal nach einem Upgrade umgeschaut, aber eine merkliche Verbesserung war nur zu unattraktiven Preisen zu haben...

    Wer sowieso einen Server/NAS Zuhause rumstehen hat dem würde ich mittlerweile eine VM empfehlen. Auch super einfach bei Backup/Umzug und die theoretische Gefahr, das auf der gleichen Hardware laufen zu lassen wie andere wichtigen Dinge sehe ich deutlich kleiner an als andere Konfigurationsfehler die man so machen kann. VLANs und managed switche helfen natürlich bei größeren Netzen.

    sollte es beispielsweise mit Rspamd für "problematische Dienstleister" doch möglich sein, abweichende/keine DKIM-Schlüssel einzusetzen

    Ja, sollte ich mal nachschauen ob das vielleicht schon geht. Ansonsten wäre das ein Feature Request Wert ;)

    Prinzipiell ist das ja alles vorgesehen. Man kann beliebig viele Schlüssel angeben, muss man halt den selector entsprechend setzen. Ein selector für 1024 bit Key, einen für 2048 und einen für 4096. Dann je nach Empfänger einen anderen wählen. Würde auch das Umstellen erleichtern..


    [edit]

    Und schon wieder: Abgeschickt ohne vorher nachzudenken / einfach mal zu suchen:

    Code
    # map of domains -> names of selectors (since rspamd 1.5.3)
    #selector_map = "/etc/rspamd/dkim_selectors.map";

    Das werde ich mir dann wohl mal Spaßeshalber demnächst anschauen ;)

    Sollte ja ähnlich gehen wie die Ed25519 keys mit RSA als fallback:

    Du hast dir deine Frage schon selbst beantwortet, das dürfte an dem zu langen Schlüssel liegen.

    Bisher scheints zu gehen. Oh Mann...


    Man kann bei manchen Servern schon froh sein, wenn sie überhaupt DKIM validieren... :D

    Naja, So ists aber halt auch doof, wenn es beim validieren einen Fehler gibt weil sie den Schlüssel nicht laden können und sie das dann als Spam klassifizieren. Da wäre es (für mich)besser gar nicht zu validieren ..

    Mein dkim setup läuft eigentlich schon recht lange. Hin und wieder bekomme ich aber abgelehnte Nachrichten. Ich habe das immer als sporadische DNS Fehler abgetan weil der Netcup DNS halt mal wieder nicht (rechtzeitig) geantwortet hat. Aber bei einigen Servern tritt das zuverlässig auf. Ich frage mich jetzt ob das vielleicht doch an mir liegen könnte und ich irgendwas vermurkst habe?


    Grundsätzlich scheint das Setup in Ordnung. Google sieht keine Probleme und auch bei dkimvalidator.com und verifier.port25.com ist alles in Ordnung:



    [edit]

    Jetzt wollte ich den Post gerade abschicken und bin dann drauf gestoßen: Kann es sein dass es an einem zu langen Key liegt? Ich habe wohl damals 4096 bit genommen was zwar laut RFC von 2018 erlaubt ist, davor allerdings nur bis 2048 gefordert wurde. Alte Systeme können das vielleicht nicht richtig validieren?

    Etwas suchen fördert zutage, dass die Schlüssel aufgrund der Größe nicht mehr in ein UDP Packet passen und deshalb zwingend TCP eingesetzt werden muss was nicht alle machen.

    Hatte noch jemand solche Probleme? Sonst werde ich das wohl mal ausprobieren mit neuen, kürzeren Schlüsseln.

    Willkommen im Forum. Hier ist nur ein Nutzerforum, wir können dir da also nicht helfen. Du musst dich an den Support wenden (hast du ja getan). Von so einem Fall habe ich noch nie gehört., Wäre Spannend was sich da tut, halte uns auf dem Laufenden! ;)

    Könnte es sein, dass dein Wordpress versucht Mails zu verschicken?


    Frohe Weihnachten!


    Das Problem mit der Telekom hatte ich vor kurzem auch wieder. Beschwerde, dass ich kein Impressum habe. Habe freundlich zurückgeschrieben, dass ich als Privatperson keine Impressumspflicht habe und man meine Kontaktdaten wie vorgesehen bei der Denic abfragen kann.

    Hatte mir schon allerlei wüste Dinge ausgedacht, die ich gerne loswerden will wenn die nächste Absage kommt, aber dann kam nur ein völlig unerwartetes "Alles klar, habe ich freigeschaltet" zurück.

    Also: Immer schon freundlich und sachlich bleiben und beten, dass man einen netten Mitarbeiter erwischt ;)

    wonach guckt man dann

    desec.io ? Steht zumindest schon seit einiger Zeit auf der ToDo-Liste, aber ich war bisher zu faul...


    Als schnelle Hilfe: Nochmal eine (banale) Änderung machen, damit deine Daten neu eingelesen und propagiert werden.

    Edit: Bringt aber nichts (zumindest bei mir). Änderungen erscheinen nur bei third-dns.netcup.net, nicht bei den beiden anderen.

    Eigentlich bräuchte ich sogar noch viel weniger. Nämlich nur ein simples Webfrontend, mit dem man Dateien hochladen und auch wieder löschen kann,

    Also so ne Art Dateibrowser im Browser. ;)

    Ich werfe mal noch lufi in den Raum: https://github.com/ldidry/lufi

    Wobei mir nicht klar ist, ob nur 'du' Dateien hochladen und löschen willst, oder ob das andere tun sollen ;)

    Wie auch immer, filebrowser ist sicher auch gut, das habe ich auch auf meiner Liste "falls ich es mal brauche". Bisher habe ich aber einfach immer meine sowieso vorhandene Nextcloud genommen...

    Benötigt irgendein (veralteter) Browser oder Proxy noch explizit HTTP/1.0 innerhalb einer HTTPS-Verbindung (mit TLS ≥ 1.2) , um zu funktionieren?

    Ich biete es nicht mehr an und von meinen Sachen funktionieren alle. Ich bin aber auch nicht auf Kunden o.ä. angewiesen, die so etwas aussperren könnte. Die Frage ist aber schon relativ alt und schon 2016 gab es keinen ernstzunehmenden Client, der das benötigte:

    https://stackoverflow.com/ques…1-0-still-in-use/40076230


    Hin und wieder aktiviere ich in meiner apache.conf file das Logging für TLS Version/Cipher und Protokoll:

    Code
    // Environment is to prevent robots to write a log file (I don't care about them)
    SetEnvIfNoCase User-Agent Robot is_a_robot
    CustomLog "/var/log/apache2/ssl_request_log" "%{SSL_PROTOCOL}x %{SSL_CIPHER}x %H" env=!is_a_robot

    Und werte das dann so aus:

    Code
    awk '{print $1}' /var/log/apache2/ssl_request_log | sort | uniq -c | sort -rn | awk '{print $2, $1}'
    awk '{print $2}' /var/log/apache2/ssl_request_log | sort | uniq -c | sort -rn | awk '{print $2, $1}'
    awk '{print $3}' /var/log/apache2/ssl_request_log | sort | uniq -c | sort -rn | awk '{print $2, $1}'

    Normalerweise überprüfe ich, welche Ciphers benutzt werden und wie lange ich noch TLS1.1 anbieten muss. Aber das spuckt auch die HTTP Protokollversion aus.


    Das ganze ist nicht auf meinen Mist gewachsen, aber ich habe damals vergessen die Quelle dazu zu schreiben, so kann ich leider keine Credits an den Ersteller. geben. Nehme aber Hinweise gerne aus ;)

    (you get what you pay for ....)

    Die angegebene Anbindung ist die deiner virtuellen Netzwerkkarte. Es gibt keine Garantie, dass du die Bandbreite bis zum Endpunkt xyz bekommst (wäre mir auch nicht bekannt, dass jemand in dem Preissegment so etwas bieten kann). Du teilst dir die Bandbreite (1 GBit bei G8; 2,5 GBit bei G9) mit anderen VMs auf der Hardware. Über die genaue Topologie gibt es soweit ich weiß keine Angaben. Es lohnt sich aber für solche Anwendungen das Kleingedruckte (und die Infokästchen) zu lesen. Wenn du jetzt einen "Kollegen" auf der VM nebenan hast, der immer schön Speedtests über Minuten macht, dann kommt bei dir nicht mehr viel an. Das ist also Glückssache. Bei neuer Bestellung kommst du (gefühlt?) immer auf einen neuen Host und hast tolle Ergebnisse. Mit der Zeit wirds voller und wenn du komplett umgezogen bist wird die Performance mit der Zeit immer schlechter (zumindest meine Erfahrung). Bleibt aber immer über den garantierten Werten (wie du sagtest, you get what you pay for).

    Man hat bei Netcup auch die Möglichkeit sich eine eigene NIC zu mieten, dann bekommst du immer die volle Bandbreite: https://www.netcup.de/vserver/…rweiterungen.php#hardware

    An den Kosten sieht man aber schon wie da normalerweise kalkuliert werden muss um die günstigen vServer Preise zu erreichen ;)

    Hallo!! Ich habe nun ein Mac Mini zum Entwickeln und auch Webseiten testen. Schönes Teil und bereits erste Probleme auf Mac Darstellung gefunden :o

    Verbinde mich damit von meinem PC über RealVNC. Funktioniert gut aber doch wesentlich langsamer als erhofft.
    Benötige es nur zum Entwickeln, aber es ist eine merkbare Latenz da.
    Gibt es für Mac nicht auch etwas performanteres? Vielleicht hat jemand von euch Erfahrungen.

    Apple Remote Desktop ? :P

    https://support.apple.com/de-de/guide/mac-help/mh11851/mac


    Wenn es Systemübergreifend sein soll bietet sich eigentlich NoMachine an.

    Abgesehen von der (zu bevorzugenden Variante) mittels DNS challenge könntest du auch die Subdomain zu dem Hauptzertifikat hinzufügen und auf den Nextcloud-Server kopieren (zum Beispiel automatisch per after-renew-hook)


    Rein aus Interesse: Normalerweise ist der Datenverkehr per VPN verschlüsselt. Wenn(?!) dein Nextcloud-Server dein VPN Server ist, wieso brauchst du zusätzlich noch HTTPS?