Posts by shadowman

    Ha, Lösung gefunden!


    Für alle mit demselben Problem: Die Zeile "AuthenticationMethods publickey,keyboard-interactive" legt richtigerweise fest, dass bei der einzig legitimen Anmeldung mit publickey anschließend noch der "normale" Login-Vorgang mit Passwort und OAHT-TOTP von Google anschließt. Von dieser globalen Regel nehme ich anschließend mit

    Code
    1. Match Address xxx.xxx.xxx.xxx
    2. AuthenticationMethods publickey

    Vertrauenswürdige IPs aus, die sich dann ohne Google nur mit dem korrekten Schlüssel anmelden dürfen...einfach durch Weglassen der Methode keyboard-interactive und das klappt bei mir :)

    Hey mfnalex,


    habe mir die Methodik mir dem Befehl Match Address mal angeschaut, aber komme nicht weiter. In meiner sshd_config sorgt vermutlich die Zeite


    Code
    1. AuthenticationMethods publickey,keyboard-interactive

    dafür, dass keine Anmeldung ohne Eingabe des Einmalpasswortes möglich ist. Nehme ich diese Zeile raus, dann ist Google Authenticator generell bei Pubkey-Anmeldung nicht mehr aktiv, was ich ja auch nicht möchte... Wie gesagt, wichtig wäre mir, dass ich nur für bestimmte IPs die Ausnahme erstelle, dass passwortlose Authentifizierung über Publickey möglich wird...

    Ich hab mal eine für mich etwas knifflige Frage.

    Und zwar nutze ich für meine Server für den Zugriff per SSH (Putty, WinSCP) die Zwei-Faktor-Authentifizierung via Google Authenticator und gleichzeitig die Authentifizierung über ein Schlüsselpaar. Genau genommen ist es eine Drei-Faktor-Authentifizierung die so greift:


    1. Passendes passwortloses Schlüsselpaar gesendet -->weiter zu 2. sonst Abbruch

    2. Abfrage des Passwortes für den User -->weiter zu 3. sonst Abbruch

    3. Abfrage des OATH-TOTP von Google -->Login, sonst Abbruch


    Das klappt gut und bringt doch ein großes Maß an Sicherheit. Allerdings hat die Sache einen Haken: Wenn ich nun von Server1 auf Server2 (beide Netcup) per SSH oder SFTP zugreifen will, klappt das wegen dem Google Authenticator nicht bzw. nicht automtisch via Batch-File, da natürlich auch hier der Zugang ohne Token von Google verweigert wird. Soweit zu meiner Konstellation. Nun zur Frage:


    Ich möchte alles so lassen, aber festlegen, dass ich per SFTP jeweils auf den anderen Rechner zugreifen kann, ohne dann die Zwei-Faktor-Authentifizierung zu nutzen. Also beispielsweise für ein tägliches automatisches Backup auf den zweiten Server. Wie kann ich in der sshd_conf eine solche Ausnahme definieren? Also einfach festlegen, dass die feste IP des Servers berechtigt ist, auf den Server2 ohne Zwei-Faktor-Authentifizierung zuzugreifen? Geht das. Oder gibt es andere Ideen, wie ich das lösen kann? Zur Info: Beide Server sind zusätzlich auch über VLAN angebunden, vielleicht kann man das Ganze ja auch so konfigurieren, dass beim Zugriff über das Heimnetzwerk die Authentifizierung außer Kraft gesetzt wird... Lieber wäre es mir aber, dass ich feste öffentliche IPs für den Zugriff definieren kann, damit auch meine Server bei anderen ISP den Server zum Backup nutzen können.


    Bye, Mike

    Danke an alle, Fehler gefunden


    Quote

    allow-hotplug ens6 genügt in aller Regel nicht. auto ens6 ist auch erforderlich, wie schon geschrieben worden ist.

    Danke, eripek. Das war der halbe Fehler. Nachdem ich das eingefügt hatte und dadurch eine Fehlermeldung bekam, habe ich den Status mit systemctl ausgelesen. Dort war zu sehen, dass keine ip konfiguriert werden konnte. Der Grund war ein simpler Tippfehler:


    statt "adress 10.0.xxxx" muss es natürlich "address 10.0.xxx" heißen... Nun funzt es!

    Danke!


    Bye, Mike

    Ich benötige mal Hilfe zur Einrichtung von VLAN.

    Ausgangssituation: Ein Root-Server und ein V-Server bei Netcup jeweils mit Debian9 sollen via VLAN miteinander verbunden werden. Ich habe mir das kostenlose VLAN-Paket bestellt und bei beiden Servern über das CCP das zweite virtuelle Netzwerkinterface via virtio eingebunden und beide Server neu gestartet. Anschließend habe ich folgende Zeilen in die Datei /etc/network/interfaces eingefügt:


    Code
    1. allow-hotplug ens6
    2. iface ens6 inet static
    3. address 10.0.0.xx
    4. netmask 255.255.255.0

    xx unterscheiden sich auf beiden Servern.


    Ich gehe dabei davon aus, dass meine 1. Netzwerkkarte für den Internetverkehr ens3 ist und die virtuelle ens6. Trotzdem scheint das nicht zu klappen. Wenn ich ip addr eingebe, dann sehe ich, dass keine IP mit ens6 eingerichtet wurde:

    Code
    1. 3: ens6: <BROADCAST,MULTICAST> mtu 1500 qdisk noop state DOWN group qlen 1000
    2. link/ether 9a:92:db:30:bf:a8 brd ff:ff:ff:ff:ff:ff

    Kann mir jemand weiterhelfen? Warum klappt das so nicht??


    Bye, Mike

    Aha, das klingt logisch. Vielen Dank für die Antwort. Würde sich das Ändern, wenn ich externen Backupspeicher dazukaufe und Images dann dort ablege? Oder geht das auch nicht? Ansonsten ist mir das nun klar, das Image liegt auf der Festplatte des Servers, nur in einem geschützen Bereich und würde somit überschrieben. Das müsste dann aber auch passieren, wenn ich von DVD ein neues Betriebssystem einspiele...


    Mit freundlichen Grüßen

    Mike Bauerfeind

    Tipp: CD (ISO) einlegen und darüber installieren. Mit dieser Methode behindern Dich die Snapshots nicht.


    Warum es beim Image nicht unterstützt wird, kann nur netcup beantworten. Da können wir im Kunden-helfen-Kunden Forum nur spekulieren.

    Danke für den Hinweis. Ja, ISO geht..dauert dann aber erheblich länger. Ich weiß, dass Kunden das eher nicht wissen, aber ab und an meldet sich ja auch ein Netcupler hier ;)


    Bye, Mike

    Ich wollte mal eine Verständnisfrage stellen: Warum kann ich kein Image von Netcup einspielen, wenn noch eigene Snapshots vorhanden sind, aber der Speicherplatz bei mir (inkl. Snapshots) noch ausreichend groß ist? Normalerweise macht es doch gerade Sinn, vor dem Aufspielen eines neuen Images (z.B. Wechsel von Debian 8 auf 9) ein Snapshot vom Server anzulegen, auf das ich dann bei Bedarf zurück kann, wenn was schiefläuft. So macht das für mich irgendwie nicht so richtig Sinn. Warum geht das nicht?


    Bye, Mike

    Normalerweise kopiere ich komplett - mit Bootloader etc.

    Wenn du nur einzelne Partitionen kopierst, stimmen die UUIDs nicht überein. Grub arbeitet mit den UUIDs, in der fstab Datei werden diese auch verlangt.

    Da ist dann natürlich ein wenig Nacharbeit gefordert.


    Kommst du denn in den Bootloader oder scheitert er noch davor?

    Nein, der bleibt gleich beim Booten von der HDD hängen. Ich habe aber die komplette Festplatte kopiert, da sollte an sich ja alles dabei sein, also nicht einzelne Partitionen (Disk-to-Disk). Eigentlich müsste das doch klappen...


    Bye, Mike

    Snapshots werden direkt im freien Bereich deiner virtuellen Festplatte gespeichert. Da kommst du von anderen Servern aus nicht dran, auch nicht über das SCP. Einzige Möglichkeit wäre hier tatsächlich wie bereits von dir genannt, der Export des Snapshots.


    Alternativ kannst du auch einen Server auf den Anderen per Clonezilla (https://www.clonezilla.org/) klonen. Ist allerdings dann etwas mehr Aufwand. Und vorm Klonen nicht vergessen, am Ziel ein Snapshot zu machen, damit du wieder zurück kannst..

    Hmm. Clonezilla hab ich schon probiert, aber damit immer das Zielsystem zerschossen. Also Daten werden alle korrekt kopiert und scheinen auch auf dem Zielserver zu landen. Aber dieser kann dann nicht mehr gestartet werden (bleibt bei Boot from HDD hängen). Gibt es vielleicht irgendwo eine Anleitung, wie man das mit Clonzilla bewerkstelligen kann und was ggf. noch an Nacharbeit am Server erforderlich ist (auße IP-Adresse ändern), dass es läuft?

    Die zweite Frage

    Bedenke aber auch, dass im Betriebssystem auch die FailOver-IP konfiguriert werden muss.

    Okay. Ich vermute mal, ich habe dann auf beiden Servern zwei IPs (eine eigene und die Failover) und muss die den Domains nach Bedarf zuordnen (ich arbeite mit Froxlor und hätte dann auch dort zwei IPs zum Konfigurieren). Das wäre okay für meine Zwecke. Bleibt noch die Frage nach den Snapshots...

    Ich überlege gerade, ob ich mir nicht eine Failover-IP4 anlegen sollte und zwei Server betreibe. Hauptsächlich, damit ich tiefere Eingriffe nicht im Live-System sondern beim Reserveserver durchführen kann und dann je nach eigener Wahl den gewünschten Server auf Live schalte.

    Meine Frage hierzu: Bekomme ich trotzdem zwei unterschiedliche IP-Adressen, unter denen beide Server einzeln ansprechbar sind? Und dann eine übergeordnete IP, die umzuswitchen geht. Ist das so korrekt? Ich könnte also trotzdem zum Beispiel separate Testdomains auf beiden Servern jeweils im DNS nur mit den Server-IPs eintragen und dann auch immer nur auf einem Server erreichen?

    Das wäre mir wirchtig, weil ich wie gesagt immer einen Server zum testen und optimieren nutzen möchte. Um Ausfallsicherheit geht es mir an sich weniger, da habe ich keine große Angst bei Netcup.


    Zweite Frage: Wenn ich dann zwei Server und eine Failover-IP habe, kann ich dann Snapshots auch untereinander austauschen, ohne dass es als Export gewertet wird? Also einen Server optimieren und dann per Snapshot auf den zweiten aufspielen und umgekehrt. Ich würde ja, falls erforderlich, auch noch Backupspeicher für diesen Zweck hinzumieten. Oder geht das wirklich nur über die kostenpflichtige Exportfunktion?


    Vielleicht hat der Eine oder Andere ja mal einen Tipp für mich, würde mir bei der Entscheidungsfindung helfen...


    Bye, Mike

    Live-CD die du einfach ins virtuelle CD Laufwerk einlegst. Garkein Problem!

    Okay. Aber muss ich dann vorher die Festplatte partitionieren für das Image-File oder wie läuft das? Sorry für die Fragerei, aber ich habe im Moment ein System Live und will da nicht auf Kosten der Erreichbarkeit herumexperimentieren. Vielleicht gibt es dazu auch irgendwo eine Anleitung im Netz?


    Bye, Mike

    Wenn ich VMs migriere nutze ich CloneZilla und exportiere das Image entweder über SSHFS oder NFS auf einem meiner anderen Server im Netcup Netz.

    Ist dann nur interner Traffic.


    Ansonsten kannst du ja LVM nutzen und dir LVM Snapshots ziehen, die dann exportiert werden können.

    LVM Snapshots werden im freien Speicher der LVM Gruppe hinterlegt - heißt auch du kannst die Platte hart auf 50% formatieren, sodass nie mehr als 50% der Platte mit Nutzdaten vollgeschrieben werden kann. Der Rest ist fürs Backup reserviert.

    Da ich vor demselben Problem stehe interessiert mich deine Lösung zum Klonen von VMs von einem VPS auf den anderen. Frage zu ConeZilla: Wie startest du das Programm auf deinem VPS? Soweit ich auf die Schnelle sehen konnte, benötigt man dafür doch eine Live-CD? Oder geht es auch anders??


    Bye, Mike

    Okay, in meiner jail.local steht nun folgendes:


    Damit müsste also Fail2Ban ab sofort jede IP komplett sperren, die einen fehlerhaften SASL-Log-Eintrag erzeugt...richtig?


    Bye, Mike