Posts by VVV

    Weiß nicht was du genau meinst, aber mein Telekom-Router hat nach wie vor im LAN die Adresse 10.0.0.138 und verteilt per DHCP Adressen an Clients.


    >so lange man nicht im selben Atemzug von IPv4-Adressknappheit spricht

    Irgendwelche reservierten Bereiche in IPv4 freizugeben würde genau null helfen. IPv4 ist am Ende.

    Vor allem,

    welchen Sinn hat es dafür ein eigenen IP-Range zu reservieren?

    vor allem steht des im Widerspruch zu einer regelmäßig Gebetsmühlenartig gepredigten Knappheit ...

    wieso net einfach 10.0.0.0/8, weil den Kunden zeigst mir der dahinter nochmal ein 10.0.0.0/8 aufspannt :D

    Die DSL-Router der Telekom Austria/A1 betreiben ihr LAN hinter dem Router schon ewig standardmäßig im 10.0.0.0/8-Bereich.

    Das hättest grad du als Österreicher wissen müssen ;)

    ich denk die wären momentan unverkäuflich;:/

    Für Verbindungen zur Außenwelt vielleicht, aber übers interne Netz und über einen Jumphost oder VPN kommt man auch von außen drauf.


    IPv6-only wär kein Problem für einen Datenbank- oder Backupserver für deine anderen VPS.

    Quote

    But what happens when we move SSH to port 2222? This port can be opened without a privileged account, which means I can write a simple script that listens to port 2222 and mimics SSH in order to capture your passwords.

    Das kann nur passieren wenn man schon im Vorhinein drei Fehler begangen hat:


    • Passwort-Auth
    • Host-Keys nicht überprüft (der OpenSSH-Client schreit laut, wenn sich dieser geändert hat)
    • keine Firewall, die irgendwelche lauschenden Ports von Usern blockiert


    Das Szenario im Artikel scheint mir doch arg an den Haaren herbeigezogen um Klicks zu generieren.

    Hat sich was an der Bereitstellung der Server geändert? Habe gestern Abend einen weiteren Server bestellt und warte immer noch. Das ging doch mal innerhalb weniger Minuten, offenbar automatisiert. Jetzt habe ich das Gefühl das jemand manuell Hand anlegen muss...

    Vielleicht wird gerade das Default-Image aktualisiert :/

    The english description of "Powercycle" is lacking here, it should say that if your server hasn't shut down within 5 minutes after receiving the ACPI signal, it will be forcefully reset. The german description says that.


    In any case, when you see a notification for a new KVM version, you have to reboot the server from the SCP. When you reboot from within the VM, the host process will continue running and can't apply the update. That's why you can sometimes see a huge uptime in SCP even though you rebooted the server over SSH just recently.

    Der pihole ist für mich inzwischen effektiver. Damit erwische ich nicht nur alle Geräte zuhause. Mit wireguard kann man auch unterwegs mit mobilen Daten wieder surfen. Wireguard läuft jetzt konstant auf dem Smartphones als eines der VPNs.


    PS: Ich wollte nur meine Begeisterung teilen das ich jetzt konstant meine VPNs aktiv lasse. :)

    Mit einem DNS-Blocker wie Pi-hole kann man nicht alles blockieren, z.B. keine Werbeclips auf Youtube.


    Vielleicht muss ich meine Frage von vorhin anders stellen:


    Warum bekommt ein VPS bei netcup nicht automatisch eine IPv6?

    Kann er sich keine mit SLAAC selber basteln? Die MAC-Adresse seines Ethernet-Interfaces kennt er ja. :/

    Etwas Ähnliches wollte ich auch gerade schreiben. Die handvoll Leute die jetzt benchmarken werden wohl auf verschiedenen Nodes verteilt sein und ihre Benchmarks ein paar mal machen, und dann wars das. Es geht ja nur darum die IO-Performance der Server vergleichen zu können, nicht einen Dauerbelastungstest zu machen.


    Was ich bis jetzt festgestellt habe:

    Gen9-SSD ist merklich besser als Gen8-SSD

    Der SSD-Cache der Plus-Versionen bringt nicht all zu viel

    Nichts schlägt eine Ramdisk :D

    Meine Ergebnisse auf einem RS 2000 G9, hab mit einer 8GiB-Datei getestet.


    ramdisk:

    --direct=0, weil tmpfs kein direct-IO kann.


    SSD mit btrfs und Copy-on-Write (default):


    Denke also nicht, dass man 2x RAM braucht, die Ergebnisse sprechen für sich.


    Ich glaube wenn man viel benchmarkt wird IO auch gedrosselt, ist mir zumindest aufgefallen.

    Hierbei ist unbedingt darauf zu achten, dass hinter der Option --size= die Dateigröße x 2 der RAM-Größe sein muß, da ansonsten nicht die IOPS der SSD, sondern die IOPS des RAM´s gemessen werden.

    Macht das nicht schon --direct=1?


    man fio wrote:

    direct=bool

    If value is true, use non-buffered I/O.


    Bei --rwmixread sollten übrigens double dashes sein :S

    Der Grund ist folgender:


    stress macht nichts anderes als


    int
    hogcpu (void)
    {
    while (1)
    sqrt (rand ());

    return 0;
    }

    (ich muss das so posten, weil die "Code"-Formatierung die Zeilenumbrüche frisst X/)


    ist also sehr einseitig, während stress-ng eine breite Palette an Algorithmen hat um die CPU zu bearbeiten, die jeweils verschiedene Bereiche testen.

    https://manpages.ubuntu.com/ma…cal/man1/stress-ng.1.html (unter "--cpu-method method")


    Starte einfach

    Code
    1. stress-ng -c$(nproc)

    in einer tmux/screen-Session oder einer separaten SSH-Session und schau dann, was bei "top" in der Zeile "%Cpu(s)" neben "st" (steal) steht (ganz rechts). Das ist der Prozentsatz, den dir der Hypervisor stiehlt 8o

    Wie habt ihr beim Nginx die TLS1.3 Ciphers angepasst ?

    Wie fallobst hier schon geschrieben hat, geht das Anpassen von TLSv1.3-Ciphers derzeit nur mit einem gepatchten OpenSSL:

    https://forum.netcup.de/sonsti…A4ngste-thema/#post144591


    Der normale lässt dich die Ciphers nicht anpassen, weil dazu eine neue API benötigt wird oder so, hab erst kürzlich darüber gelesen. Um Bei SSL Labs 100% zu bekommen, muss man 128-bit Ciphers deaktivieren, die aber im TLSv1.3-Standard vorgeschrieben sind - Die bessere Crypto mit ChaPoly ist soweit ich weiß nur optional!


    Deshalb muss ich meine Aussage von vorhin korrigieren - gerade mit einer standardkonformen Config sind keine 100% möglich.