Beiträge von mainziman

es läuft wahrscheinlich darauf hinaus, sich den eigenen DNS-Server samt DDNS-Update-Mechanismen sparen zu können;

wobei ein Tipp:

verwende den DynDNS-Anbieter Deiner Wahl und trage bei Deiner Domain z.B. sowas wie

home CNAME host.dyndns.com

ein; und IPv6 mit dynamischen IPs ist weder vernünftig noch sinnvoll; hier mein Skript welches auf meinem Router läuft, ich verwende als DynDNS Hoster DNShome und habe auch einen IPv6-Tunnel, da mein ISP IPv4only

dieses Skript läuft per cronjob 5 mal pro Stunde (alle 12 Minuten); und es aktualisiert auch die eigene DNS-Zone, kein Hexenwerk;

#!/bin/bash

LOCKFILE=/var/lock/cronjob-ddns.lock

# the lockfile is not meant to be perfect, it's just in case the
# two cron scripts get run close to each other to keep
# them from stepping on each other's toes.

[ -f $LOCKFILE ] && exit 0
trap "{ rm -f $LOCKFILE ; exit 255; }" EXIT
touch $LOCKFILE 

HOST="hostid"
USER="userid"
PWD="passwd"

IP6ADDR="fix"

IP6HOST="hostid"
IP6USER="userid"
IP6PWD="passwd"

LOGFILE=/var/log/.log
TIMEFILE=/var/local/.time
IPADDRFILE=/var/local/.ipaddr

USRAGNT="myDNSsync/1.0"

function infomail( )
{
  DATE=$(date +"%a, %d-%m-%Y")
  TIME=$(date +"%H:%M:%S (%Z)")
  
  SENDERNAME="Firewall/Router"
  SENDEREMAIL="email"

  RECIPIENTEMAIL="email"

  case $1 in
    --change)
      MAILSUBJECT="DDNS IP-address changed: $DATE; $TIME"
      DATA="Hostname: $2\n\nOld IP-address: $3\nNew IP-address: $4\n\nReply from
DDNS: $5\n"
      ;;
    --error)
      MAILSUBJECT="DDNS I/O error: $DATE; $TIME"
      DATA="I/O error occured: No reply from DDNS.\n\nLast known IP-address for host
$2: $3\n"
      ;;
    *)
      MAILSUBJECT="DDNS Internal error: $DATE; $TIME"
      DATA="Internal error occured.\n"
      ;;
  esac

  (
    echo -e -n "From: \"$SENDERNAME\" <$SENDEREMAIL>\n"
    echo -e -n "To: <$RECIPIENTEMAIL>\n"
    echo -e -n "Subject: $MAILSUBJECT\n"

    echo -e -n "Content-Type: text/plain; charset=\"iso-8859-1\"\n"
    echo -e -n "Content-Transfer-Encoding: 7-bit\n\n"

    echo -e -n "The following information came from the Router DDNS module.\n\n"

    echo -e -n "--[ Data submitted
]-------------------------------------------------------\n\n"

    echo -e -n "$DATA\n"
  ) |/usr/sbin/sendmail -f $SENDEREMAIL $RECIPIENTEMAIL
}

function initializeddns( )
{
  ddnsreply=$(curl -A "$USRAGNT" -u "$USER:$PWD" -k -s
"https://www.dnshome.de/dyndns.php?ip=$1&ip6=$IP6ADDR")

  if [ "$ddnsreply" ]; then
    ddnsreply="${ddnsreply/\<br \/\>/, }"
    ddnsreply="${ddnsreply//[$'\t\r\n']}"
  fi

  if [ "$ddnsreply" ]; then
    echo -e -n "$logtime ddns Initializing $HOST: $1, $IP6ADDR; $ddnsreply\n"
>>$LOGFILE
  else
    echo -e -n "$logtime ddns I/O error [initializing]\n" >>$LOGFILE
    return 1
  fi

  return 0
}

function refreshddns( )
{
  ddnsreply=$(curl -A "$USRAGNT" -u "$USER:$PWD" -k -s
"https://www.dnshome.de/dyndns.php?ip=$1")

  if [ "$ddnsreply" ]; then
    echo -e -n "$logtime ddns Refreshing $HOST: $1; $ddnsreply\n" >>$LOGFILE
  else
    echo -e -n "$logtime ddns I/O error [refresh]\n" >>$LOGFILE
    return 1
  fi
  return 0
}

function updateddns( )
{
  ddnsreply=$(curl -A "$USRAGNT" -u "$USER:$PWD" -k -s
"https://www.dnshome.de/dyndns.php?ip=$1")               

  if [ "$ddnsreply" ]; then
    infomail --change "$HOST" "$2" "$1" "$ddnsreply"
    echo -e -n "$logtime ddns Updating $HOST: $2->$1; $ddnsreply\n" >>$LOGFILE
  else
    infomail --error "$HOST" "$2"
    echo -e -n "$logtime ddns I/O error [update]\n" >>$LOGFILE
    return 1
  fi
  return 0
}

function updatednszone( )
{
  cat <<EOF |nsupdate -k /etc/ddns.key
server $1
zone ddnshost.example.com
update delete ddnshost.example.com. A
update add ddnshost.example.com. 60 A $1
send
EOF

  echo -e -n "$logtime dns Updating ddnshost.example.com: $1\n" >>$LOGFILE
  return 0
}

function updateipv6tunnel( )
{
  ip6ddnsreply=$(curl -A "$USRAGNT" -u "$IP6USER:$IP6PWD" -k -s
"https://ipv4.tunnelbroker.net/nic/update?hostname=$IP6HOST")

  if [ "$ip6ddnsreply" ]; then
    echo -e -n "$logtime ipv6 Updating $IP6HOST: $1; $ip6ddnsreply\n" >>$LOGFILE
  else
    echo -e -n "$logtime ipv6 I/O error [update]\n" >>$LOGFILE
    return 1
  fi

  return 0
}


# get current IP from checkip4.spdyn.de
currentip=$(curl -A "$USRAGNT" -s "http://checkip4.spdyn.de/")

# get old IP from file
oldip=$(cat $IPADDRFILE)

logtime=$(date +"%b %e %T")

if [ "$oldip" == "0.0.0.0" ]; then
  initializeddns "$currentip"

  if [ "$currentip" ]; then
    echo "$currentip" >$IPADDRFILE
  fi
else
  if [ "$currentip" ]; then
    # compare $currentip with $oldip;
    #  if different, then execute update
    #  else execute refresh once every
    #   6 days 23 hours 48 mins 45 secs

    if [ "$currentip" == "$oldip" ]; then
      lastupd=$(cat $TIMEFILE)
      let nextupd=lastupd+604125
      timenow=$(date +"%s")

      rslt=-1
      if [ $nextupd -lt $timenow ]; then
        refreshddns "$oldip"
        rslt=$?
      fi
    else
      updateipv6tunnel "$currentip"
      updatednszone "$currentip"
      updateddns "$currentip" "$oldip"
      rslt=$?

      if [ $rslt -eq 0 ]; then
        echo "$currentip" >$IPADDRFILE
      fi
    fi

    if [ $rslt -eq 0 ]; then
      date +"%s" >$TIMEFILE
    fi
  else
    echo -e -n "$logtime ddns I/O error [check]\n" >>$LOGFILE
  fi
fi

exit 0

eine Detailfrage: bei den Root-Servern steht

Sicheres und schnelles RAID10 (Hardware-RAID-Controller)

beim Storage Server steht

Sicheres und schnelles RAID 6 (Hardware-RAID-Controller)

hier ist aber der Hase im Detail: bei Raid 6 können glzt. 2 Platten ausfallen, hingegen bei Raid 10

ist es beim Ausfall von 2 Platten zu 1/3 wahrscheinlich, daß die Daten futsch sind ...

(in beiden Fällen sind Netto-Nutzdaten bei 4 Festplatten jeweils die Hälfte)

d.h. wenn man mit weniger Speicher (½ TB statt 1½ TB) sein auslangen findet,

kann man auch einen Root-Server nehmen und hat dabei dann mehr ...

(RS 2000 hat ja auch 480 GB)

oder hab ich da was übersehen?

Hallo,

was kann im so eine Storage-Distribution, welche gibt es?

oder ist das ein Linux wo man selbst installiert was man haben will - ownCloud, ...?

wodurch unterscheidet sich dieser virtuelle Server - da ja auch KVM - im wesentlichen (jetzt nicht in Bezug auf Speichermenge) von einem Root-Server od. vServer (VPS)?

header_checks funktionieren schon, es ist nur eine Frage

wie du sie anwendest ...

f. den Fall, daß Du es so gemacht hast

header_checks = pcre:/etc/postfix/hdr_chks.pcre

dann handelt es sich um regular expressions

also in etwa so:

/^from:[[:space:]].*(\<)?xxx\@xxx.de(\>)?.*$/ REDIRECT xxx@gmail.com

wobei mit header_checks kannst Du es in der Form nicht lösen, weil Du nur eine Zeile

jeweils betrachtest;

Du kannst aber einen Pipe-Filter definieren, dieser in Kombination mit

header_checks macht genau das ...

Zitat von thomba

Uiuiuiuiui, da glüht der Aluhut.

das glaube ich weniger, Dir ist schon klar, um es mal mit einem korrektem Vergleich - der ja weiter oben von jemand anders mißlungen ist - wenn Du das ESP (hat nichts mit dem 32-bit Stack-Pointer Register der x86-Architektur zu tun) eines deaktivierst,

ist das definitiv nicht die Schuld des Herstellers, wenn das Heck ausbricht ...

so auch hier: wenn OS-Entwickler durch Schlamperei oder Vereinfachung - ohne böse Absichten - Features nicht oder nur teilweise verwenden, ist das nicht die Schuld des CPU-Herstellers ..., wenn dadurch andere genutzte Features zu Schwachstellen werden ...

zum anderen Thema dieses Testtools: weil es vielleicht gar nicht möglich ist, weil dieses Problem gar nicht existiert; weil entsprechende Voraussetzungen am OS fehlen(!)

vgl. das mit einem Tool, welches Dir sagt ob das System bei Framework X angreifbar ist,

und es sein kann, daß Framework X gar nicht vorhanden ist, dann hier zu schlußfolgern, angreifbar zu sein,

das ist dann kein gühender Aluhut mehr sondern ein geschmolzener Aluhut ...

und windige Argumente sehen anders aus ...

So seltsam es auch scheinen mag, aber die Testroutine

https://github.com/ionescu007/SpecuCheck

welche einem sagt, ob man tatsächlich mit Meltdown (unter anderem) ein Problem hat,

läuft mit älteren Windows Versionen gar nicht ...

Ist das wirklich ein Problem der CPU?

(z.B. WinXP kann mit SSE gar kein Problem haben,

es verwendet diesen Instruction Set gar nicht; WinXP x64 hingegen schon)

Zitat von CmdrXay

Hay,

richtig.

Die Laufzeiteinbußen kommen, weil die OS jetzt um Intels Schlamperei herumprogrammieren müssen. Ob es mit der Prüfung durch die CPU selbst jetzt schneller wäre als durch angepasste Software, ist erst einmal Spekulation - die CPU-interne Prüfung wird auch ein paar Taktzyklen zusätzlich brauchen.

mit Schlamperei meinte ich übrigens nicht die von Intel ...

macht einen Unterschied, ob Du der Schlamperwei wegen alles nur FLAT machst,

weil performant oder segmentierst und damit die internen Prüfmechanismen¹ der CPU richtig ausspielst;

ist es ja nicht Intel alleine sondern auch ARM und bei AMD ist man sich auch nicht sicher,

ob auch hier Probleme existieren ...

nebenbei: der Vergleich mit dem FDIV-Bug hinkt

¹ die Existenz des 'Execute Disable Bits' machte erst Microsoft notwendig;

Zitat von thomba

intel hat für ein Security Problem in ihren Prozessoren keine Schuld, sondern die OS-Entwickler, weil sie nicht alle Kapazitäten des Prozessors nutzen?

Auch das mit den schnelleren Laufzeiten... Techniken verändern sich, $Dinge werden optimiert. Das hat eigentlich seine Richtigkeit so.

Genau; nur das mit den schnelleren Laufzeiten ... und Techniken verändern sich, widerspricht sich etwas ...

oder anders gesagt: die Laufzeiteinbußen, welche diese Bugfixes jetzt mit sich bringen,

wurde vorher durch Schlamperei gewonnen ...

wobei die Meltdown Geschichte um es sarkastisch zu formulieren, hausgemacht ist;

es sollte einem schon zu denken geben, daß bereits der i386er mit 64 TByte virt. Speicher umgehen konnte

(auch der i286er mit 16-bit auch deutlich mehr virt. Speicher adressieren konnte als damals überhaupt denkbar war: 1 GByte)

aber keine einzige OS-Implementierung - auch nicht Linux/Unix - das auch nur in Ansätzen verwendete;

ich will hier Intel nicht in Schutz nehmen, aber Schuld an dem Ganzen hat hier Intel keine;

auch sollte man sich hinterfragen, wie es sein kann, daß unter einem aktuelles OS - z.B. Windows 10 - Anwendungen kürzere Laufzeiten haben, wo doch das OS - der OS-Kern - deutlich schwerfälliger ist, als ältere OS Varianten - z.B. Windows XP;

ebenfalls hinterfragen sollte man sich, bei Betrachtung der CPU-Spezifikationen aktuellerer CPUs, was es mit dem 'Execute Disable Bit' auf sich hat ...

(es wär mir neu, daß ein Datensegment ausführbar wäre - aus der Reinheit der Lehre des Protected-mode aus Zeiten des i386er, der von einem 'Execute Disable Bits' nichts wußte ...)

Hallo,

kann es sein, daß das Image f. CentOS 6 den ACPI Dienst/daemon nicht mit an Board hat?

hatte es vorhin installiert und gestartet ...

mein vServer (CentOS) hat folgende Dienste

- named (DNS)

- httpd (Apache)

- opendkim

- opendmarc

- openvpn

- squid

- mysqld

- postfix

wenn ich den mit shutdown -r now neu starte ist der binnen 1-2 minuten wieder neu gestartet ...

Zitat von GTAzoccer

..., ob das nur dessen Vermutung aufgrund beschädigter Dienste ist, oder ob sie wirklich im Syslog keinen Eintrag für das erhaltene ACPI-Signal stehen haben ...

wenn dem so ist, daß zwar alle das Signal bekommen, und eben manche schneller sind, und das System derart beanspruchen, dann wäre es durchaus denkbar, daß zwar das Signal ankommt, aber es im Syslog nicht auftaucht, weil durch die Beanspruchung des Wirtsystems kaum Resourcen an den einen oder anderen Gast verteilt werden, und diese dann hart abgeschalten werden ...

von daher wäre es von Vorteil das Signal nicht glztg. an alle vServer sondern in Tranchen versetzt um 20-30 Sekunden;

wobei wieviele Gastsysteme sind auf einem Knoten/Wirtsystem?

klar ein wesentlicher Unterschied besteht, ein 'Suspend-to-Disk' kann bei großen vServern in Summe länger dauern, weil nicht zwingend parallelisiert werden kann,

aber das ACPI-Signal zum Shutdown bekommen alle glztg. und nach 5 Minuten und ein paar Sekunden kann der eigentliche Reboot des Wirtsystems stattfinden;

da ja im Zuge dieser kritischen Updates (Meltdown, Spectre), die Wirtsysteme rebootet werden müssen, und dies auch einen Einfluß auf die Gastsysteme hat,

mal die Frage: würde es denn Sinn machen, die Gastsysteme nicht zu rebooten, sondern in den 'Suspend-to-Disk' zu schicken?

ich denke, wenn das die kleineren Gastsysteme (z.B. VPS100, VPS, RS1000, RS2000) sind,

und diese auch nur einen Teil vom zugesicherten RAM verwenden, kann dies deutlich schneller gehen als ein Reboot,

oder ist dies keine gute Idee?

Probleme, daß Gastsysteme auf den Reboot nicht reagieren und echt hart abgeschaltet werden müssen, wäre damit aus dem Weg gegangen ...

Zitat von Timon_78

Sind dann alle vServer durch? Habe immer noch eine lange Uptime im scp

die Frage, ob denn alle vServer neu gestartet weden müssen,

zumal ja vServer auf andere Nodes verschoben werden - und das im laufendem Betrieb(?)

bei meinen sind auch noch lange Uptimes im SCP

wieviele virtuelle Server sind auf so einem "fetten" Wirtsystem gehostet?

ich habe auf meinem einen Dienst, welcher realtiv lange zum beenden dauert in weiser voraussicht bereits beendet,

um sicher zu stellen, daß der Reboot mit 5 Minuten garantiert funktioniert;

Zitat von ulf8000

dmesg | grep isolation

[ 0.000000] Kernel/User page tables isolation: enabled

bei mir sieht das Ergebnis so aus ...

[ 0.000000] x86/pti: Kernel page table isolation enabled

dürfte eine Frage der Linux Distri sein;

wobei Frage an [netcup] Felix: welche Linux Distribution kommt als Wirtsystem zum Einsatz?

und evtl. welchen Fortschritt habt ihr mittlerweile erziehlt;

Zitat von Ronny

Der Vorgang ist mir noch nicht ganz klar, ein Reboot der Root-Server bring ja erst dann etwas wenn der Server und damit meine ich die VM/OS selbst den entsprechenden Patch erhalten hat. Dafür ist ja jeder Nutzer eines Root-Server selbst verantwortlich und kann nicht von netcup gesteuert werden.

Ja und Nein, eine VM hat keinen direkten CPU-Zugriff,

von daher ist es hinreichend, wenn das Host-System gefixt ist;

da aber auch die VM sich - weil eigener Kernel - auf die CPU einstellt,

macht dies schon Sinn, weil durch das Bugfixen des Host-Systems,

auch der Guest eine gefixte CPU bekommt ...

Habe soeben bei einer meiner Domains den Wert 0 auf 128 geändert;

und ein

dig domain type257

liefert das erwartete Ergebnis;