Posts by mlohr

Mit welchen Einstellungen insgesamt betreibt ihr das Ganze eigentlich im Netcup Webhosting? Apache/Nginx?

Moin,

wenn man sich ein paar VPS, ein VLAN, und ne Failover-IP schnappt müsste man doch in der Lage sein, ein Nahezu-HA-Kubernetes-Cluster aufzubauen. Das größte Problem, was ich hier sehe, ist das automatische Umschalten der Failover-IP. Es gibt ja durchaus Lösungen mit keepalived etc., mehr der Kubernetes-Style wäre allerdings ein sog. Cloud-Controller, der innerhalb des Clusters läuft und die IP per API umschaltet.

Bisher habe ich meine Kubernetes-Cluster bei G**, A** und H****** Blech/Cloud betrieben, überlege aber nun, wie man das mit Netcup umsetzen könnte. Gibt es dazu Ideen/Erfahrungen/Meinungen/Empfehlungen etc.?

Viele Grüße
Matthias

Olgsi wrote:

Wäre eine nextcloud auf einem Raspberry Pi mit DynDNS sicherer?

Eigentlich ja nicht, oder? Außer das netcup keinen Zugriff mehr hätte. Aber die Jungs pflegen dafür ja die Server und das müsste ich dann selber machen.

Nochmal die ganze Diskussion: Gegen was willst du sicherer werden beim Raspberry Pi? Ausfallsicherheit: Wahrscheinlich ist da Netcup besser. Physikalischer Zugriff auf die Daten? Möglicherweise zu Hause, wenn deine Safe-Wand dick genug ist.

Aber nochmal: Es gibt keine absolute Sicherheit und keinen absoluten Sicherheitsbegriff. Von daher sind die Fragen "Ist x sicherer als y?" immer Blödsinn. Die Frage muss immer lauten "Ist x im Bezug auf z sicherer als y?". Von daher, wenn du eine fundierte Antwort willst: Bitte stell ganz klar, worauf du das beziehst (dürfen auch gerne mehrere Aspekte sein). Dann gibts auch weniger Meta-Antworten als tatsächlicher Einschätzungen, die dir weiterhelfen könnten.

Ja.

Für ne Live-Demonstration: Versuchs mal mit dem Passwort 123456 und warte ein paar Tage.

Olgsi wrote:

Mein nextcloud ist auf dem aktuellsten Stand und erhält vom nextcloud scan ein A+ (scan.nextcloud.com). Hinzu läuft ein lets encrypt mit der Bewertung A+ (https://www.ssllabs.com/ssltest/) und 2Factor sowie server-side-encryption ist aktiv.

Sollte die Nextcloud dann so sicher wie Google Drive sein?

Vielleicht dazu noch ein sehr einfaches Beispiel: Diese netten Bewertungen, verschlüsseltem Speicher, bewaffnetem Wachschutz vorm Gebäude - ja, fühlt sich sicher an. Jetzt hast du nen Freund, der das total cool findet, dem gibst du einen Zugang - und weil du ihm vertraust auch direkt Admin-Zugriff. Er nimmt ein schwaches Passwort... da nützt dir die ganze tolle "Sicherheit" nichts.

Ich glaube "Sicherheit" ist ein sehr breiter Begriff. Wie schon die Vor-Poster geantwortet haben: Welche Sicherheit willst du erreichen? Sicherheit wofür/wogegen?

Sicherheit ...

• ... dass Google dich analysiert (Datenschutzeinstellungen in den USA würde ich eher als frommen wunsch, weniger als Garantie sehen) -> Netcup.
• ... dass die Daten bei einem lokalen PC-Crash nicht verschwinden -> Google genausogut wie Netcup
• ... gegen das Risiko, dass du einen Netcup-Mitarbeiter kennst, der dir schaden will -> Google
• ... dass ein unfähiger Hacker an die Daten kommt -> Beide gleich gut
• ... dass ein fähiger Hacker an die Daten kommt -> Beide (vermutlich) gleich schlecht (am Besten klappt immernoch Social Engineering, da wärest du dann das Sicherheitsproblem)
• ...

BloodOfPanda wrote:

Ich schließe mich dem einmal an damit es eine Stimme mehr gibt.

1. Sammelrechnung bitte bitte bitte
2. 0€ Rechnungen bitte nicht mehr versenden

Schönen Mittwoch euch

Genau das!!!

Außer, dass heute Dienstag ist.

Vielen Dank!

Hat jemand vielleicht ein Working Example für einen File Upload? Bei mir gibt der Befehl cgi.FieldStorage() immer ein FieldStorage(None, None, []) zurück, egal was ich an Dateien so hinschicke...

Anscheinend nicht. Vielleicht den Support mal darauf hinweisen, dass verschiedene Kunden das durchaus reproduzieren können? Vielleicht reproduziert der Support einfach anders als die Kunden. Nur glaube ich nicht, dass inzwischen dann mehrere Leute zu blöd sind, die Dinge herunterzuladen - ich alleine vielleicht ja noch, aber ich bin ja nicht mehr alleine. Zumindest fühle ich mich so besser

Moin,

danke für den Link.

Soweit ich das richtig verstehe beschreibt das ja genau das, was ich eigentlich zu vermeiden versuche: Man muss (laut dieser Seite) erst ne neue Routing-Tabelle anlegen, der das Gateway hinzufügen und dann die entsprechende ip rule erzeugen. Das wären drei Schritte und ich brauch ne Menge Routing-Tabellen. Ich weiß nicht, ob pfSense das genauso macht und einfach besonders gut versteckt oder ob die ne andere Methode haben. Falls dem so ist, wüsste ich gerne, welche Methode das ist.

Viele Grüße
Matthias

Moin zusammen,

mal ein eine Frage für die Netzwerkler hier.

Nehmen wir mal an, ich hätte nen Server der als Router fungieren soll mit OpenVPN und möchte "Source Based Routing" bauen. Beispiel: Daten, die von 10.1.0.1 kommen sollen über 10.2.0.1 als Gateway verschickt werden. Kommen die Daten von 10.1.0.2, sollen sie über 10.2.0.2 verschickt werden - usw.

Mit pfSense ist das furchtbar einfach (läuft bereits): Man legt das Gateway an und erzeugt dann ne Firewall-Regel, in der man das Gateway - auf Basis des Absenders - neu setzt.

Jetzt überlege ich, ob es eine Möglichkeit gibt, das mit einem z. B. Ubuntu hinzubekommen. Eine Lösung (nicht ausprobiert, aber ich glaube sie könnte gehen) ist: neue Routing-Tabelle anlegen, mit ip rule alle Pakete mit einer bestimmten Absender-IP auf diese Routing-Tabelle packen und der eben als default-Gateway das Gateway verpacken. Soweit, so gut.

Gibts da noch was von Raptiopharm, sowas, was sich mehr nach "ich lege nur eine einzelne Regel an" anfühlt? Bei iptables scheint es das nicht zu geben, jetzt habe ich gelesen da gibts noch nftables, aber noch nie mit gearbeitet. Es wäre meines Erachtens gut, wenn dieses "ich lege x Routing-Tabellen an" nicht Bestandteil der Lösung sei müsste.

Mögen die Spiele beginnen.

Viele Grüße
Matthias

Ein AXFR ist meines Wissens nicht zum Umzug, sondern zur Synchronisation zwischen Primary und allen anderen gedacht. Theoretisch könnte man den auch für nen Umzug missbrauchen - wenn man seine eigenen NS betreibt.

Es gibt doch extra ein Unterforum für "Kunden stellen sich/ihr Projekt" vor... Und wenn dort ein Thread darüber wäre, könnte man den sicherlich hier gut verlinken.

Nicht 100% sicher, aber eigentlich müsste das folgendermaßen gehen:

Wenn du bei Netcup den Transfer anstößt, wird Netcup ja auch bei der Registry die neuen NS hinterlegen. Bis die da wirksam werden dauert nen Moment. Die DNS-Einstellungen müssten dir aber bis dahin schon zugänglich sein. D.h.: Wenn du den Transfer initiierst, dann umgehend, sobald du Zugriff auf die DNS-Settings hast alles einrichtest, könntest du durchaus schneller als der Zonereload, und wenn das nicht klappt, als die TTL sein. Ist keine Garantie, aber zumindest lässt es sich damit ohne tiefergehende Aktionen gut reduzieren.

Betreibst du einen, kommerziell? Auch mit entsprechend (guter) Reputation? Fall ja, gerne pm.

Richtig. Aber wenn man nen Relay nutzt "erbt" man dessen Reputation

Mal - aus ähnlicher Motivation heraus - die Frage: Was ist mit Mailcow + (kostenpflichtigem, gutem) Relay Host? Hat da jemand Erfahrungen und vielleicht sogar Empfehlungen?

Valkyrie wrote:

Und nur 160MB RAM?! (die ganze Maschine?) Ich hatte in Erinnerung, dass der Factorio Server bei mir schon am Anfang knapp 1GB geschluckt hat, ist aber auch schon etwas her.

Hab auch bei Netcup nen Factorio-Server laufen. Klappt einwandfrei und weder beim RAM noch bei CPU hab ich bisher nen Ausschlag gesehen, der eindeutig Factorio zuzuordnen ist -wir spielen mit teilweise bis zu vier Spielern. Einzig ab und zu das Netzwerk nervt. Hin und wieder scheint mein Serverchen Opfer von Packet Loss/High Latency zu sein, dann geht mal so für 2 Minuten alles nur im Ruckelmodus... aber danach ists wieder fein.

Und ja, Factorio ist genial

Hast du zufällig deine Domains so konfiguriert, dass eine Domain in ein Unterverzeichnis der andern zeigt?

Beispiel:

domain1.tld - /httpdocs/website1 (Wordpress 1)

domain2.tld - /httpdocs/website2 (Wordpress 2)

domain3.tld - /httpdocs/website3 (Wordpress 3)

- alles gut, jedes WP nur einmal, also 3 Stück -

Dann hinzufügen:
domain4.tld - /httpdocs (kein eigenes Wordpress

- in der Liste stehen jetzt 6 Wordpress Installationen. domain1 findet 1, domain2 findet 1, domain3 findet 1 und domain4 findet 3 in seinen Unterverzeichnissen -

Wenn man das korrigiert scheint das ein paar Stunden zu dauern, bis der (vermutete) Scan-Cronjob das dann aus dem WCP rausnimmt bzw aktualisiert.

Wenn ich kurz korrigieren darf: Niemand mit kostenpflichtigen Zertifikaten vielleicht. Meiner Meinung nach fällt unter professionell, dass man eine (sichere) Verschlüsselung einsetzt. Ob man für ein dafür genutztes Zertifikat nun Geld ausgibt oder einen etablierten kostenlosen und ebensosicheren Service nutzt, der vermutlich sogar mehr Transparenz hat als eine kostenpflichtige CA, hat - persönliche Meinung - mit professionell nichts zu tun.

Ich schreibe das übrigens nicht, um jemanden anzugreifen, sondern möchte vorbeugen, dass angehende SysAdmins, die sich neu in das Thema einarbeiten und über diesen Thread stolpern, nicht den Eindruck bekommen, dass kostenpflichtig immer besser oder professioneller ist als kostenlos, Open Source, etc...