Posts by mfnalex

Quote from Bud

Wie notiert ihr Ideen?

Ich habe viele Ideen und Projekte welche ich (überwiegend für den Verein) umsetzten möchte, welche aber entweder aus zeitlichen oder finanziellen Gründen aktuell nicht realisierbar sind.

Meine iPhone Notizen sind das blanke Chaos... Wie notiert ihr Ideen bzw. handhabt soetwas?

Trello/wekan

Kurze Frage: Habe hier ein ewig altes SQL-Backup einer Wordpress-DB aus 2018 auf meinem NAS wiedergefunden. Das würd ich gern in eine frische Wordpress-Installation reinhauen. Die Domain hab ich noch, die müsste ich nicht ändern. Guck ich einfach in die SQL-Datei rein wie die Datenbank und Tabellennamen waren und geb Wordpress dann die gleichen Daten bei der Neuinstallation mit, oder wie würdet ihr das machen?

Quote from DerRené

bei mir läuft Docker tatsächlich in einem eigenen Container, der nur für Docker gedacht ist - fand ich einfach übersichtlicher und lässt sich halt bequem im Ganzen wegsichern. auf dem Proxmox Host direkt gehört für mich kein anderer Dienst.

Danke Docker in LXC oder KVM?

Hab mir heute mal MINISFORUM UM480XT bestellt (Ryzen 7 4800H, 32GB RAM, 512GB SSD) als Homeserver. Benutzen wollte ich das Teil für

• Pi-Hole
• Nextcloud
• paperless-ngx (oder falls es da bessere Alternativen gibt, bitte immer her damit )
• ggf. weiteres Zeugs

Jetzt stellt sich mir die Frage, ob ich da Proxmox draufhauen soll, oder einfach alles direkt per Docker machen soll. Ich werde bestimmt ab und zu auch mal ne KVM nutzen wollen, daher wäre Proxmox praktisch.

Jetzt stellen sich mir folgende Fragen:

1. Docker direkt auf dem Proxmox-Host installieren, oder eine VM für Docker-Zeugs erstellen? (Dass Docker mir an den iptables rumschraubt ist egal, ist ja hinter meinem Router)
2. Nextcloud würd ich gern direkt per NFS oÄ an mein NAS anbinden. Normalerweise hätte ich einfach per fstab über NFS oder SSHFS das NAS unter /mnt/nas gemountet, aber was passiert aber nun wenn das NAS mal neustartet oÄ? Oder kann nextcloud auch einfach direkt "external Storage" problemlos nutzen?

Ist euch auch aufgefallen dass Spam-Mails einem früher immer Viagra und Penisverlängerungen andrehen wollten, heutzutage aber immer nur Photovoltaikanlagen für den Balkon?

GitLab + Jenkins + Maven Repo

Der Grund warum ich das so mache ist, weil ich es nicht besser weiß

Mit der integrierten Firewall hatte ich nur Probleme bzgl. NAT, daher hab ich ganz old-school iptables-Regeln manuell angelegt.

Die Config kann ich morgen mal hier reinkopieren, falls es jemanden interessiert

EDIT:

Also im Prinzip hab ich eigentlich nur ein kleines Shellscript das als Parameter die VM-ID nimmt (meine VMs haben alle IPs nach dem Schema 10.0.0.<VM-ID> bzw fc00::<VM-ID>), den Host Port, den VM Port, und das Protokoll. Das sieht dann ca. so aus:

iptables -t nat -A PREROUTING -i enp35s0 -p $PROTOCOL --dport $HOST_PORT -j DNAT --to-destination 10.0.0.${VM_ID}:${VM_PORT}
iptables -A FORWARD -p $PROTOCOL --dport $HOST_PORT -j ACCEPT
ip6tables -t nat -A PREROUTING -i enp35s0 -p $PROTOCOL --dport $HOST_PORT -j DNAT --to-destination [fc00::${VM_ID}]:${VM_PORT}
ip6tables -A FORWARD -p $PROTOCOL --dport $HOST_PORT -j ACCEPT

Das wird dann mehrere male von meinem "Haupt-iptables-Skritp" aufgerufen ($route ist der Pfad zur route-port.sh).

# ...

$route 101 80 80 tcp
$route 101 443 443 tcp

## Mailcow
for PORT in 25 465 587 143 993 110 995 4190; do
        $route 109 $PORT $PORT tcp
done

## Ptero SFTP
$route 111 2022 2022 tcp
## Ptero Wings
$route 111 8080 8080 tcp

## Gameservers
$route 112 25565 25565 tcp # proxy
$route 112 25565 25565 udp
$route 112 19132 19132 tcp # bedrock ipv4
$route 112 19132 19132 udp
$route 112 19133 19133 tcp # bedrock ipv6
$route 112 19133 19133 udp

# ...

Sehr unsauber, aber es funktioniert wenigstens. Das sind jetzt nur die Regeln für öffentlich erreichbare Ports. Für das Webinterface z.b. habe ich folgende Regeln, wobei $fly_v4 und $fly_v6 jeweils die IPs vom Wireguard sind:

## Allow SSH from VPN, Ansible and Fly
ip6tables -A INPUT -p tcp --dport 22 -s "$fly_v6" -j ACCEPT
ip6tables -A INPUT -p tcp --dport 22 -s fc00::102 -j ACCEPT
ip6tables -A INPUT -p tcp --dport 22 -j REJECT
iptables -A INPUT -p tcp --dport 22 -s "$fly_v4" -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -s 10.0.0.102 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j REJECT

## Allow Webinterface from VPN
ip6tables -A INPUT -p tcp --dport 8006 -s "$fly_v6" -j ACCEPT
ip6tables -A INPUT -p tcp --dport 8006 -j REJECT
iptables -A INPUT -p tcp --dport 8006 -s "$fly_v4" -j ACCEPT
iptables -A INPUT -p tcp --dport 8006 -j REJECT

Sind wahrscheinlich ziemliche Drecks-Regeln, aber wie gesagt, funktioniert für mich

Auf dem Host läuft auch noch irgendwas auf en Ports 111, 3128 und 4949, ich weiß nicht mehr was das ist und hab grad auch keine Lust nachzugucken, ich weiß nur dass das bei Proxmox standardmäßig offen ist, die hab ich daher ebenfalls dicht gemacht und nur für den Wireguard geöffnet.

Hier mal die komplette ungeschnittene Config:
iptables.sh: https://paste.jeff-media.com/?…MH2sskfiU3j4nJ73jASuWPtyj
route-port.sh: https://paste.jeff-media.com/?…sais3u9G973hMAbLejdSFwYeq

Mein Proxmox ist hinter Wireguard und Login geht nur mit Yubikey

1.21 Gigawatt?!?

Die Datei an sich halt, zb mit „sha1sum mein-resourcepack.zip“

Der Server sollten einem separaten User ohne sudo-Rechte gehören, zb „minecraft“.

Also neuen minecraft user anlegen, und dann chown -R minecraft: /pfad/zum/server

(www ist doch durch den Wildcard-Eintrag gesetzt)

Aber ja, die IPs zu schwärzen ohne die Domain zu schwärzen macht null Sinn

Single-Core-Performance ist wesentlich wichtiger als Multi-Core. Daher sind irgendwelche AMD Epycs nicht so eine tolle Wahl (oder verwechsel ich da gerade was? :D)

Ist der richtige Treiber im SCP eingestellt? (VirtIo)

Einfach MyPlugin.jar umbenennen in MyPlugin.jar.whatever (hauptsache es endet nicht auf .jar)

Oder du verschiebst es einfach, zb nach plugins/disabled/

Habe die E-Mail jetzt auch zum ersten Mal bekommen an kontakt@ für eine Domain die bei netcup liegt, aber keine A-Records hat (Server habe ich bei netcup sowieso keine).

Die kontakt@ Adresse ist auch auf keiner anderen Website erwähnt - die Domain haben die also wahrscheinlich über die LetsEncrypt-Logs und dann einfach mal kontakt@ ausprobiert.

Im Footer der Mail ist lustigerweise eine ganz andere GmbH genannt, ansonsten ist aber überall von netcup die Rede

Quote from GTAzoccer

Auch zu bedenken ist, dass Minecraft nie unter Annahme als root gestartet zu werden entwickelt wurde und somit keinen Privilege-Drop durchführt. Der Prozess/Dienst wird also alle Aufgaben weiterhin als root ausführen.

Und ein Dienst, der alle Netzwerk/User Inputs mit den höchsten Systemprivilegien verarbeitet, ist sicherheitstechnisch eine Katastrophe.

Ja, das natürlich ebenfalls. Meine Antwort bezog sich lediglich auf das "warum ist es kaputt nachdem ich root benutzt habe", nicht auf das "warum grundsätzlich nicht root benutzen um Anwendung XYZ zu starten".

Wenn root Minecraft ausführt, und der Server neue Dateien anlegt, gehören die halt dann ebenfalls root, und nicht dem normalen User.

Am besten jetzt Server stoppen, chown auf das Verzeichnis, und dann geht‘s wieder:

chown -R deinuser: /pfad/zum/mcserver/

„Deinuser“ ist der User unter dem du den Mc-Server normalerweiser startest. (Der Doppelpunkt hinter dem Usernamen bedeutet dass auch die Gruppe gesetzt wird)

Hattest du den Server versehentlich zwischendurch mal als root gestartet?