Posts by FrankM

    Wieviel Festplattenspeicher brauchst du?

    Warum hast du 6-9 Festplatten. Alleine die Festplatten verbrauchen idle 3-5 Watt. Das sind bei dir bis zu 45 Watt. Angenommen du kannst diese vermutlich alten kleinen Festplatten durch zwei Helium 12TB ersetzen, dann sinkt der Verbrauch auf 6 Watt.


    Wieviel RAM brauchst du? 32GB sind bei Servern nicht viel, für eine NAS aber sehr viel. Auch RAM verbraucht ständig sehr viel. Kannst du mit 4GB für ein reines NAS leben, sparst du wieder einige Watt Idle Stromverbrauch ein.


    Welche Rechenleistung benötigst du? Reicht eine Stromspar CPU oder brauchst du Leistung?



    Ich habe seit 3 Jahren eine QNAP TS451 am Laufen, 24/7. Anfangs wollte ich damit sehr viel machen, können diese NAS ja (Webserver, Medienserver, Docker, VM, ...) Mittlerweile ist sie für mich eine reine NAS geworden, auf der aber auch noch ein paar Dienste laufen (Backup auf einen Netcup Server und ein Synchronisationsdienst). Für VM sind sie zu langsam, für Docker zu umständlich, für Webdinge zu unsicher. Daher habe ich noch einen kleinen Server gekauft, der aus Zeitmangel jedoch noch nicht eingerichtet ist.



    Soll heißen, ich finde es mittlerweile sinnvoller, einen reinen Fileserver zu haben und einen echten Server daneben. Der Fileserver kann auch als Backupziel des Servers dienen. Der Fileserver kann sehr stromsparend sein und günstig. Kann sogar einfach ein fertiges NAS sein, von Synology oder QNAP, das zwar etwas mehr kostet, als wenn man es selbst zusammenfrickelt, dafür aber auch wartungsarm ist. Der Fileserver kann 24/7 laufen, somit ideal für nächtliche Backups, automatische Backups in die Cloud, ...


    Eine NAS braucht keine 32GB RAM die ständig Energie verbraten, eine NAS braucht keinen Ryzen oder Intel Core Prozessor der ständig viel Energie verbrät, eine NAS braucht kein Mainboard mit einer hohen Grundlast, ...

    Hat man einen Server für VM, kann man es sich sogar leisten ein NAS mit einem ARM SoC zu kaufen, welche auf NAS-Sein spezialisiert ist, und somit für wenig Geld und wenig Strom 10GbE, hohe Durchsätze, etc. bietet.

    Ich frage mich gerade nach einem möglichen Szenario gegen die einzelnen Sicherheitsmaßnahmen:

    1. Langes Passwort, Wartezeit (Brute-Force unmöglich) und root login

    Das Passwort muss abgefangen werden.

    Möglich durch eine Phishing Attacke, sehr unwahrscheinlich, dass ein Admin so dumm ist.

    Möglich, wenn man sich auf fremden oder öffentlich zugänglichen Geräten einloggt. (Keylogger, bspw. am USB Port)

    Möglich, wenn man auf den Clients keine AV Software hat oder Staatsfeind #1 ist.

    Möglich, wenn man sein PW anderen verrät oder in der Cloud "sichert"


    2. Key-Auth und root

    Der Key und UID muss gestohlen werden.

    Möglich, wenn man sich auf fremden oder öffentlich zugänglichen Geräten einloggt. (Dateien werden kopiert)

    Möglich, wenn man auf den Clients keine AV Software hat oder Staatsfeind #1 ist.


    Pauschal gesagt, beide Fälle 1 und 2 sind ähnlich schlecht, da beides mal unbemerkt der Zugang kopiert werden kann. Fall 2 vielleicht ein bisschen sicherer, da man nicht einfach über die Schulter das PW mitschreiben kann, sofern man überhaupt das PW in aller Öffentlichkeit eingibt. Der Nachteil von 2 ist aber die Bindung ans eigene Gerät, wenn man den Private Key nicht gerade auf einem USB Stick umherspazieren will. Den kann man zwar verschlüsseln, dann sind wir aber wieder bei genau 1.


    3. Key-Auth und sudo

    siehe 2. Wenn derjenige schon in der Lage ist, den private key zu stehlen, dann wird es, denke ich, ein leichtes sein, auch das User Passwort zu stehlen.


    4. 2FA und root.

    Tan Generator muss gestohlen werden. Das fällt auf.

    Vorteil ist, problemlose Anmeldung auf Fremdgeräten und in aller Öffentlichkeit. Kurze Passwörter möglich.

    Nachteil: Gebunden an mich, im Falle eines Todes / Unglücks ausgesperrt?

    Wobei: Ernsthafte Frage: Wie kann ich mich im Falle eines Diebstahls/Defekts des Tan Generators dann noch auf einen Netcup Server bspw. einloggen, um schlimmeres zu verhindern? Nur noch per VNC im SCP mit ganz normalen Passwörtern?


    Weitere Frage: Wenn ich mich sowieso nur daheim einlogge, in meinen sicheren vier Wänden, dann suche ich gerade ernsthafte Vorteile von diesen ganzen weiteren Mechanismen. Ist jemand auf meinem PC und kann viele Tage/Wochen alles mitlesen, dann ist doch alles ausgehebelt. Spätestens, wenn man sich am SCP mal anmeldet.


    Ich bin kein Experte, daher mag auch manches falsch sein, bitte freundlich berichtigen. ;)

    Was treibt euch dazu, eure eigenen Server zu betreiben? Hat jemand von euch seine Server gegen gehostete Dienste getauscht oder umgekehrt? Warum habt ihr das gemacht?

    Datenschutz. Es sind meine Daten und nur meine. Meine Daten gehen andere nichts an.


    Viele Menschen sind zu "dumm" sich selbst um ihre Daten zu kümmern und zu "dumm" zu verstehen, dass es etwas kostet, wenn man seine Daten bei Fremden "sicher" aufbewahren will. Die freuen sich über Office 365, MS Teams, Dropbox, iCloud, Google, Alexa, ... und stellen intimste Details Unbekannten zur Analyse und Auswertung zur Verfügung. Und da geht es nicht um Nacktbilder oder anderes. Ganz gewöhnliche Dinge (aufgenommene Sprache) reichen schon aus, um ein umfängliches Persönlichkeitsprofil vom Menschen zu erstellen.


    Und wenn das Wissen da ist, zumindest einen großen Teil davon (Mails, Kalender, Kontakte, Daten) privat zu verwalten, fern von jeglicher "Cloud", dann wäre es meiner Meinung nach töricht dies nicht zu tun, auch wenn es ein bisschen Mehraufwand bedeutet.

    Bei nicht privaten Dingen (Webseiten), sehe ich hingegen kein Problem, dies nicht selbst auf einem Server zu verwalten.

    - Nicht mehr um Backups kümmern müssen.

    Welcher Clouddienst garantiert dir denn Backups? Netcup zumindest mal nicht:

    Wir sichern regelmäßig auf freiwilliger Basis alle Ihrer Websites, E-Mails und Datenbanken und speichern diese über mehrere Tage. Bei Bedarf und insofern das Backup bei uns verfügbar ist, können Sie kostenpflichtig einen Restore Ihrer Daten beim Support beauftragen.

    Und die meisten anderen auch nicht. Geworben wird zwar damit, dass die Cloud ja so sicher ist, ist aber in vielen Fällen nicht der Fall.

    https://www.heise.de/newsticke…scom-MyCloud-4469056.html

    https://www.heise.de/newsticke…-Musikarchiv-4338737.html

    https://www.heise.de/newsticke…in-der-Cloud-1234444.html

    https://www.heise.de/newsticke…en-bei-Azure-4295224.html

    Dein Problem: Du willst "kostenlose" Dienste nutzen und gleichzeitig Datenschutz. Das funktioniert nicht.


    Quote

    Problem

    Ich nutze iOS, Windows, Spotify, Netflix, Prime und Youtube. Also eigentlich die Standartanbieter.

    Die Großen wissen also wo ich bin, was ich suche, was höre, was ich sehe, was ich bestelle usw.

    Da machst du es dir zu leicht.


    Klar weiß Spotify was du hörst, Netflix was du siehst. Willst du das nicht, musst du eben die Musik und Filme kaufen.

    Prime: Niemand zwingt dich alles bei Amazon zu kaufen. Es gibt andere Anbieter, die mittlerweile meist immer günstiger sind als Amazon, aber eben nicht so bequem ("kostenloser" Versand zur Ausbeutung der Versandunternehmen), wobei, immerhin ist die Wahrscheinlichkeit gefälschte oder nicht in DE zugelassene Ware zu erhalten geringer, wenn man nicht bei Amazon bestellt.

    iOS:

    Quote

    Allerdings sieht Apple eh wo ich bin (Nutze die Ortungsdienste für Wetter usw) und kann so ein Profil erstellen.

    Das ist dann dein Problem. Man kann bei Wetter Apps auch feste Orte einspeichern, dann muss man nicht ständig den Ortungsdienst aktiviert lassen. Stattdessen soll es möglich sein bei Bedarf in den Himmel zu schauen, um zu sehen ob es am aktuellen Standort regnet oder in den nächsten Stunden regnen wird.



    Quote

    Gedachte Lösungen die ich getestet habe

    1. Suche: duckduckgo als Suche getestet und verworfen, die Ergebnisse sind leider nicht gut


    Ich finde die Ergebnisse, leider, mittlerweile teils besser als bei Google, da bei Google die ersten Seiten nur noch auf Google optimierte Werbewebseiten sind.


    Mail/Kalender/Adressbuch

    Du hast ein Webhosting hier? Dann hast du doch ein nicht durchsuchbares E-Mail Postfach.


    Du willst dir keine Arbeit machen, dann buche dir doch die Groupware hier und du hast Mail/Kalender/Adressbuch auf einem deutschen Server, der nicht durchsucht wird.



    In meinen Augen willst du hier eine Bestätigung, dass du nichts machen kannst.

    Siehe deine Argumentation: Whatsapp hat schon meine Kontakte, damit auch Facebook, damit ist es ja auch vollends egal, dass auch die restliche Welt, meine Kalendereinträge, Standortdaten, Mails, ... bekommt.


    Sorry, aber wenn du wollen würdest, könntest du ganz sicher weniger Daten mit den großen Konzernen teilen. Ohne Kompromisse kannst du zwar nicht alles "verbessern", aber immerhin etwas.

    Was ich aussagen wollte ist, dass das "mehr" an Hitze, das du im Sommer aus der Luft entziehen kannst, im DHW Kreis kaum relevant ist, denn am Wasserhahn/in der Dusche/sonstwo hast du ohnehin einen Mischer, um deine gewünschte Wassertemperatur zu erreichen.

    Irgendwie macht es keinen Sinn, was du über Wärmepumpen schreibst.

    1. Man kann aus warmer Luft keine Energie zurückgewinnen. Das ist thermische Energie, die ist weg. Stichwort Entropie.

    2. Man kann aus einer Temperaturdifferenz Energie gewinnen. Stichwort Peltier, Stirling-Motor.

    3. Man kann eine Wärmepumpe nutzen, nicht um Energie zu gewinnen, sondern, unter Energieeintrag, eine größere Termperaturdifferenz herzustellen. Das geht mit einem Peltier-Element oder einem Verdichter (Kühlschrank, Wärmepumpen im Haus)


    Damit das funktioniert wird eine Seite kälter, die andere wärmer. Wenn ich im Sommer also bei sommerlichen Temperaturen Brauchwasser erhitzen will, könnte ich, anstelle eines Durchlauferhitzers, Gastherme oder Ölbrenner, auch eine Wärmepumpe verwenden, die dann die Wärme aus der Luft ins Wasser pumpt und dafür an anderer Stelle kühlt. Ob sich das lohnt ist eine andere Frage. Was das mit dem Mischer an der Dusche zu tun hat? Nichts! Denn desto weniger ich Kaltwasser beimischen muss, desto effizienter ist das ganze, da ich das Brauchwasser weniger stark erwärmen musst.

    Eine Wärmepumpe kann sowohl heizen als auch kühlen, dafür braucht man auch nicht ein doppeltes Außenteil, sie muss nur reversibel sein, aber die Konstruktion ist einzig und allein in der Wärmepumpe selbst. Das Außenteil und Innenteil sind ja sowieso nur Radiatoren.

    Sobald ich den Port verlege, gehts nach 10 min auf dem neuen Port weiter. Fail2ban macht den Rest und es sind aktuell immer so 900 IPs gesperrt.

    Aber ich blocke auch für 10 Tage, und der Angreifer hat eher ein kleines Portfolio an Rechner, aber es nervt trotzdem

    Kannst du dann nicht vielleich einen IP Bereich sperren? Meist haben sie ja eine ähnliche IP.

    Oft wird leider zuviel in einen Post hineininterpretiert, bzw. missverstanden.


    Mein Hinweis, dass ich fail2ban bisher noch nicht nutze, impliziert doch eigentlich schon, dass ich es noch nutzen werde, bisher aber noch nicht implementiert habe. Zusätzlich weiß man dadurch, dass das nicht 1000 individuelle Angriffe sind, sondern eben viele auch von der selben IP kommen können (und dies auch tun), was, meiner Meinung nach, ein wichtiger Hinweis ist.


    Und natürlich schützt ein Umlegen des Ports nur vor den regulären Angriffen des Bots, nicht umsonst schrieb ich "behebt die ganzen Bot Angriffe."

    Wobei auch fail2ban die Angriffe nur ausblendet, nur werden die Regeln eben automatisch dynamisch der Firewall hinzugefügt

    Und natürlich kann ein Bot auch auf einem anderen Port angreifen.

    Und natürlich wird ein Mensch ganz andere Mittel anwenden, um einen Server direkt anzugreifen.


    Aber Logeinträge, die durch 08/15 bots auftauchen, werden dadurch eliminiert.


    Ohne fail2ban, korrekt, kann ein Angreifer so lange probieren wie er will. Korrekt. Wie lange wäre das dann nochmal, bei einem 15 Zeichen Passwort und einem delay von 1s nach jedem Versuch? Ahja, 1.469*10^22 Jahre im worst case fall.


    Und wieder will ich fail2ban, keyfiles, ... nicht weg reden.

    Ich habe zwei vServer mit fast identischer Installation (Groupware, Nextcloud, kein Webhosting).

    Der erste für den produktiven Einsatz, der zweite als Spielwiese, um Dinge auszuprobieren, das Verhalten zu beobachten, ...


    Auf ersterem habe ich den SSH Port umgelegt, auf zweiterem nicht.

    Auf ersterem bekomme ich keinerlei Fremdlogins, auf dem zweiten viele (1000-2000 Versuche pro Tag).


    Fail2ban nutze ich bisher noch nicht. Will sagen: Das simple Verlegen des SSH Ports behebt die ganzen Bot Angriffe.

    Ich bin der Meinung es ist möglich.


    Ein Server für Nextcloud einzurichten geht recht schnell. Es gibt dazu genügend Anleitungen. Auch den Server rudimentär abzusichern geht recht schnell, auch dazu gibt es viele gute Anleitungen, rudimentär, d.h. root Login deaktivieren, iptables einrichten, fail2ban einrichten, Mailnachrichten bei Login, SSH Port verlegen.

    Das kannst du an einem vollen Tag leisten.


    Das reicht den Profis hier nicht aus (monitoring, 2FA, VPN, ...), dann wird es schon komplizierter, über die Notwendigkeit im privaten Umfeld lässt es sich streiten.



    Das Problem ist nur, das reicht eigentlich nicht aus. 1. Du willst Mails darauf, 2. du willst vermutlich noch mehr damit



    Was zumindest ganz sicher noch noch fehlt ist ein Backup, hier brauchst du eine Lösung, da bei einem Ausfall, sei es aufgrund eines Fehlers deinerseits bei der Konfiguration, sei es aufgrund eines Serverausfalls bei Netcup oder eines Hacks, die Daten weg sind. Und da du darüber Mails laufen lassen willst, sind die Daten wichtig! Dies ist dann schon etwas komplizierter, da es zig Lösungen gibt für zig unterschiedliche Szenarien. Du brauchst auf jeden Fall irgendwo einen weiteren Speicher (NAS, Webhosting, weiterer Server) auf dem du die Backups ablegen kannst.


    Nextcloud ist streng genommen nur eine Datencloud. Mit Plugins kannst du es um Kalender etc. erweitern, es hat aber keinen Mailserver wie du dir ebenso wünscht.

    Und nun fängt es, meiner Meinung nach, kompliziert zu werden, da du nun noch einen Mailserver benötigst, das alles mit Nextcloud verknüpft haben willst, und evtl. andere Spielereien noch drin haben willst.



    Ich habe mir im August 2018 meinen ersten vServer bei Netcup bestellt und zig mal neu installiert und eingerichtet, ehe ich im Februar 2019 ihn real nutzen konnte, da ich dann die Gewissheit hatte, dass keine Mails, Kalendereinträge verloren gehen.

    Auch bei mir ist Zeit ein Problem (Kleinkind), teils war er wochenlang ausgeschaltet, da ich nicht dazu gekommen bin. Ich habe mir eine Anleitung in Word zusammengeschrieben bzgl. Neueinrichtung und wa sich wie konfiguriert habe, Umfang 22 Seiten mittlerweile.


    Anfangs habe ich den Weg der hier empfohlen wird versucht, d.h. Debian aufgespielt und alles nach und nach eingerichtet. Das ging recht flott und ich bin auch der Meinung recht schnell sicher. Da ich als Groupware-Lösung aber gerne Kopana nutzen wollte - im Zusammenspiel mit Nextcloud - es Kopana jedoch nur in Nightly Builds in der freien Community Variante für Debian gibt, es ein rießiger Aufwand ist dies korrekt einzurichten und mit Nextcloud zu verknüpfen (meine Meinung), bin ich dann irgendwann den hier nicht empfohlenen Weg gegangen: Einen fertigen umfangreichen Server einzurichten. In meinem Fall UCS Corpoprate Server.


    Das ist auch nicht ohne, den so einzurichten, dass ich ihn ohne schlechtes Gewissen ins Internet stellen kann, da er eben offen wie ein Scheunentor am Anfang ist. Dafür ist es ein leichtes, Nextcloud, Kopano, Collabora oder OnlyOffice, zu installieren, sodass sie gut miteinander arbeiten. Aber auch hier, das meiste geht nur über die Shell, ist wenig dokumentiert und erfordert viel Einarbeit.


    Im Februar 2019 hatte ich es dann so weit, dass ich den vServer mit UCS und Kopano mit funktionierenden Backups nutzen konnte und nun alle Mails, Kalender und Kontakte darüber laufen lasse und meine Geräte darüber synchronisiere. Nextcloud ist zwar auch installiert und funktioniert, aber noch nicht so eingerichtet, wie ich es für meine Bedürfnisse gerne hätte, d.h. ich nutze es noch nicht.


    Soll heißen: Ich denke es ist möglich, ich denke der Aufwand lohnt sich, ich denke aber, du musst ein paar Tage dir frei schaufeln um das umsetzen zu können. Es ist ein Aufwand, du musst dich einarbeiten, denn es ist auch ein Risiko. Wenn es



    Was ich mit meinem vServer machen will: Groupware Kopano (läuft), Datencloud Nextcloud (installiert aber noch nicht voll konfiguriert), Online Office (ToDo), Backup des Servers (eingerichtet), SFTP Zugang um vom NAS die Backups zu holen (eingerichtet), vom NAS Backups auf den Server (eingerichtet), Synchronisationsdienst auf dem Server (ToDo), Projektmanagement (ToDo), iptables, Domainumleitungen, ... (eingerichtet), Sicherheitsfeatures wie keyfile für SSH, fail2ban (ToDo)

    Ich mounte über das SCP die UCS 4.3 iso Image und starte den Server zur Installation von Univention. Ich folge den Schritten und erstelle mit der geführten Partitionierung ein LVM unter Ausnutzung des gesamten Speicherplatzes, wobei ich eine separate Partition für das Home Verzeichnis anlege. Die Installation läuft durch, ohne Probleme. Zum Neustart entferne ich das iso Image, der Bootvorgang hängt jedoch mit "Booting from Hard Disk ..."


    Im SCP unter "Control" befinden sich dann nur noch "Resume" und "Force Poweroff". Ein Resume bringt den Fehler "an error occured".

    Ohne LVM hat es geklaptt zu booten, doch würde ich gerne in Zukunft auch noch zusätzlich die Verschlüsselung nutzen können, daher den LVM.


    Ich habe den VPS Ibiza. Ich würde mich über Hinweise freuen?

    Danke für deine Antwort, mich würde nur noch die Begründung für die Punkte interessieren. Bspw. bei 1., wozu gibt es die Einstellung dann? Bei 2. Wozu ist es dann da?


    zu 4. Ich habe gestern einen CNAME Record von der Subdomain webmail auf webmail01.netcup.net erstellt, funktioniert heute schon problemlos und in der Adressleiste ist nun durchgängig meine Domain zu sehen.


    zu 5. Danke für die ausführliche Antwort und Erklärung, würde mich auch über eine Äußerung von netcup dazu freuen.

    Ich verstehe das Webmail nicht ganz, das Wiki ist in den mir unklaren Punkten leider extrem kurz und unvollständig:

    https://www.netcup-wiki.de/wik…_Panel_Webhosting#Webmail


    Bei mir sehe ich

    netcup_webmail.PNG


    - In den E-Mail Einstellungen zu der Domain kann ich bei Webmail zwischen 'ohne' und 'Webmailserver01' wählen. Was kann ich da genau einstellen. Denn auch mit 'ohne' kann ich mich auf webmail01.netcup.net einloggen.


    - Wofür ist SSL/TLS Zertifikat für Webmail? Ich kann keines auswählen, obwohl ein Let's Encrypt Zertifikat per WCP installiert ist.


    - Gehe ich richtig in der Annahme, dass webmail.netcupmail.de veraltet ist und stattdessen webmail01.netcup.net genutzt werden sollte, da mehr Funktionen und neuer? Steht das irgendwo? Im Wiki habe ich es nicht gefunden.


    - Ich würde gerne von einer Subdomain auf die Mails zugreifen können. Verstehe ich richtig, dass mail.domain.de bereits belegt ist? Aber ich bspw. webmail.domain.de als A record im DNS eintragen könnte, der dann auf webmail01.netcup.net zeigt?


    - Bzgl. dem mail.subdomain.de: Vorweg: Ich kenne mich damit nicht aus! Ich sehe einen MX Eintrag, der auf mail.subdomain.de mit Priorität 10 zeigt. Ich sehe einen zweiten MX Eintrag, der auf mx2f0b.netcup.net zeigt, mit Prio 50. Ich sehe einen A Record mail der auf 188.68.47.11 zeigt. Hinter mx2f0b.netcup.net steckt aber die selbe IP. Die Frage nun: Warum der Umweg über mail.domain.de auf die IP und nicht gleich auf die IP?