Beiträge von tab

Zitat von Virinum

Der blaue Anbieter aus Montabaur stellt die alten VPS auf eine neue Plattform um.

U.a. ergeben sich dadurch folgende Änderungen:

• Bestehende IPv6-Adressen werden durch neue ersetzt und Reverse DNS ist für IPv6 nicht mehr verfügbar.
• Einige Funktionen wie das Erstellen von Snapshots, das Upgraden von Tarifen oder die Verwendung von Monitoring werden nicht mehr verfügbar sein.

Der VPS ist zwar eh schon seit ein paar Monaten ausgeschaltet, aber das nehme ich mal als Anlass ihn endgültig zu kündigen.

Das ist dann wohl das System, das sie bei Strota im Betatest fahren. Dass deren Server vom blauen Bruder kommen ist kein Geheimnis, Dateien in der cloud-init Konfiguration haben da teils eindeutige Namen. Nur kosten sie da weniger. Aber beim Thema IPv6 ist das dort identisch, da gibts auch kein Reverse-DNS. Deswegen benutze ich die zugewiesene IPv6 Adresse bei meinem Mailserver erst gar nicht. Wäre natürlich auch anders lösbar, aber beim Mailserver kann ich aus Gründen ganz gut auf per IPv6 übermittelte Mails verzichten. Da reicht mir schon IPv4, habe momentan eh mal wieder etwa 3700 IPv4s im fail2ban Postfix-Jail. Die aktuelle Attacke läuft jetzt schon seit Februar.

Hmm, jail ist eigentlich eine ziemlich unpassende Bezeichnung dafür, die einem anfangs etwas suggeriert, was nicht der Fall ist. Die IP ist ja nicht etwa im Knast gefangen und muss da untätig vor sich hin schmoren, sondern sie kann ihr Glück einfach woanders probieren. Sie ist also nicht eingesperrt, sondern allenfalls ausgesperrt. Ok, ist wie beim Affengehege im Zoo natürlich immer eine Frage der Perspektive .

Zitat von Irrwisch

Ich weiß ja nicht, alle Quellen die ich dazu finde sehen vor allem den Ausweis als besonders schützenswert an und E-Mail als problematisch z.B.

https://www.baden-wuerttemberg…uchen-nach-art-15-ds-gvo/

Hier geht es aber um die Identitätsfeststellung bei elektronischen Auskunftsersuchen also schon ein etwas anderer Fall.

Du hast natürlich vollkommen recht.

Das stimmt, den Datenschutzbeauftragten zu kontaktieren wäre für Betroffene sicherlich der sinnvollste Schritt.

Als zufriedener Kunde seit Vor-DSGVO Zeiten kann ich dazu noch sagen, das ich weder per Mail noch per Upload eine Ausweiskopie gesendet hätte zur Accounterstellung, das ist mir noch nirgendwo passiert bisher. Dann wäre ich woanders Kunde.

Alles anzeigen

Das sieht man ja das eigentliche Problem, das Verfahren wird von den Kunden als überzogen betrachtet und zu einem großen Teil nicht akzeptiert. Zu dem großen Teil gehörst du laut deinen letzten zwei Sätzen dazu. Die Sicherheit der Datenübertragung mag auch ein Problem sein, eine Verbesserung der Sicherheit würde die Akzeptanz aber sehr wahrscheinlich nur marginal erhöhen.

Zitat von aRaphael

Dafür hat man dann mit TB das Problem, dass es inzwischen fast unmöglich ist ein O365-Konto einzubinden.

Isch abe gar kein O365-Konto!

Also mal ganz ehrlich gesagt, ich würde das dem Kunden jetzt auch nicht mehr empfehlen. Und ich bin schon fast froh, dass das an Ostern mit dem Transfer von Domains meines Kunden nicht geklappt hat (rechtzeitig kündigen hätte er die dann schon müssen, ich habe ihn leider nicht darauf hingewiesen und er hat nicht daran gedacht). Mit einem eventuellen Anruf und etwas Verzögerung beim Domaintransfer hatte ich ja gerechnet. Aber wenn ich mir vorstelle, was da nach so einer Nummer los gewesen wäre, dann lasse ich das besser. Der würde mich ans Kreuz nageln! Naja, so schlimm wäre es dann auch wieder nicht, aber jedenfalls würde ich einiges zu hören bekommen und netcup Kunde würde er so ganz sicher nicht werden. Soll er mal lieber weiterhin einen Hunni pro Jahr mehr bezahlen für seine Domains oder wir finden eine akzeptable Alternative, wo ich nicht mit so einer Prozedur rechnen muss. Jetzt haben wir ja wieder ein knappes Jahr Zeit darüber nachzudenken, was mit den Domains geschehen soll .

Naja, schaun mer mal, ich erzähle ihm die Geschichte mal beiläufig und schaue, wie er darauf reagiert .

Solange ein geschwärztes Bild beim Ausweis akzeptiert wird, kann man damit ja einen gestohlenen Ausweis eh nicht ausschliessen.

Leicht verzögert eben...

Zitat von KB19

Beim roten H wollten sie damals eine Ausweiskopie haben. Die haben sie auch bekommen, mit vielen Details geschwärzt, also z.B. ohne Foto und Unterschrift. War für die absolut kein Problem...

Das war übrigens der einzige Anbieter in knapp 15 Jahren, der so etwas von mir haben wollte.

Beim roten H war bei mir wie geschrieben kein Ausweis oder Telefonat erforderlich. Habe da aber als erstes Produkt nur eine Storage-Box bestellt. Server und Webhosting habe ich da auch immer noch keine, nur ein zusätzliches Storage Share. Und alles läuft per Vorkasse/Guthabenkonto.

Es ist halt m.E. auch eine Frage der Verhältnismäßigkeit. Ich weiss es nicht, aber ich kann es nicht glauben, dass es hierzu irgendwelche gesetzlichen Vorschriften gibt, die eine solche Verifizierung per offiziellem Dokument zwingend notwendig machen. Nicht etwa, dass ich das in unserem sowieso überregulierten Land nicht für möglich hielte, aber ich habe in den letzten zwei Jahren bei diversen Hostinganbietern Kundenkonten angelegt, ohne irgendeine Verifizierung außer der Bestätigung der E-Mail-Adresse durch Klicken auf einen in der Mail enthaltenen Link und eben Vorkasse - zumindest beim ersten bestellten Produkt. Unter anderem beim roten H, Strota und der Mailbox aus Berlin. Das mit der Vorkasse gilt ja hier bei netcup auch.

Ich selbst habe damals einen Anruf auf meiner im Kundenkonto hinterlegten Telefonnummer bekommen, einen Ausweis oder sonstige amtliche Dokumente musste ich nicht vorweisen. Die Eröffnung meines Kundenkontos bei netcup ist aber auch schon ein paar Jahre her.

Zitat von Bud

RS waren glaube ich 3 %, oder? Gibt es eigentlich Angaben zum geduldetem Steal eines VPS?

<50%?

Zitat von Paul

Steht dein ARM 2000 in Wien oder Nürnberg? Interessanterweise habe ich mit meinem neuen ARM 2000 ähnliche Beobachtungen gemacht. Gefühlt laden die Seite nicht merklich schneller und irgendwie wirkt alles etwas träge ohne es genau greifen zu können. Ok, der Steal ist recht konstant bei ~2%. Aber darauf alleine will ich es nicht schieben.

Steht in Nürnberg. 2% Steal sind ja eigentlich für einen VPS unerheblich, die wären sogar bei einem RS zulässig. Womit hast du deinen verglichen? Mit einem RS G9.5? Auch da wären die Cores merklch schneller und die IO erheblich schneller (außer bei 4K). Ich hätte noch eine ganz vage Vermutung, dass es eventuell mit der ARM CPU irgendwie zusammenhängt, also nicht nur Hardware/Architektur, sondern auch wie gut die für PHP verwendeten Compiler sind usw. aber um das sicher zu verifizieren oder auszuschliessen fehlt mir derzeit noch zuviel Wissen. Die GB 6 Ergebnisse sollten das aber eigentlich auch schon beinhalten.

Schneller ist natürlich immer besser. Ab wann die IO zum Flaschenhals wird, kann man wohl nicht pauschal sagen. Werden die Seiten aus einem effektiven Cache ausgeliefert oder werden sie bei jedem Aufruf neu per PHP erzeugt? Ist open_basedir aktiviert (und damit der realpath-Cache deaktiviert)? Wie schnell ist der Core? Wie schnell ist die Netzwerkverbindung? Und und und ... Je nachdem wird die IO eben ab einem anderen Wert zum Flaschenhals.

Habe gestern Abend einige Erfahrungen sammeln dürfen, die auch hier reinspielen und über die ich erst mal nachdenken muss. Eine (aus Gründen) nicht gecachete Website habe ich auf unterschiedlichen Hostings und Servern mal durch Lighthouse gejagt und mir die Zeit für das Stammdokument angeschaut, das also bei jedem Aufruf neu berechnet wurde. Mit Abstand am schnellsten war der VC1-1 (120ms) , deutlich schneller als der ARM 2000 (320ms). Hmmm. Naja, der Core ist halt einfach schneller, YABS Singlecore ca 1400 vs 1100. Das allein reicht dafür aber wohl noch nicht. Ok... Netzwerkanbindung? Die IO ist es jedenfalls nicht, das verfügbare RAM auch nicht. open_basedir bei beiden inaktiv. Ich fürchte, damit hat der VC6-16 ein paar Pluspunkte dazugewonnen im Vergleich zum ARM 2000, der ihn eigentlich ersetzen soll. Das muss ich mir jetzt erst mal irgendwie schönreden

Irgendwo hier im Forum gab es mal einen uralten Beitrag, worin zumindest eine mögliche Lösung beschrieben wird. Gehört aber schon ins Help Center, da stimme ich dir zu. Man könnte natürlich auch argumentieren, dass wer das nicht schafft besser sowieso keinen unmanaged Server haben sollte.

Zitat von pluto

Kann ich das irgendwo explizit einstellen, dass ein Applikations-Ban auch einen SSH-Ban zur Folge hat?

Danke!

Kann man einstellen für die Jails bei fail2ban, Stichwort action / banaction.

Zitat von p3nnyman

Und wie löst du das mit dem abgebrannten Mail Provider in einer Stunde?

Die Domain ist ja nicht da registriert und auch der authoritative Nameserver steht nicht bei denen. MX-Einträge ändern und schon kommt die Mail auf einen meiner Server. Ich muss dann natürlich hoffen, dass der netcup Mail-Account ncht bei den Telekomikern beheimatet ist, damit die DNS-Änderung halbwegs zeitnah registriert wird.

Zitat von p3nnyman

Ich habe keine Phishing-Mails erhalten.

Hatte es auch erst im Authenticator auf dem Handy hinzugefügt, dann aber doch wieder über Mail laufen lassen.
Bei mir geht schon soviel über 2FA. Da sind meine größten Bedenken, dass die Kinder mein Handy schrotten und ich sämtliche Onlinekonten-Zugriffe verliere.
Das ist nämlich mein absolut größtes Worst-Case Szenario (neben Handy irgendwo vergessen oder klauen lassen).

Ja, das ging mir auch so, hängt dann halt alles erst mal an meinem 4 Jahre alten Smartphone. Jetzt bekomme ich halt wieder Tokens zugeschickt, da hängt es nur an der E-Mail Adresse. (Edit: Phishing Mails habe ich allerdings reichlich bekommen) Wenn die grüne Mailbox, wo mein im Kundenkonto angegebenes Postfach liegt, heute Nacht abbrennt (was ich nicht hoffen will), dann habe ich natürlich auch ein Problem. Aber das könnte ich in recht kurzer Zeit lösen, mehr als eine Stunde würde es wohl nicht dauern. Eher weniger, auch komplett ohne Unterstützung durch den netcup.Support. Selbst wenn sie mir im Urlaub das Smartphone klauen, was angesichts des uralten Dings eher unwahrscheinlich ist, könnte ich mich mmer noch von jedem Rechner oder Smartphone mit Internetverbindung am CCP anmelden.

Zitat von KB19

60-stelliges Passwort im CCP: "Das Passwort muss mindestens 1 Sonderzeichen haben."

Ohne (mindestens!) 5FA ist das sowieso alles unsicher.

Ich kann mich nur wiederholen, Zusätzliches Postfach auf einem anderen Server anlegen und MX entsprechend ändern. Dann den Code nochmal senden lassen. Falls dir das nicht möglich ist mangels eines anderen Servers kann ich dir gern anbieten, dir einen temporären Account auf einem meiner Server anzulegen, wo du dann ein Postfach anlegen kannst. Das löschst du dann wieder, nachdem du den Code empfangen und damit eventuell eine alternative E-Mail Adresse bei LinkedIn angegeben hast, die keine Probleme mit deren Mails hat. Oder melde es dem Support. Die sollten ja wissen, was sie verwenden und ggf auch feststellen können, ob deine Mails von LinkedIn geblockt wurden.

Kannst du beim Erstellen des LE Zertifikats gleich mit machen lassen. Erste und dritte (letzte) Option auswählen. Sprich, alle außer Wildcard.

Zitat von Pacmess

Es ist wohl eine Inklusivdomain, denn in der Verwaltung ist keine Änderung möglich.

Ich habe jetzt den Rat von tab befolgt und die Standard DNS-Einstellungen aktiviert.

Dadurch haben sich die DNS-Einträge von 9 auf 13 erhöht, wobei der Letzte namens "webmail"

noch die alte DNS-Adresse enthält. Ist das ein Überbleibsel des alten Paketes, kann ich den löschen?

Jetzt muss ich wohl noch ein wenig warten, bis ich es bei Let's Encrypt erneut probieren kann?

Nein, das ist wohl die Adresse des Webmailservers, der auch für dein altes Webhosting schon gegolten haben dürfte. Ich gehe davon aus, dass es normal ist, dass der sich nicht geändert hat.

Edit: 13 DNS-Einträge ist korrekt, webmail ist normalerweise 46.38.249.153, auch bei mir. Let's Encrypt dürfte funktionieren, sobald die DNS-Einträge gültig sind, ich denke die fragen beim authoritativen Nameserver nach.

Es war jedenfalls mal so, dass ein Teil der Spamerkennung (wohl DNSBL basiert) nicht abschaltbar ist. Ob das noch so ist weiss ich aber nicht sicher.