Beiträge von carfal

In der aktuellen c't ist eine Anleitung für mehrere SSL-Zertifikate pro IP-Adresse unter Apache per SNI enthalten. Dazu wird Apache2 2.2.12 sowie mod_ssl mit der Option TLS_SNI benötigt. Lenny ist leider erst bei Apache 2 2.2.9 und damit ohne TLS_SNI. In der libssl.so des bei Lenny eingesetzten OpenSSL ist SSL_get_servername schon aktiviert, so dass nur der Apache2 neu kompiliert werden muss.
Das ist nicht schwierig, nur wird dieser Apache dann nicht mehr durch die Sicherheitsupdates aktuelle gehalten (oder er wird überschrieben, falls man ihn in das vorherige Apache2 Verzeichnis installiert hat).

Zitat von TobiasH;7435

Hallo,

ich hab vor kurzen meinen vServer mit Debian Lenny und SysCp eingerichtet, ist eigentlich ganz einfach.

Noch einfacher ist es, etch+SysCP zu installieren, /etc/apt/sources.list editieren und dabei das Wort etch mit lenny zu ersetzen und danach apt-get update && apt-get dist-upgrade auszuführen. Dann noch ein paar Pfade in cron anpassen und es läuft.

Und bei dir daheim läuft Tomcat problemlos?

Zitat von killerbees19;5924

btw: Das habe ich auch, und selbst die haben die Scan-Bots bald gefunden, wenn man nicht gerade eine unlogische Zeichenfolge nimmt :o

Meine Inclusiv-Domain benutze ich sowieso nur zur Administration, wenn ich die Verzeichnisse /syscp und /phpmyadmin nur über die Domain erreichbar mache, sollten das nicht allzuviele finden, oder irre ich mich?

Der Grund ist, dass ich die Verzeichnisse umbenannt habe, aber das macht wohl bei einem Update Probleme.

Wie lautet denn die Fehlermeldung?

Ich denke hier könnte dir geholfen werden.

Zitat von Magnetic;5834

More information about this error may be available in the server error log.

Dann schau eben mal im error log.

existiert die subdomain smtp überhaupt?

Ich will mich nicht mit fremden Federn schmücken, das ist aus einem Bericht, bei dem es darum geht, den Neustart des System per Ctrl+Alt+Del zu verhindern. http://www.fedorawiki.de/index.php/Ctrl-Alt-Del

Zitat von sim4000;5620

Mal davon abgesehen, dass es bei den meisten Bots ausreicht, den SSH Port zu verschieben, und nur Login via Private Keys zu erlauben.

Code

<13:27:39> [~] ssh sim4000.de -p xxxxxxxxxxxx




      888888b.   888                   888         vServer        888    
      888  "88b  888                   888                        888    
      888  .88P  888                   888                        888    
      8888888K.  888  .d88b.   .d8888b 88888b.  88888b.   .d88b.  888888 
      888  "Y88b 888 d8P  Y8b d88P"    888 "88b 888 "88b d8P  Y8b 888    
      888    888 888 88888888 888      888  888 888  888 88888888 888    
      888   d88P 888 Y8b.     Y88b.    888  888 888  888 Y8b.     Y88b.  
      8888888P"  888  "Y8888   "Y8888P 888  888 888  888  "Y8888   "Y888 




Permission denied (publickey).

Alles anzeigen

Den Banner finde ich passender:

domain:~# ssh user@domain -p xxxxx
                         oooo$$$$$$$$$$$$ooooo
                      oo$$$$$$$$$$$$$$$$$$$$$$$$o
                   oo$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$o         o$   $$ o$
   o $ oo        o$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$o       $$ $$ $$o$
oo $ $ "$      o$$$$$$$$$    $$$$$$$$$$$$$    $$$$$$$$$o       $$$o$$o$
"$$$$$$o$     o$$$$$$$$$  **  $$$$$$$$$$$  **  $$$$$$$$$$o    $$$$$$$$
  $$$$$$$    $$$$$$$$$$$      $$$$$$$$$$$      $$$$$$$$$$$$$$$$$$$$$$$
  $$$$$$$$$$$$$$$$$$$$$$$    $$$$$$$$$$$$$    $$$$$$$$$$$$$$  """$$$
   "$$$"""$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$     "$$$
    $$$   o$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$     "$$$o
   o$$"   $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$       $$$o
   $$$    $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$" "$$$$$$ooooo$$$$o
  o$$$oooo$$$$$  $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$   o$$$$$$$$$$$$$$$$$
  $$$$$$$$"$$$$   $$$$$$$$$$$$$$$$$$$$$$$        $$$
              $$$o          "$$""$$$$$$""""           o$$$
               $$$$o                 oo             o$$$"
                "$$$$o      o$$$$$$o"$$$$o        o$$$$
                  "$$$$$oo     ""$$$$o$$$$$o   o$$$$""
                     ""$$$$$oooo  "$$$o$$$$$$$$$"""
                        ""$$$$$$$oo $$$$$$$$$$
                                """"$$$$$$$$$$$
                                     $$$$$$$$$
                                      $$$$$
Permission denied (publickey).
domain:~#

Zitat von Netcup-user;5586

Bei mir das selbe... denke dass ich den Server relativ gut abgesichert habe

Das denke ich auch.

Zitat von Netcup-user;5586

(root login brauch ich für winscp)

Wofür denn genau? Ich bezweifle, dass es nötig ist. Müssen die Daten unbedingt gepusht werden oder können sie nicht auch gepullt werden?
1. kann man wenn man als root eingeloggt ist, ja auch die dateien per scp hochladen (es müsste dann lokal ein sshd laufen, welcher nur für die Kopieraktion gestartet werden müsste)
2. läuft lokal ein httpd und man läd vom root-account aus die Dateien per wget herunter. Falls ohne ssl kann man es ja in ein rar-Archiv mit passwort packen.

Zitat von Netcup-user;5586

Pfad zu Phpmyadmin hab ich geändert

Ich habe den Pfad geändert, den Pfad per .htaccess Passwort gesichert und über eine globale RewriteRule wird bei einem http://-Aufruf auf https:// gewechselt und zwar bevor das Passwort abgefragt wird.

Zitat von Netcup-user;5586

ssh port sowieso (ich weiß bringt nicht viel)

Na zumindest die einfachen Scanbots finden den sshd nicht mehr.
Ich habe den rootlogin verboten und einen dummy-user angelegt nach dieser anleitung. Der Dummy-user (der nicht dummy heißen sollte) darf sich nur über einen passwortgeschützen Public Key einloggen.

Zitat von Netcup-user;5586

ist es auch nötig bzw. möglich den syscp ordner umzubenenen?

Ja, es müssen nur die Cronscripte angepasst werden. Desweiteren habe ich den Pfad passwortgeschützt und auch dort wird von http:// auf https:// umgeleitet.

Ich habe per Firewall alle Ports geschlossen,nur http, https, sshd (verschoben) und ftpd (verschoben) sind offen. Ich hoste nur meine privaten domains, die mails gehen an fusemail darum brauch ich keinen smtp, die domains sind bei einem Domainhoster, so dass bind auch nicht von außen erreichbar sein muss. Das svn repository ist nur per https erreichbar und ohne projectname gibt es ein 404. Bei proftpd habe ich nicht die beiden Optionen zur Loginbeschleunigung extra nicht gesetzt, so dass ein Login ca. 10 sec dauert. So kann ich ruhig schlafen.

Zitat von dfroe;1111

Hallo,
ich habe mein Bash-Script nun so weit vervollständig, dass dieses nun endlich was sinnvolles macht.

Eine kleine Verbesserung für das Script:
Einfach http:// durch https:// ersetzen, damit das Passwort nur verschlüsselt übertragen wird.

Naja, wenn man erkennt, dass plötzlich 30GB/h verschickt werden, sollte man vielleicht mal nach dem Server schauen.

mach doch einfach mal ein Backup von deinem System. Dann kannst du wunderbar daran rumbasteln, auch auf lenny updaten. Bei mir hat das problemlos funktioniert, im sticky stehen die paar sachen, die man anpassen muss. Falls es bei dir nicht gehen soll, kannst du einfach das update einspielen und gut ist.

Danke, ich werde mal sehen, was ich damit anfangen werde.

Hallo,
im OVCP kann man ein Traffic-Limit angeben, jedoch steht weder im OVCP noch im Wiki für welchen Zeitraum das Limit gilt. Ich würde ja auf einen Monat tippen, jedoch wäre es praktischer eine kleinere Zeiteinheit zu verwenden um ungewöhnlichen Traffic schneller zu entdecken.

in /root/zugangsdaten.txt stehen die selben Daten, die in der E-Mail stehen. Wenn du als root eingeloggt bist, gib mal

cat /root/zugangsdaten.txt

ein.

Zitat von '[netcup

Externe DNS Einträge sind möglich, kosten jedoch 5 Euro (inkl.MwSt.) pro Änderung, netcup interne DNS Änderungen sind kostenfrei.

D.h. das gilt auch, wenn man den mx Eintrag der Inclusivdomain ändern lassen möchte?

Zitat von killerbees19;5436

Das ist mir vorhin nicht aufgefallen, aber du vergleichst hier den HTTP_HOST, da hat der Verzeichnisname dahinter nichts zu suchen. HTTP_HOST ist nur die Domain, die angefordert wird. Das kann nicht funktionieren. Da musst du etwas anderes für den Vergleich hernehmen: http://httpd.apache.org/docs/2…_rewrite.html#rewritecond

MfG Christian

Oh mann, so weit hab ich nicht gedacht. Die .htaccess gilt ja auch für alle Unterverzeichnisse.
So, diese .htaccess macht genau das, was ich will und zwar - das war mir wichtig - ohne dass es domainspeziefisch ist.

RewriteEngine On
RewriteCond %{HTTP_HOST} !^www\.$ [NC]
RewriteCond %{SERVER_PORT} !=443
RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
RewriteCond %{HTTP_HOST} ^www\.(.+)$ [NC]
RewriteRule ^(.*)$ https://%1%{REQUEST_URI} [R=301,L]

Ja, das steht drin. Hiermit geht es leider nicht.

domain:/var/www/syscp# cat .htaccess
RewriteEngine On
RewriteCond %{HTTP_HOST} ^www\.domain\.de\/syscp$ [NC]
RewriteCond %{HTTP_HOST} ^domain\.de\/syscp$ [NC]
RewriteRule ^(.*)$ https://domain.de/syscp$1 [R=301,L]
domain:/var/www/syscp#

Auch wenn ich die erste RewriteCond mit OR ergänze, klappt es nicht:

RewriteCond %{HTTP_HOST} ^www\.domain\.de\/syscp$ [NC,OR]

Ich mache ein rewrite und will zusätzlich noch ein auth machen.
Da das ganze unter /var/kunden/webs klappt, gehe ich davon aus, dass die Module schon richtig funktionieren. Ich lasse dort www.domainname.tld auf domainname.tdl umschreiben. Für /var/www will ich die syscp- und phpadminverzeichnisse jeweils auf https umschreiben.

RewriteCond %{HTTP_HOST} ^www\.domain\.de\/syscp$ [NC]
RewriteRule ^(.*)$ https://domain.de/syscp$1 [R=301,L]
RewriteCond %{HTTP_HOST} ^domain\.de\/syscp$ [NC]
RewriteRule ^(.*)$ https://domain.de/syscp$1 [R=301,L]