In der aktuellen c't ist eine Anleitung für mehrere SSL-Zertifikate pro IP-Adresse unter Apache per SNI enthalten. Dazu wird Apache2 2.2.12 sowie mod_ssl mit der Option TLS_SNI benötigt. Lenny ist leider erst bei Apache 2 2.2.9 und damit ohne TLS_SNI. In der libssl.so des bei Lenny eingesetzten OpenSSL ist SSL_get_servername schon aktiviert, so dass nur der Apache2 neu kompiliert werden muss.
Das ist nicht schwierig, nur wird dieser Apache dann nicht mehr durch die Sicherheitsupdates aktuelle gehalten (oder er wird überschrieben, falls man ihn in das vorherige Apache2 Verzeichnis installiert hat).
Beiträge von carfal
-
-
Zitat von TobiasH;7435
Hallo,
ich hab vor kurzen meinen vServer mit Debian Lenny und SysCp eingerichtet, ist eigentlich ganz einfach.
Noch einfacher ist es, etch+SysCP zu installieren, /etc/apt/sources.list editieren und dabei das Wort etch mit lenny zu ersetzen und danach apt-get update && apt-get dist-upgrade auszuführen. Dann noch ein paar Pfade in cron anpassen und es läuft.
-
Und bei dir daheim läuft Tomcat problemlos?
-
Zitat von killerbees19;5924
btw: Das habe ich auch, und selbst die haben die Scan-Bots bald gefunden, wenn man nicht gerade eine unlogische Zeichenfolge nimmt :oMeine Inclusiv-Domain benutze ich sowieso nur zur Administration, wenn ich die Verzeichnisse /syscp und /phpmyadmin nur über die Domain erreichbar mache, sollten das nicht allzuviele finden, oder irre ich mich?
Der Grund ist, dass ich die Verzeichnisse umbenannt habe, aber das macht wohl bei einem Update Probleme.
-
-
Zitat von Magnetic;5834
More information about this error may be available in the server error log.
Dann schau eben mal im error log.
-
-
Ich will mich nicht mit fremden Federn schmücken, das ist aus einem Bericht, bei dem es darum geht, den Neustart des System per Ctrl+Alt+Del zu verhindern. http://www.fedorawiki.de/index.php/Ctrl-Alt-Del
-
Zitat von sim4000;5620
Mal davon abgesehen, dass es bei den meisten Bots ausreicht, den SSH Port zu verschieben, und nur Login via Private Keys zu erlauben.
Code
Alles anzeigen<13:27:39> [~] ssh sim4000.de -p xxxxxxxxxxxx 888888b. 888 888 vServer 888 888 "88b 888 888 888 888 .88P 888 888 888 8888888K. 888 .d88b. .d8888b 88888b. 88888b. .d88b. 888888 888 "Y88b 888 d8P Y8b d88P" 888 "88b 888 "88b d8P Y8b 888 888 888 888 88888888 888 888 888 888 888 88888888 888 888 d88P 888 Y8b. Y88b. 888 888 888 888 Y8b. Y88b. 8888888P" 888 "Y8888 "Y8888P 888 888 888 888 "Y8888 "Y888 Permission denied (publickey).
Den Banner finde ich passender:
Code
Alles anzeigendomain:~# ssh user@domain -p xxxxx oooo$$$$$$$$$$$$ooooo oo$$$$$$$$$$$$$$$$$$$$$$$$o oo$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$o o$ $$ o$ o $ oo o$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$o $$ $$ $$o$ oo $ $ "$ o$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$o $$$o$$o$ "$$$$$$o$ o$$$$$$$$$ ** $$$$$$$$$$$ ** $$$$$$$$$$o $$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$ """$$$ "$$$"""$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ "$$$ $$$ o$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ "$$$o o$$" $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ $$$o $$$ $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$" "$$$$$$ooooo$$$$o o$$$oooo$$$$$ $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ o$$$$$$$$$$$$$$$$$ $$$$$$$$"$$$$ $$$$$$$$$$$$$$$$$$$$$$$ $$$ $$$o "$$""$$$$$$"""" o$$$ $$$$o oo o$$$" "$$$$o o$$$$$$o"$$$$o o$$$$ "$$$$$oo ""$$$$o$$$$$o o$$$$"" ""$$$$$oooo "$$$o$$$$$$$$$""" ""$$$$$$$oo $$$$$$$$$$ """"$$$$$$$$$$$ $$$$$$$$$ $$$$$ Permission denied (publickey). domain:~#
-
Zitat von Netcup-user;5586
Bei mir das selbe... denke dass ich den Server relativ gut abgesichert habe
Das denke ich auch.
Zitat von Netcup-user;5586
(root login brauch ich für winscp)
Wofür denn genau? Ich bezweifle, dass es nötig ist. Müssen die Daten unbedingt gepusht werden oder können sie nicht auch gepullt werden?
1. kann man wenn man als root eingeloggt ist, ja auch die dateien per scp hochladen (es müsste dann lokal ein sshd laufen, welcher nur für die Kopieraktion gestartet werden müsste)
2. läuft lokal ein httpd und man läd vom root-account aus die Dateien per wget herunter. Falls ohne ssl kann man es ja in ein rar-Archiv mit passwort packen.Zitat von Netcup-user;5586Pfad zu Phpmyadmin hab ich geändert
Ich habe den Pfad geändert, den Pfad per .htaccess Passwort gesichert und über eine globale RewriteRule wird bei einem http://-Aufruf auf https:// gewechselt und zwar bevor das Passwort abgefragt wird.Zitat von Netcup-user;5586ssh port sowieso (ich weiß bringt nicht viel)
Na zumindest die einfachen Scanbots finden den sshd nicht mehr.
Ich habe den rootlogin verboten und einen dummy-user angelegt nach dieser anleitung. Der Dummy-user (der nicht dummy heißen sollte) darf sich nur über einen passwortgeschützen Public Key einloggen.Zitat von Netcup-user;5586ist es auch nötig bzw. möglich den syscp ordner umzubenenen?
Ja, es müssen nur die Cronscripte angepasst werden. Desweiteren habe ich den Pfad passwortgeschützt und auch dort wird von http:// auf https:// umgeleitet.Ich habe per Firewall alle Ports geschlossen,nur http, https, sshd (verschoben) und ftpd (verschoben) sind offen. Ich hoste nur meine privaten domains, die mails gehen an fusemail darum brauch ich keinen smtp, die domains sind bei einem Domainhoster, so dass bind auch nicht von außen erreichbar sein muss. Das svn repository ist nur per https erreichbar und ohne projectname gibt es ein 404. Bei proftpd habe ich nicht die beiden Optionen zur Loginbeschleunigung extra nicht gesetzt, so dass ein Login ca. 10 sec dauert. So kann ich ruhig schlafen.
-
Zitat von dfroe;1111
Hallo,
ich habe mein Bash-Script nun so weit vervollständig, dass dieses nun endlich was sinnvolles macht.Eine kleine Verbesserung für das Script:
Einfach http:// durch https:// ersetzen, damit das Passwort nur verschlüsselt übertragen wird. -
Naja, wenn man erkennt, dass plötzlich 30GB/h verschickt werden, sollte man vielleicht mal nach dem Server schauen.
-
mach doch einfach mal ein Backup von deinem System. Dann kannst du wunderbar daran rumbasteln, auch auf lenny updaten. Bei mir hat das problemlos funktioniert, im sticky stehen die paar sachen, die man anpassen muss. Falls es bei dir nicht gehen soll, kannst du einfach das update einspielen und gut ist.
-
Danke, ich werde mal sehen, was ich damit anfangen werde.
-
Hallo,
im OVCP kann man ein Traffic-Limit angeben, jedoch steht weder im OVCP noch im Wiki für welchen Zeitraum das Limit gilt. Ich würde ja auf einen Monat tippen, jedoch wäre es praktischer eine kleinere Zeiteinheit zu verwenden um ungewöhnlichen Traffic schneller zu entdecken. -
-
Zitat von '[netcup
Externe DNS Einträge sind möglich, kosten jedoch 5 Euro (inkl.MwSt.) pro Änderung, netcup interne DNS Änderungen sind kostenfrei.
D.h. das gilt auch, wenn man den mx Eintrag der Inclusivdomain ändern lassen möchte?
-
Zitat von killerbees19;5436
Das ist mir vorhin nicht aufgefallen, aber du vergleichst hier den HTTP_HOST, da hat der Verzeichnisname dahinter nichts zu suchen. HTTP_HOST ist nur die Domain, die angefordert wird. Das kann nicht funktionieren. Da musst du etwas anderes für den Vergleich hernehmen: http://httpd.apache.org/docs/2…_rewrite.html#rewritecond
MfG Christian
Oh mann, so weit hab ich nicht gedacht. Die .htaccess gilt ja auch für alle Unterverzeichnisse.
So, diese .htaccess macht genau das, was ich will und zwar - das war mir wichtig - ohne dass es domainspeziefisch ist. -
Ja, das steht drin. Hiermit geht es leider nicht.
Apache Configurationdomain:/var/www/syscp# cat .htaccess RewriteEngine On RewriteCond %{HTTP_HOST} ^www\.domain\.de\/syscp$ [NC] RewriteCond %{HTTP_HOST} ^domain\.de\/syscp$ [NC] RewriteRule ^(.*)$ https://domain.de/syscp$1 [R=301,L] domain:/var/www/syscp#
Auch wenn ich die erste RewriteCond mit OR ergänze, klappt es nicht:
-
Ich mache ein rewrite und will zusätzlich noch ein auth machen.
Da das ganze unter /var/kunden/webs klappt, gehe ich davon aus, dass die Module schon richtig funktionieren. Ich lasse dort www.domainname.tld auf domainname.tdl umschreiben. Für /var/www will ich die syscp- und phpadminverzeichnisse jeweils auf https umschreiben.