Posts by m_ueberall

    […] Google und die Forumsuche helfen mir nicht weiter, wahrscheinlich weil mir das Fachvokabular fehlt.

    Ich habe im Nachfolgenden mal ein paar weiterführende Links/Stichworte zum Thema aufgeführt. Einführender Linktip: Digitale Signatur (Wikipedia)

    Konkret geht es darum, dass ich ein Webhosting 2000 de a1 bei Netcup betreibe. Darüber laufen meine Emails mit einer eigenen Domain […] und eine Nextcloud Instanz mit Rainloop als Webmailer. Nun möchte ich allen Emails, die von meiner Domain DOMAIN.tld [(richtig!)] versendet werden, ein Zertifikat anhängen lassen. Dies soll serverseitig geschehen und damit nicht clientabhängig sein, da ich und andere Nutzer von verschiedensten Clients auf die Mails zugreifen (mobil per Android-App, mit MS Outlook und per Nextcloud Rainloop).

    Rainloop ist ein Webmailer, den ich selbst nicht verwende, welcher aber laut GitHub-Diskussionen/-Issues offensichtlich einigen Einschränkungen unterworfen ist, was die Signierung von E-Mails (siehe unten) anbelangt. Android-Apps und Outlook (das sind eigenständige Mail-User-Agenten, kurz MUAs) greifen in der Regel nicht auf einen Webmailer (auch nichts anderes als ein MUA!) zu, sondern nutzen direkt die (untengenannten) Protokolle (SMTP(S)/IMAP(S)).


    Um eine einheitliche Abdeckung aller dieser Clients zu gewährleisten, ist es erforderlich, einen Proxy – üblicherweise in Form eines Mail-Transfer-Agenten (MTA) wie beispielsweise Postfix – zu betreiben, welcher die Mails über alle verwendeten Protokolle und Ports(!) entgegennimmt und eigenständig signiert, und das kann ein Webhosting in der Regel nicht leisten (selbst wenn man scriptbasiert entsprechende Ports bedienen könnte, ist das unter den Einschränkungen, welchen Webhosting-Angebote bzgl. laufender Prozesse unterliegen, wirklich nicht praktikabel), weswegen – wie unten im dritten Absatz des Ausgangspostings erwähnt – in der Regel eben auch keine Möglichkeiten der Portverwaltung existieren.

    In der Email-Verwaltungs-Umgebung, die ich aus dem CCP heraus erreiche, ist zwar ein Dropdown-Menü für SSL-Zertifikate vorhanden, der einzige Eintrag hier ist jedoch "Zertifikat auswählen" resp. "keines vorhanden".


    Wichtig ist mir auch, dass es sich nicht um eine Verschlüsselung á la S/MIME handelt. Diese Dateien kann ja niemand öffnen, der das nicht auch installiert hat (führt regelmäßig zur Verzweifelung, wenn mein Vater Emails mit S/MIME Verschlüsselung sendet). Mir würde ein einfaches Zertifikat genügen.


    Gern würde ich jedoch auch von IMAPS / SMTPS (habe ich hier im Forum entdeckt) Gebrauch machen. Das scheint ja eine Verschlüsselung á la HTTPS zu sein. Jedoch finde ich keinen Ort, wo ich die für die Mail serverseitig hinterlegten Ports einsehen und ggf. anpassen kann (von SMTP 25 auf z.B. SMTP 4xx).

    Bei den für HTTPS verwendeten SSL-Zertifikaten (historische Bezeichnung, eigentlich spricht man heutzutage korrekterweise von TLS-Zertifikaten – Abkürzung für Transport Layer Security) handelt es sich, wie aus dem Akronym ersichtlich – analog zu "durch das S(ecure) in IMAPS/SMTPS ausgewiesen" – um eine Transportverschlüsselung, welche zunächst mit dem gewünschten Ziel, die E-Mail (bzw. genauer: ihren Inhalt) zu signieren, nichts zu tun hat.


    Mit S/MIME oder PGP-Zertifikaten (siehe ersten Wikipedia-Link oben) hat man die Wahl, ob man den Inhalt "nur" signieren oder verschlüsseln will, unabhängig davon, ob man diese Mails dann über eine un- oder eine TLS-abgesicherte Verbindung über einen Webmailer/Mail Delivery Agent (MDA) (bspw. Dovecot) an den zuständigen MTA übermittelt.

    (Theoretisch ist mit einem Proxy auch "in Rückrichtung" die automatische Validierung/Entschlüsselung machbar, aber dafür verwendet man Proxies "eher selten" wegen der damit verbundenen Aushebelung der "Ende-zu-Ende-Kommunikationsabsicherung".)

    Sind beim Installieren eines Images tatsächlich alle Daten auf der Platte weg oder wird nur der benötigte Speicherplatz überschrieben?

    Könnte man mit einem Recoverytool da noch was finden?

    Nicht dass es in diesem speziellen Fall einen Rolle spielen würde, aber ich wie ist das ganz allgemein?

    Gute Frage… Entweder am genannten Objekt direkt mal austesten (Platte mit Muster vollschreiben, Minimalimage installieren und sehen, wieviel noch vom Muster ausgelesen werden kann) oder beim Support nachfragen? :)

    Weil ich es gerade im längsten Thema angesprochen hatte – gegebenfalls wäre es sinnvoll (hatte ich aus den Screenshots/der Erklärung unter "Inhaberwechsel" im Wiki bislang so nicht entnehmen können), dass der vorherige Besitzer im Rahmen der Übergabe eine automatische Löschung anstoßen kann oder alternativ durch explizite Bestätigung ("Ja, ich habe nichts zu verbergen") der Übernahme aller Daten auf den virtuellen Platten zustimmt.


    Ich könnte mir vorstellen, dass das ein ums andere Mal doch vergessen wird… und für Gewerbetreibende kann das dank Benachrichtigungspflicht (vgl. Artikel 33 der DSGVO) schnell teuer werden, wenn beispielsweise Kundendaten involviert sind!

    […] Vielleicht könnte es ja dann interessant sein, eine eigene (private) Instanz von https://openbuildservice.org/ zu betreiben.

    Softwareseitig (bis auf ein paar… äh… wenige Wünsche auf einer TODO/Feature-Creep-Liste) ist alles abgedeckt, es geht mir wirklich nur um die Eruierung, wie sinnvoll es ist, frühzeitig ARM64-Hardware auch zu Testzwecken während der lokalen Paketentwicklung einzusetzen.

    Was fehlt dir am CrossCompiling? Du kannst doch ARM Executables auf x64 builden und linken, so auch Pakete?

    […] Hier haben sie auch einige Tipps und Empfehlungen zum Thema "Cross Architecture Builds": https://speakerdeck.com/openbu…uild-service-cross-builds

    Der "Bau" der Pakete ist nur die eine Hälfte der Medaille, eine Testinstallation (und ggf. paketspezifische automatisierte Vergleichstests von Konfigurationen zwischen verschiedenen Architekturen, sofern verfügbar) ist ebenfalls erforderlich, bevor die Pakete "veröffentlicht" werden können. Somit kommt man an qemu oder spezifischer Hardware "eh'" nicht vorbei.


    (Im Optimalfall würde das alles in einer Containerinstanz ablaufen, die in irgendeinem LXD-Cluster liegt, aber das erlaubt binfmt derzeit noch nicht. ;()

    Müssen die Pakete lokal gebaut werden?

    Guter Punkt, genau das ist tatsächlich der Fall (was eigentlich "Cloud"-basierte Angebote ausschließt, aber zum Vergleich interessieren mich da schon Erfahrungswerte). Bei den Paketen handelt es sich nicht (nur) um Rebuilds öffentlich verfügbarer Software und sie werden ohne Ausnahme auch im Rahmen des Prozesses bei Erstellung signiert (insbesondere auch die .deb-Archive selbst). Die verwendeten Schlüssel und Scripts sollen "das Haus nicht verlassen".

    Verwendet hier jemand pbuilder und/oder mock zur Paketierung von Linux-Paketen auf ARM64-Hardware? Mich würden Links bzw. Erfahrungen und Benchmarks/geeignete Gerätekonfigurationen (Raspberry/"NUCs"/Cloud-Angebote) interessieren, nachdem die binfmt+qemu/kvm-Kombination in LXD-Containern leider arg zu wünschen übrig lässt und "ganze" VMs (virt-manager+qemu/kvm) für eine simulierte Fremdarchitektur doch mit einem gewissen Overhead daherkommen.

    süß :)

    das ist wahrscheinlich f. nginx, f. Apache würd es so aussehen:

    Bitte RFC6648 ("Deprecating the 'X-' Prefix and Similar Constructs in Application Protocols") beherzigen! Und Postfix nicht vergessen (die entsprechenden Felder sind natürlich für DKIM zu berücksichtigen)!

    Mal so ne Frage - gegeben des Falls, man meint, ein Galeracluster mit mehreren MariaDBs betreiben zu müssen - das machen hier ja einige...


    Wie realisiert ihr das, dass eure Anwendung immer die "richtige" DB anspricht? Ein DNS Name mit zwei IPs dahinter? Oder ein DNS Name, der irgendwie durchs Monitoring auf eine andere IP Adresse umgeschalten wird, wenn ein Server "verreckt"? :/

    Dazu verwendet man in der Regel einen Proxy auf der Client-Seite, beispielsweise MaxScale aus demselben Hause …