Beiträge von m_ueberall

So sieht es normalerweise aus:

root@pbuilder-amd64(debian-bullseye-amd64):/# which apache2ctl
/usr/sbin/apache2ctl
root@pbuilder-amd64(debian-bullseye-amd64):/# dpkg -S /usr/sbin/apache2ctl
apache2: /usr/sbin/apache2ctl
root@pbuilder-amd64(debian-bullseye-amd64):/# dpkg --list apache2
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name           Version          Architecture Description
+++-==============-================-============-=================================
ii  apache2        2.4.54-1~deb11u1 amd64        Apache HTTP Server
root@pbuilder-amd64(debian-bullseye-amd64):/# apt policy apache2
apache2:
  Installed: 2.4.54-1~deb11u1
  Candidate: 2.4.54-1~deb11u1
  Version table:
 *** 2.4.54-1~deb11u1 500
        500 http://ftp.debian.org/debian bullseye/main amd64 Packages
        100 /var/lib/dpkg/status
root@pbuilder-amd64(debian-bullseye-amd64):/# 

Wenn /usr/sbin/apache2ctl nicht gefunden wird, scheint etwas beim Upgrade fehlgeschlagen zu sein. Eine Reinstallation mittels apt --reinstall install apache2 sollte das beheben, allerdings würde ich vorschlagen, mittels dpkg --list | grep -v ^ii zu prüfen, ob da nicht noch (deutlich) mehr im Argen liegt.

Keine der obigen Auswahlen. Eine Kopie jeweils auf das Gerät, welches zur Nutzung herangezogen wird, synchronisiert mit Syncthing. Und darauf achten, dass die Änderungen nicht parallel erfolgen. Synchronisierung ist kein Backup, dieses ist separat zu organisieren!

Zitat von heppel

Gibt es bei den Dedis enen Zugriff auf die Konsole? Z.B. ueber einen BMC (LOM, ILMI, ...)

Da ich meine System gerne grundverschluesselt betreibe, waere das schon hilfreich. Oder wie gebe ich das Passwort bei einem Reboot ein? Wie installiere ich ueberhaupt ein Betriebssytem ohne Konsole?

Naheliegende Stichwörter sind hier "KVM-over-IP" (vgl. anbieterspezifische Dokumentidentifikationsnummer "RO-CC1E1") und "Network Bound Disc Encryption" (NBDE). Letztere Lösung für "Data-at-Rest" funktioniert auch mit virtuellen Maschinen bei Netcup (vergleiche Softwarekombination Clevis und Tang).

Zitat von Mainboarder

muss auch sagen, hpe hat in den letzten 3 jahren extrem nachgelassen.

Wohl leider wahr. Der mindestens 22-jährige USB-Einzugscanner hier funktioniert immer noch ohne größere Macken. Das ist das Äquivalent zu 40-jährigen Kühl­schränken/Herden, die keiner mehr baut …

Zitat von KrisAusEU

Ich habe keine Idee mehr .

Ich nähme ihn notfalls geschenkt …

Zitat von KrisAusEU

Man, das ist aber auch immer Lotterie...

Das letztgenannte Modell hat eine aktuelle Windows-Lizenz und sicherlich Garantie. Wenn die „Grunddimensionierung“ stimmt und der Kaufpreis OK ist, würde ich im Zweifelsfall grundsätzlich zu einem neueren CPU-Modell greifen (flexiblere Taktung, im Zweifelsfall bessere HW-Unterstützung). Im Internet sollten sich Leistungs­vergleiche/-eckdaten bzgl. des Stromverbrauchs finden.

• Bei einem „NAS“ denke ich immer an mehrere Speichermedien/Festplatten–deren Stromverbrauch und die Erweiterungsmöglichkeit (beim letztgenannten Modell als Option, aber nicht im Angebot enthalten–bei „Nonames“ kann man sich totsuchen nach diesen Erweiterungsoptionen) ist natürlich einzupreisen, auch was den Stromverbrauch anbelangt.
• Bei „krummen“ (nicht durch 8 teilbaren) RAM-Größen bin ich immer misstrauisch, ob hier nicht Zugriffsgeschwindigkeit für einen möglichst geringen Kaufpreis geopfert wird. 8-/16GB-Modelle klingen da besser. Auf der Platine verlötete RAM-Chips kann man nicht wechseln, also besser auf Modelle mit zwei DIMM-Slots zurückgreifen!

Andererseits gibt es, wenn man genau weiß, was man will, bisweilen auch gebrauchte Modelle aus Business-Serien, die man u.U. langfristig wiederbeschaffen/durch Nachfolgemodelle ersetzen kann und welche „recht robust“ sind im Betrieb. Deswegen würde ich im Zweifelsfall auch hier zu bekannten Marken greifen, wenn es um den Produktiveinsatz geht.

Der „RS Schlittschuh“ ist fast geeignet, einen „RS 2000 Plus SAS G8“ abzulösen – wenn er nur mindestens vier GB mehr RAM hätte (die 24 GB RAM waren seinerzeit wohl auch der primäre Reiz des Plus-Modells neben dem größeren Festplattenspeicher).

Zitat von KosMos

Für so interne Geschichten würde ich allerdings eine eigene selbstsigniertes CA bevorzugen.

Es gibt hier recht umfangreiche, aber auch komplexe Pakete; wenn man sowieso schon eine eigene Domäne registriert hat, für welche regelmäßig TLS-Zertifikate bei öffentlichen CA angefordert werden, ist es laut eigener Erfahrung deutlich einfacher (und vereinheitlicht Verwaltungsabläufe), wenn man via LetsEncrypt TLS-Zertifikate auch für ein internes VPN verwendet, dem eine Unterdomäne zugeordnet ist. Der zweite „Baustein“ DNS Split Horizon (für die interne IP-Adressen-Auflösung) ist meistens sowieso einfach anzuwenden/aufzusetzen, wenn interne DNS-Server für die Sperrung unerwünschter Zugriffe (Tracking, Werbung) im Einsatz sind.

Zitat von Mikey

Ja leider bringt mir der Swarm recht wenig, wenn alle Server gleichzeitig kein Netzwerk haben. Außerdem routet meine Failover v6 seit 23:15:44 nicht, heißt mein Cluster ist defacto nicht erreichbar. Kann die Failover umhängen, das ändert jedoch nichts an der Erreichbarkeit. Bin gerade echt unzufrieden.

Um so wichtiger wäre es, wenn Netcup zumindest ein Rechenzentrum-übergreifendes VLAN anbieten könnte (zumindest innerhalb desselben Landes). Ohne diese Funktionalität sind Kunden mittel-/langfristig gezwungen, Kapazitäten bei Mitbewerbern einzukaufen und auf Eigen­lösungen zu setzen, denn ausfallsichere Cluster-/Failover-Lösungen bekommen aus verschiedenen Gründen eine immer größere Bedeutung.

Zitat von aRaphael

Der Nachteil von solchen Cloudlösungen ist halt, dass man die Daten potentiell aus der Hand gibt.

Ich lege Backups unabhängig von Ort und Speichermedium grundsätzlich verschlüsselt ab, da man auch im Fall, in dem eine Festplatte/ein LTO-Band zwecks Datenrettung bei physischen Defekten aus der Hand gegeben werden muss (Seagate preist diesen Dienst bei Festplatten der „Ironwolf“-Serie direkt ein), die Daten geschützt wissen will.

Die Verschlüsselung lässt sich mittels rclone wohl auch transparent realisieren (wobei ich hier auf ein „vorgeschaltetes GnuPG“ setze).

Zitat von Valkyrie

Deswegen braucht man auch Backups zusätzlich zu RAID 6 Systemen als Beispiel. Da können so viele Platten flöten gehen und trotzdem läuft es. Aber was wenn der RAID Controller auch noch schmilzt? Auweiah.

Bei einer überschaubaren Anzahl von Festplatten kommt man ohne dedizierten RAID-Controller aus, wenn man einen älteren PC wiederverwendet und auf Software-RAID setzt. Software-RAIDs sind flexibel/sicher (vergleiche RAIDZn, n>0 unter ZFS) und erfordern keine Vorhaltung/kurzfristige Neuanschaffung eines kompatiblen Ersatz-RAID-Controllers (in größeren Systemen werden diese Controller in der Praxis redundant an die Festplatten angebunden).

Stromsparender wird es immer, wenn man das Gerät nicht rund um die Uhr im Betrieb haben muss (bei festgelegten Backup-Intervallen) und/oder man wirklich (etwa in Verbindung mit einer verschlüsselten Kopie „in der Cloud“) nur zwei Platten zur redundanten lokalen Sicherung einsetzt, was den Einsatz von Einplatinenrechnern mit Open-Source-Software als Alternative zu einem „fertigen“ NAS (Hardware-/Software-Kombination) erlaubt, deren Konfiguration wirklich auf die Anforderungen zugeschnitten ist (bedeutet im Vergleich zu einem NAS natürlich einen höheren Zeit-/Konfigurationsaufwand – und man benötigt im Zweifelsfall mehr Wissen um die Konfiguration).

Sofern die Übertragungsgeschwindigkeit stimmt, ist der Einsatz zweier richtig zugeschnittener NAS-Systeme an verschiedenen Orten und/oder die Kombination mit einem Cloudspeicher, der ggf. auch direkt an ein NAS-System gekoppelt werden kann, gar nicht so verkehrt.

Zitat von szapf

Man wird zurückgerufen, zwischen 10 und 18 Uhr. Ich bin zu dieser Zeit nicht zu Hause. Mobil ist die einzige möglichkeit mo-fr.

Sollte das mieten eines vServers für 3 Euro pro Monat wirklich daran scheitern das ich einen Job habe?

Wenn alle anderen Stricke reißen (siehe obige Tipps), würde ich es in der Urlaubszeit probieren mit der Registrierung.

Ich habe zuletzt TLS1.2 Ende Mai 2021 abgeschaltet – vgl. https://ssl-config.mozilla.org/ (Modern Mozilla Configuration) und https://caniuse.com/tls1-3 …

Zitat von aRaphael

"goto"! Er hat "goto" gesagt.

Edsger Dijkstra rotiert im Grab!

Zitat von mainziman

(a) if ( !isSecureEnough( password, username ) )

(b) if ( !isSecureEnough( password ) )

Logischerweise benötigt die Funktion unabhängig davon aber vollen Zugriff auf die Passworttabelle, um sinnvolle Fehlermeldungen wie „Dieses Passwort wird bereits von Nutzer 'mainziman' verwendet, bitte wählen Sie ein anderes!“ ausgeben zu können …

(Totschlagargument gegen die Verwendung von Nicht-Klartext-Speicherung)

Zitat von tab

Tja, geheim ist eben geheim! Da könnte ja jeder kommen!

Ich habe doch nicht Informatik studiert, um mich von solchen Fehlermeldungen von der Sichtung des geschützten Inhalts abhalten zu lassen …

Hand auf Herz! Wer kannte die Frage „Muss man Dir immer alles dreimal sagen?“ als Kind nicht?

Heute geht Thunderbird auf Nummer sicher:

dreimal.png

Zitat von ltheinrich

Zusätzlich ermöglicht DNSSEC die Nutzung von DANE/TLSA. Dann kann das TLS-Zertifikat der Webseite, des Mailservers, etc. über das signierte DNS überprüft werden (zusätzlich oder statt der CA).

Und via DANE lassen sich auch OPENPGPKEY-/SMIMEA-DNS-Einträge absichern. So kann man beispielsweise über entsprechende Client-An­wen­dungen Zer­ti­fi­ka­te di­rekt aus dem DNS anfordern, wenn es darum geht, E-Mails zu verschlüsseln (externe Schlüsselserver hatten in der Vergangenheit hier Probleme bereitet, was Zu­ver­läs­sig­keit/Ver­trau­en an­be­langt), etwa via gpg2 -v --auto-key-locate clear,dane,nodefault --locate-key max.mustermann@example.org.

Im Falle von GnuPG funktionierte das auch über ein "Web Key Directory (WKD)“, aber das involviert einen Webserver.

Zitat von KB19

ThomasChr Baldige Besserung!

Für den Fall des Falls: Totmannschaltung für die Veröffentlichung der Transfercodes für alle gehorteten Spezialangebote im Tauschbörsenunterforum ist aufgesetzt und funktioniert?

Zitat von RAD750

Einen RS1000 als Firewall? Völlig übertrieben, da reicht ein VPS 200 locker aus

Für Besitzer des (wie der Name suggeriert nur Root-Server abdeckenden!) Root-Server Service Level A+ würde sich anstelle eines VPS ggf. ein RS500 über die Tauschbörse anbieten, sofern man testweise nur ein Gateway einrichtet (SPOF!), denn in dem Moment, in dem dieses ausfällt, sind die angebundenen Instanzen logischerweise zwingend(!) „von der Außenwelt abgeschnitten“.

Abgesehen davon sollte natürlich die Netzwerkgeschwindigkeit zwischen der Außenwelt, dem Gateway und (in der Regel via VLAN) angebundenen Instanzen „zueinander passen“, was die typischen Anwendungsszenarien betrifft.