Wenn du aber raus willst - dann wird die primäre Adresse genutzt.
Das ist die Vorgabe, welche sich natürlich übersteuern/ändern lässt. curl beispielsweise macht das auf Applikationsebene mithilfe der "--interface"-Option, welcher die zu verwendende Ausgangs-IP-Adresse übergeben werden kann; ip route nutzt hier das optionale "src"-Attribut.
Ja, der obere Eintrag ist inklidierte IPv4 Adresse. Warum dies bei einer /22 umsonst anonymisiert sein soll weiß ich nicht - aber ich werde gerne eines besseren belehrt
Weil jeder, der diese Art der Konfiguration kennt, weiß, was in der ersten Zeile für eine IP-Adresse stehen muss (nämlich die, welche in den nachfolgenden Zeilen als "Gateway" genannt ist). Anders formuliert: Als Daumenregel sind alle weiteren Stellen eines einmal anonymisierten Details analog zu anonymisieren, was oben unterblieben ist.
Ja, ich kann hier die zusätzlichen IPs hinzufügen, aber wie trage ich dann den Gateway der 5 zusätzlichen IPs ein, wenn "gateway4" nur einen einzigen Eintrag vorsieht?
Gar nicht. Obige Datei anpassen, mit netplan try temporär aktivieren, einen Dienst (ggf. iperf3) testweise unter Verwendung einer der neuen IP-Adressen ausprobieren, und, wenn es wie erwartet funktioniert, die Änderung permanent übernehmen.
[…] weil die zusätzlichen IPv4 Adressen haben laut SCP einen eigenen Gateway […]
Kann es sein, dass das gezeigte eigene Gateway identisch ist mit der der KVM ursprünglich zugeordneten IP-Adresse, welche auf der linken oberen Seite (dann umsonst) anonymisiert wurde? Das ist nämlich üblich so (zumindest ist das bei allen eigenen RS der Fall).
Im Verzeichnis /etc/netplan sollte eine Konfigurationsdatei liegen, welche man dann ähnlich folgendem Aufbau ergänzen kann:
---
network:
version: 2
renderer: networkd
ethernets:
ens3:
dhcp4: false
dhcp6: false
addresses:
- 89.58.AAA.AAA/22
- 188.XXX.XXX.XXX/32
- 46.YYY.YYY.YYY/32
- 37.ZZZ.ZZZ.ZZZ/32
[…]Damit war gemeint, dass ich das als Platzhalter nutze, um meine Domain zu zensieren. Im Record, das ich abgespeichert habe steht an dieser Stelle meine Domain.
Das habe ich schon verstanden. Da kommt aber gar kein Domainname hin in das Formularfeld. Der vorgeschlagene vollständige Namen ist technisch auch korrekt, aber da wird nicht auf die Besonderheit der verwendeten Nectup-DNS-Konfigurationsschnittstelle (CCP) eingegangen (das ist von Anbieter zu Anbieter verschieden).
"meinedomain" ist nur Platzhalter, da steht aktuell meine richtige Domain
Und das ist falsch, an dieser Stelle stehen nämlich allenfalls nur die Unterdomänen. Die Domäne selbst wird immer automatisch ergänzt.
(Der obige Eintrag wäre aktuell unter dig +short -t TXT _acme-challenge.meinedomain.de.meinedomain.de abrufbar.)
Wenn man sich den Netcup-Wiki-Eintrag zu den DNS-Einstellungen durchliest, findet sich diese Erklärung auch bei Beispielen, allerdings nicht optimal formuliert.
m_ueberall wer verwendet denn bleeding-edge software?
Viele, welche komplexe existierende Container nutzen oder die neueste Software haben müssen. 
Mal sehen, wie schnell die betroffenen Linux-Distributionen diesmal reagieren …
Solange diese Vorfälle dazu führen, dass Administratoren mehr Zeit auf Konfigurationsmanagement/Fallback-Szenarien verwenden (können), hat das auch etwas Gutes.
Jetzt geht's los, jetzt geht's los… („Operational information about the recently announced vulnerability in OpenSSL 3“)
EDIT1: (Docker-)Container-Installationen nicht vergessen!
EDIT2: Alternativliste mit analysierten Anwendungen/Umgebungen [docs.google.com]
ZitatPre-announcements of CVE-2022-3602 described this issue as
CRITICAL.Further analysis based on some of the mitigating factors described above have led this to be downgraded to HIGH. Users are still encouraged to upgrade to a new version as soon as possible.
[…] Da sind ja praktisch Reseller-Features, insofern wird es im Reseller Webhosting möglich sein oder natürlich auch auf einem RS/VPS.
Die obenerwähnte „Proxylösung“ ist im Wesentlichen auch nur ein „Reseller-Paket für Arme“, deren Aufwand und Nutzen in der Regel – wenn man nicht auf existierende Lösungen zurückgreifen kann, um die gewollte (dennoch nicht-notwendigerweise wasserfeste) „Separierung“ zu erreichen – in keinem akzeptablen Verhältnis (verglichen zur Buchung eines zweiten Pakets) stehen dürften.
Ja, das weiß ich schon..., aber genau diese Möglichkeit(en) soll der Kollege für diese 2 Domains selber haben...
Sprich Er soll diese beiden selbständig verwalten können, ohne die anderen verwalten zu können...
Dann hilft beispielsweise eine „Proxylösung“. Via Netcup-DNS-API lässt sich ja eine Änderung ohne CCP-Zugriff realisieren. Und über eine geschützte Webschnittstelle lassen sich die gewünschten Einträge in einem vordefinierten Format dann vom Kollegen übergeben. Der eigenverwaltete Dienst säubert die Einträge von allem, was sich nicht auf die beiden Domänen bezieht und nutzt den eigenen API-Schlüssel (den der Kollege nicht sieht) zur Aktivierung. Das wäre quasi eine „Inhouse-Lösung“, die allerdings meines Wissens nicht ohne „selbstgestrickte“ Teilkomponenten auskommt.
Eine Alternative bei Domänen bestünde darin, die Verwaltung für diese von Netcup auf deSEC zu übertragen und dort ein gemeinsames Konto einzurichten (auch in diesem Falle wäre obige „Proxylösung“ weiterhin realisierbar, aber nicht mehr zwingend erforderlich, weil es dort eine browserbasierte Schnittstelle gibt). IMHO mit dem geringsten Aufwand verbunden.
There are a lot of tools that can help you with
Depending on the OS/distribution, you might want to check whether live kernel updates are available (e.g., Ubuntu Livepatch Service).
[HSTS] Aus welchen Gründen kann es passieren, dass ein Benutzer keine HTTPS Verbindung herstellen kann? Wie sinnvoll ist es, diese Option zu aktiveren?
Anwendungen, welche sich HSTS-konform verhalten (insbesondere Browser, nicht jedoch die LE-Dienste selbst), akzeptieren mit Kenntnis der HSTS-Nutzung für eine Domäne nur sichere Verbindungen gegen diese – deswegen ja „HTTP Strict Transport Security“. Wenn das Zertifikat abgelaufen ist, kann die Domäne von diesen Anwendungen nicht besucht werden, solange der Nutzer sie nicht anweist, die HSTS-Aktivierung zu vergessen, was bisweilen Klimmzüge erfordert (vgl. hier für Chrome/Firefox) oder im ungünstigsten Fall nicht möglich ist.
Wenn also die Erneuerung des Zertifikats fehlschlägt, hat der Nutzer/Betreiber in der Regel ein Problem. Mit der Propagierung der HSTS-Nutzung für die eigene Domäne kann man umgekehrt – solange man über den Webserver nicht die Zertifikatserneuerung via HTTP abwickelt – auf Port 80/das HTTP-Protokoll gänzlich verzichten, weil die Anwendungen niemals HTTP, sondern ausschließlich HTTPS verwenden werden (keine Portumleitung mehr erforderlich).
[OCSP] Das verstehe ich irgendwie gar nicht
Dazu findet sich bei Wikipedia ein ganz brauchbarer Artikel.
Ist es möglich per MX die E-Mails an das alte und gleichzeitig an das neue Postfach leiten zu lassen?
Nein, der Ausgangs-Mailserver (MTA) spricht nur mit dem ersten erreichbaren Mailserver, welcher einer Domäne zugeordnet ist (entsprechend der Gewichtung; haben mehrere MX-DNS-Einträge dasselbe Gewicht – gemeint ist hier der „preference"/„distance"-Wert –, erfolgt die Auswahl in der Regel zufällig).
Eine Weiterleitung wäre also nur über einen eigenen „Proxy“-Mailserver denkbar, welcher seinerseits weiß, an welche Mailserver er empfangene E-Mails weiterleiten soll (dazu müsste er aber Kenntnis von den durch die nachgelagerten Mailserver bedienten Domänen/Konten haben, also in der Regel nicht praktikabel).
Sofern eine Synchronisationsmöglichkeit gegeben ist (und die Konteninhalte damit automatisch auf den neuen Mailserver übertragen werden können), kann man schrittweise den neuen MX-Eintrag einführen und, nachdem dieser weltweit bekannt ist, kurz darauf den alten MX-Eintrag löschen. Solange die Synchronisierung aufrechterhalten wird, können die Kunden somit zu einem beliebigen Zeitpunkt wechseln (bis der alte Server final abgeschaltet wird). Dies ist die komfortabelste Lösung, aber wie oben bereits angesprochen abhängig davon, welche Softwarekomponenten verwendet werden.
Ich selbst verwende zwei Mailserver, welche dauerhauft via dsync synchronisiert werden, um Ausfällen vorzubeugen.
Da gab es doch mal (oder immer wieder mal) Diskussionen rund um Filezilla: https://www.reddit.com/r/sysad…s_adware_if_you_download/
Obiger Beitrag ist ca. zwei Jahre alt. Ich müsste jetzt nachsehen, aber ich kann mich an keine bösen Nebenwirkungen bei der Installation unter Windows 10 vor einigen Wochen erinnern. Unter Linux holt man sich in der Regel sowieso die „vorpaketierte“ Version, und die dürfte bei Debian (und davon abgeleitet bei Ubuntu) definitiv bereinigt sein.
Ich nutze FileZilla, wenn es mal ein externes FTP-Programm sein muss.
Vielleicht hat jemand Zeit/Lust, einmal einen lokalen Test mit dem Hochladen von DVD-/Festplatten-Abbildern via SFTP durchzuführen? (Noch offenes TODO.)
"[2022-10-19T09:21:12+02:00] dns recordset NOT updated (no changes)",
"[2022-10-19T09:21:12+02:00] api logout successful"
Haben sich die IP-Adressen zwischenzeitlich auch geändert? Testweise könnte man FORCE=1 (vgl. hier) verwenden.
Alternativ würde ich fairerweise die bevorstehende Preiserhöhungsankündigung explizit mit klaren Worten in den Angeboten, die vorher kommen, erwähnen und verlinken.
Da Clevis mittlerweile via Drittmodul auch Yubikeys unterstützt, an welche man derzeit ja günstig herankommt (wie auch hier im Forum beschrieben) – Hat schon jemand versucht, das/eine ähnliche Anwendung mit dem Linux USB Server zu verknüpfen, um darüber innerhalb einer KVM-Instanz auf 2FA zurückgreifen zu können?
Steht als Idee auf meiner TODO-Liste, allerdings hinreichend weit unten, sodass ich mich über „Erlebnis-/Erfolgsberichte“ diesbezüglich freuen würde – Aus dem Stegreif gab es diesbezüglich bislang keine Beschreibung des obigen Szenarios in einschlägigen Wikis/Magazinen/Onlinequellen.
Super! Welchen USB-2.5Gbit Adapter hast du dir zugelegt?
Zum Thema: ServeTheHome: USB to 5GbE Adapters the Good Bad and Ugly [youtube.com]
Ich würde für Tests hier ein Script mit curl-Aufrufen vorschlagen. Damit lassen sich wie folgt sogar jegliche DNS-Caches umgehen:
curl --resolve domain.tld:80:xxx.xxx.xxx.xxx 'http://domain.tld' --header 'Host: domain.tld'
(Alle Varianten für Namen, Ports und IP-Adressen lassen sich hier über eine oder mehrere for-Schleifen und Variablen „abfrühstücken“.)
Die Freuden von netplan.
Ich schlage vor, die Zeilen 11–17 test-/übergangsweise durch die Angabe der beiden Gateways zu ersetzen (works for me):
gateway4: <gwip4>
gateway6: fe80::1netplan try sollte sich zwar mit Warnungen beschweren, aber es müsste noch funktionieren.
