Posts by m_ueberall

    Da der "Expert S"-Tarif laut Beschreibung SSH-Verbindungen erlaubt, sollte das hier die einfachste/sicherste Lösung sein, von außen auf die Datenbank zuzugreifen: https://ssh-tunnel.de/ssh-port…oniert-portweiterleitung/

    phpMyAdmin ist browserbasiert – wenn hier standardmäßig ebenfalls nur Zugriffe von localhost/127.0.0.1 möglich sind, würde ich analog Port 80 tunneln.

    Eine lediglich durch ein Kennwort geschützte öffentliche Datenbank will man in der Regel aus Sicherheitsgründen nicht haben (nur Zwei-Faktor-Authentifizierung bietet hier ein Minimum an Sicherheit).

    Hallo Community,

    Ich stehe gerade etwas auf dem Schlauch. Ich möchte gerne in Roundcube Filterregeln erstellen.

    Alles aus ".ru" soll weg, ".eu" kann ich natürlich nicht sperren, aber z.B. "tarifevergleich.eu" soll ausgefiltert werden => also will ich immer nach Teilen in einer Absenderadresse filtern.

    Siehe http://www.emaildiscussions.com/showthread.php?t=71390 (Lösung in http://www.emaildiscussions.com/showpost.php?p=590871)

    Bei einer früheren, vergleichbaren Aktion wurde ein Tarifwechsel für eine Domäne (welche bereits von Netcup verwaltet wurde) verwehrt. Für eine neue Domäne (wenn es also auf den Namen nicht ankommt) ist die letztgenannte Taktik erfolgversprechend.

    Wenn ich mein"sicher" verschlüsselter Zugriff funktioniert (klar - 100% Sicherheit gibt's nirgends) - was muss ich dann noch zu dem Thema wissen?

    Es gibt ein paar gescheite einschlägige Informationsquellen (ssllabs, Hardenize, securityheaders, haveibeenpwned); GitHub ist ebenfalls voll von wertvollen Hilfsmitteln. Die Leute dahinter sind namentlich bekannt und ihre Beiträge sowohl auf Twitter als auch in eigenen Blogs oder ggf. Büchern sind allemal ein Querlesen wert.

    Das erinnert mich daran, dass ich endlich überall auf 18.04 aktualisieren sollte... X/

    Ich habe einen Desktop-Rechner unter 18.04 LTS (Neuinstallation), und der Kampf mit "Netplan" (und systemd-Neuerungen) hat mich davon überzeugt, allen Servern (und mir) die Umstellung von 16.04 LTS auf 18.04 LTS zu ersparen; ich warte mit dem Upgrade auf 20.04 LTS. Da alle PHP-/Python-/Perl-/LaTeX-Stacks und einige wenige andere Applikationen eh' über aktuelle Dritt-Repositories/Upstream-Installationsansätze laufen, spielt das keine große Rolle (im Container funktioniert 18.04 soweit wunderbar).

    Übrigens: Mit rsync eine runde halbe Million (zum Großteil winzige) lokale Dateien mit denen auf dem Server abzugleichen, hab' ich auch einmal versucht. Sinnlos - da stopft der Protokoll - Overhead alles zu. ;)

    Das muss aber schon sehr lange her gewesen sein. Ich gleiche mittlerweile zu Testzwecken regelmäßig via rsync einen CPAN-Spiegel ab, das sind zwar nur ca. 45.000 Dateien, aber das funktioniert problemlos – da sammelt sich auch kein "Overhead" an(???), die Verzeichnisse/Dateien werden einfach sequentiell abgearbeitet… neben einem zfs send/receive ist rsync so ziemlich die zuverlässigste Methode für einen unidirektionalen Abgleich. Wenn in beide Richtungen abgeglichen werden soll, greift man natürlich gleich zu anderen Werkzeugen (neben den vorgenannten NextCloud-/OpenCloud-Lösungen oder Mitbewerbern wie Seafile bspw. zu dem interessanten osync, welches auf rsync basiert) oder verteilten Dateisystemen (DRBD, GlusterFS, oder ggf. auch Syncthing) ...

    Das hört sich mega gruselig an. Wobei die aktuelle LTS ja auch schon fünf Jahre schafft.

    Für viele Nutzer ist das alles eine Frage, ob man es schafft, vernünftige Backports-Quellen anzubieten. Das eigentliche Zielpublikum ist aber sicherlich allein daran interessiert, Sicherheitsupdates für isolierte Maschinen/Container zu erhalten (inwieweit für letztere Ubuntu mittel-/langfristig eine naheliegende Wahl dar-, sei hier einmal dahingestellt – vgl. Ubuntu Core).


    Offensichtlich gibt es aber einen Bedarf hierfür, denn Ubuntu zieht ja nur ggü. Mitbewerbern nach (vgl. https://linuxlifecycle.com/). Und irgendwann kann man fehlende Applikationen sicherlich irgendwie einfach(er) aufpfropfen (was – als ein Beispiel – bei GnuPG 2.2 für Ubuntu 16.04 heutzutage noch nicht ganz so leicht geht).


    Aus Projektsicht (Perl-basiertes Wiki) sehe ich als negativen Seiteneffekt für einige OSS-Anwendungen eher die steigenden Nachfragen bei Problemen mit "Uralt"-Bibliotheken/-Drittprogrammen, denn deren Nutzerbasis wird sich "dank" der o.g. LTS-Versionen erhöhen. Und nicht immer kann man das dadurch abfangen, dass man eigene aktuelle Container anbietet.

    Was bedeutet, dass ein Windows 10 sicherheitstechnisch auf dem gleichen Stand ist wie Windows Server 2016? Ich nutze keine Server-Dienste außer RDP.

    Ein Nachtrag zum Obengesagten: Windows Server 2016 wurde um einigen "Ballast" bereinigt (aus Sicht der typischen Anwendungsszenarien auf einem Server – kein Edge-Browser, kein App-Store; die grafische Oberfläche lässt sich abwählen), d. h. es bietet weniger (aber auch wenige andere) Angriffspunkte als Windows 10. Je nach gewähltem "Update-Channel" kann man bestimmte Fixes unter Windows 10 auch als "Early Adopter" bekommen; ob man das will, ist eine andere Frage. Die "Update-Channels" für die Server-Variante sind sicherlich ein wenig anders organisiert, hier spielen schlicht andere Kundenanforderungen/-profile hinein.

    SAS Extender?

    Habe mittlerweile ein Bild gefunden (exemplarische Herstellerbezeichnung: "SuperStorage 6047R-E1R72L"); ich hatte eine falsche Anordnung der Platten vor dem geistigen Auge, wodurch ich die (gerne recht länglichen) redundanten Netzteile nicht platzieren konnte – aber der Trick, pro "Hot-swap Drive Bay" zwei Laufwerke hintereinander einzubauen, hat 'was… Und so ein Modul ist tatsächlich preislich konkurrenzfähig zu einem Backblaze-Pod.

    [...] aber Supermicro bietet tatsächlich 72 Plattengehäuse auf 4HE an mit Front und Rear Loader, was bedeutet das du mindestens 10 von denen in ein Rack bekommst was 720 Platten in einem Rack entspricht. [...]

    Gibt es da eine Herstellernummer bzw. Bilder, wie so ein volles Rack mit 42HE (inklusive Stromversorgung!) aussieht? Die kompakteste mir bekannte Lösung war bisher die von Backblaze – nicht, dass ich den Bedarf/Platz hätte, das mal in absehbarer Zeit nachzubauen, aber...

    Aber ich fürchte aus meinem GlusterFS-Test-Cluster wird erst einmal nichts, ich glaube beide VPS Plus Server sind auf dem gleichen Wirt gelandet, was das ganze ja absurd wirken lässt (und keine reale Performance wiederspiegelt) ^^

    Code
    1. # iperf -s
    2. ------------------------------------------------------------
    3. Server listening on TCP port 5001
    4. TCP window size: 85.3 KByte (default)
    5. ------------------------------------------------------------
    6. [ 4] local 46.232.xxx.xxx port 5001 connected with 46.232.xxx.xxx port 41238
    7. [ 4] 0.0-10.0 sec 21.5 GBytes 18.5 Gbits/sec

    Ich glaube kaum das die netcup Wirtsysteme mit über 20 GBits angebunden sind :/

    Das ist allerdings eine gute Testidee, um bei einer Neueinrichtung (bei bestehender Anzahl von Systemen bei Netcup) evtl. "Fehlplatzierungen" zu erkennen!

    m_ueberall AES 128 CBC + fast zlib Kompression

    Mein MeshVPN-Binary ist gegen libressl 2.7.2 gelinkt (inkl. SECCOMP, ZLIB-Unterstützung); Vorgabewerte für die Verschlüsselung sind hier


    MeshVPN-master/src/encryption/crypto.c: case crypto_AES256: st_cipher = cryptoGetEVPCipher(EVP_aes_256_cbc()); break;

    MeshVPN-master/src/encryption/crypto.c: case crypto_SHA256: st_md = cryptoGetEVPMD(EVP_sha256()); break;

    MeshVPN-master/include/crypto.h:#define crypto_AES256 1

    MeshVPN-master/include/crypto.h:#define crypto_SHA256 1

    Edit: im Vergleich dazu Tinc:

    Code
    1. ------------------------------------------------------------
    2. Client connecting to 172.20.25.8, TCP port 5001
    3. TCP window size: 45.0 KByte (default)
    4. ------------------------------------------------------------
    5. [ 3] local 172.20.25.28 port 36820 connected with 172.20.25.8 port 5001
    6. [ ID] Interval Transfer Bandwidth
    7. [ 3] 0.0-10.0 sec 107 MBytes 89.5 Mbits/sec

    Hm… Ist Tinc so viel langsamer als MeshVPN? Liegt das an der verwendeten Verschlüsselung?

    Bis zur Drosselung, die beim neuen VLAN ja nicht greifen soll (und die auch erst einmal ausgelöst werden muss), fährt man da mit einer Eigenkonfiguration deutlich flotter, sofern es keinen CPU-Engpass gibt durch die Verschlüsselung beim VPN… Wer externe Rechner anbietet, hat wohl eh' keine andere Option in diesem Fall; eine Parallelnutzung scheint sich (zumindest für meine Anwendungszwecke?) nicht zu rechnen.

    Bei geplanter Wartung werden niemals alle Server gleichzeitig heruntergefahren – warum also die Datenbankinhalte auf dem Storage-Space vorhalten anstatt gespiegelt auf den Servern? (Wobei es sich in der Praxis empfiehlt, eine ungerade Anzahl von Cluster-Knoten zu betreiben, um Widersprüche anhand von Mehrheitsentscheidungen aufzulösen – das gilt sowohl für verteilte Dateisysteme als auch für Anwendungen wie Datenbanken.)


    Nachtrag: Im obigen Post wurde nicht erwähnt, um welche Datenbank es sich handelt, aber in der Regel ist es nicht so einfach, mehrere Prozesse auf verschiedenen Rechnern auf dieselben Dateien zugreifen zu lassen…

    Hat zufälligerweise jemand hier ein fertiges Scraper-Script, welches alle Posts einer Discourse-Instanz auf die lokale Platte bannen kann? Und zwar im Optimalfall nicht nur als Einzel-HTML-Dateien (wäre fast trivial), sondern als E-Mail-Nachricht im HTML-Format? (Das, was hier Arbeit macht, ist die Nachbildung von Header-Zeilen mit Absender, E-Mail-Adresse (sofern bekannt) und Zeitstempel.)

    Da ich mich erst nachträglich auf discourse.maas.io eingetragen habe, fehlen mir die ersten ca. 200 Posts, um das bestehende lokale Mailinglistenarchiv zu komplettieren, und zwar genau die letzten drei Monate, was äußerst ärgerlich ist. Hinzu kommt, dass ich diesen Fall auch für die Zukunft nicht ausschließen kann.

    Was macht man 2018 mit intakten 2,5" IDE-Platten, die ca. ein Jahrzehnt alt sind? :/

    Wenn diese nicht regelmäßig (in Abständen von wenigen(!) Monaten) in Benutzung waren – entsorgen. Ich finde den Link gerade nicht, aber es gab unter anderem von IBM Richtlinien, nach welchen irgendwo gelagerte und vor-sich-hinrostende Festplatten unabhängig von den SMART-Testergebnissen als nicht mehr belastbar angesehen wurden/werden. Mit anderen Worten: Man sollte Archiv-Festplatten, sofern man diese nicht durch Magnetbänder (LTO u. ä.) ersetzen kann, regelmäßig vollständig durchprüfen (Prüfsummenkontrolle aller Dateien im Optimalfall).

    jojo_ : Um zu testen, ob es an der unterschiedlichen Behandlung von Mobil-/Nicht-Mobil-Geräten liegt, kann man unter Android u.a. im Chrome-Browser den "Desktop"-Modus aktivieren. Wenn dann das Mobilgerät danach auch HTTP-Fehler 403 zeigt, liegt der Fehler allein im Bereich des Web-Servers/der entsprechenden Applikation.