Beiträge von m_ueberall

Zitat von Valkyrie

Vielleicht etwas zu teuer für den Heimgebrauch, aber die hier hat bisher ganz gute Arbeit geleistet:

https://geizhals.de/apc-smart-…0ic-a1983821.html?hloc=de

Für die Niederlassungen, die nicht so viel vor Ort haben und wo sich eine teure richtige Netzwerkkarte nicht lohnt, aber wir trotzdem den Status sehen wollen.

Danke, das obige Modell hat auch mainziman erwähnt und laut seiner Aussage hat es keinen Lüfter. Ich hatte mir aufgrund der verfügbaren Reviews das Modell APC SMT1000I (1000VA) angesehen, allerdings hat mich der Stromverbrauch (nicht-aufladend) von 18W dort etwas abgeschreckt.

Derzeitiger Favorit ist das (neuere) Modell CyberPower CP1500EPFCLCD 1500VA/900W, welches von den Leistungseckdaten zwischen den professionellen Modellen PR750ELCD und PR1000ELCD liegt; Akkusatztauschkosten halten sich im Rahmen, Hot-Swap-Fähigkeit der Akkus benötige ich im Homeoffice nicht unbedingt, Strom­ver­brauch von 11W für einen aktiven Mitlaufbetrieb (typische Umschaltzeit 2-4ms) mit echter Sinuskurve ist IMHO gerade noch akzeptabel, sechs Schuko-Anschlüsse er­sparen Zusatzkabel/-Adapter/-Weichen. Insbesondere die Softwareunterstützung unter Linux durch die Network UPS Tools (NUT) erscheint viel­ver­sprechend, wenn­gleich obiges Modell (noch) nicht gelistet ist; hier hat sich APC in der Vergangenheit bei Nutzern wohl durch undokumentierte Protokolländerungen unbeliebt gemacht. Ich schlafe da aber noch ein paar Nächte 'drüber, bis der Preisalarm ausgelöst wird.

"Interessant" für den eigenen Verwendungszweck wird es eh' sein, wie ich das Monitoring der USV für alle angeschlossenen Rechner gleichzeitig realisiere, da hier nur eine USB- und keine Netzwerkschnittstelle verfügbar ist. Da hier vom Dämon allerdings entsprechende Nutzerscripts angestoßen werden, können diese ggf. via "dsh" dieselbe Information an alle anderen Rechner im lokalen Netz weiterleiten; sollte einfacher sein als ein "USB-Sharing" einzurichten (wenn das überhaupt ginge).

• Weil das "CCP" erwähnt wurde – Handelt es sich um einen selbst-eingerichteten E-Mailserver oder wird ein Netcup-E-Mailserver verwendet?
• "Die verwendete Mail-Adresse funktioniert, wenn ich eine Test-Nachricht losschicke, nur wenn die Mail von Motor-Talk generiert wird kommt nichts an." – Ist das dieselbe Richtung, geht es also darum, dass in beiden Fällen die Ziel-E-Mail-Adresse adressiert wird, welche von Motor-Talk keine E-Mails empfängt? Oder wurde hier Empfang und Versand gegenübergestellt?
• Nur zur Sicherheit: Dass E-Mails im Spam-Folder landen (also: sichtbar, nur nicht in direkt in der Inbox, wo man sie erwartet), wurde ausgeschlossen?
• Liefern externe Testprogramme wie MECSA oder Mail-Tester (versand-bezogen) Hinweise zu möglichen Problemen mit der verwendeten E-Mail-Adresse?

Zitat von mainziman

Nebenbei knallte mir Amazon das da dazu ...

pasted-from-clipboard.png

Das ist mir bei der Suche nach C14-Adaptern inzwischen auch begegnet. Hat das 750VA-Modell eigentlich einen Lüfter? Und passen die kürzestmöglichen C14-Adapter auch sowohl neben- als auch untereinander? EDIT: Kurze Kabel sind hier doch deutlich sinnvoller/flexibler. (Die Preisgestaltung bei Amazon erscheint auf den ersten Blick etwas seltsam – das 1000VA-Modell ist merklich günstiger?)

Zitat von mainziman

wobei von welcher Autonomiezeit gehst Du dabei aus?

Also, zum Herunterfahren nicht benötigter Maschinen wären 5–10 Minuten wohl das Minimum; optimalerweise würde danach ein SBC mehrere(!) Stunden weiterversorgt werden können, denn da läuft ein tang-Server, den "ich" (notfalls via UMTS) gerne durchgängig erreichen können möchte.

Die Frage wäre, ob USV für derart schwankende Lasten ausgelegt sind; bei Tests habe ich bislang (außer bei dedizierten Lösungen) noch nie derartige "leichtgewichtige Verbraucher" berücksichtigt gesehen.

Zitat von KB19

[…] APC Back-UPS Pro […]

Das ist ein sehr gutes Stichwort…

Ich suche nach einer gescheiten UPS, welche mindestens für 1–2 NUC (à 120W max.) und 2–3 SBC (à 10W max.), ggf. auch noch für einen Monitor (ca. 40W) ausgelegt ist, dabei aber zumindest bei funktionierender Stromversorgung absolut geräuschfrei ist (kein Dauerbrummen), weil die im Arbeitszimmer unter dem Tisch platziert werden müsste. Gibt es da Erfahrungen/Empfehlungen?

Zitat von Gargamel

Kann mir jemand jetzt erklären, was die Meldung bedeutet? Wenn ich Attack lese und Botnetz impliziert das für mich, dass ich an meinem Server nen Problem habe oder nicht?

Ich nutze derzeit externe Nameserver, dann deinstalliere ich einfach BIND DNS server im Plesk und dann sollte mich das Problem doch nicht interessieren oder?

tabhat die Frage im ersten Satz bereits beantwortet (siehe hier) :

Zitat von tab

DNS Amplification Attack (nicht auf deinen Server, das Opfer ist jemand anders) ... Die IPs sind über den ganzen Globus verstreut. […]

Nutzung alternativer/eigener Nameserver nur für den eigenen Gebrauch und ggf. unter Einbindung entsprechender blacklists sollten einer unfreiwilligen Beteiligung des eigenen VServers einen Riegel vorschieben, ja. Ich selbst bin sehr zufrieden mit DNSCrypt-Proxy als "Uplink".

Zitat von Virinum

Genau diese Meldungen sehe ich auch in den zwei Servern, die ich hier bei netcup habe. Gute Frage, was man dagegen tun könnte. Die Requests kommen ja von verschiedensten IP Adressen.

Zitat von tab

Ich interpretiere das "denied" am Ende einfach mal so, dass die Anfragen von meinen Nameservern nicht beantwortet wurden und sich der Schaden darauf beschränkt, dass die Logdatei durch die Anfragen vollgemüllt wird (ca 20.000 Zeilen pro Tag, jeweils ca 200 Anfragen pro IP).

Die obengenannte Domäne ist (noch?) nicht darunter, aber meine unbound-Logs zeigen derartige Einträge nicht; das könnte mit an der Verwendung von

The Big Blocklist Collection liegen, was derzeit akkumuliert Anfragen zu mehr als 113.000 Domänen blockiert ("redirect"/"A 0.0.0.0"/"AAAA ::").

Laut Verisign DNSSEC Analyzer fehlen die DS-Einträge der Domäne:

vda_pc.png

Also entweder DNSSEC deaktivieren, die Signierung erneut anstoßen oder mit dem Registrar abklären, wie sich der Fehler beheben lässt.

Zitat von cltrmx

Brauchst du das nicht in jedem Fall, wenn du Erreichbarkeit von außerhalb garantieren willst?

Man könnte sich überlegen, mehrere verschiedene "what-is-my-external-ip"-Dienste von innen (=VServer des Kubernetes-Clusters) abzufragen – unter der Annahme, dass eine enthaltene Rückantwort mit korrekter Information ein Nachweis der IP-Erreichbarkeit darstellt, wenngleich in der Regel nur für einen Port. Oder man verwendet TOR und erzwingt die Nutzung von Exitknoten aus verschiedenen Ländern.

Die Frage ist hierbei, wie beispielsweise bei Nichterreichung des gesamten einzelnen Rechenzentrums verfahren werden soll, da ja in diesem Fall keine Nachricht über fehlgeschlagene Tests nach außen dringen können. Wenn man davon ausgeht, dass der Nutzer regelmäßig über erfolgreiche Tests benachrichtigt wird, benötigt es auf der Empfänger/-Clientseite eine Art "Totmannschaltung". Klingt nach "von hinten durch die Brust ins Auge" und ist de facto nur als "Notlösung" anzusehen, hat aber den Vorteil, dass man Ressourcen (Server/Monitoring-Dienste) einspart und zusätzliche Abhängigkeiten vermeidet (Monitoring-Lösungen sollten natürlich auch redundant sein).

Um die Komplexität zu reduzieren, könnte man sich überlegen, den erstgenannten Ansatz mit dem Anmieten des kleinstmöglichen Serverpakets auf dem Markt zu kombinieren, welches nicht im selben Rechenzentrum angesiedelt ist wie alle anderen VServer; dies erspart obengenannte "Not-/Bastellösung"[*] und sollte eine gegenseitige Kontrolle des Monitoring-Systems und VServern des Kubernetes-Cluster ermöglichen – über den Daumen kann/muss man hierfür ca. einen EUR/Monat ansetzen, was IMHO nicht zu teuer ist. (Die Ausnutzung wechselnder Freikontingente bei verschiedenen Anbietern rechnet sich für diesen Einsatzzweck eigentlich nicht.)

Daneben gibt es für eine begrenzte Anzahl von Tests auf dem Markt auch ein paar kostenlose/kostengünstige dedizierte "Monitoring-Pläne", welche sich ggf. einbinden lassen.

Für eine wirklich garantierte Erreichbarkeit des Clusters muss sich dieses aber logischerweise über mehrere unabhängige Rechenzentren erstrecken.

[*] hier primär auf die "Totmannschaltung" bezogen, weniger auf den TOR-Ansatz

Noch ein Test: (gelöscht)

("Mentions" wurden nach einer Minute entfernt; wenn danach noch Benachrichtigungen im Postfach gefunden werden, ist die Verarbeitung von neuen Versionen eines Beitrags IMHO nicht… vollständig.)

Zitat von tab

Das deutet jedenfalls mal darauf hin, dass ein automatischer Wechsel möglich ist.

Den Automatismus hat jedoch der Kunde unter Verwendung der API (Methode changeIPRouting) selbst bereitzustellen; es gibt meines Wissens keine Möglichkeit, über die API eine Liste von Servern zu definieren, welche sich eine IP derart "teilen", dass bei einem definierten Ausfall des Servers, dem die IP zu diesem Zeitpunkt zugeordnet wurde, eine Übertragung seitens eines Netcup-Systems erfolgt. (Das würde ein eigenes Monitoring überflüssig machen.)

Zitat von DerRené

Fänd ich auch gut. Also, eine dauerhafte Bearbeitungsmöglichkeit brauche ich nicht unbedingt, sowas macht eigentlich nur bei angepinnten Guides oder so Sinn, die eben auch Monate später noch aktualisiert werden. Aber fürs allgemeine sind die gegenwärtigen 10 Minuten dennoch arg kurz. Stattdessen 24h (oder 42h ) würde ich als völlig ausreichend ansehen.

Ich würde mir in diesem Zusammenhang (im Falle einer Bearbeitungsmöglichkeit über mehrere Stunden/Tage hinweg) allerdings wünschen, dass dann zumindest der Zeitpunkt der letzten Änderung festgehalten wird, und optimalerweise auch der Zeitpunkt der "Likes" wie bei phpBB, da es in diesem Fall wesentlich einfacher/öfter zu ungewollten Überlappungen (d.h. Bezugnahme auf später geänderte Inhalte) kommen kann:

phpBB_beispiel.png

(Wahrscheinlich müsste Netcup hierzu allerdings eine Erweiterung/Modifikation der WSF-Software installieren.)
Vielleicht könnte man in einem ersten Schritt die Bearbeitungszeit jedoch auf 15–30 Minuten erhöhen?

Zitat von DerRené

Das schreit förmlich nach einer weiteren Umfrage.

+1

Zitat von P.Se

Danke, dass schaue ich mir mal an. Was nutzt ihr den als OS? Standard Ubuntu oder gibt es noch OS welche auf Docker speziallsiert sind?

Es gibt zwar spezialisierte OS (siehe beispielsweise hier und hier), aber ich rate entschieden dazu, die Finger davon zu lassen, wenn es keinen zwingenden Grund für deren Einsatz gibt (und weder "Langeweile" noch "Neugierde" sind zwingende Gründe).

Daumenregel: Je größer die Nutzerbasis – und hiermit meine ich diejenigen Personen/Gruppen, welche das Ganze einmal aufsetzen und quasi selbst verwalten, keine indirekte Nutzung aufgrund Verwendung von Diensten wie GMail oder ähnlichen –, desto größer die Wahrscheinlichkeit, dass es potentielle Ansprechpartner und/oder Tutorials im Falle von Problemen/Fragen gibt. Das spart in der Regel Zeit und Geld.

Zitat von joachimF

fail2ban-client status

|- Number of jail: 3

`- Jail list: nextcloud, ssh, sshd

Ich müsste also noch einen apache2 jail erstellen ?

Ja; und danach die Definitionen für ssh/sshd konsolidieren, diese beziehen sich nämlich mit an Sicherheit grenzender Wahrscheinlichkeit auf denselben Dienst.

Zitat von joachimF

Folgende Arten von Fehlermeldungen treten noch auf :

[php7:error] [pid 55036] [client 134.209.70.64:51816] script '/var/www/html/wp-login.php' not found or unable to stat

[…]

[evasive20:error] [pid 69043] [client 143.198.171.118:56776] client denied by server configuration: /var/www/wordpress/wp-login.php

[…]

[core:crit] [pid 85805] (13)Permission denied: [client 66.249.66.139:34938] AH00529: /var/www/wswin/carces_brunnen/.htaccess

Wie simd die Meldungen zu interpretieren? Angriffsversuche?

Alles anzeigen

Was die nicht-weggekürzten Zeilen betrifft: Höchstwahrscheinlich ja. Diesen könnte man beispielsweise mit fail2ban begegnen.

Zitat von frdrk

Das habe ich gemacht, aber ich komme nicht mit root > pw rein über die ubuntu Anmeldemaske.

Zitat von Bensen

Welche Abmeldemaske meinst du genau? Bzw. wie verbindest du dich generell mit deinem Server?

Von der Beschreibung her scheint frdrk davon auszugehen, dass auch beim Booten über eine LiveCD bzw. das Rettungssystem ein "normales Login" in die Umgebung möglich sei, wie es beim "normalen" Booten über das installierte System auf der virtuellen Festplatte der Fall ist.

Wenn es darum geht, als "root" in die eigene Umgebung "einzutauchen", funktioniert das in diesem Fall tatsächlich mittels chroot /mnt/platte /bin/bash. Danach ist ein Nutzerkontenwechsel auch ganz normal via login möglich (jede Aktion erfordert zum Abschluss ein zugehöriges exit, um wieder "herauszukommen"); mittels passwd [nutzer] lässt sich somit unter anderem ein vergessenes Login-Password ändern.

Zitat von Georg

Wenn ich Webmin als erstes installiere, kann ich dann noch Cloudmin nachinstallieren oder wie läuft das ab? Ist die Reihenfolge der Installation egal? Es sind alles Module, welche sich nachinstallieren lassen?

Auch auf die Gefahr hin, dass ich mich wiederhole:

Zitat von m_ueberall

Einfach mal "durch die entsprechenden Reiter klicken"?

Wenn man sich die Texte in den vorgenannten Reitern bzw. die verlinkten Inhalte durchliest, bleiben doch keine Fragen offen? Beispiel:

cloudmin_gpl_install_script.png

Zitat von tab

[…] Jetzt sehe ich mir im SCP die M OP/s an und stelle fest, dass beim RS praktisch konstant 1000 M OP/s angezeigt werden, beim VPS nur ca 500 M OP/s. […]

Siehe hierzu auch diesen Diskussionsfaden.

Zitat von tab

Was hält so ein Rootserver eigentlich aus? […] Das mit 7z gepackte Backupfile war bei den erfolgreichen Backups so ca 400 MB und es hat keine 10 Minuten gebraucht, also nichts weltbewegendes eigentlich, großartig viele neue Daten sind seitdem auch nicht dazugekommen. Auf dem Server sind auch noch einige Hundert GB frei, eigentlich ist er noch fast leer, keine 10% belegt. […]

Das geschilderte Nutzungsverhalten entspricht ja fast dem Profil eines Wunschmitnutzers auf den selbst "teil-gemieteten" Hostrechnern – da bleibt mehr Luft für die eigenen 24/7-Überlasttests marginal stärker fordernderen Abläufe auf den RS.

Zitat von christianr

Wenn ich die daten mit dd in ein per WebDAV gemounteten Cloud Speicher ziehe bin ich Tagelang am laden. i.d.R. gibts Probleme wenn über einen langen Zeitraum mehr wie 4-5 connections hochladen, und selbst mit 10 habe ich dann Übertragungsraten von vielleicht 500kb/s.

Eine Möglichkeit, sich eine zweite Platte zu besorgen, wäre, stundenbasiert einen zweiten, ausreichend dimensionierten VPS zu mieten, welcher mit einer Basis­installa­tion/-partitionierung versehen wird. Das würde zumindest das Geschwindigkeitsproblem lösen, wenn btrfs restore (analog zu zfs send) via nc/netcat über das Netzwerk auf eine andere Festplatte schreiben kann. Wenn es eine lokale Festplatte sein muss, hilft das Buchen eines doppelt so großen VPS – sofern verfügbar –, das Einrichten einer zusätzlichen Partition und die Duplikation der ursprünglichen Partitionen via dd. (Tausch Zeit gegen Geld)