Gerade eben war ein VPS 200 aus dem Adventskalender bestellbar. Es gibt also tatsächlich immer wieder Kontingente zum Bestellen. Zur vollen Stunde hieß es bei mir aber immer ausverkauft.
Siehe https://twitter.com/netcup/status/1068816178301288448: "Wie versprochen wurde soeben das heutige Adventskalender-Türchen aufgefüllt. Weiter Auffüllungen finden um 12:30 Uhr, 16:40 Uhr und 17:50 Uhr statt. […]"
Alles anzeigenBei mir geht TLS 1.3 bei nginx irgendwie nur mit IPv4, nicht bei IPv6. Kennt jemand dieses Problem?
https://www.ssllabs.com/ssltes…html?d=nc.florian2833z.de
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name nc.florian2833z.de;
ist in der config.
Die o.g. Angaben sind nicht ausreichend. Das Beispiel hier soll funktionieren, also fehlt ggf. eine Umleitung von Port 80 für IPv6?
Der Vorschlag vom Speedtest, doch ein CDN zu verwenden, ist schon fast Blasphemie
Naja… ein CDN dürfte aufgrund der Architektur etwas widerstandsfähiger sein ggü. Ausfällen/Störungen im Core-Netzwerk. 
#ichsansnur
Da der "Expert S"-Tarif laut Beschreibung SSH-Verbindungen erlaubt, sollte das hier die einfachste/sicherste Lösung sein, von außen auf die Datenbank zuzugreifen: https://ssh-tunnel.de/ssh-port…oniert-portweiterleitung/
phpMyAdmin ist browserbasiert – wenn hier standardmäßig ebenfalls nur Zugriffe von localhost/127.0.0.1 möglich sind, würde ich analog Port 80 tunneln.
Eine lediglich durch ein Kennwort geschützte öffentliche Datenbank will man in der Regel aus Sicherheitsgründen nicht haben (nur Zwei-Faktor-Authentifizierung bietet hier ein Minimum an Sicherheit).
Hallo Community,
Ich stehe gerade etwas auf dem Schlauch. Ich möchte gerne in Roundcube Filterregeln erstellen.
Alles aus ".ru" soll weg, ".eu" kann ich natürlich nicht sperren, aber z.B. "tarifevergleich.eu" soll ausgefiltert werden => also will ich immer nach Teilen in einer Absenderadresse filtern.
Siehe http://www.emaildiscussions.com/showthread.php?t=71390 (Lösung in http://www.emaildiscussions.com/showpost.php?p=590871)
Alles anzeigenDas Problem ist da denke ich die Vertragslaufzeit und die Tatsache, dass das Domain-Angebot ja nur morgen da ist.
Eh ich einen AuthCode habe, und dann läuft die Domain noch bis Vertragsende... da ist das Angebot wohl bereits sehr lange abgelaufen, glaube ich.
An sich ändert sich ja nicht mal der Anbieter, sondern nur der Tarif darum. Warum sollte ich das dann mit AuthCode umziehen?
Ich dachte halt Netcup bietet da direkt Lösungen an, und jemand hat schon Erfahrungen damit.
Wenn es da tatsächlich nichts gibt, denke ich mal, dass ich mir eher eine zweite Domain hole, alles umziehe und dann die zweite kündige. Das dürfte ja dann theoretisch vollkommen unproblematisch gehen.
Bei einer früheren, vergleichbaren Aktion wurde ein Tarifwechsel für eine Domäne (welche bereits von Netcup verwaltet wurde) verwehrt. Für eine neue Domäne (wenn es also auf den Namen nicht ankommt) ist die letztgenannte Taktik erfolgversprechend.
https://www.htbridge.com/ssl sollte auch nicht unerwähnt bleiben.
Wird Zeit, dass LetsEncrypt in Q1/2019 endlich "ECDSA Root and Intermediates" einführt, damit neben den PCI DSS requirements auch die HIPAA guidance und NIST guidelines erfüllt werden können…
Wenn ich mein"sicher" verschlüsselter Zugriff funktioniert (klar - 100% Sicherheit gibt's nirgends) - was muss ich dann noch zu dem Thema wissen?
Es gibt ein paar gescheite einschlägige Informationsquellen (ssllabs, Hardenize, securityheaders, haveibeenpwned); GitHub ist ebenfalls voll von wertvollen Hilfsmitteln. Die Leute dahinter sind namentlich bekannt und ihre Beiträge sowohl auf Twitter als auch in eigenen Blogs oder ggf. Büchern sind allemal ein Querlesen wert.
Das erinnert mich daran, dass ich endlich überall auf 18.04 aktualisieren sollte...
Ich habe einen Desktop-Rechner unter 18.04 LTS (Neuinstallation), und der Kampf mit "Netplan" (und systemd-Neuerungen) hat mich davon überzeugt, allen Servern (und mir) die Umstellung von 16.04 LTS auf 18.04 LTS zu ersparen; ich warte mit dem Upgrade auf 20.04 LTS. Da alle PHP-/Python-/Perl-/LaTeX-Stacks und einige wenige andere Applikationen eh' über aktuelle Dritt-Repositories/Upstream-Installationsansätze laufen, spielt das keine große Rolle (im Container funktioniert 18.04 soweit wunderbar).
Übrigens: Mit rsync eine runde halbe Million (zum Großteil winzige) lokale Dateien mit denen auf dem Server abzugleichen, hab' ich auch einmal versucht. Sinnlos - da stopft der Protokoll - Overhead alles zu.
Das muss aber schon sehr lange her gewesen sein. Ich gleiche mittlerweile zu Testzwecken regelmäßig via rsync einen CPAN-Spiegel ab, das sind zwar nur ca. 45.000 Dateien, aber das funktioniert problemlos – da sammelt sich auch kein "Overhead" an(???), die Verzeichnisse/Dateien werden einfach sequentiell abgearbeitet… neben einem zfs send/receive ist rsync so ziemlich die zuverlässigste Methode für einen unidirektionalen Abgleich. Wenn in beide Richtungen abgeglichen werden soll, greift man natürlich gleich zu anderen Werkzeugen (neben den vorgenannten NextCloud-/OpenCloud-Lösungen oder Mitbewerbern wie Seafile bspw. zu dem interessanten osync, welches auf rsync basiert) oder verteilten Dateisystemen (DRBD, GlusterFS, oder ggf. auch Syncthing) ...
Das hört sich mega gruselig an. Wobei die aktuelle LTS ja auch schon fünf Jahre schafft.
Für viele Nutzer ist das alles eine Frage, ob man es schafft, vernünftige Backports-Quellen anzubieten. Das eigentliche Zielpublikum ist aber sicherlich allein daran interessiert, Sicherheitsupdates für isolierte Maschinen/Container zu erhalten (inwieweit für letztere Ubuntu mittel-/langfristig eine naheliegende Wahl dar-, sei hier einmal dahingestellt – vgl. Ubuntu Core).
Offensichtlich gibt es aber einen Bedarf hierfür, denn Ubuntu zieht ja nur ggü. Mitbewerbern nach (vgl. https://linuxlifecycle.com/). Und irgendwann kann man fehlende Applikationen sicherlich irgendwie einfach(er) aufpfropfen (was – als ein Beispiel – bei GnuPG 2.2 für Ubuntu 16.04 heutzutage noch nicht ganz so leicht geht).
Aus Projektsicht (Perl-basiertes Wiki) sehe ich als negativen Seiteneffekt für einige OSS-Anwendungen eher die steigenden Nachfragen bei Problemen mit "Uralt"-Bibliotheken/-Drittprogrammen, denn deren Nutzerbasis wird sich "dank" der o.g. LTS-Versionen erhöhen. Und nicht immer kann man das dadurch abfangen, dass man eigene aktuelle Container anbietet.
Was bedeutet, dass ein Windows 10 sicherheitstechnisch auf dem gleichen Stand ist wie Windows Server 2016? Ich nutze keine Server-Dienste außer RDP.
Ein Nachtrag zum Obengesagten: Windows Server 2016 wurde um einigen "Ballast" bereinigt (aus Sicht der typischen Anwendungsszenarien auf einem Server – kein Edge-Browser, kein App-Store; die grafische Oberfläche lässt sich abwählen), d. h. es bietet weniger (aber auch wenige andere) Angriffspunkte als Windows 10. Je nach gewähltem "Update-Channel" kann man bestimmte Fixes unter Windows 10 auch als "Early Adopter" bekommen; ob man das will, ist eine andere Frage. Die "Update-Channels" für die Server-Variante sind sicherlich ein wenig anders organisiert, hier spielen schlicht andere Kundenanforderungen/-profile hinein.
SAS Extender?
Habe mittlerweile ein Bild gefunden (exemplarische Herstellerbezeichnung: "SuperStorage 6047R-E1R72L"); ich hatte eine falsche Anordnung der Platten vor dem geistigen Auge, wodurch ich die (gerne recht länglichen) redundanten Netzteile nicht platzieren konnte – aber der Trick, pro "Hot-swap Drive Bay" zwei Laufwerke hintereinander einzubauen, hat 'was… Und so ein Modul ist tatsächlich preislich konkurrenzfähig zu einem Backblaze-Pod.
[...] aber Supermicro bietet tatsächlich 72 Plattengehäuse auf 4HE an mit Front und Rear Loader, was bedeutet das du mindestens 10 von denen in ein Rack bekommst was 720 Platten in einem Rack entspricht. [...]
Gibt es da eine Herstellernummer bzw. Bilder, wie so ein volles Rack mit 42HE (inklusive Stromversorgung!) aussieht? Die kompakteste mir bekannte Lösung war bisher die von Backblaze – nicht, dass ich den Bedarf/Platz hätte, das mal in absehbarer Zeit nachzubauen, aber...
Aber ich fürchte aus meinem GlusterFS-Test-Cluster wird erst einmal nichts, ich glaube beide VPS Plus Server sind auf dem gleichen Wirt gelandet, was das ganze ja absurd wirken lässt (und keine reale Performance wiederspiegelt)
Code# iperf -s ------------------------------------------------------------ Server listening on TCP port 5001 TCP window size: 85.3 KByte (default) ------------------------------------------------------------ [ 4] local 46.232.xxx.xxx port 5001 connected with 46.232.xxx.xxx port 41238 [ 4] 0.0-10.0 sec 21.5 GBytes 18.5 Gbits/secIch glaube kaum das die netcup Wirtsysteme mit über 20 GBits angebunden sind
Das ist allerdings eine gute Testidee, um bei einer Neueinrichtung (bei bestehender Anzahl von Systemen bei Netcup) evtl. "Fehlplatzierungen" zu erkennen!
m_ueberall AES 128 CBC + fast zlib Kompression
Mein MeshVPN-Binary ist gegen libressl 2.7.2 gelinkt (inkl. SECCOMP, ZLIB-Unterstützung); Vorgabewerte für die Verschlüsselung sind hier
MeshVPN-master/src/encryption/crypto.c: case crypto_AES256: st_cipher = cryptoGetEVPCipher(EVP_aes_256_cbc()); break;
MeshVPN-master/src/encryption/crypto.c: case crypto_SHA256: st_md = cryptoGetEVPMD(EVP_sha256()); break;
MeshVPN-master/include/crypto.h:#define crypto_AES256 1
MeshVPN-master/include/crypto.h:#define crypto_SHA256 1
Edit: im Vergleich dazu Tinc:
Code------------------------------------------------------------ Client connecting to 172.20.25.8, TCP port 5001 TCP window size: 45.0 KByte (default) ------------------------------------------------------------ [ 3] local 172.20.25.28 port 36820 connected with 172.20.25.8 port 5001 [ ID] Interval Transfer Bandwidth [ 3] 0.0-10.0 sec 107 MBytes 89.5 Mbits/sec
Hm… Ist Tinc so viel langsamer als MeshVPN? Liegt das an der verwendeten Verschlüsselung?
# iperf -c 172.16.0.6 #RS X-Mas 2016 2 (1 vCPU); Sende-/Empfangsrichtung gleiches Ergebnis
------------------------------------------------------------
Client connecting to 172.16.0.6, TCP port 5001
TCP window size: 85.0 KByte (default)
------------------------------------------------------------
[ 3] local 172.16.0.7 port 36364 connected with 172.16.0.6 port 5001
[ ID] Interval Transfer Bandwidth
[ 3] 0.0-10.0 sec 183 MBytes 154 Mbits/sec
# iperf -c 172.16.0.8 #RS 1000 SAS G7SEa1 12M (wie 172.16.0.7)
------------------------------------------------------------
Client connecting to 172.16.0.8, TCP port 5001
TCP window size: 774 KByte (default)
------------------------------------------------------------
[ 3] local 172.16.0.7 port 55184 connected with 172.16.0.8 port 5001
[ ID] Interval Transfer Bandwidth
[ 3] 0.0-10.0 sec 253 MBytes 212 Mbits/sec
# iperf -c 172.16.0.9 #Root-Server Eierkanone
------------------------------------------------------------
Client connecting to 172.16.0.9, TCP port 5001
TCP window size: 153 KByte (default)
------------------------------------------------------------
[ 3] local 172.16.0.7 port 57564 connected with 172.16.0.9 port 5001
[ ID] Interval Transfer Bandwidth
[ 3] 0.0-10.0 sec 214 MBytes 179 Mbits/sec
Bis zur Drosselung, die beim neuen VLAN ja nicht greifen soll (und die auch erst einmal ausgelöst werden muss), fährt man da mit einer Eigenkonfiguration deutlich flotter, sofern es keinen CPU-Engpass gibt durch die Verschlüsselung beim VPN… Wer externe Rechner anbietet, hat wohl eh' keine andere Option in diesem Fall; eine Parallelnutzung scheint sich (zumindest für meine Anwendungszwecke?) nicht zu rechnen.
Glaubt ihr, Encrypted Server Name Indication wird mir dann auch auf Debian 10 zur Verfügung stehen?
ESNI muss dazu ja erst einmal von den Webservern (also "upstream") unterstützt werden…
Bei geplanter Wartung werden niemals alle Server gleichzeitig heruntergefahren – warum also die Datenbankinhalte auf dem Storage-Space vorhalten anstatt gespiegelt auf den Servern? (Wobei es sich in der Praxis empfiehlt, eine ungerade Anzahl von Cluster-Knoten zu betreiben, um Widersprüche anhand von Mehrheitsentscheidungen aufzulösen – das gilt sowohl für verteilte Dateisysteme als auch für Anwendungen wie Datenbanken.)
Nachtrag: Im obigen Post wurde nicht erwähnt, um welche Datenbank es sich handelt, aber in der Regel ist es nicht so einfach, mehrere Prozesse auf verschiedenen Rechnern auf dieselben Dateien zugreifen zu lassen…
OpenSSL 1.1.1 hat es übrigens schon nach Debian Testing (Buster) geschafft
Unter https://launchpad.net/~ondrej/+archive/ubuntu/apache2 (d.i. ppa:ondrej/apache2) ist auch bereits die damit gelinkte Version 2.4.37 von apache2 verfügbar, mit welcher TLS1.3 nun einwandfrei funktioniert (laut den üblichen Tests via Hardenize, ssllabs, testssl.sh). 
