Beiträge von m_ueberall

Zitat von peng

Deutsche Sprache schwer "Dass" vs. "das" habe ich mir damals gemerkt, dass nach einen Komma >so gut wie immer< "dass" geschrieben wird. Vor Nomen immer nur ein "s". So gut wie immer klappt's damit

Ernsthaft? Das war einfacher zu merken als die hundertprozentig korrekte "dieses, jenes oder welches"-Regel? [Für das (nicht: dass!) Protokoll: Wenn man "das" durch eines dieser Worte an derselben Stelle im Satz ersetzen kann, ist es korrekt – wenn nicht, ist ein "dass" (seinerzeit: "daß") einzusetzen]

Zitat von 03simon10

Denn: Wenn es sowieso niemanden erreicht, kann ich es gleich lassen.

Advocatus Diaboli: Zu große Hoffnungen würde ich mir bei einer eigenen Sammlung von Dokumenten grundsätzlich nicht machen, wenn es nicht um ausgefallene Themen geht.

Um eine Idee über die "Mitbewerber" (um die Sichtbarkeit im Web) zu bekommen, würde ich vorschlagen, einfach einmal bei den bekannten Suchmaschinen etwa nach "Kafka Prozess Hausarbeit" oder Ähnlichem zu suchen. Die ersten Fundstellen sind entweder bezahlt und/oder von "Hubs" belegt, welche sich auf ein Thema wie Hausarbeiten spezialisieren. Es gibt Studien, welche belegen, dass sehr viele Nutzer (und bei den genannten Gruppierungen sind hier insbesondere auch jüngere Nutzer/Schüler dabei) nur die ersten xx Fundstellen anschauen.

Da man als Einzelner, wenn man nicht für verschiedene Dokumente verschiedene dieser "Hubs" auswählt (und/oder wiederholt Verweise in sozialen Netzwerken veröffentlicht), um "Eigenwerbung" zu betreiben, an der eigenen Platzierung de facto nichts ändern kann, ist die eigene Sichtbarkeit trotz Schlagworten usw. schlichtweg "bescheiden".

Hallo 03simon10,

Wenn es um eine überschaubare Anzahl von Dokumenten geht, und keine Definition von Gruppen/Zugriffsrechten benötigt wird, würde ich selbst von "einfachen" Werkzeugen absehen, welche kontinuierlich aktualisiert werden müssen, sondern stattdessen statische HTML-Seiten generieren (es gibt durchaus Generatoren dafür, zum Beispiel https://jekyllrb.com/), welche keinerlei Pflegeaufwand mit sich bringen.

Die Auffindbarkeit ist stark abhängig davon, wie gut die Verschlagwortung und die Verknüpfung von außen gelingt. Die eigenen Seiten lassen sich bei verschiedenen Suchmaschinen registrieren, um proaktiv Crawler "anzulocken" – hier können Filesharing-/Synchronisations-Werkzeuge wie SeaFile/NextCloud oder CMS auch nicht "hexen", sondern nur Unterstützung leisten (wenn sie sich in einer Webhosting-Umgebung denn installieren lassen).

Zu guter Letzt wüßte ich aber nicht, dass bei https://docs.google.com/ sonderlich viel Werbung eingeblendet würde. Die Nutzung von Plattformen wie Google Docs, WordPress(.com), Blogger oder etwa auch GitHub für Dokumentsammlungen sorgt bereits für eine gewisse "Grund-Sichtbarkeit" und nimmt den obengenannten Pflegeaufwand ab, der nicht unterschätzt werden sollte (KISS-Prinzip!)

Zitat von oliver.d

Also mit stunnel konnte ich mein Vorhaben nicht umsetzen. Ich bin aber zwischenzeitlich auf PeerVPN gestoßen. Damit hab ichs in Windeseile aufgesetzt gehabt. Funktioniert nun perfekt

Gratulation! Unter Verwendung des Originals (https://github.com/peervpn/peervpn) oder des aktualisierten forks "MeshVPN" (https://github.com/Kuebler-IT/MeshVPN)?

Zitat von killerbees19

Ich würde mich als Kunde nicht freuen, wenn ich mit zig Bestätigungsmails zugeflutet werde, weil ein Scherzkeks in meinem Namen den Support zuspammt. Es reicht schon, wenn viele Kontaktformulare im Internet genau das machen…

Hier muß ich ehrlich sagen, dass mich *gerade* das brennend interessieren würde, noch bevor sich Netcup explizit beim "nervenden Kunden" (mir) meldet. Das wäre nämlich in der Tat eine Situation, in welcher ich proaktiv eine andere Mailadresse hinterlegen würde.

Außerdem besteht in diesem Fall noch eine (geringe) Chance, auf eine böswillige Anfrage reagieren zu können, bevor der Support gegen den Willen des geschädigten Kunden tätig wird.

Zitat von killerbees19

[netcup] Felix P. Ich weiß ja nicht, wie ihr die Tickets aus dem CCP einliefert, aber gibt es dort vom Ticketsystem keine Möglichkeit die Ticket-ID zurückzubekommen? Dann könnte sie direkt nach dem Absenden angezeigt werden.

*meld*

Ich nutze zwar meistens das CCP, damit die Identität trotz anderer Absenderadresse bestätigt ist, aber einen Zwang fürs CCP-Formular finde ich weniger gut.

Wie wäre es, wenn man sowohl eine Möglichkeit der direkten Eingabe im CCP, als auch ein zusätzliches, optionales Password-/Code-Feld im Webformular hätte, welches Voraussetzung für die Bestätigung via E-Mail ist (solche Einmal-Codes könnten im CCP generiert werden)?

Um einen Missbrauch auszuschliessen, könnte die Möglichkeit, dieses Feld auszufüllen (oder schlichtweg dessen Berücksichtigung), nach 1-2 Fehlversuchen für eine gewisse/längere Zeit blockiert werden (24h+); zusätzlich könnte man diese Funktion von einer expliziten Zustimmung (Opt-in-Einstellung im CCP) abhängig machen.

Zitat von oliver.d

Nabend,

ich stehe vor dem Gedanken 2 meiner Server zu einem Proxmox Cluster zusammenzuschließen. Nun habe ich gelesen, diese müssten sich im gleichen Netzwerk befinden um per Multicast kommunizieren zu können. [...]

Da die Anzahl der Ports überschaubar ist (vgl. https://pve.proxmox.com/wiki/Ports), würde ich einen Blick auf stunnel empfehlen. Einfach auf allen Servern ein lokales 192.168.x.y-Netz o.ä. für die Proxmox-Instanzen aufsetzen und via stunnel zwischen beiden Servern tunneln... damit läßt sich die Kommunikation auch gleich absichern. Hier mal zum Vergleich ein (Fast-)Minimalbeispiel am Beispiel eines memcached-Clusters, welches das Prinzip veranschaulicht:

[2018-04-05T22:13:02] root@vserver07:/etc/stunnel# netstat -tulp | grep 11211
tcp6       0      0 ipv6.internal.vserver08.netcup:11211 [::]:*     LISTEN      19862/stunnel4  
tcp6       0      0 ipv6.internal.vserver06.netcup:11211 [::]:*     LISTEN      19862/stunnel4  
tcp6       0      0 ipv6.internal.vserver07.netcup:11211 [::]:*     LISTEN      7061/memcached
[2018-04-05T22:13:08] root@vserver07:/etc/stunnel# cat memcached.in 
########## Memcached #################################################### BEGIN ##########
# Native ports:
#   - 11211

[vserver06_memcached-ipv6]
accept = ipv6.internal.vserver06.netcup:11211
connect = ipv6.vserver06.netcup:xxxxx
client = yes

[vserver07_memcached-ipv6]
accept = ipv6.vserver07.netcup:xxxxx
connect = ipv6.internal.vserver07.netcup:11211
client = no

[vserver08_memcached-ipv6]
accept = ipv6.internal.vserver08.netcup:11211
connect = ipv6.vserver08.netcup:xxxxx
client = yes

########## Memcached ###################################################### END ##########

(ipv6.internal.vserverNN.netcup steht hierbei für ("link-")lokale IPv6-Adresse, ipv6.vserverNN.netcup für die öffentliche Adresse, :xxxxx für den verwendeten öffentlichen Port; geht natürlich auch auf IPv4-Basis -- Verwendung von Namen anstelle von "nackten" IP-Adressen bedingt die Verwendung eines entsprechend konfigurierten Nameservers.)

Hallo mainziman,

Zitat von mainziman

m_ueberall ich lese in Deinen Links aber etwas anderes ...

und 2 TXT Records mit dem selben Key sind EIN TXT-Record; wir reden aber von 2 TXT-Records mit unterschiedlichen Keys;

einer f. example.com und einer f. *.example.com und das ist eben nicht erlaubt;

dies wurde auch in der c't bei der Vorstellung von acme.sh geschrieben;

Damit wir nicht aneinander vorbeireden: Aus DNS-Sicht ist der Schlüsselcode von LetsEncrypt der Wert, der Schlüssel wäre hier das "_acme-challenge."-Präfix gefolgt von der Domäne, bspw. "example.com" (analog zu den Schlüsseln "_adsp._domainkey", "_dmarc").

Ich habe das acme.sh-Projekt gerade geclont und einen Beispiellauf mit "./acme.sh --test --issue -d mydomain.de -d '*.mydomain.de' --dns --yes-I-know-dns-manual-mode-enough-go-ahead-please" gestartet, woraufhin ich aufgetragen bekam zwei TXT-Einträge unter "_acme-challenge.mydomain.de" (CCP-Spalte "Host") mit abweichenden Werten (LetsEncrypt-Schlüsseln, CCP-Spalte "Destination") anzulegen.

Und das Eintragen funktionierte testweise mit Pseudo-Werten auch genau so im CCP (analog zu anderen Beispielen wie TLSA-/CAA-Einträgen). Durchgeführt habe ich die Registrierung nach diesem Lauf nicht (weil ich explizit keine Wildcard-Zertifikate danach widerrufen mag), aber die Erfolgsmeldungen im LetsEncrypt-Forum sind bestimmt nicht geflunkert.

Hallo @mainziman/@margau,

Zitat von mainziman

margau: Anmerkung zu Deiner Anleitung; der Grund wieso man bei LE kein Wildcard so bekommt, wie man bei anderen CAs, d.h. der CN=*.example.com und

die x509v3 SAN Erweiterung enthält: example.com und *.example.com, liegt daran, daß hier die notwendigen TXT DNS-Records kollidieren;

um example.com zu validieren braucht es den selben DNS-Record wie die Domain selbst zu valideren, nämlich: _acme-challenge.example.com

und diese sind aber unterschiedlich f. example.com und *.example.com ...

irgendwie ein Design-Fehler ...

Kein Designfehler; es liegt nicht wirklich eine "Kollision" vor, da zwei TXT-Einträge mit demselben Schlüssel erlaubt sind: https://community.letsencrypt.…for-the-same-name/54528/2 (Erfolgsmeldung in separater Diskussion: https://community.letsencrypt.…rd-names-incomplete/54525)

Hallo Hecke29,

Zitat von Hecke29

Trotz neuer Schnittstelle, trat der Fehler eben erneut auf. Eine FailOver war (oder ist?) scheinbar mehreren Servern zugewiesen.

Leicht hilfloses herumklicken im SCP (um diese IP von einem Server ent-zuzuweisen - Button fehlte), brachte nichts. Ich hab jetzt absichtlich einen Node heruntergefahren, um einen erneuten FailOver API-Call zu forcieren. Das SCP ist jetzt auch etwas... unentschlossen welchem Server die IP jetzt gehört (zumindest verhält es sich inkonsistent). Werde dazu ein Ticket eröffnen.

Gab es hierzu eine Rückmeldung? Im Wiki ist zu lesen, dass man eine Zuordnung unter Verwendung der MAC-Adresse 00:...:00 löschen könnte.

Ist es "best practice", dies vor einer Neuzuordnung vorzunehmen?

Hallo Dracoform,

Zitat von Dracoform

Und was machen die Leute die pünktlich zu Ostern die Verwandten besuchen dürfen?

Da ist der Chrome auf dem Handy die einzige Möglichkeit mitzusuchen.

Das alte System zu Weihnachten war da wesentlich besser als diese Ausgrenzung

Hinterher ist man zwar immer schlauer, aber: Alles grundsätzlich eine Frage der Planung/Einstellung.

• Auf einem (getestet: Samsung-)Tablet funktioniert die Suche problemlos
• Wenn man via VNC o.ä. eine Verbindung zu einem entfernten Desktop-Rechner mit graphischer Oberfläche/Browser aufmacht, ist das Problem auch umgangen
• Ein Besuch bei den geliebten Verwandten sollte mehr wert sein als die Ersparnis für ein (halbes) Jahr durch ein Schnäppchen zu Ostern (sprich: positiv denken!), denn es gibt ja zu Weihnachten auch immer Sonderaktionen...

Hallo VVV,

Zitat von VVV

Hallo, wie funktioniert das Whois bei Domains über netcup? [...] meine Wohnadresse sowie Telefonnummer [...]

Lässt sich das irgendwie abstellen? Ändert sich daran vielleicht was nach dem Inkrafftreten der DSGVO?

Laut Denic-Geschäftsführer J. Schweiger wird sich hier in der Tat etwas ändern, siehe das Interview mit heise online: https://heise.de/-3977667

Hallo A:H,

Der Einsatz bzw. die Konfiguration der Verschlüsselung ist in der Tat bei den verschiedenen Anwendungen eine Qual, zumal sich die Einstellungen regelmäßig voneinander unterscheiden. Der "einfachste" Weg führt IMHO wie oben erwähnt (SSH-Tunnel) über spezialisierte Werkzeuge, so dass den Anwendungen selbst nicht bewusst ist, dass die Verbindung verschlüsselt wird; ich selbst verwende hierfür https://www.stunnel.org/ zwischen allen verteilten/verknüpften Applikationen.

(Wichtiger Nebeneffekt: Die Nutzerbasis ist hier insgesamt deutlich größer als diejenige, welche applikationseigene Verschlüsselungsansätze verwendet... sehr hilfreich bei Nachfragen!)

Hallo Kodon,

Zunächst eine Anmerkung zur Verwendung eines Servers mit dynamischer IP-Adresse als MX: Auch wenn das Risiko, dass E-Mails eintrudeln, während die originäre Adresse schon einem anderen Nutzer zugeteilt wurde, während die eigene Reregistrierung mit neuer Adresse noch nicht "durch" ist, ggf. individuell als gering eingeschätzt wird, würde ich dies grundsätzlich nicht machen, auch nicht zu "Versuchszwecken". Da vernünftige Absender bei Übertragungsproblemen i.d.R. mehrere Versuche unternehmen, Mails zuzustellen, und ein als MX eingesetzter Rootserver i.d.R. über eine ebenfalls akzeptable Uptime verfügt/verfügen sollte, geht ja nichts verloren. Auch SPF-Einträge sind für dynamische Adressen nicht sinnvoll nutzbar.

Was die Konfiguration der heimischen Postfix-Instanz anbelangt, wenn es um die Weiterleitung geht: Hier wird man unter den Stichworten "relay[ ]host", "smart[ ]host", "satellite system" fündig. (exemplarische Kurzanleitung: https://medium.com/@federicopa…u-relay-host-ad6ef39a1239)

Zuletzt der Punkt Synchronisation/Duplizierung/Backup: Hier ist von der Beschreibung her nicht ganz klar, ob es um eine Instanz geht, die alles archivieren soll ("WORM"/Nur-Lese-Zugriff) oder ob es (neben einem sinnvollen Offline-Backup) um eine redundante, *synchronisierte* Ablage von Mails an zwei Orten (auf zwei Rechnern) geht, was alle Zusatzinformationen (Mail (un)gelesen/(un)markiert/dupliziert/verschoben/...) beinhaltet. Im letzten Fall würde ich keinen Abgleich via Postfix vornehmen/definieren, sondern über zwei via "dsync" verbundene Dovecot-Instanzen (lies: ich mache es so).

Zu den beiden letzten Punkten gibt es einige Videos/Folienpräsentationen (einfach einmal online im Umfeld der FOSDEM/Linux-Tage suchen).

Zitat von ThomasChr

Wenn man nun die Server stundenweiße mieten kann, wird es zum Server bestellen noch einen schnellen, einfachen Weg mit API geben? [...]

Ein Zusatzwunsch mittelfristig, wenn die API verfügbar ist, wäre zudem das Initialisieren eines solchen Servers mit einem eigenen Image – was bei dem vorgenannten Mitbewerber derzeit *nicht* möglich ist (wäre ein echter Wettbewerbsvorteil!) ...

Realisieren ließe sich dies, indem statt Aufspielen eines "Standardimages" etwa via PXE-Einstellungen ein vom Anwender betriebener Server die weitere Konfektionierung übernimmt. (Ein einfacherer Ansatz bestünde darin, daß der Anwender ein entsprechendes Image in den zugehörigen FTP-Bereich lädt und dieses gestartet wird.)

Zitat von [netcup] Johannes

[...]

Zudem sind nun auch Report-URL Einträge möglich. ( m_ueberall)

[...]

Unsere Tests mit diesem Update waren erfolgreich, können Sie das bestätigen?

Ja, die erneute Eingabe von @ CAA [0] 0 iodef "https://meinedomäne.tld/caa-report" wurde nun wie erwartet akzeptiert, herzlichen Dank!

mfg M. Ueberall

Zitat von [netcup] Felix

[E]s ist vollbracht. Ab sofort liefern unsere DNS-Server auch CAA-Records aus[.]

Hallo Herr Preuß,

Ich erhalte folgenden Fehler bei versuchter "Report-URL"-Eintragung:

Fehler: Eintrag ungültig: @ CAA 0 0 iodef "http://meinedomäne.tld/caa-report" Destination des CAA Eintrags ist im falschen Format. Bitte verwenden Sie das Format 0-256 issue/issuewild/iodef "domain.tld"

RFC6844 spricht in diesem Zusammenhang lediglich von einem "URL". Auch wenn viele Beispiele keinen Pfad (der hier analog zu üblichen PKP-/CSP-Report-URLs verwendet werden soll) enthalten, wird er nicht explizit ausgeschlossen. Auch (bekanntere) Generatoren wie https://sslmate.com/caa/ nehmen hieran keinen Anstoß.

Es wäre schön, wenn sich die entsprechende Überprüfung im CCP noch anpassen ließe.

Hallo KopfKrieg,

Ich würde vorschlagen, Deine Fragen vom Forum in einen IRC-Kanal zu verlegen, um (deutlich!) schnellere Rückmeldungen zu erhalten.

Daneben gibt es z.B. auf serverfault.com einige Diskussionen, was die Nutzung von ifup/ifdown anbelangt – versuche es ggf. einmal mit "ifconfig ens3 down|up".

Dank SCP kannst Du ja problemlos mit den Netzwerkeinstellungen herumspielen. Ich würde in Anbetracht der Zeit, die Du bereits damit verbracht hast, auch ins Auge fassen, einmal die IPv4-Netzwerkeinstellungen zu löschen und allein mit IPv6-Definitionen zu arbeiten oder letztere auf "ens3:1" zu verlagern; auch das Booten eines Ubuntu/Knoppix-Live-Images (im Optimalfall mit einer menügeführten Einrichtung von IPv4-/IPv6-Konnektivität; wenn das auch nicht funktioniert, wäre es zumindest ein Anhaltspunkt dafür, daß ggf. der Fehler außerhalb der KVM liegen könnte) und/oder das nachträgliche manuelle Hinzufügen einer IPv6-Adresse/Default-IPv6-Route mittels ip sollte explizit durchprobiert werden.

Zitat von KopfKrieg

Achso, okay. Aber sollte die IPv6 Adresse nicht trotzdem gelistet werden? Lokal am Rechner/Laptop kann ich die jeweilige Adresse ja auch einsehen?!

Eine IP-Adresse wird nur dann gelistet, wenn sie auch an eine Schnittstelle gebunden wurde; wie oben ausgeführt, fehlt offensichtlich der zugehörige Block (Du hast aber oben etwas diesbezügliches bereits zitiert) oder er wird in Deinem Fall nicht korrekt geparst. (Wenn das im Netcup-Wiki nicht erwähnt ist, wäre eine Übernahme eines gemeinsamen Beispiels für IPv4 und IPv6 ggf. sinnvoll.)

Ich verwende folgende Einträge (habe die o.g. Adressen substituiert):

auto ens3
iface ens3 inet static
        address 46.38.240.223
        netmask 255.255.252.0
        broadcast 46.38.243.255
        gateway 46.38.240.1
        ##Folgende Zeile nutzen, wenn kein lokaler DNS-Nameserver (bind, unbound, ...) zum Einsatz kommt:
        #dns-nameservers 46.38.225.230 46.38.252.230
        ##Bei Einsatz eines lokalen DNS-Nameservers:
        dns-nameservers 127.0.0.1

iface ens3 inet6 static
        address 2a03:4000:7:c6::1
        netmask 64
        ##Ursprünglich verwendet, wie im Wiki angegeben; nach Warnungen auf einem VServer aber durch 2. Zeile ersetzt:
        #gateway fe80::1
        post-up /sbin/ip -6 route add default via fe80::1 dev ens3
        #dns-nameservers 2a03:4000:0:1::e1e6 2a03:4000:8000::fce6
        dns-nameservers ::1

Zitat von A:H

Vielleicht kann mir jemand von euch bei der Beschleunigung meines ersten richtigen ZFS Systems helfen. Die Lese/Schreibwerte bewegen sich derzeit im data-Pool bei rund 50MB/s und im rpoom bei ca. 100MB/s.

Hallo,

Welches Betriebssystem/welche ZFS-Version wird denn verwendet? (Für Linux empfiehlt sich, falls noch nicht geschehen, ein Blick auf https://github.com/zfsonlinux/zfs/wiki/Getting-Started)

Ein potentieller Grund wäre, daß der Speicherplatz temporär(!) einmal bis zur Neige ausgenutzt wurde, was m.W. bei ZFS unabhängig vom Pool-Aufbau nur durch ein Neuaufsetzen heilbar ist. Um dies vom Anfang an zu verhindern, kann man entweder an bestimmten Einstellungen "schrauben" oder man erstellt sich einfach ein dataset wie folgt ("xx" sollte hierbei 15-20% des Gesamtplatzes einnehmen):

zfs create -o canmount=off -o setuid=off -o exec=off tank/RESERVED
zfs set reservation=xxG tank/RESERVED

Daneben ist zu verifizieren, daß die Samsung-SSD nicht das Problem ist (laut Berichten bricht die Zugriffszeit massiv ein, wenn sie voll belegt ist). Die verwendete Partitionsgröße für L2ARC halte ich für deutlich überdimensioniert, sofern Statistiken nicht das Gegenteil beweisen (vgl. https://github.com/mmatuska/zfs-stats/ o.ä.); ich empfehle hier eine Neuaufsetzung mit 25-50% manuellem Overprovisioning, was auch der Lebensdauer entgegenkommt.

Nicht erwähnt, aber wichtig: Ein regelmäßiges Scrubbing via cronjob sollte gewährleistet werden (alle 1/2/4 Wochen).