Posts by Paul

    Oh, da liegen aber einige Missverständnisse vor.


    1. 10.x.x.x ist eine private IP Adresse (https://de.wikipedia.org/wiki/Private_IP-Adresse). Die kannst du so von deinem PC aus gar nicht erreichen.

    2. Der DB Server der Shared Hosting Systeme wird keinen SSH Zugriff von außen zulassen. Zugriff auf die Datenbank hast du von deinem Webhosting Server aus (dort kannst du dich per SSH verbinden) und dort dann nur auf den Port des DB Dienstes (3306).


    Was hast du denn eigentlich genau vor?

    Guten Tag,

    Ich habe ein Root server und möchte auf diesem Server eine node application hosten aber auch einen gameserver.

    Das Betriebssystem des Gameservers muss ein windows Server sein. Nun frage ich mich, wie ich meine node application auf dem windows server mit meiner .de domain verbinden kann.

    Hat da jemand vielleicht mehr wissen oder Erfahrung?

    Ich habe bereits Windows Server 2019, NodeJs und installiert, außerdem habe ich den server zu einem domain controller herauf gestuft. Was nun?

    Ganz ehrlich. Trenn das lieber. Betreibe das nicht auf dem gleichen Server. Wenn du das Geld für eine Windows Server Lizenz hast, sollte ja auch ein 2. Server drin sein ;-)

    Nein, weil ein Vertrag ein Vertrag ein Vertrag ist. Was Vertragsinhalt ist, schließt per se Kulanz aus, da Kulanz nach der Definition ein außervertragliches Entgegenkommen ist. Auch über das, was unter dem Tresen angeboten wird, kommt bei Annahme ein Vertrag zustande.

    Gäbe es keinen Vertrag gebe es auch keinen synallagmatischen Anspruch auf das Entgelt. So gesehen freut mich eine Kulanz im Wortsinn, denn für die muss ich ja auch nichts zahlen... Alles klar?!

    Das Entgegenkommen kann sich aber in vielerlei Hinsicht äußern. Man könnte auch aus Kulanz einen Vertrag anbieten, den man normalerweise nicht anbieten würde. Das ist auch ein Entgegenkommen. Nach erfolgreichem Abschluss ist dieser natürlich bindend. Kulanz dient in erster Linie der Kundenbindung und Zufriedenheit, hier muss nicht zwangsläufig etwas geschenkt werden.

    Ist dann nicht im Grunde jeder Vertrag hier (inklusive der regulären Produkte) eine Kulanzleistung? Weil einen wirklichen Rechtsanspruch, dass der Vertrag zustande kommt, man ja im schließlich nicht. ;-)

    Ich würde mich jetzt nicht so sehr auf das Wort "Kulanz" stürzen. Ist wohl einfach ein wenig unglücklich gewählt, wenn es eigentlich um einen individuelles Angebot geht, das nicht offiziell ausgeschrieben ist. Und das individuelle Angebote teurer sind als reguläre, ist ja doch nachvollziehbar. Finde die Diskussion dann doch ein bisschen überzogen.

    Vielleicht könntest du noch kurz erwähnen, dass du Nextcloud in einem Webhosting Paket meinst. Zumindest gehe ich mal davon aus, da sich die Fragen/Themen wohl recht speziell darauf beziehen. Wenn du das noch mit in den Thread Titel aufnehmen könntest, wäre das für viele sicherlich eindeutiger. Sonst haben wir hier bestimmmt sehr schnell Diskussionen zu Punkten, die so in einem Webhosting mit Nextcloud gar nicht möglich wären :-).


    Korrigiere mich bitte, falls ich hier mit meiner Annahme falsch liegen sollte. (Bei einer "normalen" Server Installation könnte ich sonst sicherlich auch einiges beisteuern).

    Der Vollständigkeit halber verlinke ich auch nochmal auf das entsprechende RFC: https://tools.ietf.org/html/rfc2487

    Bin auch erst dank der guten Postfix Dokumentation drauf gekommen.


    Gibt auch einige Fluggesellschaften, die ihre Boardkarten über etwas veraltete Mailserver versendet. Da hatte ich mal in den Ferien unschöne Erfahrungen gemacht, weil ich mal für meine Mailserver die gleichen TLS Sicherheitseinstellungen genutzt hatte wie für meine Webserver. Seit dem bin ich da vorsichtig :-)

    Also bei den Mailservern wäre ich mit den SSL Ciphers und Protokollen nicht so streng. Es gibt einfach so viele alte Mailserver da draußen. Lieber eine TLSv1 Verbindung zugelassen als komplett unverschlüsselt kommuniziert (was laut RFC nicht abgeschaltet werden darf!).

    Was empfiehlt sich denn eigentlich am ehesten als Reverse Proxy?

    Auskennen tu ich mich bisher nur mit Apache2, aber der soll wohl nicht so prall von der Performance her sein... ich hätte an sich kein Problem mich in nen anderen Server einzulesen, aber würde sich das lohnen?

    nginx ist eigentlich mit so der beliebteste RP, weil er nochmal einen eigenen Cache hat und besser SSL terminieren kann. Da hat Apache einfach ein paar Schwächen, vor allem wenn man viel Load hat.


    Wenn es aber ein reiner Proxy werden soll, kann ich auch Traefik sehr empfehlen. Den nutze ich sehr gerne, nicht nur im Container Umfeld, weil die Config so schön simpel und er nicht so überladen ist.

    Ansonsten natürlich auch noch der Klassiker: Haproxy.

    Die Datenbankgrößen in MB: 0.45444775, 1.01562500, 3.51562500, 3.84199810, 4.82812500, 4.88529301, 5.78125000, 6.31250000, 7.06389046, 10.21206188, 13.34994888, 16.79687500

    Also bei solchen Daten lohnt es sich überhaupt nicht, die Datenbank auszulagern. Lass sie ruhig mit auf dem Server laufen (vorausgesetzt, die Applikation läuft mit der neueren MariaDB Version, die mit CentOS8 mitkommt) - aber selbst in diesem Fall sollte man eher die Applikation aktualisieren :-)


    https://en.wikipedia.org/wiki/Unix_domain_socket

    <-- ist ca. 30 mal schneller als das Loopback Device, deswegen laufen alle Application und Datenbankdienste zusammen, es sei denn man muss clustern.

    Aber selbst da läuft die Replik auf dem Applicationserver, mindestens aber der Router zum Cluster sollte da lokal laufen.

    Zumindest theoretisch. In der Praxis merkt man diesen Unterschied allerdings kaum.


    Man verwendet das VLAN auch nicht dazu, um TLS auf offener Strecke abzulösen.

    Um vor Zugriffen zu schützen, gibt es iptables - und auf TLS sollte man auch im VLAN nicht verzichten.

    Es kann dir keiner garantieren, dass da nicht mal Pakete woanders lang huschen. Da reicht es bereits einen Server von dir zu übernehmen und ganz frech auf ARP Requests zu reagieren, und schon bekomme ich eine Kopie deiner Pakete, die du ja jetzt nicht mehr verschlüsselst.


    Die kann dir nicht nur killerbees19 erzählen. Diese ganze YaSSL Geschichte ist einfach nur zum Hände über den Kopf schlagen.

    Es macht schon einen Unterschied, ob die Zugriffe über das VLAN laufen oder über die Public IPs. Ich halte es durchaus für eine gute Alternative (anstatt Public IP + SSL), gerade weil du ja auch schon richtig angedeutet hast, dass SSL Implementationen oft nicht ganz so super umgesetzt wurden (jetzt konkret für diesen Fall gesprochen, ich möchte hier nicht generell SSL schlecht reden).

    Wenn wir jetzt aber bei dem Beispiel des TE bleiben, dann hat er sowieso verloren, wenn einer der Server übernommen wurde. Wurde der Webserver übernommen, hat der Angreifer Zugriff auf die DB (dank der Credentials, die ja irgendwo auf dem Webserver zu finden sind), hat er Zugriff auf den DB Server, hat er den Zugriff ebenfalls. Recht hast du natürlich, wenn unzählige Server in dem VLAN laufen, die eigentlich sonst nichts miteinander zu tun haben. Das ist dann aber wieder eine andere Geschichte.

    Ich würde das hauptsächlich von der Last auf dem Server bzw. der Größe der Datenbank abhängig machen, da man im Hintergrund auch immer ein wenig die Kosten berücksichtigen muss. Hast du hierzu ein paar Daten? Aber prinzipiell ist die Trennung von Datenbank und Webserver eine gute Idee. Dank dem kostenlosen Cloud VLAN bei Netcup kann man den Zugriff auch prima schützen. Vorher musste man da SSL Zertifiakte verwenden, was nicht immer einfach gewesen war bzw. ist( killerbees19 hat da auch ein paar nette Geschichten zu erzählen, wenn ich mich richtig erinnere).


    Bei mir laufen die meisten Datenbanken mittlerweile als Container. Das hat vor allem die ganze Update Geschichte stark verändert und vereinfacht. Bei einigen kleinen Projekten läuft die Datenbank aber weiterhin mit auf dem gleichen Server. Hier spielt die DB Version im Grunde keine Rolle und die Zugriffe auf die DB sind recht überschaubar. Hier würde sich ein separater DB Server überhaupt nicht lohnen. Es kommt also immer etwas darauf an.

    Hallo Weizenfuchs,


    wenn dieser Fehler schon bei einem "php -v" auftritt, solltest du dies am besten direkt dem Netcup Support melden (zusammen mit der Webhosting ID). Das klingt ganz nach dem Fehler, den schon andere hier hatten. Da kann dann bzw. muss der Support tätig werden.

    Es geht in erster Linie auch um die Datenhoheit. Du bist zwar noch der Eigentümer/Urheber der Daten, aber nicht mehr der eigentliche Besitzer, da der direkte Zugriff auf die Daten beim Anbieter liegt. Du hast zwar noch eine Art Nutzungsrecht, verlierst aber im Endeffekt die Hoheit über diese Daten. Es ist und bleibt natürlich immer eine Risikoabschätzung. Wenn du im Zweifel bereit bist, alle Passwörter zu verlieren, dann kann man das schon machen.

    Passwörter gehören nicht in fremde Hände. Punkt. Ohne Ausnahme. Finger weg von irgendwelchen Cloud Diensten. Wenn eine Synchronisation gewünscht ist, sollte die über eigene Server oder offline stattfinden. Wenn die privaten Urlaubsbilder im Netz auftauchen, ist das eine Sache, bei einer Passwort Datenbank was etwas anderes.

    Auf der einen Seite haben wir die völlig am Rad drehende EU (https://www.golem.de/news/eugh…r-nutzer-1910-144187.html) und auf der anderen Seite Nutzer, die all ihre Daten, inklusive Passwörter auf US Server laden. Schade, dass wir uns so von der Vernunft verabschiedet haben. Wir waren eigentlich mal auf einem ganz guten Weg...

    ...

    Mir ist noch nicht so wirklich klar, worauf du eigentlich hinaus willst. Wenn du in einer VM ohne vmx Flag eine Vollvirtualisierung (z.B. VirtualBox oder Proxmox mit KVM VMs) betreibst, hast du natürlich eine viel höhere Last, weil die Emulierung entsprechend Leistung kostet. Daher buchen die meisten, die so etwas nutzen, auch das Flag hinzu, weil es ohne praktisch nicht nutzbar ist.

    Wenn man allerdings keine Vollvirtualisierung nutzt, dann ist das Fehlen des Flags recht irrelevant.