Beiträge von Paul

Zitat von Bud

Kurze Zwischenfrage: Habe ich etwas an meiner config falsch gemacht, oder sind die Server von Debian hin und wieder etwas langsamer? Das ganze geht seit ca 15 Minuten so:

Standardmäßig dürfte Debian eigentlich immer noch http://deb.debian.org/debian als Default Mirror nutzen (beachte das fehlende s, also kein https). Ich hatte auch schon regelmäßig Probleme den deb Mirror mittels https anzusprechen. Die Pakete werden ja signiert. Daher ist das eigentlich kein so großes Problem, wenn man hier immer noch http verwendet. Probiere es mal aus.

Zitat von mainziman

Paul genau so eine Erklärung liebe ich, nur wieso komm ich von den anderen Linuxen noch hin?

ssh-rsa ist zwar deprecated, es gibt aber noch "rsa-sha2-256" bzw. "rsa-sha2-512", welche weiterhin mit einem RSA Key funktionieren. Ich gehe jetzt einmal davon aus, dass genau die von deinen anderen Linux Systemen unterstützt werden. Windows kann das evtl. nicht? Wäre jetzt zumindest meine Erklärung.

Zitat von mainziman

hatte dann einen ED25519 Key im Windows generiert, und nun geht es wieder;

aber zu den anderen Linuxen passt das mit dem 2048-bit RSA Key weiterhin ...

ich unterstell hier mal, dass hier die Schuld bei beiden liegt: sowohl Microsoft als auch Fedora;

Fedora ist mit seinen Updates immer recht flott. Entsprechend kommen OpenSSH Features hier schneller rein als woanders.

Die ssh-rsa (sha1) Methode ist halt einfach schon länger deprecated (https://lwn.net/Articles/821544/), entsprechend ist die neulich bei Fedora nun endgültig rausgeflogen. Daher der Fehler.

Zitat von Bud

Und genau das meine ich. Gibt es eine Software, welcher ich beibringen kann, welche Applikationen ich verwende, und wo nachgesehen werden kann, ob es Updates zu diesen gibt? Oder muss ich wirklich anfangen mir unzählige RSS-Feeds zu abonnieren und täglich manuell zu filtern?

Nein ;-). Es ist praktisch unmöglich, dass es eine Software gibt, die alle anderen Applikationen kennt (inklusive Sicherheitsupdates & Co) um dich zeitnah informieren zu können. Wenn es so eine Software geben würde, wäre sie vermutlich unbezahlbar. Dafür sind die Entwicklungen einzelner Applikationen viel zu verschieden und es gibt viel zu viele verschiedene Installationsmethoden. Es ist deine Aufgabe als Admin, dass du dich entsprechend informierst und handelst. Es werden ja nicht ohne Grund Mitarbeiter (Admins) eingestellt und bezahlt, damit sie diesen Job machen. Wenn das einfach so eine Software könnte, gäbe es ziemlich viele Jobs weniger da draußen.

Zitat von Bud

Gibt es eigentlich eine Art Update-Checker, welcher Notifications versenden kann?

Genau das ist der springende Punkt. Es gibt die normalen OS Updates, die du natürlich regelmäßig und zeitnah einspielen solltest. Aber bis auf wenige Ausnahmen ist das in der Regel weniger kritisch als die Updates für deine Applikationen, die sehr oft nicht über den Paket Manager bzw. die Repos kommen, sondern aus einer 3rd Party Quelle. Da hilft es, wenn man die Release Updates der entsprechenden Applikationen im Auge behält. Oft sind solche Applikationen ja sogar auf Github zu finden. In diesem Fall kann man z.B. die /releases Page als RSS Feed abbonieren (so mache ich das) und bleibt so immer auf dem Laufenden. Die wenigstens Server laufen zu 100% mit Software aus den OS Repos. Und das ist wirklich Prio 1. Ein (Sicherheits-)kritischer Bug in der Applikation ist genau das, was du um jeden Preis vermeiden willst, denn da helfen auch die schnellsten OS Updates nicht.

Zitat von Bud

Folgende Maßnahmen, abgesehen von sicheren Passwörtern, nutze ich um meine Server abzusichern:

• root-Login deaktivieren
• SSH-Port ändern
• SSH-Key
• ufw
• fail2ban

Reicht das, oder fehlt mir etwas essenzielles?

Das wichtigste hast du vergessen: Konfiguriere die (installierten) Apps sauber und halte sie aktuell! Die beste Firewall hilft dir nichts, wenn jemand über die Applikation auf deinen Server kommt und sämtliche Daten abziehen kann, weil du z.B. dein Wordpress oder dein Minecraft nicht schnell genug gepatcht hast oder du dir Plugins installiert hast, welche aus einer dubiosen Quelle stammen. Bei all der Diskussion um das Server Hardening verliert man nämlich gerne mal den Blick für das tatsächlich relevante. Und das sind immer die Applikationen, die auf diesem Server laufen. Eine Kette ist immer nur so stark wie ihr schwächstes Glied. Und das ist in der Regel nicht dein OpenSSH Server .

Zitat von eripek

Bitte um Diskussion, falls jemand hier sowas nützt. Bin skeptisch. Hatte seit Anfang der 1990ern schon IR-Fingermäuse, Trackballs (!), Trackpoints, ...

Von der Handposition her haben diese Mäuse durchaus ihren Reiz. Erinnert halt stark an einen Joystick. Aber genau da beginnen auch schon die für mich dann doch überwiegenden Nachteile. Die Tasten sind hier ja Design bedingt ebenfalls seitlich. Das heißt, man drückt die Maus beim Klicken nicht mehr nach unten, sondern zur zur Seite, was dazu führt, dass sich die Maus ebenfalls zur Seite bewegt und damit auch der Mauszeiger. Würde man als Ausgleich die Maus entsprechend schwerer machen, hätte dies aber wieder ganz andere Nachteile in der Beweglichkeit. Ein zweiter Nachteil ist der entsprechend hohe Aufbau dieser Maus. Möchte man also von der Maus zur Tastatur und wieder zurück wechseln, muss man hier eine ungewohnte Höhe überwinden, was wohl schnell dazu führt, dass man in der Hektik diese eher um oder zur Seite stößt. Und das nicht nur einmal, sondern ständig.

Für mich können solche vertikalen Mäuse alleine vom Design her schon nicht wirklich gut funktionieren.

Zitat von tab

Taugen die Logitech-Teile was, also zum Schreiben, nicht zum Spielen? Nach der Geschichte mit dem Doppelklick bei der Maus habe ich angefangen, an Logitech ernsthaft zu zweifeln. Aber gut, echte Alternativen gibt es auch nicht gerade wie Sand am Meer. Letztlich kommt mittlerweile wohl sowieso alles aus China, sogar mein Mini-PC.

Ich nutze die Logitech Tastaturen jetzt schon sehr lange und bin insgesamt sehr zufrieden. Aktuell bin ich mit einer MX Mechanical Mini unterwegs. Würde ich mir wieder kaufen, wenn ich müsste. Die kommt hier vor allem für Dev und Office Arbeiten zum Einsatz. Habe auch noch G915 TKL hier. Aber die ist dann doch eher für Gamer ausgelegt. Man kann aber auch super mit ihr schreiben. Hängt natürlich dann noch von den verbauten Switches ab. Was man halt bevorzugt. Da es die grundsätzlich sowohl mit linearen als auch mit clicky Varianten gibt, sollte da doch definitiv was dabei sein.

Hast du denn schon verschiedene Clients mit unterschiedlichen IP Adressen getestet (um ein lokales Client Problem auszuschließen)? Du kannst ansonsten auch gerne mal deine IP per privater Nachricht mitteilen, dann teste ich das gerne mal von verschiedenen Source IPs um zu überprüfen, ob die Dienste generell nicht erreichbar sind oder nur nicht von deiner IP. Das würde ich als erstes mal überprüfen. Wenn die Dienste generell nicht mehr erreichbar sind, kann man weiter schauen. Dann mal überprüfen, ob die Dienste überhaupt noch laufen (Logs, systemctl status $DIENST, ...) und auch die lokale Netzwerk Konfiguration mal überprüfen (ip a, ss -tulpen, ...).

Zitat von EduLind

Also fail2ban hatte ich am Anfang installiert, jedoch habe ich es nie konfiguriert, weil ich mich mit dem Tool bisher noch nicht auseinander gesetzt habe.

Das dürfte das Problem sein. Unter Debian/Ubuntu werden installierte Dienste gerne automatisch und direkt nach der Installation gestartet. Fail2ban hat unter Debian (evtl. auch unter Ubuntu) den sshd Jail per Default aktiviert. D.h. die alleinige Installation dürfte hier schon gereicht haben um es aktiv zu schalten. Logge dich mal über das SCP ein und schaue dir die aktive sshd Jail mal an. Vor allem, ob da deine IP drin steht (was ich jetzt mal vermuten würde) mittels

fail2ban-client status sshd

Zitat von friend_of_root

Serververwaltung Traffic (aktueller Monat).. ist bei mir etwas hoch.. damit ist hoffentlich nicht 1.7. - 4.7. gemeint sondern 30 Tage rolling oder?

Schau mal in die Statistiken unter "Netzwerk Bytes". Dort sollte es eigentlich ersichtlich sein. Da kannst du im Zweifel sehen, ob du die letzten 4 Tage besonders viel Traffic verursacht hast.

Zitat von friend_of_root

Ich hatte das eigentlich auch nicht als Indiz in Erinnerung.

Das war einmal ganz kurz (Black Friday). Müsste ungefähr die Zeit gewesen sein als hier in DE die Energiepreise so explodiert sind. Das hat sich aber dann doch wieder etwas beruhigt. Seit dem waren alle (mir bekannten) Angebotsserver eigentlich wieder in DE. Vielleicht hat man da einfach mal kurz das AT RZ ein wenig befüllen müssen.

Also die etcd Warnung ("apply request took too long") ist eigentlich schon recht bedenklich mit einer Zeit von 5-6s. Ich habe jetzt schon recht viele Kubernetes Cluster aufgesetzt. Diese Warnungen bekomme ich auch sehr oft. Das ist eigentlich normal. Bei mir bewegen die sich aber dann meist im 100ms - 400ms Bereich (Warnung gibt es ab 100ms). Gut möglich, dass der 500er dann daher kommt.

Kannst du die Tests mal mit nur 1 Master durchführen? Einfach 1 RS1000 dafür nehmen. Der sollte von den Specs her eigentlich völlig ausreichen. In einem Cluster reicht es ja oft, wenn es 1 Node gibt, der die anderen ausbremst. Man sollte auch mal überprüfen, ob das VLAN sauber läuft. Nicht dass die Probleme durch Fehler in diesem Bereich auftreten (daher meine Überlegung mit nur 1 Master, dann hat man zumindest schon mal keinen etcd Cluster).

Die Graphen der Disk Auslastung sehen jetzt nicht so schlimm aus. Das sind ja noch recht niedrige Werte.

Wenn du produktive Kubernetes Cluster bei Netcup betreiben willst, hast du dir schon überlegt wie du das mit dem Storage und dem LB machen willst? Das sind eigentlich genau die 2 Punkte, warum ich es eher nicht empfehlen würde. Es gibt zwar diverse Storage Cluster Lösungen, die man deployen könnte, aber da man bei Netcup keine zusätzlichen Disks einbinden kann, muss das alles mit der gleichen Disk gemacht werden, auf der schon das OS und alle Container laufen. Nicht wirklich ideal. Man könnte jetzt noch einen zusätzlichen Server als NFS nutzen, aber das sind dann am Ende ein SPOF und gerade im produktiven Betrieb wieder riskant.

Das mit den VPS200 verstehe ich nur nicht so richtig. Die sind ja weder als Master noch als Worker zu gebrauchen (viel zu wenig CPU und RAM). Ich sehe da schon einen RS1000 als Minimum.

Zitat von Ente-Unser

Erstmal quer durch die logs geschaut, und dann erst auf die Statusseite. Die Netzwerkprobleme eben durch 'n disconnect quer über alle VoIP Systeme bemerkt

Der Profi sucht die Fehler in der Regel immer erst bei sich selbst - das hat Vor- und Nachteile

Zitat von aNewUser

Wie viel oder würdet ihr überhaupt gedroppte Pakete loggen

Nur zum Debugging. Im normalen Betrieb würde ich das Logging komplett ausschalten. Maßnahmen kannst du automatisiert mit Fail2Ban vornehmen. Du hast da sonst viel zu viel Grundrauschen, das dich aber nicht interessiert - gerade wenn der Server im Internet steht. Ich würde das Logging nur bei Bedarf kurz aktivieren.

Zitat von michaeleifel

Thema Monitoring:
Szenario:
- Cluster Instanzen A,B,C
- FailoverIP
- Seite X zeigt auf FailoverIP, die normalerweise Instanz A gehört

- Sofern Seite X erreichbar ist, reduziert das die Priorität von B und C, sodass diese sich nicht die FailoverIP schnappen

Ich habe mir derzeit was zusammengehackt um mit Curl und JQ über mein externes Monitoring abfragen zu können für den letzten Punkt. Das ist allerdings recht träge und fragt nur einen vorher ermittelten Wert ab. Kennt da jemand einen Dienst oder ähnliches womit ich das einfacher realisieren könnte? Quasi nen CURL Proxy oder so.

Alles anzeigen

Wie schwenkst du die IP denn? Prinzipiell habe ich für solche Szenarien keepalived im Einsatz. Das kann entsprechende Healthchecks und über hinterlegte Skripte direkt mittels Netcup API die Failover switchen. Die Healthchecks sorgen dann dafür, dass die Gewichtung entsprechend hoch oder runter gesetzt wird. Oder geht es jetzt eher darum, dass du die passiven Hosts ebenfalls im Monitoring haben willst?

Beliebt war der Mailprovider vor allem in der Piraten Branche. Da hat man gerne solche Mail Adressen genutzt um sich in diversen Foren anzumelden.

Bin heute auf ein interessantes Tool aufmerksam geworden: https://github.com/jtesta/ssh-audit

Da wir es hier ja schon öfter mit dem Thema "Absicherung eines Linux Servers" hatten, ist das vielleicht für den ein oder anderen auch interessant. Gerade den SSH Zugriff will man ja entsprechend abgesichert haben. Beim Thema Ciphers & Co gibt es da einige nützliche Tipps.

Edit: Sehe gerade, es gibt auch ein Online Scan Tool dafür: https://www.ssh-audit.com (ähnlich dem SSL Check von SSL Labs)

Zitat von aRaphael

Wie machen die das eigentlich mit "Redundante Strom- und Netzwerkanbindung", wenn ich jetzt ein SLA+ ordere? Das gilt ja für alle meine RS. Werden die dann alle auf andere Hosts gezogen?

Alle aktuellen Server dürften bereits eine redundante Strom- und Netzwerkverbindung haben. Fokussiert euch bitte nicht auf so sehr auf die Details. Anhand der ID sieht man ja schon, dass es sich hier um ein sehr altes Produkt handelt, was so eigentlich schon längst nicht mehr der aktuellen Zeit entspricht bzw. als Zusatz für alte Produkte entworfen wurde, die eben noch nicht die Features hatten, die mittlerweile einfach zum Standard geworden sind. Die Hardware Garantien machen für neue Server sicherlich keinen Unterschied.

Zitat von hamilrat

Ist man mit diesem SLA Level nicht sogar auf einer hochverfügbaren Hardware?

Es steht folgendes dabei:

Weitere Informationen

Kann auch für bestehende Root-Server gebucht werden. Es kann passieren, dass bestehende Root-Server in dem Fall neu gestartet werden müssen.

Spricht für mich dafür das, der/die Server dann auf einen anderen Host verschoben werden.

Alles anzeigen

Das dürfte vermutlich nur für sehr alte Server bzw. Verträge zutreffen. Die Root Server der letzten Generationen haben ja sowieso schon alle 99,9% garantierte Mindestverfügbarkeit. Wenn man einen aktuellen RS Server hat, wird der sicherlich nicht verschoben. Hier dürfte das höhere SLA Level höchsens im Support Fall eine Rolle spielen - wenn man Glück hat