Vielen Dank für die tolle Idee. Ich habe diese an unsere Entwickler weitergegeben.
Derzeit gibt es 330 offene Vorgänge in unserer CCP-Entwicklung. Ich bitte daher um etwas Geduld bzgl. der Fertigstellung.
Bin gespannt. Vielen Dank für die Reaktion.
Falls jemand bei uns mithelfen möchte, wir suchen Kollegen die uns dabei unterstützen:
https://www.netcup.de/jobs/junior-php-developer-mwd
Na wenn ihr irgendwo das Repository zugänglich macht :-p
Ich werde mich dann mal ein bisschen in die Doku einlesen. Vielen Dank für die Hinweise 
Vielen Dank für deine Nachricht voja. Ich sehe durchaus den Vorteil bei den Tools. Ich kann meine Server nach Zweck clustern und überall die gleichen Tätigkeiten durchführen (lassen). Könnte ich denn auch einzelne Server aus diesen Clustern lösen und individuell konfigurieren? Finde jetzt direkt nichts dazu.
[netcup] Felix P. eventuell gibt es ja bei Netcup die Möglichkeit der Umsetzung
Hallo liebe Community 
,
bitte nicht aufstöhnen bei dem Thema
. Ich weiß es gibt ganz viele tolle Tools wie Plesk, ISPConfig, Froxlor ... und so weiter. Diese erfüllen aber nicht unbedingt meinen Zweck. Und bevor ich ein Projekt daraus mache, wollte ich euch mal fragen, ob ihr mir da eventuell helfen könnt.
Bisher verwalte ich alle Server händisch. Abgesehen vom Monitoring, logge ich mich auf den Servern ein und administriere freudig mit meinen Bash-Scripten vor mich hin. Für alle wiederkehrenden Aufgaben habe ich nämlich diese Scripte geschrieben. Die hängen in meinem privaten Git und werden einfach fix geladen. Config anpassen und schon wird nahezu alles automatisch gemacht.
Diese Lösung ist zweckmäßig, jedoch nicht sexy. Ich habe mir nämlich vor kurzem einen neuen Rechner gekauft und musste alle Zugänge zu den Kundenservern bzw. meinen eigenen „Spielwiesen“ händisch auf das neue System migrieren (ich nutze Putty mit privaten Keys für die Zugänge). Auch das ist eigentlich kein großes Problem.
Mitten im Umzug vom alten auf den neuen Rechner musste ich dann eine Kleinigkeit auf dem Server eines Kunden erledigen. Dieser hatte ein speziellen Script installiert und ich sollte die PHP-Einstellungen anpassen und einen neuen Host anlegen. Zu diesem Zeitpunkt hatte ich diesen bestimmten Server noch nicht bei mir lokal "eingerichtet". Also schnell den private Key auf den neuen Rechner und auf den Server verbinden. Arbeiten erledigt und fertig. Waren keine 10 Minuten.
Dabei ist mir in den Sinn gekommen, dass es ja eigentlich schöner gewesen wäre, hätte ich diese Einstellung über ein Webinterface einstellen können. Dies wäre mir dann jederzeit und von jedem Gerät aus möglich. Ich habe mich dann mir den oben genannten Tools etwas beschäftigt. Grundsätzlich sind diese hübsch und nehmen dem Admin viele arbeiten ab. Jedoch sind mir die Tools etwas zu großkalibrig und den Umfang zu reduzieren ist nur möglich, indem ich selber umfangreiche Änderungen am Code vornehmen würde. Somit würde ich mich dann von weiteren Patches aussperren, was halt überhaupt nicht geht.
Ich bin mit meinen Vorstellungen nicht die Zielgruppe dieser Tools. Danach habe ich mir Webmin angesehen. Hier kann ich einige Module schon eher ohne große Auswirkungen deaktivieren. Jedoch nistet sich das Tool sehr auf dem System ein. Weiterhin werden bspw. nginx, lighthttp oder redis nicht unterstützt. Für mich bedeutet dass dann doch wieder Arbeit.
Vermutlich fragt ihr euch was ich denn eigentlich will. Ich möchte einfach die wesentlichsten Aufgaben im Umgang mit diversen Webservern erledigen. Dazu zählt das entsprechende Verwalten von Nutzern und Gruppen und deren Zugriffsberechtigen, das Einrichten von Lets Encrypt und anpassen der Config vom Host selber sowie flankierenden Diensten wie PHP. Weiterhin möchte ich auch den einen oder anderen Docker-Container ansteuern. Ich will, abgesehen vom Backup-Admin, niemanden Zugang geben. Dieses ganze Usermanagement (mir Rechnungen etc) brauche ich nicht. Das Buzzword ist bei meinem Anliegen Automatisierung – ich hoffe ihr versteht was ich eigentlich will.
Nun habe ich mir gedacht ich könnte einfach ein Framework schreiben, in welches dann meine Scripte als Module eingebunden werden können. Auch wenn noch der zweite Admin mitarbeiten würde, wäre es viel Arbeit.
Ich hoffe das erklärt jetzt meine Frage.
Wie sehr ihr das? Wie administriert ihr eure eigenen Server bzw. die Kundenserver? Habt ihr selber klassische Bash-Scripte im Einsatz oder habt ihr schon einen sexy Ansatz gefunden? Oder nutzt ihr die oben erwähnten Lösungen und gebt einfach einen fuck auf den overhead? Bin auf eure Gedanken gespannt.
Danke
[netcup] Felix P. eventuell gibt es ja bei Netcup die Möglichkeit der Umsetzung
Seit einigen Jahren greife ich immer nur noch auf Nginx zurück. Apache2 bietet dem Endnutzer einen höheren Komfort bei der Verwaltung. Auch kennen sich deutlich mehr Leute mit dem Apachen aus. Es gibt aber nichts, was nicht auch mit nginx funktionieren würde. Ein aktuelles Stack sollte, meiner Meinung nach, auf Nginx und PHP-FPM aufbauen.
Das Thema ist aber im Endeffekt wie Fußball .. 
Und irgendwann geht einem der Pezziball auf die Nerven. Dann beginnt er ein trauriges Leben in der Ecke. Wahlweise voluminös oder traurig schlaff. Zumindest meine Erfahrung.
Guten Abend!
Heute habe ich einige Minuten verbracht meine Verträge den Servern zuzuordnen. Ich kann mir vorstellen, dass dies anderen auch manchmal so geht. Es wäre darum meiner Meinung nach sinnvoll, wenn man den Verträgen (ähnlich den Servern) Aliase zuordnen könnte. Alternativ wäre es auch ein nettes Feature, wenn die Vertragsverwaltung sich die Hostnames aus dem SCP ziehen würde.
Ich bin so frei und hänge mal eine Umfrage an. Vielleicht bin ich ja doch alleine mit meinen Problemchen.
Vielen Dank und einen schönen Abend noch.
Absichern eines Servers ist wirklich kein Hexenwerk und schnell gemacht. Für mich gehört:
1. Nach möglichkeit ein blankes Image nehmen (keine Dienste vorinstalliert)
2. Benutzer zum deployen anlegen, in sudo-Gruppe aufnehmen
3. SSH nur via Key ermöglichen
4. Root den login entziehen
5. Mit UFW SSH erlauben und dann alles andere erstmal sperren.
Nach diesen 5 Minuten kann ich anfangen die Dienste auf dem Server zu installieren, die ich wirklich benötige.
immerhin ein CAPTCHA vorgeschaltet
Aber nur im Web. Die API bzw. der Service braucht keine Captchas. Also eigentlich ohne Relevanz.
Wie soll das funktionieren. Jede Variable in jedem Script müsste debugged werden um zu sehen, ob diese irgendwann ungefiltert ausgeführt wird. Als Betreiber können gewisse Funktionen deaktiviert werden, die oft missbraucht werden. Aber absolute Sicherheit gibt es in diesem Bereich nicht.
Die bei revisium.com geben ja nicht wirklich viel bekannt über die Systematik die dahinter steckt. Kann ich also überhaupt nicht beurteilen.
Einfach deinen Server anweisen auf diesen Hostnamen nicht zu reagieren, wenn man über Port 80 oder 443 darauf zugreifen. Im Grunde kann ja niemand wissen wie der Hostname ist. Ich kann mir kaum vorstellen, dass Netcup hier einfach hochzählt (habe es aber auch nicht getestet).
So klar finde ich das nicht. Ich ging davon aus, dass ich dem Server mitteilen kann, dass er von E bis H lauschen soll. Vermutlich liegt es aber an meinem fehlenden Wissen bezüglich Netzwerk und den Anforderungen an das System bei entsprechend großen Subnetzen.
Danke für alle Antworten! Hat mir sehr geholfen.
Das :: in der Adresse ist eine Kurzschreibweise für "Hier mit Nullen auffüllen". Daher konfigurierst du mit :: am Ende halt die Adresse, die hinten eine 0 hat, und mit ::1 halt die Adresse, die auf 1 endet. Grundsätzlich hast du ein Präfix mit 64 Bit zugewiesen bekommen. In diesem Präfix kannst du dir jede beliebige (und beliebig viele) Adressen auswählen. Trotzdem musst du natürlich konfigurieren, welche Adresse du nutzen willst. Der Server hört nicht auf das gesamte Präfix.
Mach mal den Test im Rettungssystem. Eventuell muss der Support noch mal was im Routing reparieren. Ich habe den Verdacht, dass die Einrichtung von IPv6 nicht immer so ganz sauber funktioniert wenn die Server eingerichtet werden.
Sorry der Nachfrage, aber ich muss jede einzelne IPv6-Adresse die ich aktiv nutzen will auf dem Server einrichten? Ich mein es ist nicht viel Arbeit, aber etwas dynamischer würde ich mir das schon wünschen. Also wen dem so ist, dass ich jede Adresse einzeln hinzufüge (und am Ende ein eganz lange Liste habe; lang ist bei mir so 30), dann habe ich kein Problem mehr.
Vielen Dank eNBeWe für den Exkurs. Meine Config sieht jetzt so aus:
auto ens3
iface ens3 inet static
address yyy.xxx.243.188
netmask 255.255.252.0
broadcast xx.yy.243.255
gateway 46.38.240.1
iface ens3 inet6 static
address xxxx:xxxx:7:f9::/64
dns-nameservers 2a03:4000:0:1::e1e6 2a03:4000:8000::fce6
Nach einem Neustart klappt es nun mit der ersten Adresse xxxx:xxxx:7:f9::. Aber leider bekomme ich auf xxxx:xxxx:7:f9::1 keine Verbindung. Wie schon im ersten Beitrag beschrieben, habe ich wenig Ahnung von IPv6. Ich gehe eigentlich davon aus, dass ich alles bspw. im Bereich von xxxx:xxxx:7:f9::YYYY nutzen kann (also xxxx:xxxx:7:f9::1 oder xxxx:xxxx:7:f9::11 oder xxxx:xxxx:7:f9::111 oder halt auch xxxx:xxxx:0007:00f9:ffff:ffff:ffff:ffff). Liege ich da falsch?
Edit: Anders ausgedrückt: Wie "zähle" ich meine IPv6 "hoch"?
Edit2: wenn ich als IP-Adresse address xxxx:xxxx:7:f9::1/64 eingebe funktioniert es auf xxxx:xxxx:7:f9::1, aber nicht mehr auf xxxx:xxxx:7:f9::
Hallo Michael,
danke für den Hinweis. Habe es versucht aber es klappt nicht. Eventuell stimmt es ja wirklich, was da oben steht, dass die Anleitung nur für KVM gedacht ist.
Habe folgende Anweisung hinzugefügt:
# Conf IPv6 Adresses
iface ens3 inet6 static
address xxxx:xxxx:xxxx:f9::
netmask 64
gateway fe80::1Als Gateway habe ich die Angabe aus dem SCP genomen
Allen ein gesundes Jahr 2017. Hoffe sind alle gut reingekommen.
Ich habe folgendes Problem: Ein VPS 20 G7 soll via IPv6 erreichbar sein. Funktionierte nicht. Habe natürlich DNS, Firefall und den Webserver geprüft. Alles sagt mir es sollte gehen. Dann ist mir aufgefallen, dass ich mit dem Befehl
ifconfig -aeine andere IPv6 erhalte, als im SCP steht:
root@serv1:~# ifconfig -a
ens3 Link encap:Ethernet Hardware Adresse a6:78:01:98:dd:27
inet Adresse:46.xxx.xxx.xxx Bcast:46.3xx.xxx.255 Maske:255.255.252.0
inet6-Adresse: xxxx:xxxx:xxxx:1ff:fe98:dd27/64 Gültigkeitsbereich:VerbindungDas hat mich verwirrt. Habe dann mit
ip -6 addrnochmal die direkte IPv6 Ausgabe versucht zu bekommen. Das Ergebnis:
2: ens3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
inet6 xxxx:xxxx:xxxx:1ff:fe98:dd27/64 scope link
valid_lft forever preferred_lft foreverIch muss an dieser Stelle sagen, dass ich bisher immer super um die ganze Netzwerk-Geschichte herumgekommen bin. Meine Idee wäre nun, dass ich das Network-Interface statisch konfiguriere. In der Conf habe ich folgendes stehen:
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
source /etc/network/interfaces.d/*
# The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
auto ens3
iface ens3 inet dhcpDemnach sollte ens3 ja dynamisch die richtige IP bekommen. Das funktioniert bei IPv4 ja auch. Aber IPv6 halt nicht. Nun dachte ich mir ich müsste einfach zusätzlich die IPv6-Autodetect anstoßen und habe (naiv wie ich bin)
iface ens3 inet6 dhcphinzugefügt. Der Restart
root@serv1:~# systemctl restart networking
Job for networking.service failed because a timeout was exceeded. See "systemctl status networking.service" and "journalctl -xe" for details.sagt aber nichts was mir hilft ein Problem zu finden
root@serv1:~# systemctl status networking.service
● networking.service - Raise network interfaces
Loaded: loaded (/lib/systemd/system/networking.service; enabled; vendor preset: enabled)
Drop-In: /run/systemd/generator/networking.service.d
└─50-insserv.conf-$network.conf
Active: active (exited) since Mo 2017-01-02 13:02:34 CET; 9s ago
Docs: man:interfaces(5)
Process: 6861 ExecStop=/sbin/ifdown -a --read-environment --exclude=lo (code=exited, status=0/SUCCESS)
Process: 7530 ExecStart=/sbin/ifup -a --read-environment (code=exited, status=0/SUCCESS)
Process: 7525 ExecStartPre=/bin/sh -c [ "$CONFIGURE_INTERFACES" != "no" ] && [ -n "$(ifquery --read-environm
Main PID: 7530 (code=exited, status=0/SUCCESS)
Jan 02 13:02:33 serv1.xxx.de systemd[1]: Starting Raise network interfaces...
Jan 02 13:02:34 serv1.xxx.de systemd[1]: Started Raise network interfaces.Meine nächste Idee war zu versuchen die IPv6 statisch zu setzen. Dazu habe ich folgendes hinzugefügt:
iface ens3 inet6 static
address xxxx:xxxx:xxxx:00f9:0000:0000:0000:0000
Das Ergebnis war, dass ich nun beide IPv6's hatte:
ens3 Link encap:Ethernet Hardware Adresse a6:78:01:98:dd:27
inet Adresse:46.xxx.xxx.xxx Bcast:46.3xx.xxx.255 Maske:255.255.252.0
[b]inet6-Adresse: xxx:xxx:7:f9::/64 Gültigkeitsbereich:Global[/b]
inet6-Adresse: xxxx:xxxx:xxxx:1ff:fe98:dd27/64 Gültigkeitsbereich:Verbindung
Meine Adresse war also eingetragen, es funktionierte aber nicht.
Nun weiß bin ich halt an dem Punkt, wo ich mit meinem laienhaften Wissen im Bereich Interfaces feststecke. Evenetuell hat ja jemand eine Idee und kann mir helfen.
Gruß
Minimale Kleinigkeit: Mir ist eben aufgefallen, dass eventuell die Auswahl des Images Verwirrung stiften kann. D.h. für mich war nicht sofort erkennbar, dass ich bspw. Ubuntu 16 Lts als Minimal wie auch mit Nextcloud bekommen kann. Eventuell kann dies besser hervorgehoben werden, dass ich dort mehrere Versionen zur Auswahl habe.
Also wenn ihr es so hinbekommt, wie mit (neuem) SCP, bin ich schon jetzt begeistert. Habe meine Meinung zu Plesk ja schon öfter niedergeschrieben und begrüße darum diesen Schritt!1!
Zum Thema externer Domains: Es ging ja darum, den Prozess zu automatisieren
