... und selbst wenn ich z. B. ein Repo zu `apt` hinzufüge und da irgendwas installiere (was dann am besten direkt noch drölf Dependencies mit dazu zieht) weiß ich auch nicht genau, was am Ende alles läuft.
Ja da bin ich etwas verwöhnt - in-House Open Build Service, alle installierten RPM Pakete werden intern gebaut und signiert.
muss da auch noch den Creator vertrauen,
Das Problem ist, dass sich viele Menschen wahllos Container aus dem Internet ziehen und betreiben (ala "docker pull nginx:latest && docker run ......."), ohne zu verifizieren, dass der Binärcode in dem Container tatsächlich auf dem Quellcode der Softwareherausgeber basiert. Dazu zählt sowohl das Programm, welches man im Container betreiben möchte, als auch das Container-Betriebssystem selbst. Man hat also, insbesondere wenn der Container von einem Drittanbieter stammt, eine Mehrzahl von Individuen in der Verteilkette einer Software involviert, welchen man theoretisch allen vertrauen muss, wenn man nicht seine eigenen Container baut und diese ausschließlich über eine interne Docker Repository bereitstellt.
Andererseits muss man ebenfalls bedenken, dass "regulär" installierte Software oftmals ebenso wenig vor der Installation geprüft wird - es tummeln sich viele Installationsanleitungen die mit sowas wie "curl http://installier-mich.com/ | sudo bash -" beginnen.
Wenn man Dateien, welche üblicherweise vom System aktualisiert/regeneriert werden, manuell ändert, sollte man aber sicherheitshalber verhindern, dass Änderungen durch einen Automatismus „ohne weiteres“ wieder
Besser noch, das System verstehen lernen, und entweder das System richtig nutzen, oder den Automatismus richtig deaktivieren.
Momentan scheint Microsoft das netcup Subnetz meines Mailservers ausnahmsweise nicht zu blockieren.
Ich bin damit ein gutes Jahr duchgekommen. Dann wollte ich mir mal was an meine Firmenadresse senden, gehostet in 653O... abgewiesen. 
Habe da auch einen Server mit Lego welcher sich alleine um die Zertifikatsanforderungen kümmert. Auf die meisten Systeme kann der dann via SSH mit einem eingeschränkten Nutzer die neuen Zertifikate direkt kopieren und installieren (z.B Dienste neu laden). Auf ein paar Server, welche mir kritischer sind, legt der eingeschränkte Nutzer die Zertifikate aber lediglich in eine versiegelte chroot, und ein Cronjob außerhalb der chroot schaut gelegentlich ob es etwas neues im "Zertifkatspostfach" zum installieren gibt.
Ist das so ne neue Designer-Droge?
Alle tanzen, Ente quackt.
Ich finde das ganz nett, auch ohne Gutscheine anwerben zu koennen.
(Als Serverhoarder hat man ja immer einen in Reserve
)
"einen"
ggf. txtsrv.de. Oder aaaasrv.de fuer die kommenden nur-IPv6 Server.
Achso, das macht dann natürlich alles mehr Sinn, tab. Wusste aber nicht, dass mstsc.exe auch SSH kann...
Jul 11 08:03:57 x sshd[28752]: Disconnected from invalid user administrator 177.209.x.x port 41836 [preauth]"administrator" klingt gefährlich nach Windows.
Brauche ich IPv6 überhaupt? Wenn nicht, würde ich das einfach aus dem DNS löschen.
Ist ungefähr so wie "brauchen wir Klimaneutralität überhaupt, funktioniert ja eh noch so"
Also plain HTTP geht mit .dev nicht - da brauchst du ein gültiges Zertifikat und musst HTTPS nutzen. Für alle anderen Dienste (ICMP/ping, DNS, SSH, etc.) ist das aber irrelevant.
Die Adresse mit :: am Ende ist natürlich gültig - bei Netcup gehört einem das gesamte /64 Netz, da wird nicht die erste Adresse für einen Router o.ä. "weggenommen".
Allerdings muss man die :: Adresse korrekterweise ebenso wie zusätzliche (::1, ::2, etc) im SCP eintragen und im Gastbetriebssystem einrichten.
Leider kenne ich mich mit Ubuntu und der hier gelieferten Cloud Init Konfiguration nicht aus.
Die Route sieht dort richtig eingetragen aus, allerdings sollte zusätzlich geprüft werden, ob
Wenn diese Basiskonnektivität funktioniert kann man sich den weiteren Diensten (HTTP[S] u.ä.) widmen.
Kommt davon, wenn man ihn nicht an einer USV auflädt.
"#1Netcup!-#2Ente!-#3Badewanne"
*ausprobier
Der frische „offene“ Server muss ja auch erstmal entdeckt und angegriffen werden
Grundsätzlich hast du recht, außer die IP Adresse deines VPS war vorher einem anderen Kunden zugewiesen, welcher Windows mit offenem RDP o.ä. betrieben hat... 
Interessant - ich habe eine Zeit lang NextCloud auf dem kleinsten Storage Server betrieben, und fand die Leistung, rein vom Gefühl beim Navigieren der Oberfläche, irgendwie langsam - obwohl ich da bereits Redis und Memcached auf einen Root Server durch's VLAN ausgelagert hatte. Ist jetzt aber auch schon eine Weile her und muss nichts heißen.
Ja.. ich habe auch schon mal über eine netcat reverse shell einen SSH key eingetragen ... 
müsste man die getty-Dienste abschalten
Ja, ganz nett ist auch in getty/logind den Login für alle verfügbaren tty's zu deaktivieren, und dann irgendwann SSH kaputtzumachen...
Änderungen werden mit AXFR ja nur weitergegeben, wenn sich die Seriennummer der Zone erhöht (oder ein böser Administrator den Mechanismus ausgehebelt) hat. Insofern denke ich ist das kein Problem. Abgesehen davon weiß ich es aber leider nicht - bin verwöhnt von DNS Servern mit Multi-Master Replizierung via Datenbank.
