Beiträge von Dirk67

gpm (gpm(8) - Linux man page) hilft da auch nicht , oder ?

ich dachte eher, dass Guacamole das irgendwie macht ...

Ah... OK ...
Du hast natürlich Recht,
man "sieht" quasi den Server von aussen, man sieht ihn booten usw...
anschließend kann man sich auf eine (ge)tty Konsole einloggen...

d.h. doch im Umkehrschluss, dass die "VNC-Console" in keiner Weise über Netzwerk mit meinem Server verbunden ist
und ich mich somit NICHT um die ganzen o.g. Fragen bzgl. Ports und Firewall usw... kümmern muss (?)

b.t.w.:
Wie man scrollt habe ich schon herausgefunden (<shift>+<Pg Up> und <shift>+<Pg down>),
aber wie kann ich etwas aus der Zwischenablage einfügen ?

nachdem ich eine nette E-Mail vom netcup-support bekommen habe, beschäftige ich mich nun auch mit dem Test eines KVM-Servers.
(Die Vorteile wurden mir schnell klar und das Angebot von netcup stimmt auch)

Was für mich (als Anfänger) neu ist, ist die "VNC-Console"
Mir ist ehrlich gesagt nicht klar, wie genau die VNC Verbindung auf meinen Server zugreift (Protokoll / Ports / IP) ?
- muss hierzu auf meinem Server ein "VNC -Dienst" oder -"Server" laufen (so wie z.B. jetzt der sshd server)
- wie sicher ist das ? ** (läuft ja irgendwie "nur" in einem Browser-Fenster / ist da ein JAVA-Applet aktiv ?)
- wenn ich aus dem VCP heraus den "VNC-Console"-Button drücke, ist dann mein (Client-) PC direkt mit meinem Server verbunden, oder läuft es über eine Art "Gateway" (z.B. dem übergeordneten "KVM-Node") ?
- könnte ich auch einen anderen VNC-Client dafür verwenden ?
- könnte VNC den SSH Zugriff (zur Administration) komplett ersetzen (oder läuft VNC letztendlich auch über SSH -> via "SSH-Port-Forwarding") ?
- was muss ggf. in der (Serverseitigen) Firewall (hier dann IPTables) freigeschaltet bleiben, damit man sich nicht selbst den VNC-Zugang versperrt (Port 5900) ?
- kann man die vorhandene "VNC-Console" im VCP noch irgendwie konfigurieren (Schriftart / Breite / wie Text einfügen / usw...)

**(über "Remote Framebuffer-Protokoll" ? - ist das verschlüsselt ? die PW-Eingabe usw...)

sorry für die vielen Fragen

hmmm... hatte wohl ein Brett vorm Kopf ...
ist ja eigentlich ganz logisch:
bei "AUTH TLS/SSL" werden exakt die selben Ports verwendet wie bei normalem Passiven FTP,
d.h. auf Port 21 wird connected und dann werden "zufällige" passive Ports verhandelt (z.B. Ports 30000 - 60000) auf denen die Datenübertragung dann abgewickelt wird.
Jede Firewall, jeder Router bekommt diese Übergabe auf die passiven FTP-Ports mit (quasi per "Connection-Tracking") mit,
da das Protokoll ja lesbar ist.
Schaltet man nun TLS/SSL ein, so funktioniert o.g. "Connection-Tracking" nicht mehr:
Ein Router oder die VCP-Firewall (oder auch per "iptables") kann diese Verbindung nicht mehr überwachen/"tracken", da alles verschlüsselt übertragen wird --> ergo öffnet die Firewall auch keine Ports mehr für passives FTP.

Die Lösung ist simpel:
in der Datei /etc/proftpd/proftpd.conf wird ein vorbestimmter Portbereich für passives FTP vorgegeben (50 Ports sollten zunächst reichen) am besten über 50000 (als einfaches Beispiel hier Ports 55001 bis 55050):
dies geschieht in der Zeile:
"PassivePorts 55001 55050"
und genau diesen Portbereich gibt man dann in der VCP-Firewall frei,
in der ("iptables"-)Schreibweise: 55001:55050

dann geht es zumindest.

Ist das ein Sicherheitsrisiko ?

Zitat von killerbees19

Wenn du implizites TLS nicht selber aktiviert hast (= TCP 990 Port), dann wird immer nur explizites verwendet, das über AUTH TLS/SSL gestartet wird.

genau so ist es,
über welche(n) Port(s) läuft dann in diesem Fall die weitere Kommunikation wenn die Authentifizierungsphase erfolgreich beendet ist ?
(mit ausgeschalteter Firewall geht's ja...)
(ist ja passives FTP nach wie vor)

Zitat von killerbees19

Auf welchen Port versuchst du denn mit dem FTP-Client zu verbinden? Und wie sieht deine Firewallregel aus?

über Port 21

Richtung: INPUT
Protokoll: tcp
Quell IP: any
Ziel IP: 46.4.202.xxx
Quell Port: any
Ziel Port: 21
Zusatz: LIMIT
Zusatz Wert: 10 
ACCEPT

vielen Dank.
ich bin jetzt mit folgender /etc/proftpd/tls.conf weitergekommen

<IfModule mod_tls.c>
TLSEngine                               on
TLSLog                                  /var/log/proftpd/tls.log
TLSProtocol                             SSLv3 TLSv1
TLSRSACertificateFile                   /etc/ssl/private/proftpd.crt.pem
TLSRSACertificateKeyFile                /etc/ssl/private/proftpd.key.pem
#ALLE gewuenschten o.g. TLSOptions muessen in EINE Zeile geschrieben werden:
TLSOptions                             NoSessionReuseRequired NoCertRequest
TLSVerifyClient                         off
TLSRequired                             off
</IfModule>

der Trick war das "NoSessionReuseRequired" ...

jetzt funktioniert alles,
aber nur mit abgeschalteter Firewall (im VCP)
schalte ich die Frirewall an, so geht wieder das Auth. aber schon das Directory Listing schlägt fehl.
welchen Port benötigt denn jetzt das SSL/TLS noch ?
habe schon 443 freigeschaltet und 990 -> ohne Erfolg...

weiß noch jemand Rat ?

hallo,

ich versuche gerade FTP über TLS einzurichten.
hierzu bin ich wie folgt vorgegangen:

Zitat

# zunächst ein SSL zertifikat erstellen mit dem 1-zeiligen Befehl:
openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/proftpd.key.pem -out /etc/ssl/private/proftpd.crt.pem

# anschließend die Leserechte richtig setzen mit den beiden Befehlen:
chmod 0600 /etc/ssl/private/proftpd.key.pem
chmod 0640 /etc/ssl/private/proftpd.crt.pem

# die Datei /etc/proftpd/tls.conf editieren mit den richtigen Settings.
--> ProFTPD mini-HOWTO - FTP and SSL/TLS
--> ProFTPD: HowTo: SFTP (TLS, verschlüsseltes FTP)
[...]

# in der Datei /etc/proftpd/proftpd.conf die (letzte) Zeile
"Include /etc/proftpd/tls.conf" aktivieren (Kommentar weg).

# proftp neu starten mit:
/etc/init.d/proftpd restart

Alles anzeigen

nun kann man sich zwar mit TLS am FTP anmelden
aber die Datenübertragung klappt nicht...

im log steht:

Dec 31 16:19:08 mod_tls/2.4.2[17560]: using default OpenSSL verification locations (see $SSL_CERT_
Dec 31 16:19:08 mod_tls/2.4.2[17560]: TLS/TLS-C requested, starting TLS handshake
Dec 31 16:19:09 mod_tls/2.4.2[17560]: TLSv1/SSLv3 connection accepted, using cipher DHE-RSA-AES256
Dec 31 16:19:09 mod_tls/2.4.2[17560]: Protection set to Private
Dec 31 16:19:10 mod_tls/2.4.2[17560]: starting TLS negotiation on data connection
Dec 31 16:19:10 mod_tls/2.4.2[17560]: TLSv1/SSLv3 renegotiation accepted, using cipher DHE-RSA-AES
Dec 31 16:19:10 mod_tls/2.4.2[17560]: client did not reuse SSL session, rejecting data connection
Dec 31 16:19:10 mod_tls/2.4.2[17560]: unable to open data connection: TLS negotiation failed

ich weiß auch erhlich gesagt nicht genau wie die Datei /etc/proftpd/tls.conf richtig "eingestellt" werden muss,
derzeit sieht sie wie folgt aus:

#
# Proftpd sample configuration for FTPS connections.
#
# Note that FTPS impose some limitations in NAT traversing.
# See http://www.castaglia.org/proftpd/doc/contrib/ProFTPD-mini-HOWTO-TLS.html
# for more information.
#




<IfModule mod_tls.c>
TLSEngine                               on
TLSLog                                  /var/log/proftpd/tls.log
TLSProtocol                             SSLv3 TLSv1
#
TLSRSACertificateFile                   /etc/ssl/private/proftpd.crt.pem
TLSRSACertificateKeyFile                /etc/ssl/private/proftpd.key.pem
#
# CA the server trusts
#TLSCACertificateFile 			 /etc/ssl/certs/ca.pem
# or avoid CA cert and be verbose
#TLSOptions                             NoCertRequest EnableDiags 
#
# Per default drop connection if client tries to start a renegotiate
# This is a fix for CVE-2009-3555 but could break some clients.
#
#TLSOptions 							AllowClientRenegotiations
#
# Authenticate clients that want to use FTP over TLS?
#
TLSVerifyClient                         off
#
# Are clients required to use FTP over TLS when talking to this server?
#
TLSRequired                             off
#
# Allow SSL/TLS renegotiations when the client requests them, but
# do not force the renegotations.  Some clients do not support
# SSL/TLS renegotiations; when mod_tls forces a renegotiation, these
# clients will close the data connection, or there will be a timeout
# on an idle data connection.
#
#TLSRenegotiate                          required off
</IfModule>

kann jemand helfen ?

der FTP-Client soll Fire-FTP sein,
ggf. kann der nur die Auth. per TLS, möchte dann aber die Datenübertragung selbst wieder über FTP machen (?)
(jedenfalls funkt. es mit Fire-FTP per TLS bei anderen FTP-Servern, bei meinem aber nicht ...)

funktioniert...
in der Datei:
"/var/www/froxlor/webftp.php"
die Zeile 208:

$pasv = @ftp_pasv($connection, false);

ändern auf

$pasv = @ftp_pasv($connection, true);

Danke Netsurfer !

noch mal was zu ISPConfig 3:
unter "Server" -> "Server Config" was habt Ihr da eingetragen ?

• Network Configuration: NICHT angehakt, oder ?
• IP Address: ist klar
• Netmask: ??
• Gateway: ?? (steht bei mir nach der Install. 192.168.0.1 drin - woher hat der Installer das ?)
• Hostname: ist klar
• Nameservers: ?? (steht bei mir nach der Install. 192.168.0.1,192.168.0.2 drin)

Zitat von '[netcup

Einfach von vServer A ein Snapshot erstellen. Wenn der fertig ist bei vServer B in die Snapshotverwaltung gehen, dort das frisch erstellte Snapshot zum wiederherstellen auswählen und fertig, schon hat vServer B das System von vServer A

aber gibt es nicht vServer-spezifische Sachen (bzw. Sachen die abhängig von der IP / DNS / node usw...) sind,
und die ich dann fälschlicherweise "mit rüberkopiere" ?
z.B. stehen doch im "/etc/resolv.conf" von Server A jetzt andere IP's drin als bei Server B (sind das eigentlich die NS für DNS lookups ?)
wird das dann beim zurückspielen "gerade gezogen" oder spielt das gar keine Rolle ?

Zitat von Gsichtsbuch

Ich kann dir bestätigen dass die Anleitung
The Perfect Server - Debian Squeeze (Debian 6.0) With BIND & Dovecot [ISPConfig 3] | HowtoForge - Linux Howtos and Tutorials funktioniert, habe ISPconfig nach dieser Anleitung auf meinem vServer Uranus light aufgesetzt. Das Problem mit iptables besteht wie du ja schon weisst.

so,
bin gerade dabei...
unter Punkt 13 "Installation von PureFTPd und Quota"
den Abschnitt:
..Editieren Sie /etc/fstab. Meine Datei sieht so aus (...
verstehe ich nicht.
Meine Datei /etc/fstab ist leer ( bis auf die Zeile # UNCONFIGURED FSTAB FOR BASE SYSTEM )
und ich wüste jetzt nich, was ich bei einem vServer da eintragen sollte / muss ?

kann jemand helfen ?

cool...
muss es ein vServer der gleichen Serie sein ?
oder spielt das keine Rolle ?
(sind alle "gleich virtualisiert" ?)

allgemeine Frage:
ist es möglich, dass ich ein ein vServer-Image nach meinen Wünschen
auf einer lokalen (v-)Maschine bei mir
oder
auf einem weiteren (nur zu diesem Zweck gemieteten) vServer hier bei netcup
erstelle, um es dann (nach erfolgreichem Test usw...) durch netcup auf meinen derzeitigen netcup-vserver einzuspielen ?

lies doch selbst:
Froxlor/Froxlor · GitHub
bzw.
Froxlor/webftp.php at master · Froxlor/Froxlor · GitHub

es ist nur eine Datei siehe mein obiger Post (im froxlor Hauptverzeichnis)
eine "config" gibt es dort bzw. dafür nicht.

in froxlor gibt es ja eine simple webFTP-Anwendung unter ".../froxlor/webftp.php"
dies funktioniert aber bei mir nicht, da offensichtlich "aktives FTP" benutzt wird ich benötige aber "passives FTP"

kann man diesen o.g. froxlor webFTP irgendwo konfigurieren ? (innerhalb froxlor oder irgendwelche konfig dateien ?)
(z.B. auch die sprache ? )

mein Zugangs-Provider hat plötzlich meinen (unkonventionellen) SSH Port gesperrt,
wie komme ich jetzt wieder drauf um die "/etc/ssh/sshd_config"
entsprechend zu ändern ?

per FTP habe ich ja nicht die nötigen (root-) Rechte ...

gibt's da ein Trick / Tipp ?

irgendwie habe ich mich ausgesperrt jetzt

. . . . . . .

sorry, falscher Alarm,
ich hatte einen Fehler gemacht,
nun geht alles wie gewünscht.

vmk:
als rDNS ist "server1.meinHostname.eu" eingetragen.

dies muss man auch so im VCP unter "Hostaname ändern" eintragen,
dann werden die Dateien "/etc/hosts" und "/etc/hostname" geändert ...

und eben, wie schon oben beschrieben, die "/etc/mailname" und "/etc/postfix/main.cf " entsprechend abändern