Beiträge von MAU123

Zitat von frank_m

Software Updates würden nicht so konstant verlaufen. Ich denke, du musst das Filesystem im Auge behalten und monitoren. Fang auf oberster Ebene an ("/") und schau dir mit du die Ordnergröße an.

du / --max-depth=1

z.B. stündlich. Und wenn du siehst, dass die Auslastung eines Verzeichnisses steigt, z.B. /var/, dann schaust du dir in der Folge das an

du /var --max-depth=1

Bis du dem Übeltäter identifiziert hast.

Alles anzeigen

Hervorragender Tipp, vielen Dank - Ich versuche das in den nächsten Tagen und gebe Rückmeldung

Hallo zusammen! Ich betreibe einen Root-Server mit Debian GNU/Linux 12 (bookworm). Über das Monitoring habe ich festgestellt, dass der Festplattenspeicher-Verbrauch täglich steigt:

Screenshot.png

Auf dem Server läuft ausschließlich eine NGINGX-Webserver-Instanz, keine Datenbank und auch sonst keinerlei Anwendungen - ein frisch installiertes Debian 12 mit einem NGINGX-Webserver. Ich habe absichtlich den Speicherverbrauch dieses speziellen Servers als Beispiel genannt, da dieser ausschließlich als Backup dient - er wurde in den letzten 30 Tagen die am Screenshot der Ressourcenauslastung zu sehen sind, kein einziges mal verwendet bzw. hat keinen einzigen Request empfangen. Das Problem tritt jedoch bei all meinen Debian12-Servern auf. Begonnen habe ich bei 2GB Auslastung und bin mittlerweile bei beinahe 5GB angekommen, auf diesem spezifischen Server. Folgende Aufgaben werden täglich per CronJob durchgeführt:

#Entfernen alter LOG-Files (Älter als 10 Tage)
0 0 * * * sudo find /var/log/ -type f -mtime +10 -exec rm -f {} \;
0 0 * * * sudo find /tmp/ -type f -mtime +10 -exec rm {} \;


#Alte Journal-Einträge entfernen
0 0 * * * sudo journalctl --vacuum-size=5M
0 0 * * * sudo journalctl --rotate


#Stündlich APT-Cache leeren & Abhängigkeiten entfernen
0 * * * * sudo apt-get clean && sudo apt-get autoremove -y


#Immer um 21:00 Uhr alte Log-Files löschen, die entweder (Größer 10MB + Älter als 5 Tage) oder (Älter als 15 Tage) sind:
0 21 * * * sudo find /var -name "*.log" \( \( -size +10M -mtime +5 \) -o -mtime +15 \) -exec truncate {} --size 0 \;

Ich habe auch sämtliche NGINGX-Logs (Error-LOG, Access-Log, etc) deaktiviert. Hat jemand eine Idee, wie ich dem Problem näher kommen kann bzw. wie ich herausfinden könnte, wodurch das verursacht wird? Oder ist das in geringem Ausmaß eventuell normal? - Ich bin nicht sehr vertraut mit Linux-Servern.

Vielen Dank vorab und viele Grüße!

Zitat von aRaphael

Evtl. einfach nur konsolenbasiert? Ein crongesteuertes rsync z.B.

Ein kurzes bash-skript mit ein paar Zeilen, einen cronjob und das wars?

Hallo Raphael, danke für die Antwort! Naja, im Grunde wie in meiner Frage gesagt: Das ist eine Möglichkeit, aber ich bin aktuell nicht sicher, ob es auch die beste ist...

1) Wie stelle ich sicher, dass ältere Backups automatisiert gelöscht werden? Das muss automatisiert geschehen, sonst ist nach 5 Tagen der FTP Speicher voll, wenn ich mal ausfalle, und die Backup-Strategie ist dahin...

2) Wie überwache ich die Backups, das Script könnte abbrechen aus irgend einem Grund und ich generiere ein unvollstä diged Backup

3) Ich würde täglich viele hundert GB herumschaufeln, da ich damit sämtöiche Dateien übertrage. Angenommen es sammeln sich 2TB Daten am Server an, was für einen Medienserver nicht unüblich ist, was dann? Dann ist ja nach einigen Tagen schon das gesamte Traffic Limit von Netcup überschritten.

Hallo zusammen,

ich hoffe, das ist der richtige Thread für dieses Thema. Tatsächlich bin ich ein blutiger Anfänger, was die Einrichtung und Veraltung von Root-Servern (allesamt betrieben mit Debian 12) betrifft. Ich habe ein Medienbibliotheken-Projekt, welches das Zusammenspiel vierer Root-Server umfasst aufgesetzt. Wenngleich die Medien zu einem späteren Zeitpunkt an ein CDN übertragen und dort gespeichert werden, befinden sich die Medien für einen begrenzten Zeitraum lokal auf dem Webserver, da diese ggf. bearbeitet oder verändert werden können. Nun gilt es, eine geeignete Backup-Strategie für diese Medien auszuarbeiten.

Folgende Themen sind mir wichtig:

• Ich möchte sämtliche Daten auf einen externen FTP-Server übertragen (außerhalb von Netcup für größere Datensicherheit).
• Ich möchte keine Archive (ZIP/TAR, ...) generieren und übertragen, das wären immense Datenmengen. Wir sprechen von rund 250-500GB Daten, die auf dem Root-Server herumliegen, und das könnte noch mehr werden.
• Ich möchte einige Revisionen aufbewahren. Grundsätzlich habe ich mir vorgestellt, alle 2 Tage ein Backup zu übertragen und die letzten 5 Backups aufzubewahren. Das Löschen der älteren Backups auf dem FTP muss irgendwie automatisiert gelöst werden können.
• Ich möchte nicht das gesamte System backupen. Ich habe separate Backups um meine Konfigurationen uvm. zu sichern, hier geht es wirklich bloß um einen lokalen Medienordner.

Hat jemand Erfahrungen damit? Leider ist das Spektrum an Informationen im Internet riesengroß und nicht sehr spezifisch für meinen Anwendungsfall. Ich möchte natürlich auch die Server und insbesondere den Upload-Traffic schonen - und genau hier ist das Problem, sonst würde ich einfach ein Script schreiben, das per Cron alle Files von einem Ordner zu FTP pusht.

Ich kann mich noch wage an das Tool UpdraftPlus erinnern, das ist ein Backup-Plugin für Wordpress, welches eine ähnliche Funktion mittels PHP bewerkstelligt. Das hat mich zu der Überlegung gebracht, evtl. die Logik in ein PHP-Script zu implementieren und mittels der Datenbank die Historie der Backups zu protokollieren, um alte Backups automatisiert zu löschen. Wäre das ein denkbar guter Ansatz oder würdet ihr mir abraten?

Ich konnte leider noch nicht wirklich viele fertige Software-Pakete finden, die meinen Anforderungen entsprechen. Ich habe mir z.B. https://duplicity.gitlab.io/docs.html angesehen, das basiert aber auch auf Archiven. Generell wäre ich eher der Meinung, es mache Sinn, ein simpel lesbares Backup aufzubewahren, um im Fall der Fälle einfach von FTP zum Server zurückzuclonen, ohne wieder Software installieren zu müssen, die evtl. in mehreren Jahren nicht mehr zur Verfügung steht und dadurch gefährdet, dass ich mein ggf. inkrementelles Backup nicht wieder ordnungsgemäß zurückführen kann.

So - nun aber genug von meinen vielen wirren Gedanken... Ihr seht, ich könnte darüber stundenlang philosophieren. Daher möchte ich euch fragen: Wie habt ihr das gelöst? Gibt es Empfehlungen die ihr geben würdet oder Fehler, die ihr vermeiden würdet?

Vielen Dank vorab und beste Grüße!

Und wie so oft in der IT konnte eine lange Nacht voll mit Experimenten das Problem lösen Und zwar simpler als gedacht, denn Plesk bietet ja schon alles was man dazu braucht: https://support.plesk.com/hc/e…0%3E%20Private%20key%20(*.

Ich habe also das Origin-Certificate von Cloudflare auf Netcup angelegt (nicht die PEM-Datei hochgeladen, sondern das Zertifikat angelegt) und dann der Subdomain zugeordnet. Siehe da: SSL/TLS-Status "FULL STRICT" und alles funktioniert einwandfrei.

Vielen Dank für die vielen Beiträge und Hilfestellungen!

Zitat von eripek

Laut dieser Liste sollte CF mit DNS-01 „einfach“ umgehen können:

https://community.letsencrypt.…rypt-dns-validation/86438

Die Anleitung hier nützt ein die Cloudflare-API und ein Token. Aufgerufen wird das über einen Cronjob mittels curl

https://www.nodinrogers.com/po…ertbot-cloudflare-docker/

Ich bin mir aber nicht sicher, ob das die Lösung ist, die Du suchst.

Alles anzeigen

Vielen Dank für den Denkanstoß! Ich habe das mal wie folgt versucht:

1. CloudFlare-Certbot installieren (auf einem Root-Server): sudo apt install certbot python3-certbot-dns-cloudflare
2. API-Key von Cloudflare in einer INI-Datei ablegen
3. Certbot seine Arbeit machen lassen: sudo certbot certonly --dns-cloudflare --dns-cloudflare-credentials /cloudflareapikey.ini -d wiki.example.com

Soweit, so gut. Certbot meldet sich erfolgreich, die Keys werden auf dem Root-Server abgelegt. Beim Versuch, diese im Netcup WCP hochzuladen, kommt jedoch immer der Fehler, dass der "private key ungültig" sei. Ich bin mir nichtmal sicher, welche Datei ich in PLESK hochladen sollte (cert1.pem? chain1.pem? fullchain.pem? privkey1.pem? - Jedenfalls funktioniert keine davon).

Ohne Root-Rechte auf dem Webhosting bleibt die Lösung aber ohnehin sehr unbefriedigend, da ich dann monatlich kurz vor Ablauf der Zertifikate einen Down- und Upload machen müsste. Hat noch jemand eine Idee?

Zitat von eripek

Beim "PEM"-File gibt es verschiedene Varianten: Public Key+Private Key oder Public Key+Private Key + Intermediate.

Und die sollten dann noch korrekt konfiguriert sein.

https://serverfault.com/questi…-a-cer-certificate-to-pem

Aber, im Fall von letsencrypt und cf - da muss natürlich der Proxy das Zertifikat von LE haben. Das würde bedeuten, DNS-01 mit CF zu machen und den Proxy auf eine alternative Domain oder Subdomain zeigen zu lassen. Das muss man sich im Detail ansehen, wie das am vernünftigsten ist.

Eventuell hilft dieser Thread, den ich nur überflogen habe, weiter:

https://community.letsencrypt.…-using-cloudflare/6338/16

Alles anzeigen

Vielen herzlichen Dank für die Antwort! Ich muss gestehen, das ist weit entfernt von meinem Fachgebiet, aber wenn ich das richtig verstehe bietet CF schon ein korrektes PEM-File an. Auf dem Root-Server musste ich dann ja sowohl den Private als auch den Public-Key in einem Verzeichnis ablegen und dann beide (sowohl PEM als auch KEY-File) in die NGINX-Konfiguration aufnehmen - im WCP kann ich ja nur ein PEM-File hochladen, daher bin ich mir nicht ganz sicher ob das so überhaupt klappen könnte.

Selbst bei der DNS-Challenge scheitere ich, da ich ja keinen SSH-Root-Zugriff habe. Ohnehin ist das eher die Notlösung, da ich damit die automatische Verlängerung nicht bewerkstelligen kann (sofern ich das richtig verstanden habe). Ich lese mich mal tiefer in die von dir verlinkten Beiträge ein, vielen Dank!

Zitat von Patrick0815

Die DNS Challenge würde ich sein lassen, da du hier regelmäßig die Challenge manuell anpassen musst (keine Verbindung vom Webhosting zum DNS).

Was ich aus deinem Text nicht herauslesen konnte, funktioniert die http Challenge nicht?

Wir sprechen ja nicht von einem Wildcard Zertifikat, eines für wiki… sollte ja ausreichend sein.

Danke für die Antwort Patrick! Das war auch mein Gedanke - wenn ich im WCP unter "SSL/TLS für wiki.example.com" das Zertifikat für "Domainname schützen" (nicht Wildcard oder www-subdomain) wähle, kommt der Fehler (siehe Screenshot). Wenn ich dem Link folge, wird die Datei korrekt angezeigt. Es ist aber so, dass der Link zu HTTP zeigt und ich beim Folgen des Links automatisch zu HTTPS weitergeleitet werde (obwohl ich die SEO-Freundliche-HTTPS-Weiterleitung deaktiviert habe). Könnte das ein Problem sein? HTTPS funktioniert ja auch nur, da hierbei ja nur die Verbindung zwischen Cloudflare und dem Client verschlüsselt wird, in dem Fall kommunizieren aber Cloudflare und der Netcup-Webserver unverschlüsselt.

Hallo zusammen,

ich betreibe eine Website auf zwei Root-Servern bei Netcup. Meinen Mail-Server betreibe ich über ein normales Webhosting-Produkt - zudem möchte ich das Webhosting-Produkt verwenden, um eine Subdomain darüber zu betreiben. Die Struktur sieht also so aus:

Root-Server1: (www.)example.com
Root-Server2: cdn.example.com + Datenbank
Webhosting 8000: wiki.example.com + Mailserver

All meine Domains sind über Cloudflare geproxied und geschützt, daher scheitere ich daran, ein SSL-Zertifikat für das Webhosting auszustellen. Auf den beiden Root-Servern verwende ich ein Origin-Certificate von Cloudflare. Ich habe versucht, dieses als "PEM"-File im WCP hochzuladen, jedoch ohne Erfolg. Der Versuch, ein Let's Encrypt Zertifikat selbst zu erstellen scheitert, da natürlich die Domain auf eine andere IP zeigt und ohnehin nur die Subdomain "wiki" auf dem Webhosting liegt.

Hat jemand eine Idee, wie ich hier vorgehen könnte? Ich habe daran gedacht, die DNS-Challenge von LetsEncrypt zu machen, anstelle der HTTP-Challenge. So oder so scheitert es daran, dass ich keine Möglichkeit habe mit root-Rechten auf die SSH zu Certbot zu gelangen. Ich weiß hier gerade nicht weiter und Google konnte mir auch noch nicht helfen.

Vielen Dank vorab und liebe Grüße!