Posts by definitiv

    Hallo zusammen! Sorry, hab in letzter Zeit leider sehr wenig Zeit um vernünftige Antworten zu liefern bzw. mich um das Tutorial hier zu kümmern. Sobald ich Urlaub habe, werde ich einige Dinge hier updaten.
    Was Debian 7 angeht.. natürlich reizt es immer das neuste System zu haben, jedoch würde ich vorerst davon abraten, besonders wenn man Froxlor & Co. benutzt.




    Mein E-Mail Server geht nicht, ich kann keine E-Mails empfangen, aber senden.
    Ich habe nur die Einstellung bei der Weiterleitung auf die IP, dass ich vollständig umleiten möchte, dann könnte ich aber noch Subdomains erstellen und alles so


    Du hast wohl dein System geupdatet was? :)


    Das sollte helfen:


    /etc/init.d/courier-authdaemon restart
    /etc/init.d/courier-imap restart
    /etc/init.d/courier-imap-ssl restart
    /etc/init.d/courier-pop restart
    /etc/init.d/courier-pop-ssl restart


    Beste Grüße

    ADSL ist eigentlich nur reines Marketing.. wenn du mehr Upload haben willst, hol dir einen GK Vertrag. Die ISP verdienen das meiste Geld mit GK Verträgen. Allerdings darfst du dich allgemein für die langsamen Leitungen bei der Post bedanken, die haben damals teilweise überhaupt keine Schirmung benutzt, einfach die Kupferäderchen in Papier eingewickelt und läuft. Andere Länder in Europa haben schon viel früher angefangen Glasfaser zu verlegen, deshalb hängt Deutschland jetzt auf den alten Dorfleitungen. Hinzu kommt noch, dass die Telekom auf ihren Leitungen sitzt wie Microsoft auf den IPv4 Adressen, die sie seit Jahren nicht freigeben möchten (Von wegen IPv4 Adressen reichen nicht für die ganze Welt.. alles Marketing Schwachsinn). Aber da Telekom sich mit den neuen Verträgen sowieso ins Aus schießt, kann mir das egal sein. Wer die Möglichkeit hat, sollte zu den Kabelanbietern wechseln (Unity bzw. KabelDeutschland/KabelBW) oder regionale Anbieter (NetCologne, M-net, etc.). Wer die Wahl hat und immer noch bei der Telekom ist, sollte aus Prinzip wechseln.. selbst wenn die Leitung dann von dem neuen Anbieter angemietet wird.


    Grüße

    Heyho,


    Ich würde gerne ein paar Sachen in meinem Tutorial überarbeiten. Ich muss deshalb nochmal nerven, da bei meiner letzten Meldung die Kommunikation zwischen mir und einem Mitarbeiter vom Hause netcup leider nicht ganz in die richtige Richtung lief und er es wohl unabsichtlich doch genau falsch herum geändert hatte. Nun will ich ja nicht ständig jemanden von euch anschreiben, wenn ich etwas ändern möchte. Wie siehts mit einer individuellen Usergruppe, die sich im Grunde kaum von der normalen unterscheidet, und den Leuten vergeben wird die sich gerne um die Aktualität ihrer HOWTOs, etc. kümmern möchten. Die Übersicht ist ja für die Katz, wenn man bei einem Thread mit 110 Antworten versucht etwas hinzuzufügen..


    Ich hoffe da lässt sich was machen :-D


    Beste Grüße


    Die Lösung ist schonmal korrekt, nur würde ich mich eher fragen wieso so ein großer Header übermittelt wird? Nginx meldet den Error ja nicht ohne Grund, das dient mehr oder weniger der Sicherheit.
    Aber ja, es ist der einzige Lösungsweg (außer du veränderst die Größe des übermittelten Headers)




    Puh mein lieber Michi, bei dir bin ich wirklich überfragt. Ich wünschte ich hätte die Zeit, um mal zu versuchen diesen Fehler nachzustellen. Wie gesagt, ich könnte bei mir jetzt noch 10000 Domains aufschalten, wenn es denn die Kapazitäten erlauben würden, und es wäre kein Problem die alle einzeln laufen zu lassen. Wenn es bis zum Wochenende nicht geht, bin ich gerne bereit mal per Teamviewer drüber zu schauen oder ggf. die Installation mit dir durchzugehen. Denn irgendwo muss der Wurm ja versteckt sein, möglich ist es definitiv.


    Hi definitiv,


    erst einmal ein großes Danke für deinen Leitfaden :) Dieser hat mir sehr geholfen, auch wenn ich was das Thema Linux betrifft nicht unbedingt auf den Kopf gefallen bin. Vor kurzem überprüfte ich meinen auth.log und stellte fest, dass auf meinem Server gerne Wörterbuchattacken auf den ssh-Port gefahren werden. Diese Angriffe werden leider nicht von fail2ban abgefangen. Da ich leider keinen gültigen Regex-Ausdruck hinbekomme wollte ich dich fragen, ob du dich auf dem Gebiet auskennst.Hier mal ein Auszug aus dem Log:

    Code
    1. Apr 8 18:25:07 sshd[5595]: input_userauth_request: invalid user root [preauth]Apr 8 18:25:07 sshd[5595]: Received disconnect from **: 11: Bye Bye [preauth]Apr 8 18:25:10 sshd[5597]: User root not allowed because account is lockedApr 8 18:25:10 sshd[5597]: input_userauth_request: invalid user root [preauth]Apr 8 18:25:11 sshd[5597]: Received disconnect from ***: 11: Bye Bye [preauth]Apr 8 18:25:15 sshd[5599]: Invalid user oracle from ***Apr 8 18:25:15 sshd[5599]: input_userauth_request: invalid user oracle [preauth]Apr 8 18:25:15 sshd[5599]: Received disconnect from ***: 11: Bye Bye [preauth]Apr 8 18:25:18 sshd[5601]: Invalid user oracle from ***


    MfG
    fkrone


    Hast du mal dürber nachgedacht, den Port zu ändern? Wenn die auf einen geschlossenen Port 22 schießen, dann kann dir das ja egal sein :-)


    Es gibt mehrere Denkansätze/Lösungswege:


    Mit Iptables:


    Code
    1. iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
    2. iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 600 --hitcount 5 --rttl --name SSH -j DROP
    3. iptables -A INPUT -p tcp --dport 22 -j ACCEPT


    Die geblockten IPs findest du dann pro Rulename (also --set --name SSH) hier: /proc/net/ipt_recent/


    Oder aber du definierst einen gültigen failregex Eintrag. Da du ja wie ich sehe den User root gesperrt hast, kannst du folgendes eintragen:


    Code
    1. ^%(__prefix_line)s.+Name: root \[preauth\]\s*$


    Alles was nur annährend root heißt, wird geloggt und nach der von dir definierten Anzahl an Fehlversuchen gebannt.


    Oder aber du nimmst folgenden regex Eintrag:


    Code
    1. ^%(__prefix_line)sReceived disconnect from <HOST>: 11: Bye Bye\s*$


    Das ist sogar etwas effektiver. Somit hättest du das Problem mit fail2ban auch gelöst.



    Hoffe ich konnte weiterhelfen :-)


    Beste Grüße
    Alex

    Hey, das ist völlig korrekt. Das dient tatsächlich als DDoS Schutz und gehört - wie ich finde - in jede IPTables Konfiguration rein. Zwar ist die Wahrscheinlichkeit eines klassischen Angriffs sehr gering, sofern man kein Ansehen erregt, aber es schadet ja nicht sich bereits vorher abzusichern. Dazu noch Deflate und Fail2Ban und schon hast du eine vernünftige Softwarelösung.


    Beste Grüße

    Danke für den Hinweis!


    Das Limit ist in der Tat mittlerweile auf einige Tage beschränkt, damit man genügend Zeit hat seine Posts zu editieren. Grundsätzlich reicht das vollkommen aus, da hier nicht jeden Tag jemand ein Tutorial schreibt. Jedoch gibt es dafür passende WBB Addons, die einem wie bei Google Docs jeden Edit einzelnd anzeigen. Und da hier das Forum noch relativ klein ist, würden die paar Bytes mehr auch nicht auffallen.


    Grüße

    Das kannst du noch mit reinpacken:


    Code
    1. iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 8 -j DROP
    2. iptables -I INPUT -p tcp -m state --state NEW --dport 80 -m recent --name slowloris --set
    3. iptables -I INPUT -p tcp -m state --state NEW --dport 80 -m recent --name slowloris --update --seconds 15 --hitcount 15 -j DROP


    Burst kannst du ja nach Bedarf anpassen.


    Grüße

    Hey zusammen,


    ich hab zurzeit leider sehr wenig Zeit, somit kann ich unter der Woche zwar kurz reinschauen, aber nicht bis ins Detail auf jede Frage eingehen. Ich werde mir nachher nochmal alles in Ruhe anschauen und ggf. versuchen zu helfen. Ich bitte alle Froxlor User für alle Fragen bezüglich dieses Administrations Panels und die damit verbundene Konfiguration in einem separaten Thread zu klären, ich bitte um Verständnis.


    Für die Fragen bezüglich der Domains, hier eine kurze Checkliste:


    • Die DNS-Records müssen korrekt eingetragen sein. (A-Record muss auf eure Server IP verweisen)
    • Sollten seperate Logfiles genutzt werden, MUSS der angegebene Ordner vorhanden sein, sonst startet nginx nicht.
      Möchte man bereits vorhandene Logfiles nutzen, muss das so aussehen:

      Quote

      access_log /var/www/log/access.log combined;
      error_log /var/www/log/error.log error;


    • Das default darf nur in einer einzigen VHosts-Datei stehen, da es nur einen "Standard"-Server geben kann.
      Leider habe ich es im Tutorial nicht erwähnt und konnt es nicht mehr editieren, da es hier im Forum so eingestellt ist. Eine Antwort von nectup bekomme ich diesbezüglich auch nicht. Eine ziemlich schlechte Voraussetzung, um ein Tutorial Aktuell halten zu können.
      Sprich in Kurzform: Die erste Config, die angelegt wird, enthält das "default" unter listen. Alle anderen VHost-Dateien haben einen Eintrag ohne default am Ende, also "listen 37.221.xxx.xxx:80;"


    Die Config sieht am Ende bis auf die wenigen Ausnahmen absolut identisch aus. Natürlich bezieht sich das nicht auf Rewrites, etc., aber das erklärt sich ja von selbst.


    Grüße

    Für die Nachwelt:


    Sebbe hatte ein Problem mit der Weiterleitung von E-Mails. Das Problem war die ganze Zeit eigentlich etwas ganz simples: Google lässt keinen Loop Forward zu, sprich er hat sich von seinem Gmail Konto eine Mail an die Forward Adresse geschickt, die die E-Mail wiederum wieder an seine Gmail Adresse weitergeleitet hat.. Google erkennt das und unterbindet es.. Wenn es von einem anderen Gmail Account versendet wird, funktioniert alles wunderbar.


    Siehe: Probleme mit Mail und Co.


    Grüße

    In der Hoffnung, dass OpenPanel die Konfiguration ohne Beschwerden durchführt, kannst du versuchen den Schritt mit dem Enfernern von Postifx und Courier zu überspringen und lediglich das OpenPanel Modul neu zu installierern.


    Mit Fail2Ban sollte es jedoch keine Probleme geben.


    Grüße


    edit:


    Natürlich Postfix installieren, Courier kommt ja durch OpenPanel.. :)


    edit2:

    Ich nehme mal an man muss erst den Prozess stoppen.


    Könntest du auch probieren, einfach service courier-authdaemon stop

    Du könntest auch ganz radikal deinen Mailserver und das OpenPanel Modul neu installieren:


    Code
    1. aptitude purge openpanel-mod-postfixcourier


    danach

    Code
    1. aptitude purge postfix
    2. aptitude purge courier


    anschließend wieder installieren


    Code
    1. aptitude install postfix


    Code
    1. aptitude install openpanel-mod-postfixcourier


    das gleiche mit fail2ban


    Code
    1. aptitude purge fail2ban


    Code
    1. aptitude install fail2ban


    und neu einrichten


    Grüße

    Ich hab es jetzt mal mit meinen E-Mail Adressen versucht. Mail.ru und Gmail.com funktionieren einwandfrei. Hast du bei der Einrichtung von Postfix auch die richtigen Optionen gewählt? Im Error Log kann ich jetzt auf anhieb nichts erkennen, außer postfix/smtp[20527]: connect to gmail-smtp-in.l.google.com[2a00:1450:4001:c02::1b]:25: Network is unreachable, ist jetzt die Frage woran es liegt. Mein Server leitet wie gesagt ganz brav weiter. Könntest du mir deine E-Mail Adresse mal per PN zukommen lassen? Dann probier ich es mal aus.


    Grüße

    Besten Dank!
    Ich werd das alles gleich mal testen.
    Hab mich erst mal selbst ausgesperrt für eine Stunde^^
    Wenn man viel am einstellen ist, sollte man das ggf. anpassen oder noch nicht aktivieren, aber zeigt ja schon Mal das das sehr gut läuft!


    Ich sperre mich auch so oft aus, weil ich an verschiedenen Sachen arbeite und überall Verbindungen aufbaue, bis auf einmal nichts mehr geht :-D
    Du kannst dich auch eben schnell über die VNC Console aussperren:


    Code
    1. iptables -D INPUT -s xx.xxx.xxx.xxx -j DROP


    Grüße


    edit2:
    Könnte man noch PhpMyAdmin o.ä. installieren unter ngnix?


    edit3:
    FTP geht!
    Bei Filezilla über explizizes Zertifikat... Leider kann ich mit meinen PHPDesigner nicht connecten. Gibt es da ein Workarround?


    Hallo Sebbe,


    durch die Option force_local_data_ssl=YES und force_local_logins_ssl=YES wird eine verschlüsselte Verbindung erzwungen. Da phpDesigner kein TLS unterstützt, lässt der FTP-Server dich auch nicht rein. Du kannst das aber sehr elegant lösen, indem du einfach beide Optionen auf NO setzt, dann kannst du dich verschlüsselt und unverschlüsselt verbinden. So hast du die Möglichkeit, mit Filezilla eine verschlüsselte Verbindung aufzubauen und mit deinem phpDesigner eine unverschlüsselte.


    Hier kurz zusammengefasst:


    Code
    1. vim /etc/vsftpd.conf


    aus

    Code
    1. force_local_data_ssl=YES
    2. force_local_logins_ssl=YES


    wird

    Code
    1. force_local_data_ssl=NO
    2. force_local_logins_ssl=NO


    anschließend

    Code
    1. service vsftpd restart



    PhpMyAdmin funktioniert mit nginx genau so gut wie mit Apache, da es ja im Grunde genommen auch nur ein PHP-Skript ist. Also einfach ganz normal installieren. Du solltest lediglich alle vorhandenen .htaccess Einträge in deine VHosts-Datei übernehmen. Ein Beispiel findest du in dem Abschnitt von #6.5 ZB Block.



    Und Mails kann ich auch nicht empfangen...
    Ich hab im Openpanel die Domain angelegt und dann einen Alias angelegt.
    Ich bekomme auch kein Failure zurück... Also irgendwas wurde zugestellt.


    Du musst zuerst eine Mailbox einrichten, damit Alias funktioniert. Alias funktioniert nur innerhalb deines Systems, möchtest du E-Mails an eine andere Adresse weiterleiten, musst du eine Mailbox erstellen und bei "Temporary forwarding adress" das Ziel eintragen. Zum Bsp. "max.mustermann@gmx.net".


    Hoffe ich konnte dir weiterhelfen
    Beste Grüße