Beiträge von definitiv

Hallo zusammen! Sorry, hab in letzter Zeit leider sehr wenig Zeit um vernünftige Antworten zu liefern bzw. mich um das Tutorial hier zu kümmern. Sobald ich Urlaub habe, werde ich einige Dinge hier updaten.
Was Debian 7 angeht.. natürlich reizt es immer das neuste System zu haben, jedoch würde ich vorerst davon abraten, besonders wenn man Froxlor & Co. benutzt.

Zitat von tayci

Mein E-Mail Server geht nicht, ich kann keine E-Mails empfangen, aber senden.
Ich habe nur die Einstellung bei der Weiterleitung auf die IP, dass ich vollständig umleiten möchte, dann könnte ich aber noch Subdomains erstellen und alles so

Du hast wohl dein System geupdatet was?

Das sollte helfen:

/etc/init.d/courier-authdaemon restart
/etc/init.d/courier-imap restart
/etc/init.d/courier-imap-ssl restart
/etc/init.d/courier-pop restart
/etc/init.d/courier-pop-ssl restart

Beste Grüße

ADSL ist eigentlich nur reines Marketing.. wenn du mehr Upload haben willst, hol dir einen GK Vertrag. Die ISP verdienen das meiste Geld mit GK Verträgen. Allerdings darfst du dich allgemein für die langsamen Leitungen bei der Post bedanken, die haben damals teilweise überhaupt keine Schirmung benutzt, einfach die Kupferäderchen in Papier eingewickelt und läuft. Andere Länder in Europa haben schon viel früher angefangen Glasfaser zu verlegen, deshalb hängt Deutschland jetzt auf den alten Dorfleitungen. Hinzu kommt noch, dass die Telekom auf ihren Leitungen sitzt wie Microsoft auf den IPv4 Adressen, die sie seit Jahren nicht freigeben möchten (Von wegen IPv4 Adressen reichen nicht für die ganze Welt.. alles Marketing Schwachsinn). Aber da Telekom sich mit den neuen Verträgen sowieso ins Aus schießt, kann mir das egal sein. Wer die Möglichkeit hat, sollte zu den Kabelanbietern wechseln (Unity bzw. KabelDeutschland/KabelBW) oder regionale Anbieter (NetCologne, M-net, etc.). Wer die Wahl hat und immer noch bei der Telekom ist, sollte aus Prinzip wechseln.. selbst wenn die Leitung dann von dem neuen Anbieter angemietet wird.

Grüße

Heyho,

Ich würde gerne ein paar Sachen in meinem Tutorial überarbeiten. Ich muss deshalb nochmal nerven, da bei meiner letzten Meldung die Kommunikation zwischen mir und einem Mitarbeiter vom Hause netcup leider nicht ganz in die richtige Richtung lief und er es wohl unabsichtlich doch genau falsch herum geändert hatte. Nun will ich ja nicht ständig jemanden von euch anschreiben, wenn ich etwas ändern möchte. Wie siehts mit einer individuellen Usergruppe, die sich im Grunde kaum von der normalen unterscheidet, und den Leuten vergeben wird die sich gerne um die Aktualität ihrer HOWTOs, etc. kümmern möchten. Die Übersicht ist ja für die Katz, wenn man bei einem Thread mit 110 Antworten versucht etwas hinzuzufügen..

Ich hoffe da lässt sich was machen

Beste Grüße

Zitat von raimund

Da ich für KVM den Server eh neu aufsetzen muss und dieses nette Tutorial gefunden habe wollte ich nginx testen. Meine Seite, die vorher unter Apache2 lief, produzierte bei Aufruf einer Unterseite die Fehlermeldung:

502 Bad Gateway

im errorlog stand:
[error] 1067#0: *28 upstream sent too big header while reading response header from upstream, client:

als Lösung habe ich mit Google gefunden:

die Datei
/etc/nginx/nginx.conf

mit diesen zwei Zeilen ergänzen

http {
...
fastcgi_buffers 8 16k;
fastcgi_buffer_size 32k;
...
}

Die Seite funktioniert jetzt, ich würde nur gerne Wissen ob das eine sinnvolle Lösung ist oder ob man besser etwas anders konfiguriert.

Alles anzeigen

Die Lösung ist schonmal korrekt, nur würde ich mich eher fragen wieso so ein großer Header übermittelt wird? Nginx meldet den Error ja nicht ohne Grund, das dient mehr oder weniger der Sicherheit.
Aber ja, es ist der einzige Lösungsweg (außer du veränderst die Größe des übermittelten Headers)

Zitat von extremmichi

so ich hab jetzt nochmal alles nachgesehen und komm nicht weiter
es wäre ja auchj seltsam wenn ich 7 mal den selben Fehler beim Kopieren der config gemacht hätte.
Denn so oft hab ich das tut schon durchgearbeitet.
sobald beid configs den selben listen eintrag haben klappts nicht mehr.
dabei ist es egal ob mit IP oder nur Listen 80;
sind die Einträge identisch klappts nicht mit dem restart.
sind die Einträge ungleich
listen IP: Port;
und listen *:80; z.B.
ist nur die Seite mit IP: Port erreichbar egal ob sub oder hauptdomain

Alles anzeigen

Puh mein lieber Michi, bei dir bin ich wirklich überfragt. Ich wünschte ich hätte die Zeit, um mal zu versuchen diesen Fehler nachzustellen. Wie gesagt, ich könnte bei mir jetzt noch 10000 Domains aufschalten, wenn es denn die Kapazitäten erlauben würden, und es wäre kein Problem die alle einzeln laufen zu lassen. Wenn es bis zum Wochenende nicht geht, bin ich gerne bereit mal per Teamviewer drüber zu schauen oder ggf. die Installation mit dir durchzugehen. Denn irgendwo muss der Wurm ja versteckt sein, möglich ist es definitiv.

Zitat von fkrone

Hi definitiv,

erst einmal ein großes Danke für deinen Leitfaden Dieser hat mir sehr geholfen, auch wenn ich was das Thema Linux betrifft nicht unbedingt auf den Kopf gefallen bin. Vor kurzem überprüfte ich meinen auth.log und stellte fest, dass auf meinem Server gerne Wörterbuchattacken auf den ssh-Port gefahren werden. Diese Angriffe werden leider nicht von fail2ban abgefangen. Da ich leider keinen gültigen Regex-Ausdruck hinbekomme wollte ich dich fragen, ob du dich auf dem Gebiet auskennst.Hier mal ein Auszug aus dem Log:

Code

Apr  8 18:25:07 sshd[5595]: input_userauth_request: invalid user root [preauth]Apr  8 18:25:07 sshd[5595]: Received disconnect from **: 11: Bye Bye [preauth]Apr  8 18:25:10 sshd[5597]: User root not allowed because account is lockedApr  8 18:25:10 sshd[5597]: input_userauth_request: invalid user root [preauth]Apr  8 18:25:11 sshd[5597]: Received disconnect from ***: 11: Bye Bye [preauth]Apr  8 18:25:15 sshd[5599]: Invalid user oracle from ***Apr  8 18:25:15 sshd[5599]: input_userauth_request: invalid user oracle [preauth]Apr  8 18:25:15 sshd[5599]: Received disconnect from ***: 11: Bye Bye [preauth]Apr  8 18:25:18 sshd[5601]: Invalid user oracle from ***

MfG
fkrone

Hast du mal dürber nachgedacht, den Port zu ändern? Wenn die auf einen geschlossenen Port 22 schießen, dann kann dir das ja egal sein

Es gibt mehrere Denkansätze/Lösungswege:

Mit Iptables:

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 600 --hitcount 5 --rttl --name SSH -j DROP
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

Die geblockten IPs findest du dann pro Rulename (also --set --name SSH) hier: /proc/net/ipt_recent/

Oder aber du definierst einen gültigen failregex Eintrag. Da du ja wie ich sehe den User root gesperrt hast, kannst du folgendes eintragen:

^%(__prefix_line)s.+Name: root \[preauth\]\s*$

Alles was nur annährend root heißt, wird geloggt und nach der von dir definierten Anzahl an Fehlversuchen gebannt.

Oder aber du nimmst folgenden regex Eintrag:

^%(__prefix_line)sReceived disconnect from <HOST>: 11: Bye Bye\s*$

Das ist sogar etwas effektiver. Somit hättest du das Problem mit fail2ban auch gelöst.

Hoffe ich konnte weiterhelfen

Beste Grüße
Alex

Hey, das ist völlig korrekt. Das dient tatsächlich als DDoS Schutz und gehört - wie ich finde - in jede IPTables Konfiguration rein. Zwar ist die Wahrscheinlichkeit eines klassischen Angriffs sehr gering, sofern man kein Ansehen erregt, aber es schadet ja nicht sich bereits vorher abzusichern. Dazu noch Deflate und Fail2Ban und schon hast du eine vernünftige Softwarelösung.

Beste Grüße

Nimm *.v220130169XXXXXXX.yourvserver.net mal aus der default Config raus. Außerdem schau dir den kompletten Inhalt genau an, es könnte irgendwo ein Semikolon fehlen oder sonst etwas falsch sein. Daran sind wir alle bereits schon mal gescheitert und kennen das Phänomen. Siehe das Leerzeichen vor dem Semikolon am Ende von server_name.

Grüße

Du hast sicher eine Kleinigkeit vergessen, es funktioniert ja einwandfrei. Poste mir mal beide Configs hier rein, die wichtigen Sachen kannst du ja unkenntlich machen.

Danke für den Hinweis!

Das Limit ist in der Tat mittlerweile auf einige Tage beschränkt, damit man genügend Zeit hat seine Posts zu editieren. Grundsätzlich reicht das vollkommen aus, da hier nicht jeden Tag jemand ein Tutorial schreibt. Jedoch gibt es dafür passende WBB Addons, die einem wie bei Google Docs jeden Edit einzelnd anzeigen. Und da hier das Forum noch relativ klein ist, würden die paar Bytes mehr auch nicht auffallen.

Grüße

Here we go:

Webinterface kostenlos Gameserver, Streamserver, Shoutcast, VServer, Rechnungen, Shop, Software

Grüße

Hallo zusammen!

Kurz und knapp:

Wieso darf man hier nach einer gewissen Zeit keine Posts mehr editieren? Ich kann mir keinen wirklich ersichtlichen Grund dafür vorstellen und alle Gründe, die dafür sprechen würden, könnten anders gehandhabt werden.

Beste Grüße
Alex

Das kannst du noch mit reinpacken:

iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 8 -j DROP
iptables -I INPUT -p tcp -m state --state NEW --dport 80 -m recent --name slowloris --set
iptables -I INPUT -p tcp -m state --state NEW --dport 80 -m recent --name slowloris --update --seconds 15 --hitcount 15 -j DROP

Burst kannst du ja nach Bedarf anpassen.

Grüße

Hey zusammen,

ich hab zurzeit leider sehr wenig Zeit, somit kann ich unter der Woche zwar kurz reinschauen, aber nicht bis ins Detail auf jede Frage eingehen. Ich werde mir nachher nochmal alles in Ruhe anschauen und ggf. versuchen zu helfen. Ich bitte alle Froxlor User für alle Fragen bezüglich dieses Administrations Panels und die damit verbundene Konfiguration in einem separaten Thread zu klären, ich bitte um Verständnis.

Für die Fragen bezüglich der Domains, hier eine kurze Checkliste:

• Die DNS-Records müssen korrekt eingetragen sein. (A-Record muss auf eure Server IP verweisen)
• Sollten seperate Logfiles genutzt werden, MUSS der angegebene Ordner vorhanden sein, sonst startet nginx nicht.
  Möchte man bereits vorhandene Logfiles nutzen, muss das so aussehen:
  
  

  Zitat

  access_log /var/www/log/access.log combined;
  error_log /var/www/log/error.log error;

  
  

• Das default darf nur in einer einzigen VHosts-Datei stehen, da es nur einen "Standard"-Server geben kann.
  Leider habe ich es im Tutorial nicht erwähnt und konnt es nicht mehr editieren, da es hier im Forum so eingestellt ist. Eine Antwort von nectup bekomme ich diesbezüglich auch nicht. Eine ziemlich schlechte Voraussetzung, um ein Tutorial Aktuell halten zu können.
  Sprich in Kurzform: Die erste Config, die angelegt wird, enthält das "default" unter listen. Alle anderen VHost-Dateien haben einen Eintrag ohne default am Ende, also "listen 37.221.xxx.xxx:80;"

Die Config sieht am Ende bis auf die wenigen Ausnahmen absolut identisch aus. Natürlich bezieht sich das nicht auf Rewrites, etc., aber das erklärt sich ja von selbst.

Grüße

Für die Nachwelt:

Sebbe hatte ein Problem mit der Weiterleitung von E-Mails. Das Problem war die ganze Zeit eigentlich etwas ganz simples: Google lässt keinen Loop Forward zu, sprich er hat sich von seinem Gmail Konto eine Mail an die Forward Adresse geschickt, die die E-Mail wiederum wieder an seine Gmail Adresse weitergeleitet hat.. Google erkennt das und unterbindet es.. Wenn es von einem anderen Gmail Account versendet wird, funktioniert alles wunderbar.

Siehe: Probleme mit Mail und Co.

Grüße

In der Hoffnung, dass OpenPanel die Konfiguration ohne Beschwerden durchführt, kannst du versuchen den Schritt mit dem Enfernern von Postifx und Courier zu überspringen und lediglich das OpenPanel Modul neu zu installierern.

Mit Fail2Ban sollte es jedoch keine Probleme geben.

Grüße

edit:

Natürlich Postfix installieren, Courier kommt ja durch OpenPanel..

edit2:

Zitat von Sebbe

Ich nehme mal an man muss erst den Prozess stoppen.

Könntest du auch probieren, einfach service courier-authdaemon stop

Führ mal ein dpkg -l | grep courier durch und lösch alle aufgelisteten Pakete mit aptitude purge PAKETNAME, das sollte helfen

Du könntest auch ganz radikal deinen Mailserver und das OpenPanel Modul neu installieren:

aptitude purge openpanel-mod-postfixcourier

danach

aptitude purge postfix
aptitude purge courier

anschließend wieder installieren

aptitude install postfix

aptitude install openpanel-mod-postfixcourier

das gleiche mit fail2ban

aptitude purge fail2ban

aptitude install fail2ban

und neu einrichten

Grüße

Die gibt es schon, nur steht dort lediglich Socket und Loglevel drin. Hast du die Einstellungen jetzt einfach in die fail2ban.conf kopiert? Das hab ich bisher noch nicht probiert, vielleicht mag er das ja nicht
Jedenfalls solltest du die jail.conf mal bearbeiten und fail2ban ggf. neustarten (service fail2ban restart).

Grüße

Ich hab es jetzt mal mit meinen E-Mail Adressen versucht. Mail.ru und Gmail.com funktionieren einwandfrei. Hast du bei der Einrichtung von Postfix auch die richtigen Optionen gewählt? Im Error Log kann ich jetzt auf anhieb nichts erkennen, außer postfix/smtp[20527]: connect to gmail-smtp-in.l.google.com[2a00:1450:4001:c02::1b]:25: Network is unreachable, ist jetzt die Frage woran es liegt. Mein Server leitet wie gesagt ganz brav weiter. Könntest du mir deine E-Mail Adresse mal per PN zukommen lassen? Dann probier ich es mal aus.

Grüße

Zitat von Sebbe

Besten Dank!
Ich werd das alles gleich mal testen.
Hab mich erst mal selbst ausgesperrt für eine Stunde^^
Wenn man viel am einstellen ist, sollte man das ggf. anpassen oder noch nicht aktivieren, aber zeigt ja schon Mal das das sehr gut läuft!

Ich sperre mich auch so oft aus, weil ich an verschiedenen Sachen arbeite und überall Verbindungen aufbaue, bis auf einmal nichts mehr geht
Du kannst dich auch eben schnell über die VNC Console aussperren:

iptables -D INPUT -s xx.xxx.xxx.xxx -j DROP

Grüße

Zitat von Sebbe

edit2:
Könnte man noch PhpMyAdmin o.ä. installieren unter ngnix?

edit3:
FTP geht!
Bei Filezilla über explizizes Zertifikat... Leider kann ich mit meinen PHPDesigner nicht connecten. Gibt es da ein Workarround?

Hallo Sebbe,

durch die Option force_local_data_ssl=YES und force_local_logins_ssl=YES wird eine verschlüsselte Verbindung erzwungen. Da phpDesigner kein TLS unterstützt, lässt der FTP-Server dich auch nicht rein. Du kannst das aber sehr elegant lösen, indem du einfach beide Optionen auf NO setzt, dann kannst du dich verschlüsselt und unverschlüsselt verbinden. So hast du die Möglichkeit, mit Filezilla eine verschlüsselte Verbindung aufzubauen und mit deinem phpDesigner eine unverschlüsselte.

Hier kurz zusammengefasst:

vim /etc/vsftpd.conf

aus

force_local_data_ssl=YES
force_local_logins_ssl=YES

wird

force_local_data_ssl=NO
force_local_logins_ssl=NO

anschließend

service vsftpd restart

PhpMyAdmin funktioniert mit nginx genau so gut wie mit Apache, da es ja im Grunde genommen auch nur ein PHP-Skript ist. Also einfach ganz normal installieren. Du solltest lediglich alle vorhandenen .htaccess Einträge in deine VHosts-Datei übernehmen. Ein Beispiel findest du in dem Abschnitt von #6.5 ZB Block.

Zitat von Sebbe

Und Mails kann ich auch nicht empfangen...
Ich hab im Openpanel die Domain angelegt und dann einen Alias angelegt.
Ich bekomme auch kein Failure zurück... Also irgendwas wurde zugestellt.

Du musst zuerst eine Mailbox einrichten, damit Alias funktioniert. Alias funktioniert nur innerhalb deines Systems, möchtest du E-Mails an eine andere Adresse weiterleiten, musst du eine Mailbox erstellen und bei "Temporary forwarding adress" das Ziel eintragen. Zum Bsp. "max.mustermann@gmx.net".

Hoffe ich konnte dir weiterhelfen
Beste Grüße