Posts by dsp78

Quote from aRaphael

Ich wage das einfach mal zu bezeifeln.

Nicht immer ist dort, wo ein Wille ist, auch ein Weg.

Ich glaube schon, dass man ein System prinzipell so sicher machen kann, dass es allen Eindringlingen stand hält.

Bei deinen anderen Aussgaen, stimme ich dir allerdings zu.

...aber ja, es gibt natürlich auch wirklich fähige Admins, die es schaffen 99,9% draußen zu halten. Absolut, sind aber ebenso selten wie die, die trotzdem reinkommen.

Also reine Beobachtung meinerseits. Die Welt ist ja klein, insbesondere DE was IT angeht.

Quote from ASS

Wie bei ner Safari: Solang du schneller laufen kannst als dein Nachbar, ist alles ok.

Das stimmt. Einen langsamen Nachbarn, den man nicht mag, zu einer Safari einzuladen, kann durchaus Sinn machen, um die eigene Sicherheit zu erhöhen.

Ist zwar makaber gedacht, aber prinzipiell nicht falsch. Glücklicher Weise lösen das die Meisten anders als das Alternativlunch einzupacken.

Quote from aRaphael

Ich wage das einfach mal zu bezeifeln.

Nicht immer ist dort, wo ein Wille ist, auch ein Weg.

Ich glaube schon, dass man ein System prinzipell so sicher machen kann, dass es allen Eindringlingen stand hält.

Bei deinen anderen Aussgaen, stimme ich dir allerdings zu.

Display More

Tatsächlich eine Glaubensfrage. Einigen wir uns auf bei nichtstaatlichen Akteuren strittig. Wobei ich das nicht wirklich glaube, weil ich genug Leute aller Schattierungen kenne. Glücklicher Weise gibt es davon nicht sooo viele, die können und wirklich böswillige Charaktere sind. Ich würde das mehr als eine Frage des Willens und des Zeitbudgets bezeichnen. Also, zumindest bei wirklich fähigen Leuten.

Hab schon genug Admins gehört, die meinten "Niemals!" und dann war das praktisch Nullaufwand. Aber möglicherweise.

Nunja, meiner Meinung nach gibt es effektiv ohnehin kein "sicheres" System. Wenn jemand reinkommen will, der kommt auch rein. Das ist immer nur eine Relation von Nutzen zu Aufwand/Risiko. Das selbe Prinzip wie bei Fahrrädern im Grunde.

Warum sollte sich jemand die Mühe machen, ein relativ gut gesichertes System anzugreifen, wenn er in der selben Zeit mehrere schlecht gesicherte bekommt? Und alles was Du machst, erhöht den Aufwand ein klein wenig.

Wenn jemand unbedingt will und fähig ist, findet er trotzdem einen Weg oder er hat halt eine 0-Day. Dann ist es auch egal, was man macht oder nicht.

Aber so lange es unzählige schlechter gesicherte Systeme gibt, wäre es für einen Angreifer, der ökonomisch denkt und keinen besonderen Grund hat, schlicht unwirtschaftlich das besser gesicherte System mit Mehraufwand anzugreifen.

Insofern erhöhen diejenigen, die wenig machen, die Sicherheit für alle Anderen erheblich. Und natürlich bedeutet SSH auf anderen Port legen keine abschließende Sicherheit, aber erhöht die Sicherheit durchaus, weil man eben immernoch viele Kisten auf Standardport gescanned bekommt und da die Wahrscheinlichkeit auch ansonsten höher ist, dass sich da Brute Force oder Dictionary schnell lohnt.

Natürlich kann man suchen und findet dann womöglich auch da einen Weg, aber der Zeitaufwand dürfte höher und die Wahrscheinlichkeit niedriger sein. So lange es also kein gezielter Vesuch ist, bedeutet mehr Aufwand immer auch mehr Sicherheit, also auch Standardport ändern.

Wenn jemand unbedingt in Dein System will und das Wissen/Fähigkeiten hat, musst Du schon sehr sehr viel tun, um den tatsächlich draußen zu halten.

Ich würde behaupten, dass es hier nicht ein System gibt, das wirklich fähigen Blackhats Stand zu halten vermag. Nicht eins. Wohl vielleicht sicher einige, die sehr hohen Widerstand leisten und viel Aufwand bedeuten, das bestimmt. Aber die haben auch selbst sehr viel Knowhow angesammelt und Aufwand betrieben. Auf die Mehrzahl der Standard-Admins dürfte das nicht zutreffen und noch viel weniger für die, die weniger können oder tun wollen.

Wie gesagt, ist bei Fahrrädern nicht anders. Wer unbedingt das eine will, bekommt das vermutlich auch mit entsprechendem Werkzeug und Zeitaufwand. Aber so lang der Nachbar ein schlechteres Schloss an einem wertvolleren Rad hat, wird sich ein rationaler Dieb immer dafür entscheiden.

Zieh Dir doch einfach mal Lynis Audit oder ein anderes Sicherheitsaudit wäre mein Vorschlag. Effektiv wird Dir ansonsten wohl niemand sagen "Jaja, das passt schon so". Schlussendlich ist das ja eine sehr subjektive Einschätzung was nun sicher genug ist oder eben nicht und ein Thema, das sich auch nicht so pauschal beantworten lässt, sondern sich entwickelt.

Da Teamspeak aber die Vermutung nähert, dass Dein Fokus eher im Bereich Gaming liegt, würde ich Dir vorschlagen, Dich vielleicht etwas intensiver mit dem Thema auseinander zu setzen, da das nicht selten die ersten Kandidaten dafür sind, dass sich jüngere Freunde der digitalen Spieltechnik etwas ausprobieren wollen und werden. Aber ich bin da auch nicht der, der Dir das jenseits eines Vorschlags sagen möchte. Ich schätze das merkt man dann schon früher oder später selbst, ob das reicht. Lynis könnte vielleicht Hinweise geben, was man womöglich noch tun könnte, bevor die Maschine $Dinge tut und die Erkenntnis "Hat wohl doch nicht gereicht" generiert wird.

Edit: Und ich würde auch kein Teamspeak aufsetzen, zumindest nicht als erste "Amtshandlung".

Edit2: Ich würde btw auch nicht behaupten, dass bei mir alles "sicher" sei. Das kann glaube ich nichtmal die Therapiegruppe für IT-Paranoidität behaupten. Was auch Ihr größtes Problem darstellen dürfte.

Ja, Passkey würde ich auch bevorzugen. Soweit ich das gelesen hatte, hat das Netcup abwe leider nicht ungesetzt (warum auch immer). Bleibt wieder nur OTP-App.

Quote from Paul

Proxmox kann nicht nur VMs (Qemu/KVM) erstellen, sondern auch Container (LXC). Das wird hier auf den Netcup Servern wohl in der Regel zum Einsatz kommen. Richtige VM Virtualisierung macht auf bereits virtualisierten Servern wenig bis keinen Sinn. Da hast du schon recht. Auch wenn das theoretisch mittels vmx Flag möglich wäre. Aber wenn man es nur für die Container Verwaltung nutzt, kann man das schon machen. Ob man es wirklich braucht, muss man aber selbst entscheiden.

Danke für die Erklärung! Die Virtualisierungstechnologie ist an mir vorbeigelaufen und ich lerne da erst sukzessiv nach, deshalb heute wieder einen kleinen Schritt an der Stelle weiter.

(Falls jemand dazu ein gutes Kurzmanual hat, dass das Für und Wieder etwas weitergehend beleuchtet, nehme ich das übrigens gern, falls da jemand etwas weiß)

Mal eine doofe Frage, weil ich das jetzt mehrfach gesehen habe, aber selbst kein Proxmox bisher nutze. Ich dachte immer, dass Proxmox nur auf "bare metal" und nicht selbst in virtualisierten Umgebungen wie einer VPS läuft und Sinn macht. Da man ja schlecht visualisierte Unterserver erstellen können wird, frage ich mich, was Euch das bringt. Sorry für die Proxmox-Noob-Frage, aber stelle ich einfach mal, um etwas an der Stelle dazu zu lernen.

Ich äußer mich dazu nicht mehr, weil ich den Mega-Rant über Politik, Medien und der technologiefeindlichen Gesellschaft ablassen würde. In meinen Augen ist Deutschland längst das digitale Somalia und Europa nicht der Kontinent, wo man überhaupt noch etwas betreiben sollte. Von mir aus können sie NIS-2 Montag beschließen. Ich tanze nicht als DNS-Gefreiter beim BSI an, melde mich gehorsamst und nehme die Tagesbefehle entgegen.

Nuja, Netcup ist ja auch nicht klein. Schätze das würden deren Kunden auch nicht witzig finden, wenn die Sachen von Strota nicht mehr ankommen...

Hab grade durch Zufall festgestellt, dass sich der Kollege aus Brasilien mit den 28 Servern nicht mehr unter uns befindet (also hier im Forum). Offenbar waren die Abuse-Sperrung und der zusätzliche Netzwerkausfall kürzlich ein Grund für ihn anderswo hinzuziehen.

Finde ich persönlich ausgesprochen schade, weil mich ein anderer Forenuser ganz am Anfang auf ihn aufmerksam gemacht hatte und ich seine Beschreibungen wie es so auf dem brasilianischen Markt ist, wohl nicht als Einziger sehr interessant fand und ihn auch ansonsten durchaus sehr angenehm erlebt habe.

Deshalb dachte ich, ich erwähne das hier mal kurz, weil es bestimmt nicht jedem sofort aufgefallen ist, dass er wohl nicht mehr bei Netcup ist.

Übrigens Danke, dass jemand kurz wegen dem Mailcow-Update hier eine Info reingehauen hat.

Falls jemand von den Netcup-Leuten mitliest, ich möchte dazu kein Ticket aufmachen, aber kann das mal jemand auf dem kurzen Dienstweg auf die To-Do-Liste packen, dass einen die App nicht alle 24h rauskicked? Ich bin langsam echt hart genervt, dass man sich jedes Mal neu einloggen soll, wenn man mal über die App schauen will. Und ja, ist ja gut gedacht, aber ich hätte gern, dass es sicher UND praktisch ist. Wäre das möglich?

Bin selbst grade Borgmatic am Ausprobieren. Habe zwar noch nicht die große Erfahrung damit sammeln können, aber da ich aus der Vergangenheit Bacula ganz gut kenne, weiß ich die Einfachheit bisher durchaus zu schätzen. Denke die Empfehlung macht Sinn.

Da ich selbst lange keine Partitionierungen mehr gemacht habe und bei den ARM-Systemen noch nicht so richtig weiß wie man da geschickter Weise vorgeht: Was benutzt Ihr da so? GParted ist ja für x86 und da als Image nicht verfügbar. Hat da jemand einen Tip? Mir geht das hart auf den Keks mit den Ubuntu- und Debian-Live-Images.

Was ich etwas schade finde, dass manche Specials immer nur für Nürnberg gemacht werden. Das wertet die anderen Standorte doch etwas ab.

Gutgut, macht Ihr mal weiter, denn ich habe keine Ahnung mehr wie eingeschränkt man da als Webhosting-Kunde bei der Zertifikate-Erstellung ist oder nicht. Ich glaube nur nicht, dass der Hinweis für den Threadersteller hilfreicher ist, dass man mit VPS diese Einschränkungen nicht hat, er sich dann eine VPS zulegt und sich damit dann größere Probleme ans Bein bindet, weil er das erst Recht nicht gehandelt bekommt.

Ich habe deshalb eine (klassische) Organisationsstruktur vorgeschlagen, die Problemen mit Subdomains einfsch ganz aus dem Weg geht. Dass man anders verfahren kann (und verständlicher Weise auch oft möchte), ist ja völlig unbenommen, weil ich nicht gesagt habe, dass man zwingend so verfahren müsste. Klar kann (und will) man das oft aus unterschiedlichen Gründen anders, aber man muss halt auch nicht Subdomains verwenden (oder gleich eine VPS buchen), wenn man damit ohnehin nur homogenen Webcontent organisiert und damit Probleme auftreten. Gelegentlich soll so eine klassische Konvention ja doch noch irgendwie Sinn machen. Vorallem wenn man sich stattdessen nicht alternativ die Administration einer VPS ans Bein bindet.

Quote from DerRené

Es ist doch absolut Gang und Gäbe, dass man über verschiedene Subdomains auch verschiedene Webseiten ausliefern kann. Wüsste auch absolut nichts was dagegen spricht. Zumal man dann auch verschiedene Hostingeinstellungen je Subdomain fahren kann (PHP-Version, usw). Klar sollte man aufpassen, dass man hier nicht mit bestehenden Einträgen wie db. mail. usw. in Konflikt gerät, aber in Verbindung mit Zertifikaten, und darum ging es ja hier im Thema, gibt es absolut keine Probleme in den Webhostings.

Ja, heute ist diese Konvention so nicht mehr gebräuchlich, was nicht heißt, dass sie keinen Sinn ergibt oder dass man sich so nicht das Leben erleichtern kann, wenn es sich um die homogene Organisation von Webcontent handelt.

Es ging bei dem Vorschlag auch nur darum Probleme von vornherein für jemanden zu vermeiden, der Probleme mit den Subdomains hat und aufgrund eingeschränkter Möglichkeiten bei der Generierung von Zertifikaten das Leben erheblich zu erleichtern. Und das ist eine Erleichterung gleich so zu verfahren statt unbedingt eine logische Untergliederung über Subdomains vorzunehmen. ,)

Quote from m_ueberall

Offenbar liegt die Fehlerursache dann woanders – hier hilft dann nur ein Blick in die Server-Logs.

Hat sie denn beim Webhosting überhaupt Einblick in ihre Logs? Aber vermutlich hast Du das Problem besser eingekreist, wenn das ihre Domain ist.

Quote from MyMattes

Magst Du das erläutern? Ich habe Subdomains im Webhosting mit eigenen LE-Zertifikaten (die sich automatisch verlängern) und bin mir keiner Schuld bewusst. Warum sollte man das nicht machen?

Was Du machst oder nicht machst, ist ganz allein Dir überlassen, allerdings ist die traditionelle Konvention bzw die "eingebürgerte Verfahrensweise" bei Subdomains, dass man darüber unterschiedliche Dienste bereitstellt. Beispiele hatte ich bereits dargestellt. Mailserver, Zeitserver, Webserver. Und gelegentlich soll es helfen, solche (alt hergebrachten) Konventionen auch (immernoch) einzuhalten. Ob Du das machen möchtest oder nicht, obliegt natürlich allein Dir.

Allerdings würde das auch einem Webhosting-Kunden einiges erleichtern so zu verfahren. Deshalb schlage ich das auch vor. ,)

Edit: Im Übrigens würfelst Du mit der Vermengung mit einer Programmiersprache die Paket-Organisationsstruktur hier auch noch mit rein (was ja historisch betrachtet erst später kam und sich diese Möglichkeit zu Nutze gemacht hat). Das wird jemandem, der erstmal nur seine Seite organisieren möchte, nicht helfen und das braucht man hier nicht berücksichtigen.

Quote from Win98SE4ever

Immer mehr Browser rufen automatisch https ab, da hilft der Test nicht viel.

Was eine Art der Bevormundung darstellt, die zwar sicher gut gemeint, aber auch wenig anfängerfreundlich ist. Und http ist (ob man das nun will oder nicht) immernoch korrekt (und wird es immer seln). Einen Browser, der einen da einschränkt, betrachte ich als grundlegend fehlerhaft, selbst wenn es gute Gründe für Verbindungsverschlüsselung gibt. Dies führt aber sicher zu weit um das als Diskussion hier zu erörtern. Wichtig ist erstmal nur die Angst wegen der (hier irreführenden) Anzeige zu nehmen. Und dass das kontraproduktiv sein kann, sieht man ja hier sehr schön.

Mit *-Wildcards arbeiten, wird aber in jedem Fall angenehmer als eigener Server, wenn sich diese Frage stellt. Das wäre praktisch vom Regen in die Traufe.

Allgemein sollte man nicht so viel mit Subdomains im Webhosting machen, zumindest wenn es um Zertifikate geht. Das ist auch gar nicht nötig, weil Du das logisch genauso im Verzeichnis abbilden kannst. Prinzipiell organisiert man ja eher grundlegend andere Dienste über Subdomains, die sich vom Webserver (oder zumindest dem normalen Seiten) unterscheiden. Z.B. http://www.deinedomain.de, mail.deinedomain.de, ntp.deinedomain.de (oder zumindest shop.deinedomain.de)

Die logische Untergliederung von Webseiten wird dagegen nach hinten über die Verzeichnisstruktur vorgenommen, z.B. http://www.deinedomain.de/verzeichnis/nocheinverzeichnis/. So hat dann auch Dein Zertifikat keine Probleme.