Posts by Bachsau

    Seit wann sind die virtuellen Platten eigentlich wieder als RAW gespeichert, wo doch erst vor ein paar Jahren unter großen Tam-Tam auf QCOW2 umgestellt wurde? Ich wurde heute beim Export davon überrascht. Gab's irgendwo eine Ankündigung, dass das Format geändert wird, oder auch nur, dass der Download nicht mehr mittels FTP möglich ist, oder hielt es Netcup nicht für nötig seine Kunden auf irgendeinem Weg zu informieren? :rolleyes:

    Buster ist übrigens selbst schon EOL. Du musst zwar in Einzelschritten durch die Versionen gehen, aber wenn du schon mal dabei bist, würde ich empfehlen, danach gleich zu Bullseye und Bookworm weiter zu gehen. Ich habe dazu immer Snapshots im SCP gemacht, aber gebraucht habe ich sie nie. Debian hat genaue Anleitungen, was bei jedem Update zu beachten ist. Wenn man nicht völlig ahnungslos ist, kann eigentlich nichts schief gehen, das man nicht wieder hinkriegen könnte. Beim Update auf Bookworm hat's bei mir `systemd-timesyncd` geschmissen, weil das jetzt ein eigenes Paket ist, aber sonst ist nichts unerwartetes passiert.

    Debian ist etwas schlanker und nutzt die /etc/network/interfaces Syntax, sowie resolv.conf

    Wobei die Interfaces-Datei ebenfalls Debian-Spezifisch ist. Hier kann ich sagen, dass systemd-networkd wirklich gut funktioniert und leicht zu konfigurieren ist. Debians ifupdown-Scripte habe ich deinstalliert. systemd-resolvd braucht man aber nicht, da reicht wirklich die resolv.conf, zumal Netcup ja einen eigenen Resolver anbietet.

    Das ist allerdings richtig. Wobei man schon das erste Problem hat, wenn überhaupt jemand mit einem Benutzer einen Dienst starten kann. Soweit sollte möglichst schon gar nicht erst jemand kommen.

    Einen "Dienst" kann Grundsätzlich jeder starten, denn das ist im Prinzip nichts weiter als jedes beliebige Programm, das im Hintergrund läuft und einen Port öffnet. Dafür braucht es kein Init-Script. Mittels systemd kann man zwar timeouts festlegen, um Programme von nicht (mehr) eingeloggten Benutzern abzuschießen, aber das führt schnell zu anderen Problemen.

    Wenn man die Kerne nicht dauerhaft frei hält, kann es sicher immer mal eine kurze Zeit dauern, bis Takte verfügbar sind, selbst bei einem Root-Server. Die Leistung wird zwar zugesichert, aber ich glaube nicht, dass Netcup die Leistung ungenutzt lässt, wenn sie von der VM gerade nicht benötigt wird. Ich war/bin mir nur nicht sicher, ob diese "Stalls" von außerhalb kommen, oder ob es evtl. (Kernel-)Parameter gibt, die ich optimieren kann. Hier steht einiges dazu, vor allem auch "To diagnose the cause of the stall, inspect the stack traces. The offending function will usually be near the top of the stack." Allerdings ist besagter Stack Trace nicht gerade ergiebig:

    Entweder bin ich zu blöd, das zu verstehen, oder es gibt keine "offending function", weil die Verzögerung tatsächlich von außerhalb der VM kommt. Dass er in einer VM läuft, weiß der Kernel aber, wie man aus den Boot-Meldungen ersehen kann:

    Code
    Aug 24 22:29:41 aster kernel: [    0.000000] Hypervisor detected: KVM
    Aug 24 22:29:41 aster kernel: [    0.102426] Booting paravirtualized kernel on KVM

    Daher denke ich, dass er sich eigentlich anpassen müsste, falls sowas für eine VM normal ist. Übrigens treten diese Meldungen ein bis zwei mal pro Woche auf, so dass man Live-Migration wohl ausschließen kann.

    Hallo! Beim einloggen in's SCP habe ich nun wiederholt einen Satz Meldungen wie diese auf der virtuellen Konsole vorgefunden:

    netcup_cpu_stall.png

    Negative Auswirkungen auf den Betrieb konnte ich keine festellen. Trotzdem wüsste ich gerne, was es damit auf sich hat, und ob ich etwas dagegen tun kann oder sollte. Generell bin ich mit Linux gut vertraut, allerdings nicht mit Kernel-Interna. Auf dem Server läuft Debian 10.10.

    phpMyAdmin hat das eben so in seinen Sprachdateien stehen. Aber der MySQL-Server müsste dafür bei jeder neuen Verbindung den Reverse-DNS abfragen, deshalb aktiviert man das üblicherweise nicht. Wenn du von außerhalb auf einen MySQL-Server zugreifst, solltest du außerdem beachten, dass diese Verbindungen normalerweise nicht verschlüsselt sind.

    Ich hab bei Bürger*innenräte aufgehört zu lesen. Klima retten gerne, aber Gendersternchen? Muss das sein?

    Klimaschutz bekommt man heutzutage leider nicht mehr ohne linke Identitätspolitik. Schade und traurig, aber Fakt. Der Klimaschutz ist da nur das Zugpferd für linke Propaganda, nicht anders als bei den Rechtsradikalen, die sich mit einem harten Vorgehen gegen Kinderschänder Zustimmung verschaffen wollen.

    Ich hoffe du hast vor, das Projekt Server anschließend aufzugeben. Denn genau so

    Als es dann endlich lief, war ich froh und habe nichts mehr angefasst.

    macht man es nicht. Wenn du nicht mehr rein kommst, nimm am besten eine grafische Live-CD, z.B. von Ubuntu. Die kannst du leicht vom SCP aus verwenden, auch wenn du keine Ahnung hast. Damit mountest du dann die Partition des Servers, und kannst die Daten anschließend bequem z.B. mittels FileZilla auf ein anderes System laden.

    Schrecklich, wie die Leute versuchen, alles nur noch mit mod_rewrite zu lösen. :(


    Im Prinzip braucht man nur diese zwei Zeilen:

    Code
    CheckSpelling on
    CheckCaseOnly on

    Das erzwingt nicht direkt die Kleinschreibung, erzeugt aber weiterleitungen für jede Datei, die mit einer anderen Groß-/Kleinschreibung existiert. Wenn also "irgendwas.html" existiert, "IrgendWas.html" aber nicht, dann werden Anfragen nach Letzterem auf Ersteres weitergeleitet.

    Es besteht auch die Möglichkeit per VeraCrypt ein Volume zu errichten und es zu mounten, falls die zu verschlüsselnde Datenmenge nicht zu groß ist und man nicht das ganze System verschlüsseln muss bzw. möchte, da die Nachteile eben schon recht groß sind.

    Entweder das, oder man verschlüsselt kritische Daten direkt. Zahlungsinformationen könnte man z.B. direkt an das Kundenpasswort binden, und somit sicher stellen, dass sie gar nicht mehr gestohlen werden können, wenn der Kunde nicht eingeloggt ist.

    Freien Arbeitsspeicher habe ich auch gar nicht. Linux verwertet den ja stets zu 100% für den Dateisystemcache.

    Genau um diesen Cache geht es, denn das ist letztlich freier Speicher, der dann nicht für andere VMs zur Verfügung steht, während deine VM Dateien im Cache hält, die vielleicht seit Tagen nicht mehr abgerufen wurden, weil sie "denkt" der Platz wäre ja sonst eh ungenutzt. KVM managet das z.B. mittels Ballooning.

    Bei Netcup gibt es den RAM garantiert - und damit ist es nicht asozial.

    Die Verfügbarkeit deines Geldes in Bar wird dir durch deine Bank auch trotz Mindestreserve garantiert. Eins schließt das Andere nicht aus, wenn man maßvoll wirtschaftet. Und selbst wenn es nicht konkret Ballooning ist, gibt es keinen vernünftigen Grund, warum man ein Gastsystem bewusst so konfigurieren sollte, dass es nicht optimal mit seinem Host zusammenarbeitet. Für mich ist das Paranoia, die an anderer Stelle deutlich angebrachter wäre. Ist nur meine Meinung dazu.

    ohne SCP gibts auch keine virt. Konsole würde ich mal sagen;

    Ich glaube, er meint etwas anderes. Die virtuelle Konsole ist natürlich unabhängig vom SCP über den Host erreichbar, ebenso wie jeder virtuelle, serielle Port. Wenn man es mit der Paranoia weit genug treibt, kann man natürlich alles mögliche versuchen, um Zugriffe über den Host zu erschweren. Allerdings wiegt der Nutzen die Einschränkungen kaum auf, denn generell gillt in der IT die Maxime, dass wer physischen Zugriff auf ein laufendes Gerät hat, dieses so gut wie immer irgendwie unter seine Kontrolle bringen kann, und für eine VM ist der Host gewissermaßen die physische Umgebung. Theoretisch gibt es 1001 Methoden eine VM vom Host aus anzugreifen. Anstatt einen Schlüssel auszulesen, könnte man z.B. auch code injizieren um laufende Prozesse zu beeinflussen. Aber bevor ich mir Sorgen darüber mache, wie ich mich im Falle einer unsicheren Host-Konfiguration durch Netcup schütze, würde ich mir wirklich eher Gedanken darum machen, wie ich die eigene VM zum Netzwerk hin absichere, denn das ist definitiv die größere Gefahr, und zudem der Bereich für den ich persönlich haftbar gemacht werden kann. Wenn du z.B. einen Shop betreibst, und plötzlich die Daten deiner Kunden woanders auftauchen, dann garantiere ich dir, dass die nicht vom letzten, großen Netcup-Hack stammen, sondern weil du $shopsystem nicht rechtzeitig gepatcht hast.

    P.S. Ja ich bin kein Profi und möchte auch keiner mehr werden ;)

    => https://wordpress.com/start/user/de

    Sorry, aber ist einfach so. Wenn du dich nicht mit der Technik auseinandersetzen willst, solltest du ein Angebot nutzen, bei dem das nicht notwendig ist. Ich versteh' auch nicht, wieso man selbst WordPress noch über ein Kundencenter installieren will. Das kann man direkt per FTP praktisch überall hochladen, mit ein paar Mausklicks einrichten, und ab dann aktualisiert es sich selbstständig. Also lösch' den Webspace und die Datenbank, und installier' es einfach auf dem offiziellen Weg.

    Grundsätzlich kann man eine VM nicht vor dem Host schützen, auf dem sie läuft. Den Guest-Agent nicht zu aktivieren macht es zwar schwerer, kann es aber nicht verhindern. Letztendlich muss man sich einfach fragen, ob man dem Hoster vertraut, oder nicht. Wenn man ihm nicht vertraut, sollte man dort nicht hosten.


    Der Guest-Agent dient vor allem dazu, das Load-Balancing bei geteilten Resourcen zu optimieren. Ihn nicht einzusetzen schadet letztendlich Allen, da ungenutzte Resourcen, wie beispielsweise freier Arbeitsspeicher, nicht für andere VMs freigegeben werden können, oder anders gesagt: Es ist asozial. Zudem glaube ich nicht, dass die Root-Passwort-Funktion auf diese Weise funktioniert. Da der Server dafür heruntergefahren werden muss, gehe ich davon aus, dass Netcup die Images dann extern mountet und anschließend ein Script nach bekannten Strukturen, wie z.B. einer /etc/shadow-Datei sucht. Wer das verhindern will, müsste die Festplatte verschlüsseln, was ebenfalls wieder eine effiziente Resourcen-Nutzung unterbindet, und ebenfalls nicht völlig verhindern kann, dass der Host auf die VM Zugriff erlangt.


    Die SCP Snapshots können ggf. groß sein und die Disk-Optimierung kann ggf. mehr oder weniger nichts mehr für dich tun, das kommt aber auf das konkrete Setup an.

    Die Disk-Optimierung dient eher Anderen als einem selbst, Stichwort "Thin Provisioning". Ohne diese Möglichkeiten könnte Netcup aber vermutlich nicht so günstig anbieten. Außerdem schont freier Speicherplatz die SSDs, da Wear Leveling dort besser stattfinden kann.

    Dass der Pool für DE aber nur von ehrenamtlichen betrieben wird, sehe ich jedoch nicht ganz so - der relevante Teil, welche von NTPs beim Pool verwendet werden, sind Server von Service Providern, welches alle dedicated Server sind - was ein NTP auch sein sollte.

    Auch sehe ich den Nutzen nicht darin, Unmengen von virtuellen Servern, dem Pool hinzuzufügen, sondern die physikalischen Ressourcen der ISPs eine genauere Zeit liefern zu lassen.

    Sehe ich auch so. Von gewissen Dingen sollte man als kleiner VPS-Kunde einfach Abstand nehmen. Dazu gehört das Betreiben öffentlicher NTP-Nodes ebenso wie der Betrieb öffentlicher DNS-Resolver, 6to4-Gateways und ähnlicher Infrastruktur. Netcup wird sicher selbst mit der einen oder anderen Maschine daran teilnehmen, und das reicht dann auch.