Korrekt. Du glaubst ja garnicht, wie schnell so eine .qcow2-Datei gelöscht ist, egal wie gut du ihren Inhalt verschlüsselst. 
Posts by Bachsau
-
-
Es besteht auch die Möglichkeit per VeraCrypt ein Volume zu errichten und es zu mounten, falls die zu verschlüsselnde Datenmenge nicht zu groß ist und man nicht das ganze System verschlüsseln muss bzw. möchte, da die Nachteile eben schon recht groß sind.
Entweder das, oder man verschlüsselt kritische Daten direkt. Zahlungsinformationen könnte man z.B. direkt an das Kundenpasswort binden, und somit sicher stellen, dass sie gar nicht mehr gestohlen werden können, wenn der Kunde nicht eingeloggt ist.
-
Freien Arbeitsspeicher habe ich auch gar nicht. Linux verwertet den ja stets zu 100% für den Dateisystemcache.
Genau um diesen Cache geht es, denn das ist letztlich freier Speicher, der dann nicht für andere VMs zur Verfügung steht, während deine VM Dateien im Cache hält, die vielleicht seit Tagen nicht mehr abgerufen wurden, weil sie "denkt" der Platz wäre ja sonst eh ungenutzt. KVM managet das z.B. mittels Ballooning.
Bei Netcup gibt es den RAM garantiert - und damit ist es nicht asozial.
Die Verfügbarkeit deines Geldes in Bar wird dir durch deine Bank auch trotz Mindestreserve garantiert. Eins schließt das Andere nicht aus, wenn man maßvoll wirtschaftet. Und selbst wenn es nicht konkret Ballooning ist, gibt es keinen vernünftigen Grund, warum man ein Gastsystem bewusst so konfigurieren sollte, dass es nicht optimal mit seinem Host zusammenarbeitet. Für mich ist das Paranoia, die an anderer Stelle deutlich angebrachter wäre. Ist nur meine Meinung dazu.
-
ohne SCP gibts auch keine virt. Konsole würde ich mal sagen;
Ich glaube, er meint etwas anderes. Die virtuelle Konsole ist natürlich unabhängig vom SCP über den Host erreichbar, ebenso wie jeder virtuelle, serielle Port. Wenn man es mit der Paranoia weit genug treibt, kann man natürlich alles mögliche versuchen, um Zugriffe über den Host zu erschweren. Allerdings wiegt der Nutzen die Einschränkungen kaum auf, denn generell gillt in der IT die Maxime, dass wer physischen Zugriff auf ein laufendes Gerät hat, dieses so gut wie immer irgendwie unter seine Kontrolle bringen kann, und für eine VM ist der Host gewissermaßen die physische Umgebung. Theoretisch gibt es 1001 Methoden eine VM vom Host aus anzugreifen. Anstatt einen Schlüssel auszulesen, könnte man z.B. auch code injizieren um laufende Prozesse zu beeinflussen. Aber bevor ich mir Sorgen darüber mache, wie ich mich im Falle einer unsicheren Host-Konfiguration durch Netcup schütze, würde ich mir wirklich eher Gedanken darum machen, wie ich die eigene VM zum Netzwerk hin absichere, denn das ist definitiv die größere Gefahr, und zudem der Bereich für den ich persönlich haftbar gemacht werden kann. Wenn du z.B. einen Shop betreibst, und plötzlich die Daten deiner Kunden woanders auftauchen, dann garantiere ich dir, dass die nicht vom letzten, großen Netcup-Hack stammen, sondern weil du $shopsystem nicht rechtzeitig gepatcht hast.
-
P.S. Ja ich bin kein Profi und möchte auch keiner mehr werden
=> https://wordpress.com/start/user/de
Sorry, aber ist einfach so. Wenn du dich nicht mit der Technik auseinandersetzen willst, solltest du ein Angebot nutzen, bei dem das nicht notwendig ist. Ich versteh' auch nicht, wieso man selbst WordPress noch über ein Kundencenter installieren will. Das kann man direkt per FTP praktisch überall hochladen, mit ein paar Mausklicks einrichten, und ab dann aktualisiert es sich selbstständig. Also lösch' den Webspace und die Datenbank, und installier' es einfach auf dem offiziellen Weg.
-
Grundsätzlich kann man eine VM nicht vor dem Host schützen, auf dem sie läuft. Den Guest-Agent nicht zu aktivieren macht es zwar schwerer, kann es aber nicht verhindern. Letztendlich muss man sich einfach fragen, ob man dem Hoster vertraut, oder nicht. Wenn man ihm nicht vertraut, sollte man dort nicht hosten.
Der Guest-Agent dient vor allem dazu, das Load-Balancing bei geteilten Resourcen zu optimieren. Ihn nicht einzusetzen schadet letztendlich Allen, da ungenutzte Resourcen, wie beispielsweise freier Arbeitsspeicher, nicht für andere VMs freigegeben werden können, oder anders gesagt: Es ist asozial. Zudem glaube ich nicht, dass die Root-Passwort-Funktion auf diese Weise funktioniert. Da der Server dafür heruntergefahren werden muss, gehe ich davon aus, dass Netcup die Images dann extern mountet und anschließend ein Script nach bekannten Strukturen, wie z.B. einer /etc/shadow-Datei sucht. Wer das verhindern will, müsste die Festplatte verschlüsseln, was ebenfalls wieder eine effiziente Resourcen-Nutzung unterbindet, und ebenfalls nicht völlig verhindern kann, dass der Host auf die VM Zugriff erlangt.
Die SCP Snapshots können ggf. groß sein und die Disk-Optimierung kann ggf. mehr oder weniger nichts mehr für dich tun, das kommt aber auf das konkrete Setup an.
Die Disk-Optimierung dient eher Anderen als einem selbst, Stichwort "Thin Provisioning". Ohne diese Möglichkeiten könnte Netcup aber vermutlich nicht so günstig anbieten. Außerdem schont freier Speicherplatz die SSDs, da Wear Leveling dort besser stattfinden kann.
-
Dass der Pool für DE aber nur von ehrenamtlichen betrieben wird, sehe ich jedoch nicht ganz so - der relevante Teil, welche von NTPs beim Pool verwendet werden, sind Server von Service Providern, welches alle dedicated Server sind - was ein NTP auch sein sollte.
Auch sehe ich den Nutzen nicht darin, Unmengen von virtuellen Servern, dem Pool hinzuzufügen, sondern die physikalischen Ressourcen der ISPs eine genauere Zeit liefern zu lassen.
Sehe ich auch so. Von gewissen Dingen sollte man als kleiner VPS-Kunde einfach Abstand nehmen. Dazu gehört das Betreiben öffentlicher NTP-Nodes ebenso wie der Betrieb öffentlicher DNS-Resolver, 6to4-Gateways und ähnlicher Infrastruktur. Netcup wird sicher selbst mit der einen oder anderen Maschine daran teilnehmen, und das reicht dann auch.
-
root-login verboten
ssh-port geändert
firewall (ufw) konfiguriert und aktiviert
fail2ban installiert
Wie willst du das alles gemacht haben, wenn du nichteinmal weißt, wie du dich auf dem Server einloggst? Ehrlich, ich krieg' die Krise, wenn ich sowas lese. Das sind elementare Grundlagen, die man aus dem FF beherrschen muss, wenn man einen Server im Internet betreibt. Das einzig Richtige wäre, dass Netcup die Kundenkonten hinter solchen Beiträgen ermittelt und die Verträge umgehend kündigt. Wir alle zahlen jeden Tag den Preis dafür, dass solche Leute Server "administrieren". In Form von Spam, gesperrten IP-Adressen, Brute-Force-Angriffen und Datenleaks!
Den ganzen Bereich "Gameserver" sollte man mal einer genaueren Prüfung unterziehen, denn das Meiste hier fällt definitiv unter die Kategorie "Kinder, die mit Waffen spielen". Es ist überhaupt kein Problem, wenn man einfach nur zusammen Spiele spielen will. Aber dann greift doch bitte auf die Angebote von Nіtrado & co. zurück, wo sich Profis um die Technik dahinter kümmern.
-
Wer sagt denn, dass die Zeitangabe des Watchdog richtig ist, oder dass es solche Hänger überhaupt wirklich gibt? Schalt' das Ding mal ab, entlade das Modul, und schau, ob er immer noch regelmäßig neu startet. Meiner tut das nämlich nicht.
-
Windows ist -imho- viel komplexer als Linux
Das kann ich nur unterschreiben. Wer glaubt, einen Windows-Server verwalten zu können, weil ihm der Desktop bekannt vorkommt, der irrt sich gewaltig. Man kann auch mit Windows sichere und zuverlässige Server-Umgebungen schaffen. Das dafür notwendige Hintergrundwissen ist aber weitreichender als bei Linux.
-
Ich würde ja fast vermuten, dass dieser "watchdog" hier selbst das Problem ist. Der kann das System nämlich tatsächlich neu starten, wenn er glaubt, es würde etwas hängen. Keine Ahnug, wie er das feststellen will. Bei einer VM ist es ja normal, das dem System nicht 100% der CPU-Zeit zur Verfügung steht.
-
Ich habe das Problem gelöst. Nicht ganz perfekt, aber vielleicht hilft es jemanden weiter:
Das ist genau das, was KB19 gemeint hat. Er hat es nur nicht so ausführlich beschrieben, sondern in einen einzelnen Befehl gepackt. Auf diese Weise kopierst du zwar immernoch ein unkomprimiertes Image auf den FTP-Server, nur eben von innerhalb des Rechenzentrums, was der ganzen Sache ein bisschen mehr Speed verleiht. Die meisten Linux-Programme bieten irgendeine Möglichkeit an, Daten aus der Standardeingabe zu lesen oder auf die Standardausgabe zu schreiben, und diese Streams kann man mittels der Shell-Operatoren <, >, und | umleiten, was sehr mächtige und komplexe Befehls-Kombinationen ermöglicht.
Wenn es allerdings nur um die Verbindungsabbrüche geht, hätte es evtl. auch einfach ein anderer FTP-Client getan, b.z.w. hättest du curlftpfs natürlich auch von Zuhause aus verwenden können.
-
In dem Fall wirst du um ein VPN wahrscheinlich tatsächlich nicht herum kommen. Solche Geräte per Portfreigabe zu öffnen, wäre noch gefährlicher. IPSec-kompatible clients gibt es genug, da wirst du dir sicher eine Lösung basteln können. Dann musst du aber große Sorgfalt auf die Absicherung deines Servers verwenden, denn wenn da jemand rein kommt, hat er sofort auch unbeschränkten Zugriff auf deine anderen Netze.
Eine andere Möglichkeit wäre, einen kleinen Homeserver zwischenzuschalten, der die Zugriffskontrolle und die Verschlüsselung übernimmt, und quasi als Proxy für den Zugriff auf deine Geräte agiert. Den gibst du dann nach außen hin frei. Nur stellt sich dann natürlich die Frage, wozu du dann noch einen Server von Netcup brauchst, denn dann kannst du das Monitoring auch gleich da machen.
-
Das käme darauf an, ob diese Geräte dafür ausgelegt sind, aus dem Internet angesprochen zu werden, und entsprechend abgesichert werden können (IP-Filter u.s.w.). So wie ich dich verstanden habe, willst du ja auf dem Server "nur" ein zentrales Monitoring machen. Da wäre es die beste Lösung, wenn die Geräte selbst den Server kontaktieren, und dort über eine verschlüsselte Verbindung (TLS) die Daten einliefern. Auf diese Weise würde der Server nur entgegen nehmen, könnte aber nicht aktiv in dein Heimnetz oder die Konfiguration deiner Geräte eingreifen. Ob das mit deinen Geräten möglich ist, weiß ich natürlich nicht, aber ich hätte Bauchschmerzen dabei, irgendwelche Smarthome-Geräte gegenüber Verbindungen von außen zu öffnen, egal ob dies über ein VPN oder Portfreigaben geschieht.
-
was ist das?
/curlftpfs/remote/file.img
Den Pfad gibt es im Rettungssystem nicht. Dein Vorschlagt klingt gut. Aber kannst du ihn bitte noch genauer erläutern?Eigentlicht ist das selbsterklärend. => https://wiki.archlinux.org/index.php/CurlFtpFS
Die Idee ist, das Rettungssystem als Gateway zu nutzen, um es von dort aus entpackt auf den FTP-Server zu schieben. Dafür müsstest du aber mindestens wissen, wie man ein Dateisystem mountet. Direkt installieren kannst du so ein Image nicht ohne den Umweg über den Netcup FTP-Server und das CCP, da sich das Image ja außerhalb der VM befindet. Wenn deine Verbindung nicht wirklich lahm ist, ist es die Mühe nicht wert. Denn bis du dir da was zusammengebastelt hast, hast du auch locker 10 GiB hochgeladen. Wenn FileZilla Übertragungen abbricht, dann stell' mal in den Einstellungen bei Verbindung die Zeitüberschreitung ab, und setze bei FTP den Haken für Verbindungserhaltungsbefehle.
-
ich denke das ist für euch kein problem
Ein Problem besteht so lange, bis man es gelöst hat. Ich weiß, dass die Fritzen auf das Cisco IPSec-Protokoll setzen, deshalb würde ich dort anfangen zu suchen. Google & Wikipedia, von dort dann weiter in Richtung konfiguration entsprechender Clients. Vier bis fünf Stunden würde ich sagen, ausreichendes Grundwissen vorausgesetzt, und ich hätte eine funktionierende und sichere Lösung. Wenn du jetzt einfach irgendwas aufsetzt, ohne deine Konfiguration wirklich zu kennen, ist das geradezu eine Einladung dazu, deine Infrastruktur zu missbrauchen. Ich bin mir auch garnicht sicher, ob ein VPN hier wirklich die beste Lösung ist. Es ist zwar verschlüsselt, aber so ein Server könnte auch immer ein Einfallstor sein, daher würde ich eher dazu tendieren, einzelne Dienste mittels TLS anzusprechen, bevor ich einen VPS in mein lokales Netzwerk hänge.
-
Ich denke, dass man sich auf die grundsätzliche Sicherheit von Tools wie OpenSSH schon recht gut verlassen kann, sofern man sie aktuell hält und sich seiner Konfiguration bewusst ist. Tatsächlich erlaube ich sogar den Login als root auf meinem Server, allerdings nur mittels eines 4096-bit RSA private keys, und da ist noch nie einer rein gekommen. Die üblichen Botnet-Angriffe verdienen es nicht, als Hacking-Versuch betrachtet zu werden. Das sind meist ganz dumme scripte, die recht ziellos herumstochern, weil halt auch ein blindes Huhn irgendwann ein Korn findet, und gegen die ist das verwenden eines selbst gewählten Ports das Beste, was man machen kann. Nicht, weil es die Sicherheit erhöht, sondern weil es die Systemlast veringert, wenn die gleich vor 'ne Wand rennen.
-
Quote
Sehr geehrter Nutzer, leider werden unsere E-Mails von Microsoft blockiert. Bitte verwenden Sie eine Adresse eines zuverlässigen Anbieters oder wenden Sie sich an Microsoft, um das Problem zu beheben.
-
- Foto mit ihrem deutschen Personalausweis in der Hand
- Foto von der Rückseite ihres deutschen Personalausweises.
Fotos vom Perso darf ein Unternehmen garnicht verlangen. Wenn sie es so genau wissen wollen, müssen sie Postident anbieten. Aber Netcup hat eine gewisse Geschichte, was absurde Forderungen betrifft. Vor ein paar Jahren wurden wohl mal Server beschlagnahmt, und das hat sie damals so erschreckt, dass sie von Kunden, deren Server missbraucht wurden, eine eidesstattliche Versicherung wollten, dass das nie wieder passiert. Was natürlich völlig unmöglich ist, denn das kann niemand zusichern, selbst wenn er noch so viel Ahnung hat und strengste Sicherheitsvorkehrungen trifft.
-
`df -h` zeigt eingehängte Dateisysteme, keine Partitionen oder Partitionstabellen. Den freien Platz zuzuweisen ist in deinem Fall aber denkbar einfach. Du vergrößerst einfach die letzte Partition und anschließend mittels `e2fsresize` das darauf liegende Dateisystem. Anschließend noch ein `fsck` durchführen.
