Posts by Bachsau

    Ich habe das Problem gelöst. Nicht ganz perfekt, aber vielleicht hilft es jemanden weiter:

    Das ist genau das, was KB19 gemeint hat. Er hat es nur nicht so ausführlich beschrieben, sondern in einen einzelnen Befehl gepackt. Auf diese Weise kopierst du zwar immernoch ein unkomprimiertes Image auf den FTP-Server, nur eben von innerhalb des Rechenzentrums, was der ganzen Sache ein bisschen mehr Speed verleiht. Die meisten Linux-Programme bieten irgendeine Möglichkeit an, Daten aus der Standardeingabe zu lesen oder auf die Standardausgabe zu schreiben, und diese Streams kann man mittels der Shell-Operatoren <, >, und | umleiten, was sehr mächtige und komplexe Befehls-Kombinationen ermöglicht.


    Wenn es allerdings nur um die Verbindungsabbrüche geht, hätte es evtl. auch einfach ein anderer FTP-Client getan, b.z.w. hättest du curlftpfs natürlich auch von Zuhause aus verwenden können.

    In dem Fall wirst du um ein VPN wahrscheinlich tatsächlich nicht herum kommen. Solche Geräte per Portfreigabe zu öffnen, wäre noch gefährlicher. IPSec-kompatible clients gibt es genug, da wirst du dir sicher eine Lösung basteln können. Dann musst du aber große Sorgfalt auf die Absicherung deines Servers verwenden, denn wenn da jemand rein kommt, hat er sofort auch unbeschränkten Zugriff auf deine anderen Netze.


    Eine andere Möglichkeit wäre, einen kleinen Homeserver zwischenzuschalten, der die Zugriffskontrolle und die Verschlüsselung übernimmt, und quasi als Proxy für den Zugriff auf deine Geräte agiert. Den gibst du dann nach außen hin frei. Nur stellt sich dann natürlich die Frage, wozu du dann noch einen Server von Netcup brauchst, denn dann kannst du das Monitoring auch gleich da machen.

    Das käme darauf an, ob diese Geräte dafür ausgelegt sind, aus dem Internet angesprochen zu werden, und entsprechend abgesichert werden können (IP-Filter u.s.w.). So wie ich dich verstanden habe, willst du ja auf dem Server "nur" ein zentrales Monitoring machen. Da wäre es die beste Lösung, wenn die Geräte selbst den Server kontaktieren, und dort über eine verschlüsselte Verbindung (TLS) die Daten einliefern. Auf diese Weise würde der Server nur entgegen nehmen, könnte aber nicht aktiv in dein Heimnetz oder die Konfiguration deiner Geräte eingreifen. Ob das mit deinen Geräten möglich ist, weiß ich natürlich nicht, aber ich hätte Bauchschmerzen dabei, irgendwelche Smarthome-Geräte gegenüber Verbindungen von außen zu öffnen, egal ob dies über ein VPN oder Portfreigaben geschieht.

    was ist das?


    /curlftpfs/remote/file.img


    Den Pfad gibt es im Rettungssystem nicht. Dein Vorschlagt klingt gut. Aber kannst du ihn bitte noch genauer erläutern?

    Eigentlicht ist das selbsterklärend. => https://wiki.archlinux.org/index.php/CurlFtpFS

    Die Idee ist, das Rettungssystem als Gateway zu nutzen, um es von dort aus entpackt auf den FTP-Server zu schieben. Dafür müsstest du aber mindestens wissen, wie man ein Dateisystem mountet. Direkt installieren kannst du so ein Image nicht ohne den Umweg über den Netcup FTP-Server und das CCP, da sich das Image ja außerhalb der VM befindet. Wenn deine Verbindung nicht wirklich lahm ist, ist es die Mühe nicht wert. Denn bis du dir da was zusammengebastelt hast, hast du auch locker 10 GiB hochgeladen. Wenn FileZilla Übertragungen abbricht, dann stell' mal in den Einstellungen bei Verbindung die Zeitüberschreitung ab, und setze bei FTP den Haken für Verbindungserhaltungsbefehle.

    ich denke das ist für euch kein problem

    Ein Problem besteht so lange, bis man es gelöst hat. Ich weiß, dass die Fritzen auf das Cisco IPSec-Protokoll setzen, deshalb würde ich dort anfangen zu suchen. Google & Wikipedia, von dort dann weiter in Richtung konfiguration entsprechender Clients. Vier bis fünf Stunden würde ich sagen, ausreichendes Grundwissen vorausgesetzt, und ich hätte eine funktionierende und sichere Lösung. Wenn du jetzt einfach irgendwas aufsetzt, ohne deine Konfiguration wirklich zu kennen, ist das geradezu eine Einladung dazu, deine Infrastruktur zu missbrauchen. Ich bin mir auch garnicht sicher, ob ein VPN hier wirklich die beste Lösung ist. Es ist zwar verschlüsselt, aber so ein Server könnte auch immer ein Einfallstor sein, daher würde ich eher dazu tendieren, einzelne Dienste mittels TLS anzusprechen, bevor ich einen VPS in mein lokales Netzwerk hänge.

    Ich denke, dass man sich auf die grundsätzliche Sicherheit von Tools wie OpenSSH schon recht gut verlassen kann, sofern man sie aktuell hält und sich seiner Konfiguration bewusst ist. Tatsächlich erlaube ich sogar den Login als root auf meinem Server, allerdings nur mittels eines 4096-bit RSA private keys, und da ist noch nie einer rein gekommen. Die üblichen Botnet-Angriffe verdienen es nicht, als Hacking-Versuch betrachtet zu werden. Das sind meist ganz dumme scripte, die recht ziellos herumstochern, weil halt auch ein blindes Huhn irgendwann ein Korn findet, und gegen die ist das verwenden eines selbst gewählten Ports das Beste, was man machen kann. Nicht, weil es die Sicherheit erhöht, sondern weil es die Systemlast veringert, wenn die gleich vor 'ne Wand rennen.

    Quote

    Sehr geehrter Nutzer, leider werden unsere E-Mails von Microsoft blockiert. Bitte verwenden Sie eine Adresse eines zuverlässigen Anbieters oder wenden Sie sich an Microsoft, um das Problem zu beheben.

    - Foto mit ihrem deutschen Personalausweis in der Hand

    - Foto von der Rückseite ihres deutschen Personalausweises.

    Fotos vom Perso darf ein Unternehmen garnicht verlangen. Wenn sie es so genau wissen wollen, müssen sie Postident anbieten. Aber Netcup hat eine gewisse Geschichte, was absurde Forderungen betrifft. Vor ein paar Jahren wurden wohl mal Server beschlagnahmt, und das hat sie damals so erschreckt, dass sie von Kunden, deren Server missbraucht wurden, eine eidesstattliche Versicherung wollten, dass das nie wieder passiert. Was natürlich völlig unmöglich ist, denn das kann niemand zusichern, selbst wenn er noch so viel Ahnung hat und strengste Sicherheitsvorkehrungen trifft.

    `df -h` zeigt eingehängte Dateisysteme, keine Partitionen oder Partitionstabellen. Den freien Platz zuzuweisen ist in deinem Fall aber denkbar einfach. Du vergrößerst einfach die letzte Partition und anschließend mittels `e2fsresize` das darauf liegende Dateisystem. Anschließend noch ein `fsck` durchführen.

    Das ist kein Argument. Natürlich muss man das vernünftig monitoren, und wenn man es über einen bestimmten Smarthost leitet, der diese Aufgabe übernimmt, und gleichzeitig Verbindungen zum Port 25 sperrt, erhöht das wahrscheinlich sogar die Sicherheit. Um Spam zu versenden, braucht man keine funktionierende Mail-Funktion in PHP, und auch kein systemweites Sendmail. Direkte Verbindungen zu irgendwelchen Mailservern kannst du mit nahezu jeder Scriptsprache öffnen.

    Was für eine doofe Antwort vom Support. Erstens kann PHP so konfiguriert werden, dass es SMTP-Server nutzt, zweitens ist es Netcups Aufgabe, die Webserver so zu konfigurieren, dass ein Mailversand darüber problemlos möglich ist. Entweder, indem sie die Mails selbst raus schicken, oder indem sie dort einen Smarthost konfigurieren, der die Mails über das eigene Cluster leitet. Dabei ist es allerdings tatsächlich richtig und wichtig, dass im Return-Path eine Netcup-Adresse steht, und der sendende Server im SPF der dort verwendeten Domain zugelassen wird. Wenn dort nämlich eine Adresse von GMail oder GMX steht, würden die Mails niemals ankommen, da der Netcup-Server zum Versand von Mails unter deren Adressen nicht berechtigt ist.


    Auf meinem eigenen Server ersetze ich den Return-Path deshalb immer mit einer von mir festgelegten Bounce-Adresse, völlig unabhängig davon, was ein Script bei der Einlieferung angegeben hat. Und das:

    spf=neutral (google.com: 188.68.61.102 is neither permitted nor denied by best guess record for domain of hosting106351@hosting106351.a2f21.netcup.net) smtp.mailfrom=hosting106351@hosting106351.a2f21.netcup.net;

    … ist kein Fehler, sondern besagt nur, dass überhaupt kein SPF-Record vorliegt, was normalerweise dazu führen sollte, dass die Mail auch neutral behandelt und nicht als Spam erkannt wird.

    Das "@" ist bei BIND ein Platzhalter für die Zone selbst, also keine Subdomain. Steht dort stattdessen ein "*", gilt es für jede Subdomain, für die nichts anderes definiert ist. Ein Catchall für Websites und Mails wird demnach so eingerichtet:

    Code
    1. *.example.com in A 192.0.2.0
    2. *.example.com in AAAA 2001:db8::1
    3. *.example.com in MX 0 mailserver.example.com

    Punkt 1: Ein MX-Record zeigt immer auf eine andere Domain, also normalerweise auf den kanonischen Hostnamen des Servers, der die Mails entgegen nehmen soll. Dieser muss dort mittels A/AAAA-Records ausgewiesen werden.

    Punkt 2: Wildcards gelten nur für Subdomains, die nicht anderweitig definiert sind. Legst du also zusätzlich noch z.B. einen A-Record für intern.example.com an, können dorthin keine Mails mehr versendet werden, sofern nicht auch ein separater MX-Record vorliegt.

    Für das Problem mit den Konfigurationsdateien kann ich dir etckeeper empfehlen. Das ist eine kleine Scriptsammlung für GIt, die automatisch dein /etc versioniert. Das ist jetzt keine Backup-Lösung für's System, hilft aber, da man jederzeit Konfigurationen wiederherstellen kann, und nach Paketupgrades auch sieht, was verändert wurde.

    So sieht's aus. Man braucht das A+ Rating nicht. Auch die weniger sicheren Ciphers sind noch nie geknackt worden. Das ist alles theoretischer Natur. Für ein A+ Rating musst du so streng sein, dass mit vielen Clients keine Verbindung mehr zustande kommt. Zum Rumprobieren ganz nett, aber praktisch hast du nichts davon, außer dass du dir ein schönes Badge ansehen kannst. Ehrlich, pfeif' auf's Rating und schau dir die Details an: Gibt es Warnungen zu Lücken, die nicht geschlossen sind, und handeln auch alle Browser die für sie bestmögliche Suite aus?