Beiträge von Bachsau

Wenn alle sich so viel Gedanken machen würden, wäre die Welt etwas besser. Was du genannt hast, ist schon mehr als zwingend notwendig. Wenn du dich wirklich damit befasst, bist du auf dem besten Weg ein guter Admin zu werden und wirst mit der Zeit eine für dich perfekte, individuelle Konfiguration finden. Woran du noch denken solltest, ist ein automatisches Backup-System. Nichts ist ärgerlicher als viel Zeit in eine tolle Konfiguration zu stecken, die dann verloren geht, weil irgendwas abraucht.

Anfänger + Server … ?

Aber immerhin informierst du dich über deine Distribution. Ich empfehle "ifupdown" und ähnlichen Kram zu deinstallieren und die Netzwerkkonfiguration über den Dienst "systemd-networkd" zu erledigen. Das ist leicht und du ersparst dir eine Menge Ärger. Der Dienst ist bereits integriert und muss daher nicht installiert werden. Alles Andere ist veraltet.

Was die Frage angeht, ob du "Bedarf" für IPv6 hast: Ohne IPv6 kann man den Server nur über IPv4 erreichen, was halt nicht so schön für die weitere Entwicklung des Internets ist. Wenn du eine IPv6 im DNS eingetragen hast, diese aber nicht auf deinen Server zeigt, werden Besucher, die eine IPv6-fähige Verbindung haben, und das ist inzwischen die Mehrheit, nur die Baustellenseite sehen, denn IPv6 wird bevorzugt.

Ja, aber es ist doch Schlangenöl. Mit einer beliebigen Script-Sprache kannst du meist genauso viel Schaden anrichten, wie mit Shell-Befehlen. Sobald man bösartigen Code auf dem Webspace hat, hat man ein Problem, egal ob PHP jetzt etwas eingeschränkter ist oder nicht. Aus dem selben Grund wurde auch der "safe mode" aus PHP entfernt.

Zitat von ThomasChr

Aber das ist ziemlich Off Topic und sollte nicht in diesem Thread stehen.

Die TE hat es mit ihrem Beitrag zum Thema gemacht, und leider sind wir inzwischen gesellschaftlich an einem Punkt angekommen, wo man soetwas thematisieren muss, bevor es weiter einsickert. Politik ist überall, weil sie unser Leben zu jedem Zeitpunkt betrifft.

Die wunderbare YouTuberin Tamara Wernli hat die Entwicklung hier ganz gut zusammen gefasst: https://www.youtube.com/watch?v=zb7faByU0h0

Auch mit ihr bin ich nicht in allen Dingen einer Meinung, aber man muss darüber reden dürfen.

Irgendwie versteh' ich das nicht. Übernehmt ihr Produkte von völlig fremden, oder was? Und falls ja, dann muss es dafür ja ein Angebot geben, und dann ist es Aufgabe des Abgebenden, die technischen Daten anzugeben.

Innerhalb einer VM dürften die Daten nach einem TRIM nicht mehr abrufbar sein. Beim Einspielen eines Images oder nach einer Löschung aus dem SCP heraus auch nicht mehr, da die gesamte Image-Datei gelöscht wird. Dass Daten bei einer Übergabe erhalten bleiben, versteht sich eigentlich von selbst. Als Gewerbetreibender sollte man genug Eigenverantwortung mitbringen, eine Löschung vorher selbst anzustoßen, sollte sie erforderlich sein. Bei auf SSDs gehosteten Maschinen würde ich davon absehen, diese willkürlich mittels `dd` zu beschreiben. Ihr schadet damit nur der Hardware, ohne etwas zu erreichen.

Zitat von eripek

Bei Domains ist der Transfer auch nur wie bisher möglich, was ich wegen der Kosten teilweise verstehen kann.

Wat denn für Kosten? Man schickt der Registry ein Update auf ein anderes Handle, und das war's.

Eure Unterstrich-Taste klemmt.

Enthält jede Menge überflüssige Bedingungen, die keinen Vorteil bringen. Die Zeile

Redirect permanent / https://www.neueseite.example/

reicht vollkommen, und bewirkt absolut das Gleiche.

Ich denke, ich hatte dir schon eine sehr strukturierte und funktionsfähige Lösung auf Basis von mod_alias präsentiert. Aber vielleicht befasst du dich ja selbst mal mit der Funktionsweise, statt hier vorgefertigte Lösungen zu erwarten. Die von dir gewählte Lösung mit Hilfe von mod_rewrite ist zwar etwas komplexer, im Prinzip aber nicht falsch. Der von dir zitierte Code deutet aber darauf hin, dass du ihn fast 1:1 irgendwo kopiert hast, vermutlich weil jemand behauptet hat, er sei besonders sicher, was völliger Blödsinn ist.

Das hier:

# FORCE SSH
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

… führt (abgesehen davon, dass SSH nicht SSL ist) bei HTTP zu einer doppelten Weiterleitung, weil die Anweisungen von oben nach unten bearbeitet werden, und ist obendrein überflüssig, weil die weiter unten von dir verwendeten Weiterleitungen ja ohnehin bereits auf HTTPs verweisen, und unabhängig vom ursprünglich verwendeten Protokoll greifen.

Deine Index-Datei wird deshalb niemandem angezeigt, weil der Webserver dadurch einen Redirect mit Code 301 raus haut, und zwar nicht vor, sondern anstelle eines normalen Dokuments. Nur wenn der Benutzer automatische Weiterleitungen ausgeschaltet hat, wird stattdessen der Datenteil des zugleich übertragenen Dokuments anzeigt. Das ist dann aber nicht deine Index-Datei, sondern eine vom Webserver generierte Hinweis-Seite, mit einem Link, wohin die Weiterleitung hätte führen sollen. Um diese selbst zu gestalten, müsstest du stattdessen ein entsprechendes ErrorDocument 301 festlegen. Das hilft dem Nutzer aber nur, wenn es für jede Domain auch einen korrekten Link zum Ziel enthält. Da es aber nichtmal 0,1% deiner Besucher überhaupt sehen werden (hat mit der Geschwindigkeit der Verbindung nichts zu tun), ist es die Mühe nicht wert.

Der letzte Block in deiner Datei ist, wie bereits gesagt, völliger Unfug, und kann ersatzlos weg. Wolltest du wirklich alle Besucher vom Zugriff auf ein Verzeichnis aussperren wollen, wäre die richtige Anweisung Require all denied, und mehr als diese Zeile braucht es dazu nicht. Das beträfe aber eben ohnehin nur diejenigen, für die keine der Weiterleitungs-Regeln greift, was ja eh nicht vorkommen sollte, und wenn doch, würden diese sonst deine Index-Datei sehen, oder eben nichts, da das Verzeichnis ja ansonsten leer ist.

Ich kritisiere dich, weil du das alles längst wüsstest, wenn du mal etwas über die Anweisungen gelesen hättest, die du in deine Datei kopiert hast. Wenn du konkrete Fragen hast, kannst du sie gerne stellen.

Mir scheint, dass Netcup zu doof ist, bei diesen Weiterleitungen SNI korrekt einzusetzen. Gleiches Problem wie hier, gleiche Lösung.

Wenn sich die Ordner nicht mehr in der INBOX befinden, lässt sich die vollständige Struktur wieder einblenden. Dazu bei den Konten-Einstellungen > Server-Einstellungen > "Erweitert" die Einträge für den Pfad-Präfix und den persönlichen Namensraum entfernen, und Thunderbird anschließend neu starten.

Ein Thunderbird-Backup kannst du außerdem nicht direkt in einen IMAP-Account einspielen, da die enthaltenen Mails natürlich durch die Synchronisation entfernt werden. Um Mails aus einem Backup wieder herzustellen, musst du die entsprechenden Ordner erst im lokalen Postfach wiederherstellen und sie anschließend wieder auf den Server laden.

Zitat von My1

naja das steht ja direkt im log drin, der per mail.

meine ich ja mit "von mir". bei IPv6 hat ja jeder kunde seine eigene und da steht ja die kundennummer dran.

Bist du dir da sicher? Das kann ich mir kaum vorstellen, da es zwar möglich aber völlig sinnlos wäre. Doch selbst wenn, bedeutet das nicht, dass das auch die Adresse ist, die der Server für ausgehende Verbindungen benutzt.

Ich hab erst letztens wieder an einem Tag 30 E-Mails mit Erpressungsversuchen erhalten. Alle mit dem gleichen Inhalt, und alle von verschiedenen Servern rund um den Globus. Solche E-Mails kommen zu 99% von Webhostings und vServern, deren Betreiber überhaupt nicht wissen, was da eigentlich läuft. Das nur mal so am Rande.

Da soetwas täglich passiert, kann ein Massenhoster da nicht für jeden Kunden auf Ursachensuche gehen. Zugleich muss er aber sein Netzwerk schützen, denn wenn auf Abuse-Meldungen nicht innerhalb nützlicher Frist reagiert wird, sperren fremde Admins auch schnell mal ein ganzes AS. Daher müssen solche Webspaces so schnell wie möglich abgeschaltet werden.

Ich weiß ja nicht, was ihr erwartet habt, aber "VPS" ist bei Netcup halt wirklich das unterste Preissegment, da kann man eigentlich nichts erwarten. Ehrlich gesagt wundert es mich, dass man zu diesem Preis überhaupt KVM-basierte Maschinen anbieten kann. Wenn man wirklich einen zuverlässigen und performanten Server möchte, sollte man sich schon einen "Root-Server" gönnen. Selbst die sind ja noch unschlagbar günstig.

So sieht's aus. mod_rewrite kann das natürlich auch erledigen, ist dafür aber eigentlich overpowered. Ich vermeide es, wo immer es geht, was in der Regel zu einer übersichtlicheren und zuverlässigeren Konfiguration führt. Der Rest der Datei ist ein Haufen zusammengestückelter Mist. Ich denke du hast zu viel Gegooglet, nichtmal die Hälfte davon verstanden, und bist bei weitem noch nicht so weit, dass du irgendwelche Guides schreiben solltest. Die index.html würde man höchstens sehen, wenn keine der Regeln greift, du also eine Domain auf das Verzeichnis legst, die du mit keiner Weiterleitung behandelst. Da du dann aber noch einen Basic-Auth hinten dran hängst, würde selbst das nicht funktionieren. "Secure" ist daran überhaupt nichts. Allerhöchstens könnte es noch die Weiterleitung stören, und wo es das nicht tut, bekäme der Nutzer ein Anmeldefenster präsentiert, mit dem er mal gleich gar nichts anfängen kann.

Zitat von gellert

3. danach manuelles Ändernder Rechte dieses Verzeichnisses auf 755 (mit den Rechten 750funktioniert es nicht !! Das bedeutet also doch, daß die 3. Ziffer nicht von httpdocs "vererbt" wird und doch fürden Zugriff aus dem Internet steht, oder ?, siehe Kollege Bachsau)

Normalerweise sollte es keinen Unterschied machen. Aber ich bin kein Webhosting-Kunde und weiß daher nicht, wie Netcup seine Server konfiguriert. Theoretisch gibt es natürlich auch hier wieder Möglichkeiten, das irgendwie zu umgehen. Es hängt z.B. davon ab, wann ein als root gestarteter Prozess seine Rechte abgibt, da der Zugriff auf eine bereits geöffnete Datei nach dem Wechsel bestehen bleibt. Das Gruppen-System ist auch sehr mächtig, da ein Nutzer ja in mehreren Gruppen sein kann. Zudem gibt es noch sog. genannte Access Control Lists (ACLs). Falls Netcup sie einsetzt, können damit Standard-Berechtigungen so gezielt überschrieben werden, wie mit der Rechteverwaltung von Windows NT. Tatsächlich ist das von @ThomasChr beschriebene Verhalten des "durchschnittlichen" Hosting-Nutzers daher garnicht so verwerflich. Ein guter Provider schafft es, einen Server zu konfigurieren, dass der Kunde sich dadurch nicht selbst gefährdet. Ich finde es gut, wenn sich jemand damit beschäftigt, und etwas dazu lernen möchte. Erwarten kann man es vom Nutzer eines "managed"-Produkts aber nicht.

Tatsächlich hängt es stark von der Konfiguration des Servers ab, und je nachdem, wie man sich das zurecht biegt, können diese drei Ziffern entweder sehr mächtig oder völlig nutzlos sein. Jeder Datei sind zwei Eigentumseigenschaften zugewiesen: Ein Besitzer und eine Gruppe. Ein Benutzer auf dem System kann in mehreren Gruppen sein, und ein Programm, z.B. der Webserver, läuft mit den Rechten eines bestimmten Benutzers und einer Gruppe. Ein Programm, das von "root" gestartet wird, kann aber seinen eigenen Benutzer oder den der von ihm gestarteten Unterprogramme wechseln, z.B. auf den Account des Webhosting-Kunden. Für jede Datei können dann drei Zugriffsrechte, jeweils für den Besitzer, die Gruppe und alle anderen, zugewiesen werden: Lesen(4), Schreiben(2), und Ausführen(1). Durch das Addieren der Werte, werden mehrere Rechte zugewiesen. "Lesen" und "Schreiben" tut genau das, was man erwartet. "Ausführen" bedeutet auf Dateien, dass der berechtigte diese Datei als Programm starten kann. Auf Verzeichnissen bedeutet es, dass er berechtigt ist, dieses Verzeichnis überhaupt zu betreten. Hierin liegt die Sicherheit gegenüber den anderen Kunden auf dem Server: Wenn das Hauptverzeichnis, das dir als Kunde zugewiesen ist, dieses Recht für world/other nicht hat, ist alles, was du unterhalb dieses Verzeichnisses für world/other festlegst völlig egal, weil sie garnicht bis dahin kommen.

Mit CNAME kann er aber keine URLs aufrufen, und es funktioniert auch nur, wenn der Zielserver den Hostname zuordnen kann.

Zitat von kurota

Weil ich das Gefühl habe, für jede einzelne Sub-Domain einen Ordner anzulegen, darin eine .php zu erstellen die eine sofortige Weiterleitung zur letztendlich gewünschten URL ermöglicht.

Warum denn bitte PHP? Du braucht nur einen Ordner für alle deine Weiterleitungen. Darin legst du eine .htaccess-Datei an, und kannst sie mit Blöcken ähnlich diesem ganz flexibel konfigurieren:

<If "req('Host') == 'www.domain.example'">
    Redirect / http://www.another.example/
</If>

Informier' dich mal. Apache ist sauber dokumentiert: https://httpd.apache.org/docs/2.4/

Denk bitte daran, dass auch ein "kleiner vServer" kein verbessertes Webhosting ist. Es ist ein Linux-System, das du nicht nur vollständig selbst verwalten kannst, sondern auch musst. Wenn du dich damit nicht auskennst, kommt höchstens ein managed Server in Frage.

Das Zeitlimit von PHP kann man übrigens zur Laufzeit ändern: https://www.php.net/manual/de/function.set-time-limit.php