Posts by frostschutz

    Quote

    ist das ein Problem? Kann ich mit "Yes" weiter gehen?


    Ja. Kann nur sein daß parted dann die anderen Werte auch wieder von Hand eingetragen haben will (Partitionsnummer 2 und 100% oder -1 als Endsektor).


    Und wenn du Pech hast musst du vor dem resize2fs neu starten, je nachdem ob der Kernel die neue Partitionstabelle im laufenden Betrieb akzeptiert oder nicht.

    Find ich nicht sonderlich komfortabel. Beim ersten Aufruf frägt er mich ob er irgendwas fixen soll, und danach ignoriert er die Aufrufparameter und frägt nach der Partitionnumber.

    Hi, daß parted (im Fall von GPT) erstmal fragen wird, ob das GPT-Header-Backup am Plattenende neu geschrieben werden soll, habe ich direkt vergessen.


    Sollte in dem Fall beim zweiten Aufruf klappen oder du kannst erstmal nur ein `parted /dev/sda print` machen, da hast du dann auch schon den Fix.


    Repariert man das GPT nicht, könnte das auch der Grund sein, warum die neue Partition wieder nur 20GB hatte. GPT merkt sich die Festplattengröße.

    ext4 auf /dev/sda2 vergrößern geht im Prinzip so:


    Code
    1. parted /dev/sda resizepart 2 100%
    2. resize2fs /dev/sda2


    geht allerdings nur wenn sda2 die letzte Partition war und keine weitere Partition im Weg ist. Manchmal muss man zwischen parted und resize2fs auch rebooten.


    Falls eine /dev/sda3 (z.B. Swap) existiert dann musst du dich zuerst um diese kümmern (im Fall von Swap löschen und neu anlegen, im Fall von weiteren Dateisystemen eben doch z.B. mit gparted verschieben).

    Ich habe kein Windows / RDP aber ich bin auch dazu übergegangen, das mit Wireguard zu machen und SSH, VNC & Co nur noch über Wireguard anzubieten.


    Anders als SSH, VNC, OpenVPN, ... kennt Wireguard nur Keys (Public, Private, Preshared) somit gibt es da keine Bots die endlos sinnlos Loginversuche machen.


    Der SSHD hat hinter Wireguard somit seine Ruhe und man braucht nicht mit Portänderungen oder fail2ban hantieren.


    Quote

    Ein Problem dabei wäre, dass ich über den VPN nur Traffic zulassen will, der auch für das RDP gedacht ist. Alles andere sollte nicht darüber gehen.


    Das ist dann leider Sache der Netzwerkkonfiguration / Firewall. Und zwar auf beiden Seiten (Server und Client).


    Wenn man das wirklich wasserdicht machen will, ist es auch wieder Aufwand. Normal wird es nicht gemacht und man geht von der "Vertrauenswürdigkeit" innerhalb des virtuellen lokalen/privaten Netzwerks aus.


    Das ist eben der Haken an der Geschichte, mit VPN (komplettes Netzwerkinterface + IP) eröffnet man sich viele neue Verbindungsmöglichkeiten — in beide Richtungen, nicht nur beschränkt auf einen Dienst — und am Ende hängen die lokalen privaten Freigaben am Server oder die Clients reden untereinander miteinander wenns doch nur für die Verbindung zum Server gedacht war. Kann ja auch so gewollt sein, aber man muss es halt wissen und abschätzen was passiert, wenn der Server dann doch mal auf einem anderen Weg gehackt werden sollte.

    Eine Seperate grub Partion ist nicht notwendig, wenn man es macht wie ich es beschrieben habe. (und ich verwende ebenfalls gpt)

    Ähm, OK, dann bist du halt auf der Schiene:


    Quote

    Embedding is not possible. GRUB can only be installed in this setup by using blocklists. However, blocklists are UNRELIABLE and their use is discouraged.


    War mir nicht klar, daß du das explizit so haben willst.


    Die Grub Partition tut nicht weh...

    Quote

    2 Partitionen, eine unverschlüsselte boot partition und eine luks2 verschlüsselte Partion


    Hab ich auch so...


    Quote

    mit grub-install --force die blocklist installation erzwungen (macht er sonst nicht mehr)


    ...das allerdings nicht. grub-install geht problemlos wie es soll?


    Bei GPT Partitionierung ist halt noch eine bios_grub Partition dabei. Sollte bei msdos Partition auch ohne gehen...



    Code
    1. # grub-install /dev/sda
    2. Installing for i386-pc platform.
    3. Installation finished. No error reported.

    2) Hat es eigentlich eine (reduzierende) Auswirkung auf die snapshot-Möglichkeiten im SCP, was den zu Verfügung stehenden Platz angeht, wenn man lvm dazwischen legt?

    Platz hast du wenn du fstrim machst (sonst nur das wo noch nie geschrieben wurde - ob Nullen erkannt werden habe ich nicht ausprobiert). fstrim bügelt freien Speicher weg. Gelöschte Dateien lassen sich dann aber nicht wieder herstellen.


    Mit issue_discards=1 in lvm.conf macht LVM auch TRIM wenn du ein LV löschst oder verkleinerst oder sonstwie verschiebst so daß vorher belegte Extents im LVM frei werden. Falsche lvresize-Befehle lassen sich dann aber nicht rückgängig machen (anhand /etc/lvm/{backup,archive}/), die Daten sind dann schon weg, wenn das Dateisystem größer als das LV war.


    Daher lieber issue_discards=0 in lvm.conf und bei Bedarf den freien LVM-Speicher von Hand wegbügeln


    Code
    1. lvcreate -l100%FREE -n discard deinevg
    2. blkdiscard /dev/deinevg/discard
    3. lvremove deinevg/discard


    Wenn du deine VGs voll belegst (0 free extents) dann ist das hinfällig und fstrim reicht.


    Falls du was mit Verschlüsselung (cryptsetup) machst, das braucht ein --allow-discards damit fstrim durchgeht.

    Ich nutze selbst nginx seit Ewigkeiten und eigentlich auch nur, weil ich bei Apache den Konfigurationsdschungel nie so 100% durchblickt habe. Und davon daß man Apache überhaupt nicht benutzt wird es natürlich nicht besser.


    Aber das soll keine Empfehlung für nginx sein. Das ist ein sehr leistungsfähiger Webserver, mit sehr unintuitiver Konfiguration. Bei nginx geht ziemlich leicht ziemlich viel schief, der Teufel steckt im Detail... plötzlich hat der falsche Server- oder Location-Block Vorrang oder eine Anweisung wird ganz ausgehebelt, und php führt die falschen Dateien (nicht) aus. nginx pitfalls und nginx if is evil (muss jeder gelesen haben) ist da nur ein Teil davon. Von der Dokumentation her wird das oft nicht klar, und man findet erst im nginx Forum oder Bugtracker was dazu.


    Ich habe ein kleines Shellscript das für alle Domains und Subdomains, HTTP wie HTTPS, diverse Dinge abfragt (ganz banal mit curl | grep). Fehlercodes, Umleitungen, Header, Inhalte, Sonderregeln müssen stimmen. Und bei jeder noch so kleinen Konfigurationsänderung wird damit einmal alles durchgetestet. Zusätzlich zum regulären Monitoring, das (in der Regel) nur eine Seite abfragt um zu schauen ob das Ding überhaupt online ist.


    Anders kann man es kaum zuverlässig betreiben. Praktisch jede nginx-Konfiguration hat irgendwelche Fehler. Gerade wollte ich forum.nginx.org aufrufen und... HTTPS-Zertifikat abgelaufen. ;-) Der Test der da bei mir spätestens 3 Wochen vorher warnt, der fehlt in meiner Konfiguration auch noch... seufz.


    expired.png


    EDIT:


    tl;dr Dem Besucher ist es egal, mit was deine Seite läuft. Spielen kann man immer aber wenns läuft, dann spricht auch nichts dagegen, es einfach so zu lassen.

    Habt ihr eure Datenbanken auf dem Webserver (also lokal), oder auf einem 2. Server ?


    Wenn es nicht lokal läuft, dann muss auf einmal alles übers Netzwerk. Da kann es schnell mal Probleme mit der Bandbreite geben und mit Latenzen, die sich summieren weil es ja meistens nicht bei der 1 DB-Abfrage bleibt. Ein 2. Server bringt keinen Geschwindigkeitsvorteil sondern erstmal nur Nachteile. Das lohnt sich nur wenn die Anwendung drauf optimiert ist oder anderweitig so stark profitiert daß die Nachteile ausgeglichen werden.

    Mir ist auch immer noch nicht klar, ob es überhaupt wichtig ist, von VIRTIO auf SCSI umzustellen, also was das bringt?


    Wenn bei dir alles funktioniert dann gibts auch keinen Grund zum wechseln. ;-)


    Bei mir gabs mal richtig fiese Hänger mit virtio (cpu stuck) und seitdem stehts auf scsi... aber das ist eine Ewigkeit her.

    Bei dem Kündigungstermin (einer DE-Domain) geht es ja um die Jahresgebühr. Wenn du die Domain rechtzeitig mit dem Authcode wegziehst, hat sich das ohnehin erledigt. Netcup kann ja keine Domain verlängern die nicht mehr bei Netcup liegt (es sei denn vielleicht man will das als externe DNS-Server verkaufen). Kündigung ist so gesehen ein Löschauftrag.


    Wenn du draufklickst kommt da auch so ein Popup "Sie beauftragen uns mit der Kündigung die Domain zu löschen. Die Domain ist dann nicht weiter nutzbar und kann nach der Löschung auch nicht zu einem anderen Anbieter übertragen werden. Beachten Sie, dass zum Kündigungsdatum alle mit dieser Domain genutzten Dienste nicht mehr erreichbar sind ..."


    Ich würd das nicht kündigen, entweder du ziehst um oder die Domain wird eben nochmal für ein Jahr bei Netcup bezahlt, das ist ja ein vertretbares finanzielles Risiko. Umzug vergessen oder krankheitsbedingt doch nicht durchführen können und die Domain verlieren weil ein Löschauftrag in der Warteschleife ist, das wär dann ziemlich dumm gelaufen.

    Manchmal muss man dem Webserver einen Tritt verpassen z.B. mehrere laufende Worker-Prozesse, von denen einer warum auch immer noch das alte Zertifikat ausliefert. Einfach mal alles ordentlich neu durchladen und mit etwas Glück ...

    Es geht ja erstmal darum, überhaupt ein Backup zu haben. Wie man das dann hochlädt, das ist ein lösbares Problem. Wenn man es gar nicht hat, dann unlösbar.


    Kommt auch auf die Datenmenge an, wer eine 100TB Mediathek betreibt, der kommt nicht umhin, als das auf dem Postweg "hochzuladen" oder selber ins RZ zu fahren. ;-)


    Und ansonsten kann man sich klar einfach noch eine andere Kiste irgendwo mieten zum spiegeln, aber bei 10GB ist das jetzt noch nicht so angesagt...

    Nebenbei, das "nach Hause runterladen" soll dich nicht davon abhalten, auf dem Server selber auch den Zustand der letzten 7 Tage / Wochen vorzuhalten. (Solang du den Speicherplatz nicht anderweitig nutzt.)


    Streng genommen ist das kein Backup weil auf der gleichen Maschine, auf dem gleichen Speichermedium, und wenn das eingeht ist ja alles auf einmal weg.


    Aber manchmal muss man ja einfach so z.B. "auf den Stand von gestern" zurückgreifen können. Ohne dafür erst was hoch- oder runterladen zu müssen.