Beiträge von GTAzoccer

    Ich glaube ich gehe Lars mit dem Thema mittlerweile ziemlich auf die Nerven. ^^

    Aber nach über zwei Monaten sorgt das fehlerhafte Laden der piwik.js immer noch dafür, dass man immer zwei Sekunden warten muss, bis hier JavaScript ausgeführt wird.


    Bin ich der einzige, den das nervt? Oder klicke nur ich immer so schnell im Forum rum, sodass z.B. beim Klick auf die Benachrichtigungen nicht das Pop-Up geöffnet wird, sondern diese Seite?

    Ich hab das jetzt mal bewusst so schnell wie möglich probiert. Also entweder, bin ich zu alt und langsam, oder bei mir ist JavaScript schneller geladen.

    Ich bekomme es jedenfalls nicht hin, dass sich das Popup nicht öffnet.


    Ok. Ich bin nicht zu langsam. Firefox Netzwerkanalyse sehe ich auch, dass die Anfrage nach der piwik.js ~2,5 Sekunden braucht, bis mit 502 abgebrochen wird. Auf das Funktionieren des restlichen JavaScipts im Forum hat das bei mir aber keinen Einfluss. Die Bedienelemte Funktionieren auch davor schon.

    ich vermute das in Zeil 46 und 47 blockt dann den traffic.

    Genau.

    Und systemd hat dir im Status verraten, dass nftables beim Systemstart geladen wird. Somit verwendest du zwei Verwaltungsoverlays für Netfilter Regeln die nichts voneinander wissen.


    Hast nftables.conf bewusst geändert? Dann solltest du auch dabei bleiben, es verfollständigen (Regeln für TS hinzufügen) und ufw weglassen.

    Oder halt nftables.service wieder deaktivieren und komplett bei ufw bleiben. Entscheide dich für eins. ;)

    auf dem anderen bekomme ich zu allen 3 Befehlen eine Ausgabe. Ich hab die Ausgaben für den nicht funktionierenden Server mal angehängt.

    Da existiert noch eine nft Input-Chain über deinen ufw Regeln. Und in der wird gang am Schluss alles gedroppt.


    Was steht in /etc/nftables.conf?

    Und von "wem" wurde die geladen?

    Code
    systemctl status nftables.service

    Da ich aber die eingehenden Pakete sehe, denke ich dass die Anwendung (TS3) nicht "reagiert" auf die einkommenden Pakete.

    Eingehende Pakete siehst du im Dump aber auch, wenn diese vom Netfilter verworfen werden, bevor sie die Applikation erreichen.

    Existieren evt. noch nf-, bzw. iptables Regeln, abseits von ufw?


    Code
    iptables -nL
    ip6tables -nL
    
    nft list ruleset


    Kannst lokal auf den QueryServer zugreifen? Also via ssh auf den Server und da dann mit telnet/nc auf localhost:10011 verbinden

    Steht was in query_ip_allowlist.txt oder query_ip_denylist.txt?


    Was du uns noch gar nicht verraten hast: Du kommst nicht auf den QueryServer, aber ist Voice (9987/udp) trotzdem erreichbar?

    Ganz dumm gefragt: Was spräche denn dagegen, im einen Hosting (Mail, Domain) die DNS-Records so zu setzen, dass sie auf den Web-Server aus dem anderen Hosting zeigen?


    Ich oute mich hier mal, aber das ist mir unklar … Antwortet der Web-Server nur auf Requests einer definierten Domain? Ehrlich gemeinte Frage, um dazu zu lernen…

    Das der Webserver aus dem anderen Hostingpaket sich nicht angesprochen fühlt und nicht weiß, was er beim angefragten vHost präsentieren soll.

    Frage zu Docker / Portainer: ufw installieren, default deny incoming, ssh-Port freigeben, aber alles andere macht Docker dann eh selbst und setzt sich über ufw hinweg - hab ich das richtig verstanden?

    Docker setzt beim Starten eines Containers ein virtuelles Sub-Netzwerk auf dem Host auf. Damit dieser in diesem virtuellem Netzwerk von Außen überhaupt erreichbar ist, setzt er selbständig Forwarding-Regeln für die - nach Container-Konfiguration gewünschten - Ports. Das "umgeht" damit auch ggfs. bereits existieren Regeln.


    Ob das nun Vor- oder Nachteil ist, kann jeder für sich entscheiden. :) Im Sinne von "einfach zu bedienen" und "soll funktionieren" sicherlich eher vorteilhaft.

    (Zumindest unter Linux. Ob das unter Windows auch so ist, weiß ich nicht)

    Ich teste ja gerne selber, wenn ich die Möglichkeit dazu habe, anstatt mich auf gefundenes im Internet zu verlassen. Und weils mich gerade selbst interessiert hat.


    NTFS hat damit kein Problem. Wenn auch fallocate hier anders arbeitet (vllt auch nur anders Prüft und zu falschen Ergebnissen kommt?) als truncate.


    Bildschirmfoto vom 2024-02-24 12-42-17.png


    Und Windows hat hier auch kein Problem mit.

    Backups: Push or Pull?

    Wie macht ihr das, wenn ihr Backups eines Servers auf das Backupmedium übertragt?

    Schiebt der Server das aktiv dorthin oder holt sich das Ziel die Dateien ab (falls möglich)? Gründe?

    Beides.


    Meine Netcup-Server backuppen sich auf die jeweilig anderen zum Schutz der Daten vor Eigenversagen meinerseits. Hier "pusht" jeder in eine unprivilegierte Freigabe der jeweilig anderen. Grund: Die Server sollten keinen gegenseitigen Vollzugriff auf sich haben.


    Komplettes Desaster-Recovery Backup, wenn Netcup versagt, wird von meinem Homeserver "gepullt". Gründe: Keine weltoffenen Ports auf mein Fullbackup und die Server können die Daten auch selbst nicht mehr löschen.

    Schon mal mit fallocate rumgrespielt? :)

    ls zeigt dir halt den "reservierten" Platz an, während du den tatsächlich genutzten/verbrauchten zählt.

    Hm ... Um mal weitere Verwirrung einzustreuen: Also mein Firefox ESR auf meinem Debian (115.6.0esr / Standard Debian 12 Repository) zeigt die HMTLs wie auf dem Screenshot von m_ueberall an.


    - Kein Unterschied zwischen Privater Modus und Normal.

    - Kein Unterschied zwischen meinem personalisiertem Profil und einem neu angelegtem mit allen Einstellungen auf Default.

    Soeben auf sämtlichen Servern unattende-upgrades deaktiviert, um im Nachhinein folgendes zu lesen: Fixed in version linux/6.1.66-1

    Kann ich unattende-upgrades nun wieder aktivieren, oder muss ich manuell eine Version irgendwie überspringen oder ähnliches?

    Nein.


    Erst wenn die gefixte Kernelversion auch im Repository ist.

    https://packages.debian.org/bookworm/linux-image-amd64 holt aktuell immer noch die fehlerhafte.



    Edit: Und zwanzig Minuten später ist die gefixte 6.1.66-1 im Link zu sehen. Also kann man so langsam wohl mit dem Upgrades beginnen. Aber das Paket bzw. dessen Version dabei sicherheitshalber im Auge behalten. :)

    Man muss nur sicherstellen, dass man in der /etc/fstab die Devices richtig angegeben hat (/dev/vdx mit virtio, /dev/sdx mit scsi).

    Oder die Dateisysteme einfach direkt mit ihrer UUID definieren, dann ist der Name der Blockdevice-Inode vollkommen Wurscht. :)


    Edit: Hm .. Zu langsam ...

    pasted-from-clipboard.png


    Das ist das erste Mal dass ich dieses Problem habe, kann mir da jemand bitte schnell helfen? Bisher hat das so immer funktioniert... Ist Debian 12

    Aus der manpage von adduser.

    Code
    --disabled-password
    
    Ruft passwd(1) nicht zum Setzen eines Passworts auf. Allerdings sind in den meisten Fällen Anmeldungen weiterhin möglich (beispielsweise über SSH-Schlüssel oder PAM). Die Gründe hierfür liegen außerhalb der Verantwortung von adduser. --disabled-login wird zusätzlich die Shell auf /usr/sbin/nologin setzen.

    --disabled-login wird zusätzlich die Shell auf /usr/sbin/nologin setzen.


    Also vielleicht su mal zusätzlich mit --shell /bin/bash aufrufen?

    Ich finde ja viel interessanter, dass bei modernen Smartphones, die Bilder beim reinzommen irgendwie comichaft oder AI generiert aussehen. Sieht man hier ganz gut bei der Vegetation.

    Klar, den Hersteller, aber eine wirklich schuldige Person wie bei den meisten altuellen Autounfällen hast du halt nicht.


    Genau. Und mehr brauchst du bei einem fundamentalem Designfehler eines Produktes auch nicht. Die Schuld hat das Unternehmen. Wie die intern damit umgehen, ist ja deren Sache.


    Und darum geht es mir ja. Wenn man bei einer neuen Technik erst die Frage stellen muss, wer den Schwund abfängt, dann ist unser stand der Technik halt einfach noch nicht bereit für die Masse. Es ist nicht die Lösung, den Big-Techs jetzt einen Freifahrtschein für Gammel-Software zu geben.