Beiträge von Nerdmind

Hallo. Ich hatte heute über den Tag verteilt auch ein paar Verbindungsabbrüche zu meinem vServer und dachte auch erst, dass es an meinem ISP (Vodafone Kabel Deutschland) liegt, bis ich mal ein MTR laufen lies und sah, dass der Paketverlust erst weit hinter Vodafone auftritt.

Ein kurzer Blick auf die Netcup-Statusseite lässt folgendes verlautbaren:

Zitat

Derzeit liegt eine Störung der Anbindung ans DECIX vor. Damit wir in gewohnter Qualität ans DECIX angebunden sind, routen wir vorsorglich den Traffic vom und zum DECIX über das Backboneeurope. Sobald die Störung behoben ist, werden wir den DECIX wieder direkt anbinden. Wir arbeiten mit Hochdruck an einer Lösung.

Durchgestrichene Preise sind doch in der Regel immer Augenwischerei und zielen nur darauf ab, beim Kunden ungefähr diesen Gedankengang auszulösen: "Oh, das hat vorher also so viel gekostet und jetzt kostet es nur noch so viel – ja DANN kaufe ich das doch, wenn das jetzt nur noch so viel kostet!" (obwohl das Produkt sehr wahrscheinlich die ganze Zeit nicht den durchgestrichenen Preis hat / hatte). Ich fänd es schöner und sympathischer wenn man die Preise runden und diese psychologischen Tricks unterlassen würde. Auch in Lebensmitteldiscountern und anderen Läden merke ich immer, wie versucht wird mich anhand von durchgestrichenen Preisen (und vor allem "Neuner-Preisen" wie 2,99 EUR) zu verarschen – aber man hat ja keine Wahl. Und die Masse merkt es sowieso nicht mehr, weil es einfach so normal ist, obwohl es eigentlich nicht normal, sondern bescheuert und unsympathisch ist.

Ich jedenfalls fände es noch sympathischer, wenn Netcup runde Preise anbieten würde und jegliche Augenwischerrei lassen würde. Auch bei Lebensmitteldiscountern und allen anderen … Läden. Aber das werde ich in diesem Leben nicht mehr erleben.

Hi. OK. Also ich hab nun seit ca. 24 Stunden Stretch drauf und es auch mehrmals im Terminal über SSH neu gestartet und das ohne die besagten Probleme. Aber das war, als ich Jessie drauf hatte, am Anfang auch so. Da war alles in Ordnung. Seit ein paar Monaten allerdings war dieses Problem da, dass er einfach nicht mehr hochkommt (ich wusste da noch nicht, dass es nicht am Start sondern am Herunterfahren liegt). Keine Ahnung woran das liegt / lag.

Hi. Ich kann das Problem nachvollziehen, denn ich habe es scheinbar auch. Das System bleibt bei der Meldung "Reached target Shutdown" hängen. Nachdem ich dann einen garantierten Neustart gemacht habe, habe ich in der VNC-Konsole systemctl poweroff --force ausgeführt und das System via SCP wieder gestartet. Dann wollte ich gucken, ob das nun funktioniert hat, und habe im SCP ein ACPI-Reboot-Signal geschickt. Jetzt kommt er 2 - 3 Meldungen über "Reached target Shutdown" hinaus, bleibt aber bei einer Meldung wie: "Waiting for power-off" (oder so ähnlich) trotzdem hängen.

Ich lasse es jetzt einfach so und hoffe, dass das bei Debian Stretch behoben ist, denn auf meinen vServer werde ich bald ein frisches Debian Stretch installieren.

Hi. Also ich benutze am Rechner Thunderbird und am Smartphone K-9 Mail, und deswegen bekomme ich eine neue Mail in der Regel spätestens nach wenigen Minuten mit (es sei denn, ich schlafe und das Smartphone ist im Flugmodus). Ich mache bzgl. der Priorität erst einmal keinerlei Unterschiede zwischen privaten Mails und Mails von Behörden (da ich keine 10 Mails am Tag bekomme, die Antwort erfordern).

Beim Antworten brauche ich manchmal länger, weil ich versuche, die Sätze immer wieder so umzuformulieren, bis sie für mich perfekt sind. Die Dauer der Antwort hängt davon ab, wie viel Text es zu schreiben gilt (und ob ich z.B. noch Bilder als Anhang wegen irgendetwas machen und diese verkleinern muss).

Ich benutzte eine lange Zeit Revelation. Aber dann wollte ich unbedingt eine Terminal-Lösung und habe mich für ein kleines Skript namens pass entschieden. Der Code ist zwar sehr unübersichtlich, aber es funktioniert wunderbar!

Zitat von nafetsRocks

Und außerdem verwende ich nicht den SSH Standardport 22, sondern einen anderen.

Aber das dürfte ja keine Rolle spielen, da bei fail2ban port = ssh konfiguriert ist.

Es wird also der Port verwendet, der für SSH konfiguriert ist, sehe ich das richtig?

Hi. Nein, du musst den Port schon manuell einstellen wenn du den SSH-Daemon auf einem Nicht-Standard-Port lauschen lässt. Das ssh ist wohl nur ein Alias für 22 (welcher eben der Standard-Port für SSH ist).

Also im Privatbereich natürlich grundsätzlich Du bei den Anreden. Bei Behördenkram und ähnlichen Angelegenheiten, bei denen in der Gesellschaft ein Sie erwartet wird, hauptsächlich Sie. Aber von mir aus können wir uns auch alle duzen (auch wenn das erst einmal komisch wäre). Ich fühle mich immer so angespannt mit dem Sie ("Sehr geehrter Herr Mustermann" – ich schreibe lieber: "Hallo Herr Mustermann"). Respektvoll sollte man natürlich dann trotz dem Du schreiben. Was ich aber ganz blöd finde, ist, wenn der eine einen dutzt und man selber siezt (oder umgekehrt) aufgrund von Altersunterschied bei dem auch erwartet wird, dass der jüngere den älteren siezt, aber der ältere den jüngeren doch duzen darf.

Egal, ich verstehe manche Sachen sowieso nicht. Als Grußformel verwende ich in privaten E-Mails meistens ein kurzes "MFG $Vorname"; bei nicht-privaten Mails meistens ein:

Zitat

Mit freundlichen Grüßen

$Vorname $Nachname

Hi. Es gibt ein entsprechendes <meta>-Attribut, das du in den <head>-Bereich setzen kannst um dafür zu sorgen, dass bei ausgehenden Links zum Beispiel nur der Hostname (ohne die URL) gesendet wird: https://www.soeren-hentzschel.…errer-metatag-in-firefox/

Ich habe auf allen meinen Webseiten zum Beispiel den hier (sorgt dafür, dass bei Verweisen zu anderen Domains von zum Beispiel https://hostname.tld/foo/bar/ nur das als Referrer übertragen wird: https://hostname.tld/ )

<meta name="referrer" content="origin-when-crossorigin" />

Ansonsten geht das auch noch über den HTTP Response-Header: https://scotthelme.co.uk/a-new…y-header-referrer-policy/

Zitat von caldicot

Das wundert mich.
Ich habe vorhin das Skript mit meinem + Beispielports laufen lassen. Anschließend habe ich die Beispielports entfernt und es wieder laufen lassen, dann waren nur die definierten Ports unter iptables -S zu sehen?

Ja, genau so meinte ich es auch. Lies nochmal, vielleicht hast du es falsch verstanden. Das Reset-Skript wäre nur notwendig wenn du ALLES wieder entfernen willst.

Zitat von caldicot

Danke für die Hilfe.
Es hat alles geklappt, ich konnte es auch testen.

Ich war ganz fixiert auf die HTTP ports, deswegen hatte ich die übrigen Beispielports versehentlich noch drinnen gelassen - sorry

Ah, OK. Aber noch zu deiner anderen Frage, die ich vergessen habe zu beantworten:

Wenn du das Skript erneut ausführst entfernt es nur temporär während der Skriptlaufzeit alle Regeln und Chains, nur um sie dann wieder hinzuzufügen. Es könnte ja sein, dass du zum Beispiel in Zukunft einen weiteren Port hinzufügen willst. Dann fügst du den Port zu dem WHITELISTING-Array hinzu, führst das Skript erneut aus, und der zusätzliche Port ist auf der Whitelist. Ich habe noch keinen automatischen Mechanismus zum Deinstallieren eingebaut (wollte ich schon seit längerer Zeit mal machen - ich glaub, ich mach das mal bald). Wenn du alles wieder entfernen willst kannst du dir ein kleines Reset-Skript schreiben:

#!/bin/bash
#===============================================================================
# Define IPTables commands for IPv4 and IPv6
#===============================================================================
IPTABLES_V4=iptables
IPTABLES_V6=ip6tables




#===============================================================================
# Wrapper function for IPTables with IPv4 and IPv6
#===============================================================================
IPTABLES() {
	${IPTABLES_V4} $@ # Appends the given argument string to IPTables for IPv4
	${IPTABLES_V6} $@ # Appends the given argument string to IPTables for IPv6
}




#===============================================================================
# Reset IPTables
#===============================================================================
IPTABLES --policy INPUT ACCEPT
IPTABLES --flush
IPTABLES --delete-chain WHITELIST &> /dev/null
IPTABLES --delete-chain BLACKLIST &> /dev/null

Ja, das sieht richtig so aus. Wenn du allerdings die Beispielports für TeamSpeak und XMPP nicht geöffnet haben willst, dann entfernst du die natürlich aus dem WHITELISTING-Array. Da kommen nur die Ports rein, die du wirklich aufhaben willst. Die anderen Regeln sind dazu da, dass zum Beispiel Verbindungen auf das Loopback-Interface auf 127.0.0.1 nicht gedroppt werden. Das ist richtig so. Allerdings:

Zitat

-A INPUT -s 192.168.1.0/24 -j ACCEPT

Dieses Subnetz könntest du noch ändern auf das von Netcup damit die Kommunikation mit dem Gateway und anderen Diensten im lokalen Netzwerk nicht gestört werden. Die Subnetzmaske(n) kannst du über ip addr show eth0 herausfinden.

Zitat von caldicot

EDIT:
Ich glaube es hat funktioniert. Gibt es eine Möglichkeit zu überprüfen, ob es geklappt hat?

Hi. Im Prinzip schon: Wenn du zum Beispiel nur den SSH-Port freigegeben hast könntest du gucken, ob Verbindungsversuche zu allen anderen Ports, die ein Dienst sonst noch nach außen hin aufgemacht hat (die aber jetzt durch das Whitelisting von außen nicht mehr erreichbar sind), noch funktionieren. Da alle Verbindungsversuche auf nicht-freigegebene Ports gedroppt werden solltest du keine Antwort mehr von irgendeinem anderen Port bekommen wenn du zum Beispiel nc hostname port von außerhalb ausführst.

Mal ne blöde Frage: Warum macht ihr kein Port-Whitelisting um sicherzustellen, dass nur exakt die Ports aus dem Internet erreichbar sind, die ihr explizit freigegeben habt? Das würde nämlich verhindern, dass so ein blöder RPC-Dienst auf 0.0.0.0 lauscht && von außen erreichbar ist weil er entweder schon standardmäßig in der Distribution aktiviert war oder in der Zwischenzeit mit einem anderen Dienst mitinstalliert wurde, ohne dass ihr es gesehen habt.

Hi. Bei mir läuft ausschließlich Linux (sowohl auf dem Desktop als auch auf den Servern) und die Administration erfolgt zu 100 Prozent über die Kommandozeile. Ich liebe die Kommandozeile.

Zitat von killerbees19

Ich nehme einmal an, dass die Forensoftware diesen Murks erzeugt hat. Wäre mir jedenfalls neu, dass Apache damit überhaupt starten würde.

Hi. Habe es gerade ausprobiert und er startet auch wenn etwas wie http://example.org im ServerName steht. Und der VirtualHost funktioniert sogar weiterhin. Aber auch nur wenn man nicht noch ein Slash oder mehr ans Ende setzt. Dann startet Apache zwar trotzdem aber der VirtualHost funktioniert nicht mehr.

Hallo. Die ServerName-Direktive erlaubt nur Hostnamen und keine URLs mit Protokoll am Anfang. Aber warum die WWW-Subdomain erzwingen und nicht anders herum? Die ist doch unnötig und ich frage mich jedes mal, warum man extra auf die WWW-Subdomain umleitet und nicht anders herum. Aber gut, hier ist ein Beispiel für eine VirtualHost-Konfiguration für HTTP und HTTPS. Der HTTP-VirtualHost leitet natürlich jegliche Anfragen (ob mit oder ohne WWW-Subdomain) an den HTTPS-VirtualHost weiter, und im HTTPS-VirtualHost sind dann die Rewrite-Rules für das Erzwingen der WWW-Subdomain:

#===============================================================================
# example.org:HTTP
#===============================================================================
<VirtualHost *:80>
	ServerName example.org
	ServerAlias www.example.org
	RedirectPermanent / https://example.org/




	CustomLog ${APACHE_LOG_DIR}/example.org.log combined
</VirtualHost>




#===============================================================================
# example.org:HTTPS
#===============================================================================
<VirtualHost *:443>
	DocumentRoot /var/www/example.org/
	ServerName example.org
	ServerAlias www.example.org




	CustomLog ${APACHE_LOG_DIR}/example.org.log combined




	SSLEngine on
	SSLCertificateFile      /etc/certificates/apache/example.org/certificate_only.pem
	SSLCertificateKeyFile   /etc/certificates/apache/example.org/confidential.pem
	SSLCertificateChainFile /etc/certificates/apache/example.org/intermediate.pem




	<Directory /var/www/example.org/>
		<IfModule mod_rewrite.c>
			RewriteCond %{HTTP_HOST} !^www.example.org$ [NC]
			RewriteRule ^(.*)$ https://www.example.org/$1 [R=301,L]
		</IfModule>
	</Directory>
</VirtualHost>

Zitat von perryflynn

Hat dieser Ansatz nicht den Nachteil, dass die aktuell angeforderte URL verloren geht und immer auf den DocumentRoot umgeleitet wird?

Würde das eher mit mod_rewrite machen und da dann den aktuell URL Pfad mit weiterleiten.

Nein, http://example.org/foo/bar wird auch zu https://example.org/foo/bar umgeleitet. Das wäre ja ansonsten keine vernünftige Lösung. Und mod_rewrite ist für so was überflüssig. Es geht auch einfacher und übersichtlicher mit mod_alias.

Hier ein Beispiel-VirtualHost für HTTP und HTTPS, wobei der HTTP-VirtualHost über RedirectPermanent (dazu muss mod_alias aktiviert sein) alle Anfragen auf den HTTPS-VirtualHost umleitet. Jegliche weitere Konfiguration für die Webseite wird dann im HTTPS-VirtualHost gemacht (deswegen hat der HTTP-VirtualHost auch nicht einmal einen DocumentRoot weil er nur dazu dient umzuleiten):

#===============================================================================
# example.org:HTTP
#===============================================================================
<VirtualHost *:80>
	ServerName example.org
	RedirectPermanent / https://example.org/




	CustomLog ${APACHE_LOG_DIR}/example.org.log combined
</VirtualHost>




#===============================================================================
# example.org:HTTPS
#===============================================================================
<VirtualHost *:443>
	DocumentRoot /var/www/example.org/
	ServerName example.org




	CustomLog ${APACHE_LOG_DIR}/example.org.log combined




	SSLEngine on
	SSLCertificateFile      /etc/certificates/apache/example.org/certificate_only.pem
	SSLCertificateKeyFile   /etc/certificates/apache/example.org/confidential.pem
	SSLCertificateChainFile /etc/certificates/apache/example.org/intermediate.pem




	<Directory /var/www/example.org/>
		# Something
	</Directory>
</VirtualHost>

Hi. Du hast nur eine Tabelle gelöscht und nicht die ganze Datenbank (die Datenbank ist das, wo alle anderen Tabellen aufgelistet sind). Du kannst jetzt sicher irgendwie eine komplett neue Datenbank erstellen und dort dein Backup importieren (NICHT in die Datenbank mit den Tabellen von dem Live-System!). Dort gehst du dann hin und exportierst die Tabelle, die du gelöscht hast, als SQL-Datei. Dann hast du in dieser SQL-Datei nur diese eine Tabelle, die du gelöscht hast. Diese SQL-Datei kannst du dann wieder in der Live-Datenbank importieren.

Ich kann dir aber keine genaue Anleitung geben wie du eine neue Datenbank hier erstellst. Du hast vermutlich Webhosting. Ich kenne mich mit dem Webhosting hier nicht aus da ich hier nur virtuelle Server habe. Aber vielleicht kann dir da jemand anderes nochmal detaillierter helfen.