Beiträge von sdellenb

Meine 3 Server warten alle noch auf den Restart.

Bei 2 steht jedoch was von neuer KVM-Version im SCP..

Zitat von MisterQuatsch

Hallo,

mein Server war gerade für ca 1 bis 2 Minuten weg. (Nicht offline sondern nur Verbindung abgebrochen aber nicht die ssh Verbindung)

War das schon der angekündigte Restart oder hat das etwas damit zu tun? Oder kommt der Restart noch?

Um 13:39 hatte ich laut externem Monitoring auch einen kurzen Unterbruch (2 Minuten), die Server wurden aber nicht neu gestartet (uptime immer noch 25 Tage).

Super Sache! Grad eingerichtet.

Zitat von ThomasChr

Antivirussoftware ist fast immer einer der ersten Verdächtigen wenn im Netzwerk was nicht richtig läuft oder irgendwas seltsames passiert...

Früher waren es Viren, heute ist es die Antivirussoftware..

Zitat von oliver.d

1. Beide Server in den Rettungsmodus. Auf dem Quellserver musst du den root-Zugriff per SSH zulassen. Ist zwar nicht best-practice, mit einem starken Root-Passwort oder gar pubkey-Auth im Rettungssystem sollte das aber für die kurze Dauer des Transfers kein Problem sein.

Das kann man ja dahingehend absichern, indem man sshd_config mit

AllowUsers root@remote-ip

einschränkt.

Ich habe im Frühling einen vServer mit Clonezilla direkt übers Netzwerk gespiegelt (Partitionen kopiert, da die Zieldisk kleiner ist als die Quelldisk, welche aber wiederum nicht voll belegt war).

Nachher noch Sachen wie hostname, statische IP / Gateway, Keys etc anpassen.

War recht schnell erledigt und ohne zusätzlichen Export.

Eine Variante zur forensischen Analyse wäre, einen Snapshot des vServers zu exportieren und mit qemu-img in eine VM-Disk zu konvertieren.

Damit dann eine VM ohne Netzwerk aufsetzten oder mit einer Linux-Live-CD analysieren, ohne das installierte Betriebssystem zu starten.

P.S. Das ist alles theoretisch, selbst gemacht habe ich das noch nicht..

Ich benutze msmtp, da es ein paar mehr Features als ssmtp hat und noch aktiv entwickelt wird.

Mein Spamassasin scannt keine Mails, die grösser sind als 500KB. Das schreibt er dann aber auch ins log.

Welche fail2ban Version verwendest du?

Ich habe das Gefühl, seit dem letzten Update (weiss grad nicht welche Version ich habe) bannt es auch nicht mehr richtig. Da kommen teilweise noch hunderte fehlgeschlagene Logins, nachdem der "Ban IP..." im logfile ist..

Also ich bin mit meinem Root-Server M SSD v6 ganz zufrieden.

[root@localhost ~]# hdparm -tT --direct /dev/sda2
/dev/sda2:
 Timing O_DIRECT cached reads:   1198 MB in  2.00 seconds = 598.83 MB/sec
 Timing O_DIRECT disk reads: 502 MB in  3.00 seconds = 167.31 MB/sec

[root@localhost ~]# hdparm -tT --direct /dev/sda2
/dev/sda2:
 Timing O_DIRECT cached reads:   1306 MB in  2.00 seconds = 652.98 MB/sec
 Timing O_DIRECT disk reads: 552 MB in  3.00 seconds = 183.84 MB/sec

[root@localhost ~]# hdparm -tT --direct /dev/sda2
/dev/sda2:
 Timing O_DIRECT cached reads:   1274 MB in  2.00 seconds = 635.46 MB/sec
 Timing O_DIRECT disk reads: 518 MB in  3.01 seconds = 172.22 MB/sec

Der RS 1000 G7 SE hat "etwas mehr Leistung" (vielleicht rund 20% mehr CPU Power) und ist sonst vergleichbar mit dem VPS Preisbrecher 5.0 (und im Moment sogar noch in der Frühlingsaktion).

Entweder nimmst du die Variante mit 40GB SSD oder 320GB SAS HDD, je nachdem, ob du schneller Zugriff oder viel Speicherplatz brauchst (200GB wie dein alter VPS gibt's grad nichts passendes).

Zitat

ich wollte mal Fragen wie Ihr Eure Daten/Server sichert.
Ich sichere meine wichtigen Daten mittels TAR.

Meine Netcup Server sichere ich mit borgbackup auf den Storage Space.
Meine privaten Computer werden mit CrashPlan gesichert.

Sent from my C2005 using Tapatalk

Zitat von bbrinck

Also hier die /var/log/mail.log:

Code

Apr 24 09:09:01 v22016103200738692 sendmail[2413]: v3O7913W002413: from=root, size=155874, class=0, nrcpts=1, msgid=<201704240709.v3O7913W002413@localhost.localdomain>, bodytype=8BITMIME, relay=root@localhost
Apr 24 09:09:01 v22016103200738692 sm-mta[2414]: v3O791q2002414: from=<root@localhost.localdomain>, size=156162, class=0, nrcpts=1, msgid=<201704240709.v3O7913W002413@localhost.localdomain>, bodytype=7BIT, proto=ESMTP, daemon=MTA-v4, relay=localhost.localdomain [127.0.0.1]
Apr 24 09:09:01 v22016103200738692 sendmail[2413]: v3O7913W002413: to=root, ctladdr=root (0/0), delay=00:00:00, xdelay=00:00:00, mailer=relay, pri=185874, relay=[127.0.0.1] [127.0.0.1], dsn=2.0.0, stat=Sent (v3O791q2002414 Message accepted for delivery)
Apr 24 09:09:01 v22016103200738692 sm-mta[2415]: v3O791q2002414: to=netcup, ctladdr=<root@localhost.localdomain> (8/0), delay=00:00:00, mailer=local, pri=276162, dsn=5.1.1, stat=User unknown
Apr 24 09:09:01 v22016103200738692 sm-mta[2415]: v3O791q2002414: to=netcup, ctladdr=<root@localhost.localdomain> (8/0), delay=00:00:00, mailer=local, pri=186408, dsn=5.1.1, stat=User unknown
Apr 24 09:09:01 v22016103200738692 sm-mta[2415]: v3O791q2002414: to=netcup, ctladdr=root (8/0), delay=00:00:00, mailer=local, pri=186408, dsn=5.1.1, stat=User unknown
Apr 24 09:09:01 v22016103200738692 sm-mta[2415]: v3O791q2002414: v3O791q2002415: postmaster notify: User unknown
Apr 24 09:09:01 v22016103200738692 sm-mta[2415]: v3O791q2002415: to=netcup, ctladdr=root (8/0), delay=00:00:00, mailer=local, pri=0, dsn=5.1.1, stat=User unknown
Apr 24 09:09:01 v22016103200738692 sm-mta[2415]: v3O791q2002415: to=netcup, ctladdr=root (8/0), delay=00:00:00, mailer=local, pri=0, dsn=5.1.1, stat=User unknown
Apr 24 09:09:01 v22016103200738692 sm-mta[2415]: v3O791q2002415: v3O791q3002415: return to sender: User unknown
Apr 24 09:09:01 v22016103200738692 sm-mta[2415]: v3O791q3002415: to=netcup, ctladdr=root (8/0), delay=00:00:00, mailer=local, pri=0, dsn=5.1.1, stat=User unknown
Apr 24 09:09:01 v22016103200738692 sm-mta[2415]: v3O791q2002415: Saved message in /var/lib/sendmail/dead.letter

Alles anzeigen

Ich glaube nicht, dass dieser Log-Ausschnitt etwas mit der verzögerten Zustellung zu tun hat.
Da kommt ein Mail von root an root, welches durch einen Mailalias an den lokalen Benutzer "netcup" weitergeleitet wird, den es aber gar nicht gibt. Darum wird die Nachricht in /var/lib/sendmail/dead.letter abgespeichert.

Ist die Email-Adresse, an die die Mail gesendet werden soll, auf dem gleichen Root Server angelegt (d.h. Mailserver und Webserver sind eins), oder ist das ein anderer Mail Provider?
Wird die Email von der Webapp lokal versendet oder über SMTP mit login?

Zitat von ThomasChr

Ich persönlich würde vermuten dass deine Mail aufgrunf von Greylisting oder schlechter Reputation absichtlich vom Empfänger verzögert wird.

Mein Greylister hinterlässt einen Header im Mail:

X-Greylist: delayed 00:15:02 by SQLgrey-1.8.0

Generell wären auch die anderen Header der verzögerten Mail hilfreich bei der Fehlersuche.

Also der VPS 100 33% Rabatt ist seit 2 Tagen auf der Seite "Auszeichnungen" drin, falls jemand noch einen sucht.

Ich weiss noch nicht genau, wofür ich meinen jetzt brauche, aber bei dem Preis ist das ja auch egal...

Hm in meinem Post stand noch mehr Text, aber den hat's gelöscht..

Sent from my SGP612 using Tapatalk

Solche Meldungen habe ich auch im Postfix log. Die Server werden dann gleich mit fail2ban gebannt.

Ist geplant, bei der Whitelist auch IPv6 zu unterstützen?
Für meinen Internetanschluss habe ich eine dynamische IPv4 Adresse, jedoch ein fixes IPv6 Subnet.

Blöde Frage: sind etwa im root vom Storage Space device noch temporäre rsync-Ordner oder so, die mit einem Punkt beginnen und deshalb beim normalen ls nicht auftauchen?

Hatte ich auch schon, dass ein "rm -rf ." nicht wirklich *alles* gelöscht hat..