Posts by sdellenb

    Zuerst die blöde Frage: Hast du IPv6 im VCP eingeschaltet (Allgemein > Netzwerk)?



    Ich habe in meinem CentOS 7 den NetworkManager komplett deaktiviert und alles auf meine fixen IPs, wie sie im VCP angezeigt werden, umgestellt.


    /etc/sysconfig/network ist leer.
    Meine /etc/sysconfig/network-scripts/ifcfg-eth0 sieht so aus (IPs maskiert):


    Vielleicht hilft dir das etwas. :)

    Also ich hab das so gelöst:

    • In der VM meine Domains in /etc/hosts auf 127.0.0.1 mappen
    • In Putty einen SSH Tunnel (Connection > SSH > Tunnels > Source port '8888' / Dynamic) hinzufügen
    • Mit Putty auf die VM connecten, damit der Tunnel aktiv wird
    • Im Browser (am einfachsten mit einer Proxy-Erweiterung, wie z.B. "Proxy SwitchySharp" für Google Chrome, damit man die Einstellungen nicht ständig von Hand ändern muss) als SOCKS Host localhost:8888 angeben
    • Alle Anfragen auf meine Webseiten (mit der URL wie beim Live-Server) werden nun von der VM zurückgeliefert


    Das funktioniert wunderbar mit 4 Wordpress-Seiten, adminer, webmin, und was ich sonst noch so drauf habe. :)

    Ich benutze von zu Hause aus testssl.sh, um die Verschlüsselungseinstellungen meines Mailservers (oder auch auch des Webservers) zu überprüfen.


    Beispiele:

    Nur die Partition zu vergrössern reicht auch nicht, da das Filesystem auch noch erweitert werden muss.
    GParted übernimmt das auch gleich (ausser für LVM Volumes, aber das ist ja bei dir eh nicht der Fall).


    Du schreibst nicht, welches Linux du verwendest. Ich vermute, /dev/vda2 ist /boot und /dev/vda3 ist / (kannst du in /etc/fstab sehen), und zumindest letzere ist mit ext4 formatiert.
    Daher reicht es aus, wenn du /dev/vda3 mit GParted auf die maximal mögliche Grösse veränderst (/boot ist vermutlich gross genug für deine Zwecke).



    Ich selber arbeite auch nur mit GParted (meist mit der SystemRescueCD) an Partitionen, mit den Konsolentools mach ich mehr kaputt. :rolleyes:

    Ich verwende den offiziellen CentOS Mirror von netcup für base und updates, welche ich nach der Installation des minimal-CD-images eingetragen habe.


    Im verlinkten Thread ist auch der n-ix.net mirror erwähnt, aber über den finde ich nichts auf der CentOS Mirror Statusseite. ;( Die URL in deinem .repo file ist aber korrekt und da liegen auch die CentOS 7.2 updates. Keine Ahnung, warum er die nicht anbietet. Zeigt die Ausgabe von

    Code
    1. sudo yum check-update

    etwas besonderes an?


    Meine /etc/yum.repos.d/CentOS-Base.repo sieht ungefähr so aus (priority hab ich rausgeschmissen, da ich das von Hand gemacht habe):

    Code
    1. Received: from v2201507xxxxxxxx0.yourvserver.net (37.120.XXX.XXX) by mx-gate05.cloudservice.ag; Thu, 10 Dec 2015 08:03:54 +0100
    2. [..]
    3. X-antispameurope-Connect: v2201507xxxxxxxx0.yourvserver.net[37.120.XXX.XXX],TLS=0


    Sind diese beiden Einträge in Ordnung? Oder sollte das auch noch geändert werden? Wenn ja, welche Einträge sind das?


    Es kann eine Weile dauern, bis alle Server den neuen rDNS Eintrag haben, da dieser aus Performancegründen seitens der Empfänger gecached wird (auf der erwähnten AOL Postmaster Seite steht ja auch was von 48-72 Stunden).

    Das macht das ganze irgendwie weniger attraktiv. Wer hat schon Lust vier mal im. Jahr neue Zertifikate zu erstellen


    Die Idee ist ja, dass man das automatisiert machen lässt, siehe das A von ACME (Automated Certificate Management Environment).
    Das 'Kein Aufwand für den Admin' ist das hauptsächlich attraktive für mich.


    Quote

    A shorter lifetime will hopefully encourage people to automate the renewal process, and we'll provide tools to help with that.


    • Cron Skript prüft mittels OpenSSL das Expiration Date
    • Falls < 30 / 14 / 7 Tage wird ein neuer CSR mit den gleichen Einstellungen wie der vorherige erstellt
    • Über die API wird ein neues Zertifikat geholt und das alte installierte damit überschrieben
    • service nginx reload :)

    Im Moment benutze ich Start SSL Zertifikate für 'public' Webseiten mit eigener Domain sowie den Mailserver, und von meiner eigenen CA :D signierte Zertifikate für die Admin-Tools (jeweils auf einer eigenen Subdomain).


    Ich werde neue Zertifikate von Let's Encrypt signieren lassen. :thumbup:
    Aber nicht mit dem Standard-Skript, denn meine nginx Konfiguration ist ja schon vollständig.

    Eine Webmin-Instanz kann weitere Webmin-Server als 'Cluster' verwalten.


    Ich hab das jetzt probehalber gemacht, funktioniert auch ganz OK und ich kann von einem Server zum anderen wechseln.
    Wirklich integriert sind aber nur Webmin-eigene Funktionen (Themes, User etc.).


    Infinitewp mach ich mir jetzt auch drauf. :D

    Ich habe de Meldungen erst vor 10 Minuten gesehen, 890 Emails kurz nach Mitternacht (00:11 und 00:12) für 2 meiner 3 überwachten Sites!
    Entsetzt an den PC gesetzt und nachgeprüft.


    Beide Webseiten (Google Safebrowsing und die Website-Klinik) zeigen alles grün an.


    Ich vermute eine Fehlfunktion. :)

    Gibt es eigentlich sowas wie ein "Script" dass meinen Server auf möglichst viele Schwachstellen prüft oder kann man sich das schenken wenn man die gängigen Regeln befolgt?


    Ein schönes Skript ist testssl.sh welches die SSL/TLS Konfigurationen auf bekannte Schwachstellen checkt.
    Damit lässt sich die korrekte Verschlüsselung von Web- und Mailserververbindungen überprüfen (da es in diesem Thread ja hauptsächlich darum geht).

    4 Sekunden bis zur ersten Antwort (auch ohne https) ist schon sehr lange. :!:


    Meine WordPress Seite hatte ähnliche Antwortzeiten auf einem Shared Webhosting.
    Mit dem Umzug auf meinen Root Server M v6 SSD (auch nginx/php-fpm) ist diese jetzt bei erträglichen 500-700ms (weitere Optimierungen mit WP-/PHP-Caches sind noch auf der TODO-Liste).
    Eine andere Webseite mit einem einfachen PHP Skript, dass aus einer Datenbankabfrage eine Tabelle generiert, antwortet in 45ms.


    Ich setze auf CentOS 7, nginx 1.8.0 (vom nginx repo), PHP 5.6.12 (vom remi-php56 repo) und mariadb 5.5.41 (CentOS repo) und bin äusserst zufrieden mit der Performance.
    Kannst du deine OS, nginx, php-fpm und mysql/mariadb Versionen, sowie (auszugsweise) deine nginx und php-fpm Konfigurationen posten?