Posts by sdellenb

    Ich verwende den offiziellen CentOS Mirror von netcup für base und updates, welche ich nach der Installation des minimal-CD-images eingetragen habe.


    Im verlinkten Thread ist auch der n-ix.net mirror erwähnt, aber über den finde ich nichts auf der CentOS Mirror Statusseite. ;( Die URL in deinem .repo file ist aber korrekt und da liegen auch die CentOS 7.2 updates. Keine Ahnung, warum er die nicht anbietet. Zeigt die Ausgabe von

    Code
    1. sudo yum check-update

    etwas besonderes an?


    Meine /etc/yum.repos.d/CentOS-Base.repo sieht ungefähr so aus (priority hab ich rausgeschmissen, da ich das von Hand gemacht habe):

    Code
    1. Received: from v2201507xxxxxxxx0.yourvserver.net (37.120.XXX.XXX) by mx-gate05.cloudservice.ag; Thu, 10 Dec 2015 08:03:54 +0100
    2. [..]
    3. X-antispameurope-Connect: v2201507xxxxxxxx0.yourvserver.net[37.120.XXX.XXX],TLS=0


    Sind diese beiden Einträge in Ordnung? Oder sollte das auch noch geändert werden? Wenn ja, welche Einträge sind das?


    Es kann eine Weile dauern, bis alle Server den neuen rDNS Eintrag haben, da dieser aus Performancegründen seitens der Empfänger gecached wird (auf der erwähnten AOL Postmaster Seite steht ja auch was von 48-72 Stunden).

    Das macht das ganze irgendwie weniger attraktiv. Wer hat schon Lust vier mal im. Jahr neue Zertifikate zu erstellen


    Die Idee ist ja, dass man das automatisiert machen lässt, siehe das A von ACME (Automated Certificate Management Environment).
    Das 'Kein Aufwand für den Admin' ist das hauptsächlich attraktive für mich.


    Quote

    A shorter lifetime will hopefully encourage people to automate the renewal process, and we'll provide tools to help with that.


    • Cron Skript prüft mittels OpenSSL das Expiration Date
    • Falls < 30 / 14 / 7 Tage wird ein neuer CSR mit den gleichen Einstellungen wie der vorherige erstellt
    • Über die API wird ein neues Zertifikat geholt und das alte installierte damit überschrieben
    • service nginx reload :)

    Im Moment benutze ich Start SSL Zertifikate für 'public' Webseiten mit eigener Domain sowie den Mailserver, und von meiner eigenen CA :D signierte Zertifikate für die Admin-Tools (jeweils auf einer eigenen Subdomain).


    Ich werde neue Zertifikate von Let's Encrypt signieren lassen. :thumbup:
    Aber nicht mit dem Standard-Skript, denn meine nginx Konfiguration ist ja schon vollständig.

    Eine Webmin-Instanz kann weitere Webmin-Server als 'Cluster' verwalten.


    Ich hab das jetzt probehalber gemacht, funktioniert auch ganz OK und ich kann von einem Server zum anderen wechseln.
    Wirklich integriert sind aber nur Webmin-eigene Funktionen (Themes, User etc.).


    Infinitewp mach ich mir jetzt auch drauf. :D

    Ich habe de Meldungen erst vor 10 Minuten gesehen, 890 Emails kurz nach Mitternacht (00:11 und 00:12) für 2 meiner 3 überwachten Sites!
    Entsetzt an den PC gesetzt und nachgeprüft.


    Beide Webseiten (Google Safebrowsing und die Website-Klinik) zeigen alles grün an.


    Ich vermute eine Fehlfunktion. :)

    Gibt es eigentlich sowas wie ein "Script" dass meinen Server auf möglichst viele Schwachstellen prüft oder kann man sich das schenken wenn man die gängigen Regeln befolgt?


    Ein schönes Skript ist testssl.sh welches die SSL/TLS Konfigurationen auf bekannte Schwachstellen checkt.
    Damit lässt sich die korrekte Verschlüsselung von Web- und Mailserververbindungen überprüfen (da es in diesem Thread ja hauptsächlich darum geht).

    4 Sekunden bis zur ersten Antwort (auch ohne https) ist schon sehr lange. :!:


    Meine WordPress Seite hatte ähnliche Antwortzeiten auf einem Shared Webhosting.
    Mit dem Umzug auf meinen Root Server M v6 SSD (auch nginx/php-fpm) ist diese jetzt bei erträglichen 500-700ms (weitere Optimierungen mit WP-/PHP-Caches sind noch auf der TODO-Liste).
    Eine andere Webseite mit einem einfachen PHP Skript, dass aus einer Datenbankabfrage eine Tabelle generiert, antwortet in 45ms.


    Ich setze auf CentOS 7, nginx 1.8.0 (vom nginx repo), PHP 5.6.12 (vom remi-php56 repo) und mariadb 5.5.41 (CentOS repo) und bin äusserst zufrieden mit der Performance.
    Kannst du deine OS, nginx, php-fpm und mysql/mariadb Versionen, sowie (auszugsweise) deine nginx und php-fpm Konfigurationen posten?


    Ich habe nicht den Größten Speicher auf meinen PC daher kann ich das mit der Virtuellen Maschine nicht nutzen auch wenn die nur 10 GB oder so Braucht.

    Ich hab meine Netcup vServer Test-VM (VirtualBox) mit dem gleichen Setup wie mein RootServer M v6 SSD auf einem 32GB USB 3.0 Stick, damit ich sie immer dabei haben kann. :)


    Quote

    Außerdem denke ich das ca 8€ Im Monat nicht das Große Geld ist und natürlich lernt man aus seinen eigenen Fehlern.

    Selbstverständlich. Ist ja auch gut, hast du den Server jetzt geschrottet, und nicht wenn zig Webseiten und Services drauf laufen. ;)



    Neulinge hier im Forum werden von den erfahreneren regelmässig darauf hingewiesen, dass der halt Admin für seinen Server haftet.
    Empfohlene Lektüre: "Admins haften für ihre Server"

    Quote

    Ja ich habe es leider als root durchgeführt. Es gibt aber sonst keine möglichkeit jetzt noch ein backup von gewissen ortnern zu machen oder?


    Also den Inhalt der Dateien kannst du schon sichern, der ist ja noch da.
    Beim Zurückspielen musst du dann die Inhalte, nicht die Dateien kopieren, einzelne Config Files z.B. mit

    Code
    1. cat /mnt/backup/datei1 > /datei1
    Quote

    Kann es daran liegen das ich

    Code
    1. chmod -R 0770 /


    gemacht habe?


    Wenn du das als root gemacht hast, sind damit die Zugriffsrechte praktisch aller Dateien kaputt.. :(


    sshd ist ziemlich pingelig, wenn wichtige Konfigurationsdateien oder -ordner zuviel Zugriff zulassen (z.B. die zweite 7 ist rwx für die Gruppe).


    Falls das wirklich root war, dann kenne ich keine Lösung, das Malheur zu beheben. Backup einspielen oder neu aufsetzen.
    Wenns nur der nornale Benutzer war, dann wird sshd (evtl temporär im debug Modus starten) ausgeben, welche Dateien in ~/.ssh unerwünschte Flags haben.

    Quote

    Aber selbst wenn... eig. dürfte doch einfach gar keine Verbindung zustande kommen, da ja auf Port 110 weder etwas lauscht, noch via iptables geöffnet ist?!


    Hm, die einzige Erklärung, die ich dafür hätte, ist dass du nicht bei dem Server landest, den du ansprechen möchtest.


    Geben ifconfig auf dem Server und ping -a von ausserhalb die identische IP an?
    Zeigt der telnet auf Port 80 im Webserver log was an?


    Vielleicht ist auch ein x-inetd am laufen, der dynamisch Ports in Beschlag nimmt (keine Ahnung, ist schon ein paar Jahrzehnte her, seit ich das letzte mal damit zu tun hatte ;-)