Posts by sdellenb

    Gibt es eigentlich sowas wie ein "Script" dass meinen Server auf möglichst viele Schwachstellen prüft oder kann man sich das schenken wenn man die gängigen Regeln befolgt?


    Ein schönes Skript ist testssl.sh welches die SSL/TLS Konfigurationen auf bekannte Schwachstellen checkt.
    Damit lässt sich die korrekte Verschlüsselung von Web- und Mailserververbindungen überprüfen (da es in diesem Thread ja hauptsächlich darum geht).

    4 Sekunden bis zur ersten Antwort (auch ohne https) ist schon sehr lange. :!:


    Meine WordPress Seite hatte ähnliche Antwortzeiten auf einem Shared Webhosting.
    Mit dem Umzug auf meinen Root Server M v6 SSD (auch nginx/php-fpm) ist diese jetzt bei erträglichen 500-700ms (weitere Optimierungen mit WP-/PHP-Caches sind noch auf der TODO-Liste).
    Eine andere Webseite mit einem einfachen PHP Skript, dass aus einer Datenbankabfrage eine Tabelle generiert, antwortet in 45ms.


    Ich setze auf CentOS 7, nginx 1.8.0 (vom nginx repo), PHP 5.6.12 (vom remi-php56 repo) und mariadb 5.5.41 (CentOS repo) und bin äusserst zufrieden mit der Performance.
    Kannst du deine OS, nginx, php-fpm und mysql/mariadb Versionen, sowie (auszugsweise) deine nginx und php-fpm Konfigurationen posten?


    Ich habe nicht den Größten Speicher auf meinen PC daher kann ich das mit der Virtuellen Maschine nicht nutzen auch wenn die nur 10 GB oder so Braucht.

    Ich hab meine Netcup vServer Test-VM (VirtualBox) mit dem gleichen Setup wie mein RootServer M v6 SSD auf einem 32GB USB 3.0 Stick, damit ich sie immer dabei haben kann. :)


    Quote

    Außerdem denke ich das ca 8€ Im Monat nicht das Große Geld ist und natürlich lernt man aus seinen eigenen Fehlern.

    Selbstverständlich. Ist ja auch gut, hast du den Server jetzt geschrottet, und nicht wenn zig Webseiten und Services drauf laufen. ;)



    Neulinge hier im Forum werden von den erfahreneren regelmässig darauf hingewiesen, dass der halt Admin für seinen Server haftet.
    Empfohlene Lektüre: "Admins haften für ihre Server"

    Quote

    Ja ich habe es leider als root durchgeführt. Es gibt aber sonst keine möglichkeit jetzt noch ein backup von gewissen ortnern zu machen oder?


    Also den Inhalt der Dateien kannst du schon sichern, der ist ja noch da.
    Beim Zurückspielen musst du dann die Inhalte, nicht die Dateien kopieren, einzelne Config Files z.B. mit

    Code
    1. cat /mnt/backup/datei1 > /datei1
    Quote

    Kann es daran liegen das ich

    Code
    1. chmod -R 0770 /


    gemacht habe?


    Wenn du das als root gemacht hast, sind damit die Zugriffsrechte praktisch aller Dateien kaputt.. :(


    sshd ist ziemlich pingelig, wenn wichtige Konfigurationsdateien oder -ordner zuviel Zugriff zulassen (z.B. die zweite 7 ist rwx für die Gruppe).


    Falls das wirklich root war, dann kenne ich keine Lösung, das Malheur zu beheben. Backup einspielen oder neu aufsetzen.
    Wenns nur der nornale Benutzer war, dann wird sshd (evtl temporär im debug Modus starten) ausgeben, welche Dateien in ~/.ssh unerwünschte Flags haben.

    Quote

    Aber selbst wenn... eig. dürfte doch einfach gar keine Verbindung zustande kommen, da ja auf Port 110 weder etwas lauscht, noch via iptables geöffnet ist?!


    Hm, die einzige Erklärung, die ich dafür hätte, ist dass du nicht bei dem Server landest, den du ansprechen möchtest.


    Geben ifconfig auf dem Server und ping -a von ausserhalb die identische IP an?
    Zeigt der telnet auf Port 80 im Webserver log was an?


    Vielleicht ist auch ein x-inetd am laufen, der dynamisch Ports in Beschlag nimmt (keine Ahnung, ist schon ein paar Jahrzehnte her, seit ich das letzte mal damit zu tun hatte ;-)

    Ich habe zusätzlich noch folgende Tipps (ich habe CentOS 7 mit Nginx statt Apache, daher nicht so viele Überschneidungen):

    • SSH Private Key nur mit sicherer Passphrase verwenden (gespeichert, wie Mainboarder erwähnte, in KeePass oder einem anderen Passwort-Safe deines Vertrauens)
    • adminer statt phpMyAdmin verwenden (meine Meinung ;))
    • Alle Administrations-Interfaces habe ich auf eigenen VHost-Subdomains (besser als Unterordner im Document Root, die werden oft durch Bots abgegrast), zugriff nur mit HTTPS und Random Password im KeePass.
      Wenn du ganz paranoid bist, kannst du die Admin-Sachen auch nur auf localhost lauschen lassen und über einen SSH-Tunnel darauf zugreifen. Das war mir zu umständlich und Subdomains/VHosts sind so schnell erstellt.. :rolleyes:


    Meinen vServer habe ich jetzt seit über 3 Monaten und bin immer noch (trotz vielen Jahren Linux-Erfahrung) am Einrichten und Feintunen.
    Also nicht verzweifeln, wenn etwas nicht gleich klappt. :)

    Zum Thema, warum die GeoIP-Datenbanken überhaupt aktualisiert werden müssen:


    Da es im Prinzip keine IPv4-Adressen mehr gibt (alle vergeben, fast alle belegt), werden die gerne (paketweise) gehandelt.
    Eine IP-Adresse (genauer: ein ganzer IPv4-Block), die also mal zu Rumänien gehörte, kann mittlerweile in einem ganz anderen Land vergeben werden.
    Wenn eine GeoIP-Datenbank diese Änderung nicht nachführt, wird ein Server in Deutschland einem anderen Land zugeordnet.


    Dazu gibt's nen guten Artikel bei heise:
    Second-Hand IPv4-Adressen shoppen? Käufer aufgepasst! | heise Netze

    Ist zwar schon etwas länger her seit der Frage.. Ich schreib trotzdem :)


    Ich setze auf Webmin mit dem Authentic Theme. Damit siehts modern aus und ist responsive design, d.h. sieht auch auf dem Smartphone gut aus.



    Damit Port 10000 nicht direkt offen stehen muss, geht alles über Nginx mit HTTPS auf einer Subdomain.