Posts by aubergine

    Mehr oder weniger seit es DMARC gibt auf:

    Code
    1. "v=DMARC1; p=reject; pct=100; aspf=r; adkim=r;"

    DKIM und SPF hatte ich auch schon zuvor verwendet, von daher war das für mich nur ein zusätzlicher Record.
    Die Reports interessieren mich auch nicht und wären nur ein zusätzliches Spam-Einfallstor.

    Ich dreh die Frage mal um: welche Standorte wären denn von Interesse, wenn du es dir aussuchen könntest?


    Ich würde Frankfurt begrüßen weil der DECIX Standort nach wie vor seine Vorteile bietet und weit genug von Nürnberg entfernt ist. Ich sehe hier 3 Vorteile für euch und auch die Kunden.

    • Wer (als Neukunde) einen Server am zweiten Standort haben möchte kann ihn bei euch bekommen
    • Eure Kunden könnten für schmales Geld georedundante Lösungen oder Infrastrukturen gemäß BSI Empfehlungen aufbauen
    • Wenn man dem Kunden die Möglichkeiten gibt, wird er sie idR. nutzen (siehe Public Cloud Referenz-Architekturen)

    Die Disk-Optimierung dient eher Anderen als einem selbst, Stichwort "Thin Provisioning". Ohne diese Möglichkeiten könnte Netcup aber vermutlich nicht so günstig anbieten. Außerdem schont freier Speicherplatz die SSDs, da Wear Leveling dort besser stattfinden kann.

    Man kann über die Disk-Optimierung nachträglich dafür sorgen wieder in der Lage zu sein einen Snapshot anlegen zu können. Von daher ist diese Funktion imho schon vorwiegend für den Kunden da und auch nützlich.

    5-10 Minuten Anfahrt plus Zeit um sich Zutritt zu verschaffen und ein Bild von der Lage zu bekommen. Anschließend abschalten der elektrischen Anlagen und Zutrittssperre durch die Feuerwehr, die mitunter Tage anhalten kann je nachdem ob das Gebäude als einsturzgefährdet angesehen wird.



    Wem sein Business (oder Daten) lieb ist/sind geht in ein RZ mit Gaslöschanlage (es gibt auch welche mit Wasser, was das aber mit den Servern im Raum anstellt dürfte klar sein) und hat >5km entfernt (BSI sagt aktuell 200km) entweder nochmal das gleiche stehen (Dual-Site) oder zumindest Backups (am besten bei einem anderen Provider wegen Insolvenz oder Angriff). Das ist aber jetzt nichts neues.

    Ich danke für die vielen und ausführlichen Antworten. Macht es denn überhaupt sinn die Festplatte zu verschlüsseln wenn doch eigentlich sowieso die entschlüsselten Daten während des Betriebes vorliegen was bei Servern naturgemäß fast immer ist?

    Die Daten liegen niemals entschlüsselt vor, sie können lediglich von dem System das den Schlüssel hat entschlüsselt werden.


    Je nachdem wie du das Ganze aufsetzt gibt es aber auch ein paar Nachteile. Zum einen ein gewisser Komfortverlust. Die SCP Snapshots können ggf. groß sein und die Disk-Optimierung kann ggf. mehr oder weniger nichts mehr für dich tun, das kommt aber auf das konkrete Setup an. Daneben musst du bei jedem Reboot, Patching oder Ausfall des Hosts bei Fuß stehen und das Passwort eingeben bevor die Daten wieder zugänglich sind und ggf. deine Dienste laufen.

    Zusätzlich hast du je nach VM-Typ eine kleine bis große Performance-Einbuße, die du nur durch den Einsatz von AES minimieren kannst (weil selbiges ist in Hardware auf der CPU implementiert).


    Wenn du mit diesen Nachteilen leben kannst oder deine Daten in irgendeiner Weise kritisch sind dann verschlüssele sie. Diese Frage kannst aber nur du beantworten.


    Ich habe z.B. ein verschlüsseltes LVM Volume das ich nur bei Bedarf einhänge und auf dem logischerweise nur ein Teil meiner Daten liegt.

    Ohne von der Brisanz der Thematik abzulenken, aber kann hier jemand überhaupt von ernsthaften Einschränkungen beim Mail Transfer durch das L3 Listing berichten?

    Nein.


    Empfänger die diese AS-basierte Liste in einem nicht gewichteten Verfahren verwenden wollen nicht erreicht werden. Dem sei dann auch so.

    Ich habe keinerlei Probleme mit dem Mailversand.


    Was Hotmail/Outlook angeht: SPF und DKIM hilft den eigenen Score dort zu heben. In dem Zug kann man auch gleich DMARC mitnehmen.

    Hi Theo,


    vielen lieben Dank für deine schnelle Reaktion und die gute Lösung :-)

    Ich hoffe mal die Mühe lohnt sich und der Request wird akzeptiert.


    VG

    Hallo Theo,


    ich möchte das Forum einmal nutzen um ein etwas diffuses Problem zu beschreiben. Eventuell schafft man es hierfür gemeinsam eine Lösung zu finden, insofern das liegt auch in eurem Interesse.


    Einige eurer Kunden (u.A. ich) verwenden den Netcup Server als NTP Server und stellen diesen über pool.ntp.org auch kostenfrei der Allgemeinheit zur Verfügung. Dass ich nicht alleine bin, habe ich über das NTP-Pool Forum herausgefunden :)


    Der Pool wird von Ehrenamtlichen betrieben und im Jahr 2019 wurde die Server-Infrastruktur umgezogen/modernisiert. Hier beginnt das Problem. Ich (und auch die anderen User) bekommen regelmäßig false-positive Monitoring Alarme und auch der .de Gesamtpool flapped erheblich. Ich denke ihr stellt hierfür insgesamt einen nicht unerheblichen Teil der Server bereit. Das Flapping kann man hier schön sehen: https://www.ntppool.org/zone/de


    Der neue Monitoring Server steht in New York und verwendet ein Netzwerk, dass Zayo als einer der stärksten Peers verwendet. Zayo ist dafür bekannt NTP Pakete zu droppen, sollten diverse Schwellwerte überschritten sein. Laut den NTP-Pool Admins (mit denen das Problem soweit möglich debugged wurde) der Root-Cause dieses Problems.

    Die IP des Monitoring Systems ist 139.178.64.42


    Die Hinroute läuft von New York über Telia zu euch und ist soweit unauffällig. https://trace.ntppool.org/traceroute/46.38.224.30?json=0

    Die Rückroute allerdings läuft von euch zu Above.net und anschließend zu Zayo. Dadurch kommt es wohl zu NTP Paketverlusten, konkret der fehlenden NTP Antwort.


    Jetzt ist es so, dass die Situation durch den Pool dahingehend verbessert wird, indem ein 3-Node Monitoring System eingeführt wird. Allerdings löst dies das Problem nicht komplett, da der New York Monitor erhalten bleibt und ebenfalls eine 33% Gewichtung hat. Ebenso gibt es hierfür keinen Termin.


    Eventuell habt ihr ja Lust dem Pool (und mir) zu helfen und euch einmal anzuschauen ob ihr das Routing zu diesem Monitoring Netzwerk so umstellen könnt, dass zumindest Zayo vermieden wird. Zayo ist nicht der einzige ISP der NTP filtert, aber vielleicht hat man mit einem anderen ISP mehr Glück. Einer der NTP-Pool Admins hat hierzu auch interessante Beiträge geschrieben bzw. versucht das auf ISP Seite zu lösen, bisher kein Erfolg, die Filter bleiben bestehen. Siehe hierzu u.A. https://weberblog.net/ntp-filt…blockage-in-the-internet/


    Danke vorab.

    RSA 2048 gilt aktuell als sicher und die allermeisten Zertifikate (vor allem root Zertifikate) verwenden einen solchen Schlüssel.

    Technisch ist es mittlerweile fein Letsencrypt zu verwenden. Wenn du einen zusätzlich Marketing-Effekt haben willst kannst du EV Zertifikate kaufen. Dann wird in manchen Browsern in der Adressleiste der Unternehmensname in einer grünen Box vor die URL gestellt oder die ganze Leiste grün dargestellt. Siehe z.B. https://www.netcup.de im IE oder alten Edge.


    Wer im Internet Geld verdienen will achtet ansonsten auf maximale Client-Kompatibilität. Der Browser und Server einigen sich beim Handshake idR. immer auf die bestmögliche Verschlüsselung. Wenn jemand unbelehrbar ist und nach wie vor mit seinem IE8 und XP/Win7 surft, dann wird er das vermutlich auch weiterhin tun nur eben woanders kaufen solltest du kein TLSv1.0 anbieten.


    Und solche Clients gibt es nach wie vor, wenn auch nur sehr wenige (in Deutschland!). Nicht jede Zielgruppe ist technikaffin. Deswegen bietet Google auch nach wie vor TLSv1.0 an vgl. https://www.ssllabs.com/ssltes…ml?d=www.google.de&latest


    Meine kurze Zusammenfassung:

    - SSLv2, SSLv3 abschalten

    - TLSv1.0, TLSv1.1 Ciphers einschränken oder abschalten (je nach Zielgruppe und Kundenherkunft)

    - TLSv1.2 Ciphers einschränken

    - TLSv1.3 anbieten


    Es gibt hierzu zahlreiche Guides und das Ergebnis lässt sich immer schnell mit ssllabs überprüfen.


    Ich hoffe das hilft dir und beleuchtet das Thema auch unter einem anderen Gesichtspunkt.

    Ich hab mit fio nie gearbeitet, beim 2. Command möchte er nicht.


    Code
    1. fio: failed parsing readwrite=rw


    Dank dir vielmals.

    Der Schalter ist scheinbar versionsabhängig. Bei dir müsste das --readwrite=readwrite heißen.


    Hattest du fio auf der SAS Variante dieses Servertyps ausgeführt?

    Hi,


    hat zufällig jemand einen Rootserver RS 500 SAS G8 und kann etwas zur I/O Performance sagen?

    Super wäre eine Messung mit z.B. fio auf einem Server auf dem aktuell kaum I/O stattfindet.


    Code
    1. fio --ioengine=libaio --direct=1 --name=fio.raw --bs=4k --size=200M --readwrite=randrw
    2. fio --ioengine=libaio --direct=1 --name=fio.raw --bs=4k --size=400M --readwrite=rw


    Danke vorab :)