Posts by MoritzJ

    Moin,


    ich versuche mal mein Problem zu schildern:


    Ich betreibe einen eigenen kleinen Webserver (vServer mit Apache, Mailserver mit Postifx und so) auf dem 2 Domains laufen:

    1.) domain1.de (dies ist eine Domain nur für mein Webpanel und mein TS3 Server läuft hier

    2.) domain2.de (meine private Homepage)


    nun ist es so das mein eigener Mailserver immer wieder von Outlook und Co grundlos auf die Blacklist gesetzt wird. Habe hier nach einiger Diskussion (unter Anderem mit aRaphael ) dann den Ansatz mit dem SMTP Relay aufgegriffen. Dazu habe ich mir eine SoGo Instanz gemietet (Groupware Starter) und "domain1.de" zugewiesen (im Zuge dieser Zuweisung wurde auch ein DNS Eintrag für den SoGo Mailserver erstellt). Nun kommen sämtliche Meldungen meines Servers bei mir im Outlook an (so wie ich es mir vorgestellt habe). Da ich ja für "domain2.de" auch eine Adresse brauche habe ich die Domain ebenfalls meinem SoGo Konto zugewiesen, ebenso wie die eMail Adresse da ich ja sonst nicht berechtigt bin den SMTP Relay zu nutzen.

    Im Gegensatz dazu kommen die eMails von "domain2.de" zwar an aber die Antworten landen natürlich im "Sammelkonto" von Domain "domain1.de" im SoGo Webinterface. Ich vermute das ich für den richtigen Betrieb einen weiteren DNS Eintrag vornehmen muss, aber geht das überhaupt? Und falls ja, wie?


    Gruss

    Moritz

    Dat gibt es nicht!

    Am 15.09 wurde meine IP des vServers von MS entbannt (Outlook Probleme), seither war der Server offline weil ich auf eine Software gewartet habe und keine Zeit hatte und heute fahre ich den Server wieder hoch und die IP ist wieder gesperrt!

    Was für I*ioten arbeiten eigentlich da? .... ist zum kotzen!

    jetzt geht das Spiel wieder von vorne los

    BIn ja an einem ähnlichen Punkt wie du, bin aber beim Punkt PubKey noch unentschlossen. WENN Fail2Ban richtig funktioniert und du den "Angreifer" nach 2 fehlerhaften Versuchen für 24h vom Server wirfst UND dein Passwort 10+ Zeichen hat (also ein starkes Passwort mit Zeichen und Co) dann kriegt man das meiner Meinung nach "niemals" raus. (Zumindest nicht mit Brute-Force oder Dictionary) ***Nachtrag: Zumal er ja erst den Loginuser inkl. PW rauskriegen muss, dann steckt er im Homeverzeichnis fest und dann kommt das root PW***


    Einen PubKey sollte man ja auchh mit einem Passwort schützen, denn ansonsten heisst PubKey = Zugriff und dass will man ja eigentlich auch nicht...und man sollte den nicht verlieren (wobei man ja auch ein Passwort vergessen kann)


    Ansonsten bin ich auch der Meinung, sehr gute Grundlage

    Das Thema IPv6 habe ich noch gar nicht angeschaut, ist für mich völliges Neuland. Habe heute festgestellt das mein ProFTPD Server keine Verbindung zugelassen hat. Mittels

    Code
    1. tcp dport 30000-30500 accept comment "FTP-Passiv-Ports"

    klappts, aber ich muss mir das nochmals genau anschauen. Danke für dein Feedback!

    wegen 'nen schlappen Tag sich so aufregen

    darf ich mich nach fast 72h aufregen? naja auf der anderen Seite, wer kann schon von sich behaupten autogenerierte eMail des indischen Hotmailsupports zu kriegen ... so langsam aber sicher erinnert mich der MS Support an einen Bollywood Film ^^

    wegen 'nen schlappen Tag sich so aufregen, ich diskutier mit der Post seit dem Corona Lockdown,

    dass sie zu doof sind, die Sticker 'Bitte keine Werbung' anzuerkennen ...

    Es geht doch nicht um den Tag, es geht um die Art und Weise wie MS das handelt. Ich habe in den vergangenen 30h eMail von 3 MS Mitarbeitern bekommen ABER jede einzelne Mail hilft weder weiter noch sind die "von Hand" geschrieben worden. Nur irgendwelche CopyPaste Blöcke und fertig.

    PS: Das mit den "Bitte keine Werbung" Stickern klappt bei uns in der Schweiz auch net, wobei es bei uns vielfach Subunternehmer der Post sind die irgendwelche Kataloge, Visitenkarten, etc einwerfen :rolleyes:

    Habe den VPS am 24.07.2020 bestellt, mich aber die ersten Wochen nur mit dem Thema Security beschäftigt, sprich der Mailserver wurde erst Mitte August installiert. Die IP ist beim 1. Test 4x Blacklisted, ansonsten nur "Not Listed" und beim 2. Test steht bei Blacklists "Not Listed" und Email sowie Web Reputation ist Neutral ... also soviel zum Thema "Spamschleuder". Gemäss Microsoft bin ich aber eine, aber da sie ihre eigene Liste führen habe ich keinen Plan was da drin steht.

    O-Ton MS:
    Your IP(s) (1.2.3.4) was blocked by Outlook.com because Hotmail customers have reported email from this IP as unwanted. One possible explanation for this is the automatic forwarding of unfiltered inbound messages, including unwanted messages, to Outlook.com/MSN addresses.

    Gott ich könnte k**** .... diskutiere nun seit 24h mit Microsoft wegen der Sperrung der IP meines Servers. Angeblich hätten sich Nutzer bzgl. SPAM und weitergeleiteten eMails beschwert ... dumm nur das in meinen Logs genau 3! Mails drinnen sind (die hatte ich alle 3 am 28.08.2020 probeweise an mich selbst! verschickt und die sind sogar angekommen!!!! - der Server läuft auch erst seit Ende August und ausser mir hat keiner Zugriff auf irgendwas) ... DKIM, DMARC, SPF, ja sogar n Regentanz habe ich vollzogen allerdings ohne Erfolg

    Sie haben die Logs, Sie haben die Bestätigung das die IP auf meinen VPS lautet und sie wollten sogar eine Rechnung sehen. Habe alles geschickt und was kriege ich?


    Ich geb euch gleich "patience" :wacko:

    Korrekt, bei beiden ist keine Domain im Keyhelp definiert (hat übrigends auch mit definierter Domain (ohne Subdomain) nicht funktioniert ... wobei ich könnte ja eine Subdomain definieren die auf den Keyhelp Ordner zeigt)


    Ja, es wurden nur die DNS Einstellungen geändert, die IP stimmt und die SPF Einstellungen stimmen (hat ja mit den Einstellungen im 1. Bild einwandfrei funktioniert)


    Ev. könnte ich ja wirklich erst via IP einsteigen, die Domain und Subdomain definieren und das Ganze so lösen ... wobei ich nicht sicher bin ob eine eigene Domain für den VPS nicht sinnvoller wäre, man hätte es halt mit dem Mailserver einfacher als wenn es eine Subdomain ist

    Moin,


    ich habe ein kleines Problem (Verständnis oder Konfiguration - das Panelforum konnte auch nicht wirklich helfen) mit DNS Einstellungen für einen vServer. Momentan nutze ich Keyhelp als Panel für meine Administration, habe aber ein kleines Problem sobald ich es unter einer Subdomain laufen lassen möchte. Folgende Grundeinstellungen liegen vor:

    - rDNS = kh.globetrotter.one

    - Hostname = kh.globetrotter.one


    Mit den folgenden DNS Einstellungen läuft es
    DNS.jpg

    aber irgendwie erscheinen Sie mir nicht ganz korrekt, resp. "doppelt gemoppelt".


    Also nun eine korrigierte Fassung (bitte die Markierungen ignorieren)
    DNS2.jpg

    aber hier habe ich keinen Zugriff mehr auf kh.globetrotter.one. Warum ist das so, resp. wenn ich eine Wildcard verwende dann sollte doch der Zugriff möglich sein? Warum brauche ich dann trotzdem noch die folgende Zeile?

    Code
    1. kh   A   45.132.246.229


    Vielleicht zur Info: Zu diesem Zeitpunkt ist noch keine Domain im Keyhelp selber definiert, könnte es daran liegen?

    Gäbe es eine Möglichkeit auch einfach nur die IP zu verwenden (sprich IP = Aufruf Panel, alles andere geht auf die entsprechende Domain)? (Falls ja, wie geht man sowas am Besten an?)
    Alternativ würde ich mir einfach eine günstige Domain nur für das Panel nehmen, hätte den Vorteil dass ich sie mir einfacher merken kann ;)

    Gruss
    Moritz


    (PS: Beide Produkte liegen bei Netcup)

    Ich habe den Faden verloren.

    na frag mich mal! Ich hatte unter einer "Yolo Location" eher an etwas a la Woodstock Festival gedacht ^^


    Weiss auch grad ned warum ich OPN vor meinen Windows CLIENT spannen sollte (der Server läuft auf Debian) ^^ Ich habe das Gefühl wird reden ganz leicht aneinander vorbei.

    Ist dafür ein Extra Server nicht fast Perlen vor die Säue?

    Wieso ein Extraserver?

    Auf meinem VPS laufen Webseiten, Mail und co und der Storagespace (aber das ist ja nicht wirklich ein Server) wird zusätzlich gemietet ... oder ich habe dich falsch verstanden.

    Was ist denn eine Yolo-Location (was Yolo heisst ist mir klar ^^ )?

    Servus, eigentlich ist es nix anderes als mein Offsite Backup (90% Fotos im RAW Format und 10% private Dokumente) das von meinem SynologY NAS per rSync gespeist werden soll (zumindest so der Plan) resp. alternativ via PC.


    Wollte eigentlich bewusst einen Storagespace nehmen da ich den bis auf 1TB erweitern kann ohne den Server neu aufsetzen zu müssen 😉


    Das mit der Geschwindigkeit ist kein Ding, da werden nur 1x pro Woche Daten ge"rsynct"

    Ich knüpf hier nochmal an:

    Mittlerweile habe ich einen VPS 1000 G9 in Betrieb und werde den in den nächsten Tagen in den produktiven Betrieb übernehmen. Nun ist es so das ich mich ein wenig vertan habe was den benötigten Speicher anbelangt. Die 160GB SSD genügt mir knapp nicht und ich werde mir wohl entweder einen 250GB oder 500GB Storagespace dazumieten "müssen". Nun ist es ja so:
    Gemäss Bild kann der Storagespace ja von externen Clients (bsp. mein Home PC) oder vom Server angesprochen werden. Was wird hier empfohlen?

    Vermute das "PC -> Server -> Storagespace" die sauberste Variante (kein Zugriff von ausserhalb auf meine Daten, nur der Server kann darauf zugreifen) darstellt, oder? Gibt es für sowas eine gute Software die ihr empfehlen könnt?



    (@H6G --> Dein Einwand hat mit etliche Stunden Security Spass beschert ^^ bin relativ tief in die Materie eingetaucht und nach unendlich vielen Neuinstallationen kann ich sagen, dass der Server relativ gut gesichert ist - okay es gab etwas Schützenhilfe aber wichtig ist ja das man versteht, warum jetzt die Option auf "no" gesetzt wird und die andere auf "yes" --> danke dafür :thumbup:)

    Mist, der Code wurde doof dargestellt ... hier nochmal in schön


    #!/usr/sbin/nft -f

    flush ruleset

    table inet filter {
    chain input {
    type filter hook input priority 0;

    # allow from loopback
    iifname lo accept;

    # established/related connections
    ct state established,related accept;

    # invalid connections
    ct state invalid drop;

    # no ping floods
    ip6 nexthdr icmpv6 icmpv6 type echo-request limit rate 2/second accept;
    ip protocol icmp icmp type echo-request limit rate 2/second accept;

    tcp dport ssh ip saddr $clientip accept;
    tcp dport {http, https, ftp, smtp, pop3} accept;

    policy drop;
    }
    chain forward {
    type filter hook forward priority 0;
    }
    chain output {
    type filter hook output priority 0;
    }
    }

    Servus,


    ich habe mich die letzten Tage und Wochen immer wieder mal mit dem Absichern meines vServers beschäftigt und mit fehlt nur noch das letzte Puzzleteil, die nftables Datei. Bis jetzt habe ich mich immer darauf "verlassen", dass starke Passwörter und Kleinigkeiten wie "kein root SSH Login" mich vor dem Schlimmsten bewahren. Bevor ich aber nun meinen vServer zur finalen Neuinstallation bereit mache wollte ich mich mit nftables auseinander setzen. Leider ist das so ganz und gar nicht meine Welt und darum habe ich bis jetzt nur folgende "Basisdatei" zusammengeschustert gekriegt:


    Code
    1. #!/usr/sbin/nft -f
    2. flush ruleset
    3. table inet filter {        chain input {                type filter hook input priority 0;
    4.                 # allow from loopback                iifname lo accept;
    5.                 # established/related connections                ct state established,related accept;
    6.                 # invalid connections                ct state invalid drop;
    7.                 # no ping floods                ip6 nexthdr icmpv6 icmpv6 type echo-request limit rate 2/second accept;                ip protocol icmp icmp type echo-request limit rate 2/second accept;
    8.                 tcp dport ssh ip saddr MEINEPRIVATEIP accept;                tcp dport {http, https, ftp, smtp, pop3} accept;
    9.                 policy drop;        }        chain forward {                type filter hook forward priority 0;        }        chain output {                type filter hook output priority 0;        }}



    Auf meinem vServer werden folgende Dienste laufen (SSH, HTTP(S), POP3, SMTP, FTP (wird ev. durch SFTP ersetzt), evtl. ein Teamspeak3 und evtl. ein SVN Server).
    - Kann ich die Dienste mittels Bezeichnung in die Regel einfügen anstatt mit dem def. Port (ist das überhaupt "in Ordnung"?)

    - Habe ich irgendwas Grundlegendes vergessen, resp. muss ich noch etwas "zwingend" einfügen?


    Gruss und einen schönen Abend!
    Moritz

    Das mit den Kenntnissen ist mir bewusst, insbesondere was das absichern angeht. Ganz unbedarft bin ich in Punkto "Linuxserver" nicht und habe bereits mehrere Server in den Grundzügen (Sicherheit und Unterhalt) betreut, musste das allerdings aus Zeitgründen sehr weit zurück fahren. Aber ich verstehe deinen "Einwand" und finde das auch sinnvoll! :)


    Vermute das deine Idee (VPS + "irgendwann" ein eigenständiger Root für den Gameserver) ziemlich sicher die beste Option ist. Leider sind die Entwickler von Satisfactory (so toll das Spiel auch ist) nicht die Schnellsten und die Specs werden wohl noch länger auf sich warten lassen.

    Gibt es eine Faustregel wie sich die Leistungsfähigkeit eines "vCores" zu einem dedizierten Core verhält? Würde rein vom Gefühl her sagen das ich beim dedizierten Core 100% eines Cores nutzen kann und beim vCore halt den Core selbst, aber ggf. ist der nicht mehr zu 100% belastbar.