Posts by MoritzJ

    Ne, das leuchtet mir schon ein. Mit nem geänderten Port kann ich aber viele Script Kiddies erstmal kalt stellen. Trotzdem danke für den Hinweis!


    Mir gehts mehr darum das die Sachen die ich geändert habe passen und nicht "Türe zu, Fenster auf" darstellen. Habe noch einiges notiert aber die Sachen sind halt auch schon wieder ein 3/4 Jahr alt.

    Nabend,


    ich möchte mich nach langer Zeit wieder mit einem VPS auseinandersetzen um nicht alles zu vergessen. Die Idee ist es eine Basis (nur Grundinstallation inkl. SSH, Fail2Ban und nftables) für eine "Docker Spielwiese" zu schaffen die ich bei Bedarf immer wieder herstellen kann falls was in die Hose geht. Zuerst wird das minimale Debian 11 Image installiert und ab gehts:


    /etc/ssh/sshd_config (edit)

    Code
    1. Port 721
    2. PasswordAuthentication no
    3. PermitRootLogin prohibit-password

    Danach wird ein SSH Keypaar generiert und mittels Passphrase geschützt. (Ich erlaube bewusst das Einloggen per root da ich nicht so Lust drauf habe immer den User wechseln zu müssen und mit Key (inkl. Passphrase) und anderem Port sollte ich doch einigermassen geschützt sein). Jetzt gehts nach der Installation von "fail2ban" und dem kopieren von "jail.conf" nach "jail.local" an die Konfiguration:


    /etc/fail2ban/jail.local (edit)

    /etc/nftables/fail2ban.conf (edit)

    Code
    1. #!/usr/sbin/nft -f
    2. # Use ip as fail2ban doesn't support ipv6 yet
    3. table ip fail2ban {
    4. chain input {
    5. # Assign a high priority to reject as fast as possible and avoid more complex rule evaluation
    6. type filter hook input priority 100;
    7. }
    8. }

    /etc/fail2ban/action.d/nftables-common.local (edit)

    Code
    1. [Init]
    2. # Definition of the table used
    3. nftables_family = ip
    4. nftables_table = fail2ban
    5. # Drop packets
    6. blocktype = drop
    7. # Remove nftables prefix. Set names are limited to 15 char so we want them all
    8. nftables_set_prefix =

    /etc/fail2ban/jail.d/recidive.conf (edit)


    nach einem Reboot kann ich mich auch wie gewünscht nur per Key einloggen und gemäss "fail2ban-client status sshd" werden auch einzelne IPs bereits gebannt. Ist das als Basis so in Ordnung oder gibt es Sachen die ich ändern sollte / muss. Danke fürs Lesen :)

    Sodele, nachdem ich mich ein wenig mit der Installation von Nextcloud rumgeärgert habe diese aber nun zumindest aus meiner Sicht läuft hier eine kleine "Installationsanleitung", vielleicht nützt das dem einen oder anderen bei einem ähnlichen Vorhaben :)


    Vorbereitung
    Ich möchte meine NextCloud Installation unter einer Subdomain erreichbar machen und erstelle deshalb erstmal eine eigene Subdomain

    1.JPG


    Um die Sicherheit zu erhöhen empfehle ich das Erstellen eines SSL Zertifikats für die Subdomain

    2.JPG


    und eine permanente Umleitung von http auf https. Natürlich ist dies nur eine Empfehlung ;)

    3.JPG














    Wie von tab weiter oben bereits empfohlen erstellen wir uns eine MySQL für die Verwendung als Backend

    4.JPG



    Installation

    Die Installation an sich ist "Standard", allerdings erhält man nach der Installation (Stand 14.09.2021 - Nextcloud 22.1.1) beim Blick ins Log File mehere Fehlermeldungen a la

    12.JPG


    Hierzu gibt es HIER weitere Informationen, alternativ habe ich die geänderten Dateien hochgeladen (ohne Garantie!)

    Nextcloud Fix.zip

    Sicherheit

    Zum Schluss habe ich meine Sicherheit unter anderem mit der App "Two-Factor TOTP Provider" (2FA) und einem Geoblocker abgesichert.


    Für weiteren Input bin ich immer dankbar, werde mir nun die Sache mit dem Sync von Kontakten anschauen (Android <-> DAVx5 <-> NextCloud) und ein wenig testen. Hoffe das hilft dem einen oder anderen bei der Installation oder Entscheidung für ein Webhosting bei Netcup

    Files

    • 8.JPG

      (30.02 kB, downloaded 2 times, last: )
    • 9.JPG

      (18.86 kB, downloaded 2 times, last: )
    • 10.JPG

      (55.34 kB, downloaded 3 times, last: )
    • 11.JPG

      (18.67 kB, downloaded 5 times, last: )

    Hab deinen Input umgesetzt und siehe da, es funktioniert. Werde das heute oder morgen mal etwas zusammenfassen und hier im Thread eine "Mini-Anleitung" bereitstellen falls andere auch auf ähnliche Probleme stossen. Spiele gerade mit DavX5 rum (neues Adressbuch für 2-Wege Kommunikation), das android-interne Telefonbuch kann man ja nicht auf direktem Wege 2-way syncen soweit ich das mitgekriegt habe

    keine Apps, nur eine frische Installation und unten die Option (Standard Apps) gewählt. Hab eben die 21er Version probiert, exakt das gleiche Phänomen.

    Muss ich bei den Apache / Nginx / PHP Einstellungen noch irgendwas verändern?



    ----------------


    Dies spukt die Config Seite aus:


    There are some warnings regarding your setup.


    • SQLite is currently being used as the backend database. For larger installations we recommend that you switch to a different database backend. This is particularly recommended when using the desktop client for file synchronisation. To migrate to another database use the command line tool: 'occ db:convert-type', or see the documentation ↗.
    • You are accessing your instance over a secure connection, however your instance is generating insecure URLs. This most likely means that you are behind a reverse proxy and the overwrite config variables are not set correctly. Please read the documentation page about this.
    • Accessing site insecurely via HTTP. You are strongly advised to set up your server to require HTTPS instead, as described in the security tips ↗.
    • Your web server is not properly set up to resolve "/.well-known/webfinger". Further information can be found in the documentation.
    • Your web server is not properly set up to resolve "/.well-known/nodeinfo". Further information can be found in the documentation.
    • Your installation has no default phone region set. This is required to validate phone numbers in the profile settings without a country code. To allow numbers without a country code, please add "default_phone_region" with the respective ISO 3166-1 code ↗ of the region to your config file.
    • No memory cache has been configured. To enhance performance, please configure a memcache, if available. Further information can be found in the documentation.

    Please double check the installation guides ↗, and check for any errors or warnings in the log.

    Check the security of your Nextcloud over our security scan ↗.

    yep, Nextcloud ist installiert und lässt sich auch bedienen (anmelden, etc) aber die Meldung taucht dann irgendwann auf und ich kann beispielsweise nicht mehr aufs Log File aus dem Interface heraus zugreifen. Eine Datei kann ich allerdings hochladen trotz der Meldung, beim Cardav Abgleich via DavX5 aber streikt er wieder (ohne Fehlermeldung)

    Ich klink mich hier mal ein. Versuche seit 2 Tagen auf meinem Webhosting Tarif (Webhosting 2000 SE de a1 (a2fac)) Nextcloud 22 zu installieren. Ich habe beide Varianten (Web-Installer und Upload des Verzeichnis) sowie beide DB Varianten (SQLite und MySQL) probiert aber immer taucht nach xx Minuten die Meldung


    Unbenannt.jpg


    auf. Dies tritt sowohl beim FireFox als auch beim Edge auf aber leider finde ich im LogFile keinerlei Hinweise auf einen entsprechenden Fehler. Kennt jemand dieses Phänomen?

    Moin,


    ich versuche mal mein Problem zu schildern:


    Ich betreibe einen eigenen kleinen Webserver (vServer mit Apache, Mailserver mit Postifx und so) auf dem 2 Domains laufen:

    1.) domain1.de (dies ist eine Domain nur für mein Webpanel und mein TS3 Server läuft hier

    2.) domain2.de (meine private Homepage)


    nun ist es so das mein eigener Mailserver immer wieder von Outlook und Co grundlos auf die Blacklist gesetzt wird. Habe hier nach einiger Diskussion (unter Anderem mit aRaphael ) dann den Ansatz mit dem SMTP Relay aufgegriffen. Dazu habe ich mir eine SoGo Instanz gemietet (Groupware Starter) und "domain1.de" zugewiesen (im Zuge dieser Zuweisung wurde auch ein DNS Eintrag für den SoGo Mailserver erstellt). Nun kommen sämtliche Meldungen meines Servers bei mir im Outlook an (so wie ich es mir vorgestellt habe). Da ich ja für "domain2.de" auch eine Adresse brauche habe ich die Domain ebenfalls meinem SoGo Konto zugewiesen, ebenso wie die eMail Adresse da ich ja sonst nicht berechtigt bin den SMTP Relay zu nutzen.

    Im Gegensatz dazu kommen die eMails von "domain2.de" zwar an aber die Antworten landen natürlich im "Sammelkonto" von Domain "domain1.de" im SoGo Webinterface. Ich vermute das ich für den richtigen Betrieb einen weiteren DNS Eintrag vornehmen muss, aber geht das überhaupt? Und falls ja, wie?


    Gruss

    Moritz

    Dat gibt es nicht!

    Am 15.09 wurde meine IP des vServers von MS entbannt (Outlook Probleme), seither war der Server offline weil ich auf eine Software gewartet habe und keine Zeit hatte und heute fahre ich den Server wieder hoch und die IP ist wieder gesperrt!

    Was für I*ioten arbeiten eigentlich da? .... ist zum kotzen!

    jetzt geht das Spiel wieder von vorne los

    BIn ja an einem ähnlichen Punkt wie du, bin aber beim Punkt PubKey noch unentschlossen. WENN Fail2Ban richtig funktioniert und du den "Angreifer" nach 2 fehlerhaften Versuchen für 24h vom Server wirfst UND dein Passwort 10+ Zeichen hat (also ein starkes Passwort mit Zeichen und Co) dann kriegt man das meiner Meinung nach "niemals" raus. (Zumindest nicht mit Brute-Force oder Dictionary) ***Nachtrag: Zumal er ja erst den Loginuser inkl. PW rauskriegen muss, dann steckt er im Homeverzeichnis fest und dann kommt das root PW***


    Einen PubKey sollte man ja auchh mit einem Passwort schützen, denn ansonsten heisst PubKey = Zugriff und dass will man ja eigentlich auch nicht...und man sollte den nicht verlieren (wobei man ja auch ein Passwort vergessen kann)


    Ansonsten bin ich auch der Meinung, sehr gute Grundlage

    Das Thema IPv6 habe ich noch gar nicht angeschaut, ist für mich völliges Neuland. Habe heute festgestellt das mein ProFTPD Server keine Verbindung zugelassen hat. Mittels

    Code
    1. tcp dport 30000-30500 accept comment "FTP-Passiv-Ports"

    klappts, aber ich muss mir das nochmals genau anschauen. Danke für dein Feedback!

    wegen 'nen schlappen Tag sich so aufregen

    darf ich mich nach fast 72h aufregen? naja auf der anderen Seite, wer kann schon von sich behaupten autogenerierte eMail des indischen Hotmailsupports zu kriegen ... so langsam aber sicher erinnert mich der MS Support an einen Bollywood Film ^^

    wegen 'nen schlappen Tag sich so aufregen, ich diskutier mit der Post seit dem Corona Lockdown,

    dass sie zu doof sind, die Sticker 'Bitte keine Werbung' anzuerkennen ...

    Es geht doch nicht um den Tag, es geht um die Art und Weise wie MS das handelt. Ich habe in den vergangenen 30h eMail von 3 MS Mitarbeitern bekommen ABER jede einzelne Mail hilft weder weiter noch sind die "von Hand" geschrieben worden. Nur irgendwelche CopyPaste Blöcke und fertig.

    PS: Das mit den "Bitte keine Werbung" Stickern klappt bei uns in der Schweiz auch net, wobei es bei uns vielfach Subunternehmer der Post sind die irgendwelche Kataloge, Visitenkarten, etc einwerfen :rolleyes:

    Habe den VPS am 24.07.2020 bestellt, mich aber die ersten Wochen nur mit dem Thema Security beschäftigt, sprich der Mailserver wurde erst Mitte August installiert. Die IP ist beim 1. Test 4x Blacklisted, ansonsten nur "Not Listed" und beim 2. Test steht bei Blacklists "Not Listed" und Email sowie Web Reputation ist Neutral ... also soviel zum Thema "Spamschleuder". Gemäss Microsoft bin ich aber eine, aber da sie ihre eigene Liste führen habe ich keinen Plan was da drin steht.

    O-Ton MS:
    Your IP(s) (1.2.3.4) was blocked by Outlook.com because Hotmail customers have reported email from this IP as unwanted. One possible explanation for this is the automatic forwarding of unfiltered inbound messages, including unwanted messages, to Outlook.com/MSN addresses.

    Gott ich könnte k**** .... diskutiere nun seit 24h mit Microsoft wegen der Sperrung der IP meines Servers. Angeblich hätten sich Nutzer bzgl. SPAM und weitergeleiteten eMails beschwert ... dumm nur das in meinen Logs genau 3! Mails drinnen sind (die hatte ich alle 3 am 28.08.2020 probeweise an mich selbst! verschickt und die sind sogar angekommen!!!! - der Server läuft auch erst seit Ende August und ausser mir hat keiner Zugriff auf irgendwas) ... DKIM, DMARC, SPF, ja sogar n Regentanz habe ich vollzogen allerdings ohne Erfolg

    Sie haben die Logs, Sie haben die Bestätigung das die IP auf meinen VPS lautet und sie wollten sogar eine Rechnung sehen. Habe alles geschickt und was kriege ich?


    Ich geb euch gleich "patience" :wacko:

    Korrekt, bei beiden ist keine Domain im Keyhelp definiert (hat übrigends auch mit definierter Domain (ohne Subdomain) nicht funktioniert ... wobei ich könnte ja eine Subdomain definieren die auf den Keyhelp Ordner zeigt)


    Ja, es wurden nur die DNS Einstellungen geändert, die IP stimmt und die SPF Einstellungen stimmen (hat ja mit den Einstellungen im 1. Bild einwandfrei funktioniert)


    Ev. könnte ich ja wirklich erst via IP einsteigen, die Domain und Subdomain definieren und das Ganze so lösen ... wobei ich nicht sicher bin ob eine eigene Domain für den VPS nicht sinnvoller wäre, man hätte es halt mit dem Mailserver einfacher als wenn es eine Subdomain ist