Posts by MoritzJ

    Guten Morgen,


    yep, ich habe bereits "den Poodle ausgesperrt" aber mit dem DH Kram warte ich noch zu. Zum einen ist mir nicht ganz klar,
    wie das Ganze funktioniert und zum anderen eier ich hier auf Apache 2.2.x (wegen Plesk) rum. Habe keine Ahnung wie Plesk 12 auf Apache 2.4.x reagiert
    und im Moment habe ich auch nicht die Zeit mich das so intensiv einzuarbeiten wie ich es gerne würde.


    Denke mit den getroffenen Massnahmen (und die folgende Abschaltung aller nicht benötigten Ports und Dienste) ist mein vServer doch gar nicht schlecht dabei :)


    Eine Frage habe ich aber dann doch noch:
    Bei deinem Link ist die Rede von
    "If you are using Apache with LibreSSL, or Apache 2.4.7 and OpenSSL 0.9.8a or later, you can append the DHparams you generated earlier to the end of your certificate file."


    Ist damit das SSL Zertifikat gemeint?


    EDIT
    Hab n Fix von Odin für Plesk 12 gefunden und nun kriege ich auf SSL Server Test (Powered by Qualys SSL Labs) ein "A". Denke dann ist das Ganze auch gemacht und ich befinde mich weiterhin auf Kurs

    Servus,


    hab jetzt in Outlook 2013 ein neues Konto für "myvserver.info" eingerichtet.
    Eingangsserver: 993 mit SSL
    Ausgangsserver: 465 mit SSL


    Senden und Empfangen klappt einwandfrei, damit dürfte das Thema wirklich gegessen sein.
    Vielen Dank für eure Hilfe! :thumbsup:

    Ich habe in meinen PEM Dateien erste den Private Key, dann das Zertifikat und dann das CA Zertifikat


    alle jeweils mit Begin und End .... oder ist es andersrum?



    EDIT:
    Mit deinem Zusatz kommt jetzt Status 0 raus (ok)
    Super, danke!


    EDIT2:
    bei Tests von einer externen Seite kommt immer noch die Meldung mit dem "mail.myvserver.info" ... das dauert wohl echt ne Weile bis das überall durch ist.
    Hier der Bericht:



    hab die DNS Einstellungen der Domain bei "MX" auf "myvserver.info" gesetzt und auch in Postfix/Dovecot taucht der "mail" Zusatz nicht auf

    Klasse, nun ist auch klar (zumindest hoffe ich das) was nicht funktioniert.


    Hier ein Auszug aus dem Ergebnis:




    Meine Interpretation ist, dass er versucht die "www.myvserver.info" Domain zu nehmen anstatt "myvserver.info". Denke das liegt daran, dass ich die www Adresse als Zertifikatsursprung genommen habe.
    Stimmt das??

    Was ich bist jetzt gemacht habe ist folgendes:



    Habe die beiden Datein


    /etc/postfix/postfix_default.pem
    /etc/dovecot/private/ssl-cert-and-key.pem


    editiert und mein Zertifikat (Private Key und Certificate) eingefügt (inkl. Serverneustart). Das scheint auch zu funktionieren denn der Test liest ja "www.domain.com" aus.
    Eventuell liegt es vielleicht wirklich noch am DNS Eintrag der vorher auf "mail.domain.com" lief und jetzt noch nicht aktualisiert wurde.




    PS:
    Das mit dem FTP und dem Default Zertifikat muss ich zu Hause probieren, habe keinen FTP Client hier


    PSS:
    Das mit dem Cipher ist Neuland, muss ich mich erstmal einlesen



    EDIT:
    Scheint so als wenn er jetzt "Domain.com" als Mailserveradresse hat.
    Gibt es ein zuverlässiges Tool um zu prüfen ob das Zertifikat funktioniert und erkannt wird?

    Hab im Moment nur eine, aber es kommt eine zweite dazu.


    Das mit dem Default scheint wohl nicht zu klappen da Plesk (soweit ich weiss) das Default nur für HTTP(S) benutzt. Die für die Mailserver als auch die FTP Server sind wohl einzeln

    Guten Morgen,


    habe mir gestern ein RapidSSL Zertifitkat für meine Domain ausstellen lassen. Nun ist es ja so dass wenn man ein Zertifikat für "www.domain.com" bestellt, die "domain.com" Variante inbegriffen ist.
    Funktioniert bei HTTPS auch wunderbar nur bin ich mir nicht sicher ob das auch für imapS und smtpS funktioniert. Da das einbinden via Plesk ja nur gegen weitere Bezahlung funktioniert habe ich das per Console gemacht.
    Wenn ich nun über die Webseite "CheckTLS" den Test durchführe bemängelt er folgendes:


    Cert Hostname DOES NOT VERIFY (mail.domain.com != www.domain.com)



    Habe den DNS Eintrag mit "mail.domain.com" bereits geändert (dauert ja bis 48h) weil der Mailserver unter Plesk (soweit ich weiss) unter der Domain läuft, sprich domain.com (als Beispiel).
    Kann ich hierfür mein bereits ausgestelltes Zertifikat verwenden oder "kapiert" das der Webserver nicht?


    Und wenn ich schon gleich dabei bin, gibt es eine Möglichkeit die Verbindung OHNE SSL auf den Mailserver zu unterbinden?
    Ein Link zu einer aktuellen Anleitung (Plesk 12, Dovecot, Postfix) die auch wirklich funktioniert genügt :)

    Genau, das wollte ich erreichen :)


    hab jetzt die rDNS auf "Domain.com" und den Hostnamen auf dem Server ebenfalls geändert. Dann werde ich einfach abwarten und von Zeit zu Zeit probieren, eilt ja nicht. Danke!

    aber mein vServer ist doch (wenn man den rDNS Eintrag sowie den Hostname auf dem Server) nicht mehr via "vx.yourserver.net" erreichbar oder habe ich da was übersehen?
    Oder kann man diese Zuweisung nicht aufheben?

    Moin,


    habe heute früh den rDNS Eintrag im VCP von vXXXX.yourserver.net auf meine Domain geändert und auch den Hostname auf dem vServer.
    Dauert die Aktualisierung hier ebenfalls bis 48 Stunden?


    Habe es schon auf einem anderen Rechner probiert (anderes Netzwerk) aber komme immer noch über die "yourserver.net" Seite auf den Server.

    Naja local geht schlecht, hab hier kein Linux zur Verfügung. Im Moment ist der vServer eh kein Livesystem. Ich werde den erstmal n Monat oder so laufen lassen (volle Installation) und dann fortlaufend die Logfiles auswerten.
    Falls dann nichts verdächtiges auftaucht nochmals die Sicherheit prüfen und erst dann "live" schalten

    Also, ich habe mich jetzt einige Tage mit Froxlor, Nginx und Co beschäftigt ... und natürlich wie ich das Ganze richtig absichern kann. Komme je länger je mehr zum Schluss das ich kein Froxlor installieren sollte da ich es einfach nicht brauche (1 Domain mit 3 Subdomains und jeweils 1-2 eMail Adressen sowie FTP Accounts). Wenn ich nun mit einem "Minimal Image" anfange, erstmal den Laden dicht mache (fail2ban, etc...) und dann Nginx und PHP-FastCGI installiere ist der grösste Teil schon geschafft. Einen "SFTP only FTP" Server kriege ich auch hin, ebenso wie den MySQL Kram (ob nun MySQL oder MariaDB da bin ich mir noch nicht im Klaren drüber zumal es wohl im Moment "nur" auf eine Wordpress DB und ev. kleinere Sachen wie eMail Konten und Co hinaus läuft, die da gespeichert werden).


    Was mir ein wenig "Kopfschmerzen" bereitet ist der eMail Server (Dovecot, Postfix, Spamassassin). Kriegt den ein "Laie" anhand diverser Anleitungen installiert und abgesichert oder stelle ich mir zu 80% eine potentielle Spamschleuder ins Netz?

    Habs nun mit dieser Anleitung hingekriegt.


    Habe eigentlich nichts anderes gemacht als 2 neue IP/Port Einträge gemacht (ingesamt 3 Stück jetzt) und der Apache lauscht auch auf Port 81


    ServerIP und Port 80
    ServerIP und Port 81 EDIT: NICHT NOTWENDIG, EINFACH DEN UNTEREN EINTRAG (127.0.0.1 und Port 81) AUF LISTEN SETZEN


    verweisen jetzt auf /var/www/default/ und


    127.0.0.1 und Port 81


    verweist auf den Froxlor Ordner


    Damit kann ich nun via SSH Tunnel auf das Froxlor Panel zugreifen. Wenn nun jemand raus kriegt das der Apache auch auf 81 lauscht wird er trotzdem im Default Ordner landen. Hoffe habe hier nichts übersehen, funktionieren tut es zumindest

    sorry, war beruflich etwas eingespannt. Werde auch deine Tipps berücksichtigen, vielen Dank!


    Edit:
    Stehe aber nun irgendwie auf dem Schlauch. Wie ein SSH Tunnel funktioniert ist mir relativ klar, aber wie kann ich denn von meinem Heimrechner (Windows 8.1) auf meinen vServer zugreifen wo Froxlor von aussen nicht "direkt" erreichbar ist und die Webseite öffnen?

    Vielen Dank für deine sehr ausführliche Antwort!


    Das mit der Benutzergruppe kam mir vorhin auch in den Sinn, werde ich auch gleich so umsetzen. Habe mir damals Froxlor nur kurz angeschaut aber auch nicht wirklich weiter verfolgt. Denke du hast Recht, lieber etwas länger dran "arbeiten", dafür ist man unabhängig und baut sich nicht neue potentielle Schwachstellen ein. Werde mir deine Anregungen zu Gemüte führen, vielen Dank.


    Das mit dem "NotfallBackup" "muss" ich dann wohl weiterhin per USB Drive im Büro regeln.



    PS: Das mit Mumble sehe ich auch so, nur nutzen alle anderen Teamspeak .... werde sozusagen genötigt ^^

    Guten Tag,


    ich hatte bereits vor einiger Zeit einen vServer, bin dann aber aus Zeitmangel und ungenügender Vorbereitung in Punkto Serverbetreuung zum Webhostingangebot gewechselt.


    Nun würde ich gerne wieder (brauche des Öfteren einen Teamspeak 3 Server und Onlinespeicher) wieder zurück zum vServer, diesesmal aber mit etwas mehr zeitlichem Spielraum (die Webseiten funktionieren ja unabhängig vom vServer).
    Vielleicht erst zu dem was ich gerne realisieren würde:


    Webserver mit einer Domain (inkl. 3 Subdomains) -- 2 weitere Domains werden in 1-2 Jahren folgen
    Mailserver für jeweils eine "postmaster" Adresse sowie eine weitere unter der entsprechenden Domain
    MySQL
    Teamspeak3 Server (max. 10 User)
    Online Speicher mit der Storagemöglichkeit via NFS für meine Digitalfotos (Notfallbackup)



    Nun habe ich im Zuge der Vorbereitung ein paar Fragen:


    1. Sicherheit
    Bevor auch nur irgendwas installiert wird möchte ich den Server so gut als möglich absichern (die anderen Dienste werden entsprechend auch gesichert). Nach einigen Webseiten habe ich mir folgende Sachen notiert:
    Fail2Ban (einzelne Dienste entsprechend absichern), SSH Port ändern, kein Root-Login via SSH möglich, rkhunter, chkrootkit, IPtables (und dann nur Stück für Stück die Ports freigeben), Dienste nur noch verschlüsselt zulassen, eMail bei neuen Serverupdates, eMail bei Login via SSH


    2. Webserver
    Ich habe das letzte Mal mit dem Apache 2 gearbeitet und wollte es auch dieses Mal tun. Gibt es triftige Gründe für mich (Seite für private Urlaubsbilder; max. 30 Besucher am Tag) nginx als Webserver zu nehmen oder kann ich mit dem gewohnten Apache 2 arbeiten?


    3. Froxlor / Plesk
    Da ich praktisch keine Ahnung in Punkto "manuelles Einrichten von eMail Konten, etc" habe würde ich mir gerne etwas als grafisches Frontend installieren (oder gleich das Image "Wheezy + Froxlor/Plesk" draufhauen)
    Spricht hier was dagegen wenn ich die oben genannten Sicherheitspunkte umsetze?



    Für Anregungen bin ich gerne offen


    Gruss
    Moritz