Beiträge von MoritzJ

Dat gibt es nicht!

Am 15.09 wurde meine IP des vServers von MS entbannt (Outlook Probleme), seither war der Server offline weil ich auf eine Software gewartet habe und keine Zeit hatte und heute fahre ich den Server wieder hoch und die IP ist wieder gesperrt!

Was für I*ioten arbeiten eigentlich da? .... ist zum kotzen!

jetzt geht das Spiel wieder von vorne los

BIn ja an einem ähnlichen Punkt wie du, bin aber beim Punkt PubKey noch unentschlossen. WENN Fail2Ban richtig funktioniert und du den "Angreifer" nach 2 fehlerhaften Versuchen für 24h vom Server wirfst UND dein Passwort 10+ Zeichen hat (also ein starkes Passwort mit Zeichen und Co) dann kriegt man das meiner Meinung nach "niemals" raus. (Zumindest nicht mit Brute-Force oder Dictionary) ***Nachtrag: Zumal er ja erst den Loginuser inkl. PW rauskriegen muss, dann steckt er im Homeverzeichnis fest und dann kommt das root PW***

Einen PubKey sollte man ja auchh mit einem Passwort schützen, denn ansonsten heisst PubKey = Zugriff und dass will man ja eigentlich auch nicht...und man sollte den nicht verlieren (wobei man ja auch ein Passwort vergessen kann)

Ansonsten bin ich auch der Meinung, sehr gute Grundlage

Askaaron

Vielen vielen Dank für die Anleitung! Ich ärger mich seit mehr als einer Woche mit MS rum und dabei ist das so einfach!
Du hast mir viel Ärger erspart

Das Thema IPv6 habe ich noch gar nicht angeschaut, ist für mich völliges Neuland. Habe heute festgestellt das mein ProFTPD Server keine Verbindung zugelassen hat. Mittels

tcp dport 30000-30500 accept comment "FTP-Passiv-Ports"

klappts, aber ich muss mir das nochmals genau anschauen. Danke für dein Feedback!

Zitat von mainziman

wegen 'nen schlappen Tag sich so aufregen

darf ich mich nach fast 72h aufregen? naja auf der anderen Seite, wer kann schon von sich behaupten autogenerierte eMail des indischen Hotmailsupports zu kriegen ... so langsam aber sicher erinnert mich der MS Support an einen Bollywood Film

Zitat von mainziman

wegen 'nen schlappen Tag sich so aufregen, ich diskutier mit der Post seit dem Corona Lockdown,

dass sie zu doof sind, die Sticker 'Bitte keine Werbung' anzuerkennen ...

Es geht doch nicht um den Tag, es geht um die Art und Weise wie MS das handelt. Ich habe in den vergangenen 30h eMail von 3 MS Mitarbeitern bekommen ABER jede einzelne Mail hilft weder weiter noch sind die "von Hand" geschrieben worden. Nur irgendwelche CopyPaste Blöcke und fertig.

PS: Das mit den "Bitte keine Werbung" Stickern klappt bei uns in der Schweiz auch net, wobei es bei uns vielfach Subunternehmer der Post sind die irgendwelche Kataloge, Visitenkarten, etc einwerfen

Habe den VPS am 24.07.2020 bestellt, mich aber die ersten Wochen nur mit dem Thema Security beschäftigt, sprich der Mailserver wurde erst Mitte August installiert. Die IP ist beim 1. Test 4x Blacklisted, ansonsten nur "Not Listed" und beim 2. Test steht bei Blacklists "Not Listed" und Email sowie Web Reputation ist Neutral ... also soviel zum Thema "Spamschleuder". Gemäss Microsoft bin ich aber eine, aber da sie ihre eigene Liste führen habe ich keinen Plan was da drin steht.

O-Ton MS:
Your IP(s) (1.2.3.4) was blocked by Outlook.com because Hotmail customers have reported email from this IP as unwanted. One possible explanation for this is the automatic forwarding of unfiltered inbound messages, including unwanted messages, to Outlook.com/MSN addresses.

Gott ich könnte k**** .... diskutiere nun seit 24h mit Microsoft wegen der Sperrung der IP meines Servers. Angeblich hätten sich Nutzer bzgl. SPAM und weitergeleiteten eMails beschwert ... dumm nur das in meinen Logs genau 3! Mails drinnen sind (die hatte ich alle 3 am 28.08.2020 probeweise an mich selbst! verschickt und die sind sogar angekommen!!!! - der Server läuft auch erst seit Ende August und ausser mir hat keiner Zugriff auf irgendwas) ... DKIM, DMARC, SPF, ja sogar n Regentanz habe ich vollzogen allerdings ohne Erfolg

Sie haben die Logs, Sie haben die Bestätigung das die IP auf meinen VPS lautet und sie wollten sogar eine Rechnung sehen. Habe alles geschickt und was kriege ich?

Zitat

Hello,
 
My name is Deepthi and I work with the Outlook.com Deliverability Support Team.
 
We will be looking into this issue along with the Escalations Team.

IP: 1.2.3.4

We understand the urgency of this issue and will provide an update as soon as this is available. Rest assured that this ticket is being tracked and we will get back to you as soon as we have more information to offer.
 
Thank you for your patience.
 
Sincerely,

Deepthi
Outlook.com Deliverability Support

Alles anzeigen

Ich geb euch gleich "patience"

Korrekt, bei beiden ist keine Domain im Keyhelp definiert (hat übrigends auch mit definierter Domain (ohne Subdomain) nicht funktioniert ... wobei ich könnte ja eine Subdomain definieren die auf den Keyhelp Ordner zeigt)

Ja, es wurden nur die DNS Einstellungen geändert, die IP stimmt und die SPF Einstellungen stimmen (hat ja mit den Einstellungen im 1. Bild einwandfrei funktioniert)

Ev. könnte ich ja wirklich erst via IP einsteigen, die Domain und Subdomain definieren und das Ganze so lösen ... wobei ich nicht sicher bin ob eine eigene Domain für den VPS nicht sinnvoller wäre, man hätte es halt mit dem Mailserver einfacher als wenn es eine Subdomain ist

Moin,

ich habe ein kleines Problem (Verständnis oder Konfiguration - das Panelforum konnte auch nicht wirklich helfen) mit DNS Einstellungen für einen vServer. Momentan nutze ich Keyhelp als Panel für meine Administration, habe aber ein kleines Problem sobald ich es unter einer Subdomain laufen lassen möchte. Folgende Grundeinstellungen liegen vor:

- rDNS = kh.globetrotter.one

- Hostname = kh.globetrotter.one

Mit den folgenden DNS Einstellungen läuft es
DNS.jpg

aber irgendwie erscheinen Sie mir nicht ganz korrekt, resp. "doppelt gemoppelt".

Also nun eine korrigierte Fassung (bitte die Markierungen ignorieren)
DNS2.jpg

aber hier habe ich keinen Zugriff mehr auf kh.globetrotter.one. Warum ist das so, resp. wenn ich eine Wildcard verwende dann sollte doch der Zugriff möglich sein? Warum brauche ich dann trotzdem noch die folgende Zeile?

kh   A   45.132.246.229

Vielleicht zur Info: Zu diesem Zeitpunkt ist noch keine Domain im Keyhelp selber definiert, könnte es daran liegen?

Gäbe es eine Möglichkeit auch einfach nur die IP zu verwenden (sprich IP = Aufruf Panel, alles andere geht auf die entsprechende Domain)? (Falls ja, wie geht man sowas am Besten an?)
Alternativ würde ich mir einfach eine günstige Domain nur für das Panel nehmen, hätte den Vorteil dass ich sie mir einfacher merken kann

Gruss
Moritz

(PS: Beide Produkte liegen bei Netcup)

Zitat von H6G

Ich habe den Faden verloren.

na frag mich mal! Ich hatte unter einer "Yolo Location" eher an etwas a la Woodstock Festival gedacht

Weiss auch grad ned warum ich OPN vor meinen Windows CLIENT spannen sollte (der Server läuft auf Debian) Ich habe das Gefühl wird reden ganz leicht aneinander vorbei.

Zitat von SilSte

Ist dafür ein Extra Server nicht fast Perlen vor die Säue?

Wieso ein Extraserver?

Auf meinem VPS laufen Webseiten, Mail und co und der Storagespace (aber das ist ja nicht wirklich ein Server) wird zusätzlich gemietet ... oder ich habe dich falsch verstanden.

Was ist denn eine Yolo-Location (was Yolo heisst ist mir klar )?

Servus, eigentlich ist es nix anderes als mein Offsite Backup (90% Fotos im RAW Format und 10% private Dokumente) das von meinem SynologY NAS per rSync gespeist werden soll (zumindest so der Plan) resp. alternativ via PC.

Wollte eigentlich bewusst einen Storagespace nehmen da ich den bis auf 1TB erweitern kann ohne den Server neu aufsetzen zu müssen ?

Das mit der Geschwindigkeit ist kein Ding, da werden nur 1x pro Woche Daten ge"rsynct"

Ich knüpf hier nochmal an:

Mittlerweile habe ich einen VPS 1000 G9 in Betrieb und werde den in den nächsten Tagen in den produktiven Betrieb übernehmen. Nun ist es so das ich mich ein wenig vertan habe was den benötigten Speicher anbelangt. Die 160GB SSD genügt mir knapp nicht und ich werde mir wohl entweder einen 250GB oder 500GB Storagespace dazumieten "müssen". Nun ist es ja so:
Gemäss Bild kann der Storagespace ja von externen Clients (bsp. mein Home PC) oder vom Server angesprochen werden. Was wird hier empfohlen?

Vermute das "PC -> Server -> Storagespace" die sauberste Variante (kein Zugriff von ausserhalb auf meine Daten, nur der Server kann darauf zugreifen) darstellt, oder? Gibt es für sowas eine gute Software die ihr empfehlen könnt?

(@H6G --> Dein Einwand hat mit etliche Stunden Security Spass beschert  bin relativ tief in die Materie eingetaucht und nach unendlich vielen Neuinstallationen kann ich sagen, dass der Server relativ gut gesichert ist - okay es gab etwas Schützenhilfe aber wichtig ist ja das man versteht, warum jetzt die Option auf "no" gesetzt wird und die andere auf "yes" --> danke dafür )

Mist, der Code wurde doof dargestellt ... hier nochmal in schön

#!/usr/sbin/nft -f

flush ruleset

table inet filter {
chain input {
type filter hook input priority 0;

# allow from loopback
iifname lo accept;

# established/related connections
ct state established,related accept;

# invalid connections
ct state invalid drop;

# no ping floods
ip6 nexthdr icmpv6 icmpv6 type echo-request limit rate 2/second accept;
ip protocol icmp icmp type echo-request limit rate 2/second accept;

tcp dport ssh ip saddr $clientip accept;
tcp dport {http, https, ftp, smtp, pop3} accept;

policy drop;
}
chain forward {
type filter hook forward priority 0;
}
chain output {
type filter hook output priority 0;
}
}

Servus,

ich habe mich die letzten Tage und Wochen immer wieder mal mit dem Absichern meines vServers beschäftigt und mit fehlt nur noch das letzte Puzzleteil, die nftables Datei. Bis jetzt habe ich mich immer darauf "verlassen", dass starke Passwörter und Kleinigkeiten wie "kein root SSH Login" mich vor dem Schlimmsten bewahren. Bevor ich aber nun meinen vServer zur finalen Neuinstallation bereit mache wollte ich mich mit nftables auseinander setzen. Leider ist das so ganz und gar nicht meine Welt und darum habe ich bis jetzt nur folgende "Basisdatei" zusammengeschustert gekriegt:

#!/usr/sbin/nft -f
flush ruleset
table inet filter {        chain input {                type filter hook input priority 0;
                # allow from loopback                iifname lo accept;
                # established/related connections                ct state established,related accept;
                # invalid connections                ct state invalid drop;
                # no ping floods                ip6 nexthdr icmpv6 icmpv6 type echo-request limit rate 2/second accept;                ip protocol icmp icmp type echo-request limit rate 2/second accept;
                tcp dport ssh ip saddr MEINEPRIVATEIP accept;                tcp dport {http, https, ftp, smtp, pop3} accept;
                policy drop;        }        chain forward {                type filter hook forward priority 0;        }        chain output {                type filter hook output priority 0;        }}

Auf meinem vServer werden folgende Dienste laufen (SSH, HTTP(S), POP3, SMTP, FTP (wird ev. durch SFTP ersetzt), evtl. ein Teamspeak3 und evtl. ein SVN Server).
- Kann ich die Dienste mittels Bezeichnung in die Regel einfügen anstatt mit dem def. Port (ist das überhaupt "in Ordnung"?)

- Habe ich irgendwas Grundlegendes vergessen, resp. muss ich noch etwas "zwingend" einfügen?

Gruss und einen schönen Abend!
Moritz

Danke euch Beiden, denke das wird mir bei der Entscheidung helfen

Das mit den Kenntnissen ist mir bewusst, insbesondere was das absichern angeht. Ganz unbedarft bin ich in Punkto "Linuxserver" nicht und habe bereits mehrere Server in den Grundzügen (Sicherheit und Unterhalt) betreut, musste das allerdings aus Zeitgründen sehr weit zurück fahren. Aber ich verstehe deinen "Einwand" und finde das auch sinnvoll!

Vermute das deine Idee (VPS + "irgendwann" ein eigenständiger Root für den Gameserver) ziemlich sicher die beste Option ist. Leider sind die Entwickler von Satisfactory (so toll das Spiel auch ist) nicht die Schnellsten und die Specs werden wohl noch länger auf sich warten lassen.

Gibt es eine Faustregel wie sich die Leistungsfähigkeit eines "vCores" zu einem dedizierten Core verhält? Würde rein vom Gefühl her sagen das ich beim dedizierten Core 100% eines Cores nutzen kann und beim vCore halt den Core selbst, aber ggf. ist der nicht mehr zu 100% belastbar.

Moin,

ich würde gerne wieder mehr in Richtung Server (Linux) Administration machen (vorerst privat, ggf. kommt mittelfristig etwas im Büro dazu) und wollte daher von meinem Webhosting 4000 auf einen VPS/Root Server wechseln. Vielleicht zu meinem Profil und was darauf läuft / laufen wird:

- 2-3 Webseiten (privater Natur, aber bedingt durch das Fotografie Topic mit "vielen" Bildern die etwas Speicher brauchen werden)

- Backupspeicher für ein verschlüsseltes File (lokal -> Server) das regelmässig erneuert wird

- Teamspeak 3 Server (wenige User, ev. mit Dateiaustausch)

- 2-3 kleine Datenbanken (mit wenigen tausend Datensätzen)

In Zukunft kommt (und dies ist ein weiterer Grund für den Wechsel) ein Gameserver (Satisfactory - ähnlich Factorio - die benötigten Serverspecs sind allerdings noch nicht bekannt) dazu; sollte man bei der Auswahl des Servers berücksichtigen.
Nach Studium der Angebote würde ich mich zwischen zwei Angeboten entscheiden wollen wenn ihr nicht irgendwelche Einwände habt:

VPS 1000 G9 oder RS 1000 G9

der VPS wäre preislich fast identisch mit meinem Webhosting Paket, der RS hätte halt unter Umständen mehr Leistungsreserven.

Was meint Ihr dazu?


PS: der VPS 500 G8 hat leider zu wenig SSD Speicher

Das habe ich auch vorgeschlagen aber da ich der einzige bin der (auch wenn nur Basiskentnisse im Linux vorhanden sind) einen Linuxserver bei uns im Büro administrieren können wurde das gekonnt ignoriert.

Die Info mit den VMX Flags genügt mir aber schon, werde mal mit meinen Vorgesetzten sprechen und denen das verklickern, danke euch Beiden