Beiträge von SCD

    -ALL:kEECDH+aRSA+AES:kEDH+aRSA+AES:-SHA1:DES-CBC3-SHA hat genau die CipherSuite gebracht, die Du angegeben hast.

    Trotzdem hat sich ssllabs beschwert das keine forward secrecy möglich ist.


    -ALL:kEECDH+aRSA+AES:kEDH+aRSA+AES:+SHA1:DES-CBC3-SHA ergibt deine Suite und zusätzlich

    Zitat

    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) ECDH secp256r1 (eq. 3072 bits RSA) FS 256

    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) ECDH secp256r1 (eq. 3072 bits RSA) FS 128

    TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x39) DH 2048 bits FS 256

    TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x33) DH 2048 bits FS 128


    Damit habe ich wieder forward secrecy mit A+.Also genau das was ich wollte. Die Cipher sind auch nicht als WEAK gekennzeichnet.

    Ich nutze sowohl Debian Jessie als auch Debian Strech. Bei Strech nutze ich jedoch eine angepaßte libssl1.0.2 (mit enable-weak-ssl-ciphers)

    Hallo,


    da TLS_RSA nun ja als unsicher deklariert wurde, möchte ich diesen entfernen.


    Ich könnte zwar jeden einzelnen (TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_256_GCM_SHA384, etc...) angeben,

    doch es gibt bestimmt einen Sammelbezeichnung.


    Bis jetzt nutze ich ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:!RC4:+HIGH:+MEDIUM:!ECDHE-RSA-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA

    Der neue soll alle NONE-WEAK beinhalten und zusätzlich als Ausnahme für Windows XP den TLS_RSA_WITH_3DES_EDE_CBC_SHA.


    @MOD: Bitte unter Administration VServer verschieben. Irgendwie bin ich beim erstellen immer im falschen Thema

    Ich gehe von den Munin-Werten aus.


    Da ist jeder Kern 100%, also bei 4 Kernen 400%. 100% Steal ist dann ein CPU-Kern wurde wir geklaut ;)

    Bei Top wird die gesamte Leistung auf 100% gesetzt und damit ist die Steal-Time wirklich Durchschnitt und muß nicht multipliziert werden.

    Hallo,


    hier ein Langzeitbericht: Der Server läuft nun knapp 64 Tage stabil.


    Es gibt nur zwei Meldungen im Kernel-Log die mir etwas komisch vorkommen, jedoch keine sichtbaren Auswirkungen haben:


    Code
    1. [Mi Jul 12 12:50:21 2017] TCP: ens3: Driver has suspect GRO implementation, TCP performance may be compromised.
    2. [Di Sep 12 06:45:01 2017] hrtimer: interrupt took 19561754 ns


    Leider hat sich die Disk-Latency aber erheblich verschlechtert. Sie liegt im Durchschnitt bei 200 ms und stellenweise bei 1s.


    ----


    Der Server v22016103897838572 meines Arbeitgebers, welchen ich ebenfalls betreue und aus der gleichen Reihe stammt hat jedoch ähnliche Probleme wie meiner früher:



    Jede dieser Meldungen hatte eine Load von über 100 zur Folge weshalb der Server nicht verfügbar war.


    Er wurde vor 42 Tagen migiert, was leider einen Ausfall von knapp einer Stunde verursacht hat (auf dem alten Node wurde er schon beendet und erst nach etwa Stunde auf den neue Host gestartet - Meldung war damals "Server Informationen konnten nicht ermittelt werden".


    Wurde eventuell die Host-Anpassungen von meinen Node v22017072950850975 bei Host vom v22016103897838572 nicht durchgeführt ?

    Mach mal bitte nach dem Neustart


    Code
    1. ip -6 route show

    Und wenn die IPv6 weg ist

    Code
    1. ip -6 route add default via fe80::1 dev ens3

    Geht es dann wieder ohne Neustart ?

    Folgende Aussagen gibt es bereits:

    Aus dem Grund raten wir selber dazu die Generation 7 bzw. Generation 7 SE zu nutzen, wenn wirklich ein sehr guter IO-Durchsatz gewünscht wird. Generation 6 ist ja nun schon etwas in die Jahre gekommen. In einigen Monaten folgt Generation 8. Die Generation wird nochmal einen großen Leistungsschub bekommen, wenn auch weniger im IO-Bereich.

    Die Generation 8 könnte ja z.B. auf CPUs von AMD laufen ;-)

    Nicht ganz richtig:

    Hallo,


    laut munin war der Test um 16:30 beendet. Wenn Sie dies stimmt, kann ich bestätigen, dass die Maßnahmen ein voller Erfolg waren.

    Keine Fehler im Kernel-Log und auch kein jumped von Dovecot. Nun kann ich wohl wieder ruhiger schlafen ;)


    Nun warte ich auf die Antwort vom Ticket 2017070110004422

    Neuer Zwischenstand:


    Keine Stalls, Stucks und dovecot jumped mehr.


    Jedoch ist ab 13:00 Uhr die Steal-Time auf über 35% (von 400%) gestiegen und hat sich jetzt auf 10% eingependelt.

    Vor 13 Uhr war die unter 1%.


    Die Disk latency hat sich seit 13 Uhr auf 170m auch leider verdoppelt.

    Hallo,


    ich wurde nun auf einen neuen Node mit "ein paar anderen Hardwareeinstellungen" verschoben. Seit dem habe ich keine Schwierigkeiten mehr.

    Jedoch sind die Fehler auf dem alten Node auch unregelmäßig gekommen - deshalb gebe ich noch keine Entwarnung.


    Meine Sorge ist nun, was passiert wenn der neue Node wieder stärker gefüllt wird.

    Tauchen dann die Probleme wieder auf oder sind es wirklich die anderen Einstellungen.


    Vielleicht kann sich Felix oder der Support dazu mal äußern.


    Hallo,


    ich habe seit etwa 11:30 ein start erhöhter IO-Wait, wobei der Server um 11:21 wohl neugestartet hat.

    Wird jetzt ein IO Last-Test auf dem Node durchgeführt ?


    Code
    1. [Mo Jul 10 12:03:13 2017] INFO: rcu_sched detected stalls on CPUs/tasks:
    2. [Mo Jul 10 12:03:39 2017] INFO: rcu_sched detected stalls on CPUs/tasks:
    3. [Mo Jul 10 12:06:46 2017] INFO: rcu_sched self-detected stall on CPU
    4. [Mo Jul 10 12:06:46 2017] INFO: rcu_sched detected stalls on CPUs/tasks: