Posts by itsmee

    Wenn man zuviel Webspeicherplatz verbraucht, z.B. durch ein Backup wird gesperrt, man muss dann eine Anfrage stellen und warten bis es freigeschalten wird.

    Es passiert in einem Intervall, das bedeutet man bekommt kein direktes Feedback falls man zuviel verbraucht.

    Ok, das verstehe ich - auch weil mir das 2-3x passiert ist.


    War mir aber eher ziemlich peinlich - weil ich x GB bezahle und bei x+y GB genutzt habe bevor ich gesperrt wurde.


    Aber klar, ein Hard-/Softquota mit Warnung vor der Sperre wäre auch eine Option.


    ItsMee

    > D.h. dass Mail 1 und 2 ankommt und eventuell 3 im Spam landet weil Netcup das Thema Spam zu wenig im griff hat.

    > Wenn Ihr zu viel auf euren Webspace ladet dann wird nicht der Transfer einfach gestoppt sondern der Account ohne Vorwarnung gesperrt.


    Mmh.. Auch wenn ich nicht glaube das Du komplett unrecht hast lese ich da eher Frust als eine technische Beschreibung was bei dir schief gegangen ist?


    Auf Anhieb stellen sich mir da diverse Fragen..

    - Warum hat NetCup deinen Account gesperrt? Weil Du zu viele Email verschickt oder empfangen hast? Oder weil Du deinen webspace quota erreicht hast?

    - Was wären den "zu viel" ganz konkret?

    - Gibt es einen Zusammenhang mit Webspace + VPS? Lese ich oben nicht raus.

    - Wenn dein Account 5 Minuten nach Login gesperrt wurde - wie viele Mails hat dein Account in den 5 Minuten geschickt / empfangen?


    Spam finde ich ziemlich nervig - und das Vorgehen dagegen tendenziell eher gut. Ich habe aber mehrfach gelesen das es beim Thema blacklisting (MS) eventuell Optimierungspotential gibt.
    So richtig überzeugt mich dein Post oben aber nicht das Du das Thema im Griff hast. Ich mag hier aber schrecklich schief liegen - da helfen nur Fakten von Dir.
    Wobei - mir must Du nichts beweisen - ich bin schrecklich unwichtig :)


    ItsMee

    Nutze ich unter anderem für den offsite Backup des NAS mit BorgBackup.
    Autofs halte ich auch für einen schönen Ansatz, allerdings nutze ich sshfs


    Code
    cat /etc/auto.storagebox
    /storagebox -fstype=fuse,rw,nodev,noatime,allow_other,max_read=65536,IdentityFile=/root/.ssh/id_rsa :sshfs\#u2xxxx-sub2@xxx.your-storagebox.whereever\:/

    Hi Homwer,


    leider kann ich dir bei der eigentlichen Fragestellung nicht weiterhelfen, hätte aber noch eine Anmerkung.
    Ich würde annehmen das im realen Serverbetrieb, sprich Installation & daily operation der Plattendurchsatz eine untergeordnete Rolle spielt, da ist das IO verhalten wahrscheinlich relevanter, gerade wenn parallel Tasks sich um dieselben IOs prügeln.


    Ich habe auf meinem SSD RS (mit der Performance sehr zufrieden) mal deinen Test laufen lasse - beeindruckt jetzt erst einmal nicht.

    Code
    fio --rw=write --name=test --size=2G --direct=1
    [..]
    WRITE: bw=28.2MiB/s (29.5MB/s), 28.2MiB/s-28.2MiB/s (29.5MB/s-29.5MB/s), io=2048MiB (2147MB), run=72688-72688msec


    Ohne mich mit FIO auszukennen habe ich dem eine IO lastige Alternative 512 gegenüber gestellt - 1473kb/s / 0,5kb/IO = ~ 3000 IOPs pro Sekunde, ggf sogar noch read/write parallel.

    Code
    fio --rw=readwrite --name=test --size=100M --direct=1 --bs=512
    [..]
    
    READ: bw=1438KiB/s (1473kB/s), 1438KiB/s-1438KiB/s (1473kB/s-1473kB/s), io=50.0MiB (52.5MB), run=35628-35628msec
    WRITE: bw=1436KiB/s (1470kB/s), 1436KiB/s-1436KiB/s (1470kB/s-1470kB/s), io=50.0MiB (52.4MB), run=35628-35628msec


    Ich würde mir vorstellen das du bei Optane vs SSD hier noch einmal deutlich größere Unterschiede siehst, speziell auch wenn die Optanes irgendwann destagen müssen - ohne das ich sehe was Du dran ändern kannst, es seie den NetCup ist freundlich / kulant zu dir wenn sie auf dem entsprechenden Aktionshost große parallel Lasten sehen.


    Grüße,

    ItsMee

    Verstehe ich erst mal nicht - Mail weiterleitung hat nichts mit dem Versand im Namen von GMX zu tun. Oder meint mainziman das EMail Weiterleitung im Protokoll generell nicht von Spam unterscheidbar ist?


    Dein netcup Mailserver weist weitergeleitete Emails als Spam zurück. Betreibst Du ihn selbst oder ist das NetCup Standard?


    Ich betreibe imapfilter zum einsammeln & in Subordner einsortieren, nur als Randnotiz.


    Das Problem sollte aber doch lösbar sein da auf der NetCup / second EMail Server Seite sein?

    Das Thema steht auch schon laaaange auf meiner ToDo Liste - hatte überlegt isbg irgendwo als container anzustarten, ähnlich wie ich das mit imapfilter zum 'wegsortieren' in SubFolder schon mache.


    An Erfahrungen zum Thema wäre ich interessiert!


    Grüße,

    ItsMee

    Ich empfinde knockd (Klopfe an zwei nur mir bekannten Ports, dann ist ssh für die Souce Ip 15 Sekunden offen, danach nur noch 'established sessions') als Sicherheitsgewinn, bei Portscans sieht man den non default ssh Port gar nicht erst.

    Nginx Hardening steht noch auf der Todo Liste, automatisierte Security updates sind sicherlich (für alles) keine schlechte Idee.

    Hi,


    Du hast im ersten Schritt ganz oben das filesystem mit resize2fs verkleinert. Davon unbeeindruckt ist aber die darunter liegende Parition - die Du in deinem letzten Post mit cfdisk anschaust.

    Die meisten Scenarien sprechen von Erweiterungen, aber schau doch mal nach parted. Wäre auch spannend ob growpart zum shrinken nutzbar ist, ob das geht habe ich aber auf die Schnelle nicht gefunden. Das es eine Try Run Option gibt solltest Du das aber schnell herausfinden können.


    ItsMee

    Den Link von Nitram finde ich gut - 1€/month für domain + email würde ich ohne Preisvergleiche zahlen.


    Ich geniesse z.B. die Freiheit beliebige Ordnerstrukturen (GMX 3? 10?) in meinem 10G Postfach zu bauen und viele bekannte Absender nach 》x Tagen automatisch in entsprechendd Folder zu schieben (imapfilter rules)


    Auch catchall auf einer anderen domain (boesershop.de@mydomain.de) ist lässig, wenn auch vielleicht übertrieben.


    SpamAssassin via imapfilter (o.ä) steht noch auf der Liste - den sicheren Betrieb des Emailservices überlasse ich gerne netcup Experten

    Hi,


    wenn dich die Frage nach 'wie starte ich services' ins grübeln bringt besteht die Chance das Du dir auf einem eventuell nicht gut gesichtern Server schnell 'Besuch' einfängst.


    Ich habe ähnlich angefangen (wahrscheinlich jeder) - aber lieber zuhause hinter der Fritzbox.

    Renès Ansatz (systemd) erscheint mir hier passender als nohub, &, screen & tmux - die auch gut sind, aber eher für 'mal schnell was starten' - und nicht für 'bei jedem Server start verschiedene Services hochfahren.


    Bei aktuellen distros würdest du systemd nutzen. Wie ja hoffentlich auch für nftables/iptables?


    ```

    cat /etc/systemd/system/myapp.service

    [Unit]

    Description=Application 1 - using jar


    [Service]

    Type=oneshot

    RemainAfterExit=yes

    WorkingDirectory=/..wherever

    ExecStart=java ..

    ExecStop=kill ..

    TimeoutStartSec=0

    ```

    Its not possible to "partition" your server the way that you're asking for. Workarounds that come to mind:


    A) use virtual machines on our VPS (=virtual private server)

    - You'll not enjoy that one unless you ask netcup to enable "nested virtualization" which I'm not sure they do on VPS. If they do - its probably not cheap.


    B) get rid of the 'big' VPS6000 and get multiple smaller ones


    C) Simply install multiple programs a.k. services on your VPS6000 - ignoring your idea of paritions


    D) Use containers (docker / podman / ..) for logical separation of your services.
    Via nginx you'd also be able to route multiple subdomains to individual containers. (Same for C, somewhat).
    I've not really investigated how to 'limit' the individual containers in order to not bother the other ones.

    I'd vote for B) as the simplest solution (leaving aside that managing multiple servers w/o automation is creating extra efforts) - I've personally decided to use D).

    .. ja für Kubernetes / OpenShift gibt es elegantere Wege, sehe ich ein. Wobei ich für den PXE Node mit DHCP, HAProxy, DNS, etc.. auch ne ganze Weile gebraucht habe.


    Von RedHat gibt es jetzt einen "assisted installer" - da klickst Du dir auf der WebOberfläche online dein Cluster zusammen (clustername, domain, ..) und bekommst dann ein single iso zum anbooten der Maschinen. Wenn Du nicht airgapped arbeitest tauchen die Maschinen dann in der WebOberfläche (RedHat.com) auf & du kannst kleinere Fehlerchen (NTP nicht erreichbar) online ändern. Fand ich sehr elegant - müsste in den freien Versionen ja ggf. auch gehen?


    https://www.openshift.com/blog…ster-on-metal-and-vsphere

    Themenfremd - aber vielleicht eine Anregung. Ich wollte mal mit Fedora spielen - dafür gab es kein Image. Wenn man sich lokal mit kvm ein qcow / raw image baut & das auf den FTP schiebt ist der Hauptaufwand geschehen.
    Vom Image installiert ist dann via SCP fix - noch ein resize partition & in 10 minuten ist der Server bereit für die Ansible playbooks zur Absicherung.


    Code
    virsh destroy fedora
    
    virsh undefine fedora
    rm /home/kvm/fedora/fedora-server-34.qcow2
    
    virt-install --name fedora --ram 4096 \  --disk path=/home/kvm/fedora/fedora-server-34.qcow2,size=4,format=qcow2 \  --vcpus 2 --os-type linux --os-variant fedora29 \  --network network:enp3s0v,model=virtio --mac 52:53:54:00:00:02 \  --graphics vnc,listen=0.0.0.0,port=5902,keymap=de --console pty,target_type=serial \  -l '/home/kvm/fedora/Fedora-Server-dvd-x86_64-34-1.2.iso' \  --initrd-inject=./kickstart.cfg --extra-args "inst.ks=file:/kickstart.cfg" --noautoconsole --wait -1

    ich nutze dafür roundcube mit aliases (manuell aufgesetzte Instanz). Nein, das entspricht nicht dem was du beschreibst - der Nutzungskomfort erscheint mir ähnlich da man mit single signon mit jedem alias antworten kann.

    Ich habe das ganze mit imapfilter so kombiniert das alle mails in einer inbox landen - das ginge auch via Weiterleitung.

    Der Hauptnachteil erscheint mir zu sein das man die Aliases auf jedem Endgerät (roundvube, aquamail, ...) manuell konfigurieren muss.

    Aber z.B. über domainA domainB oder gmx Emails verschicken - das versucht man in den Zeiten von viel zu viel Spammails zu verhindern, nicht zu fördern.

    Konnte mich noch nicht von meinem "VPS 50 G7" trennen und habe ihn mal als zusätzlichen Server für meine ansible Spielereien (managed host) genutzt.
    Werde ich wieder lassen, ist echt lahm - läuft aber prinzipiell mit fedora 34, podman + docker-compose.


    Von den 30GB sind noch 25GB übrig - gar so schlimm ist der Platzverbrauch von docker / podman also gar nicht. Der Memory ist Übel #1, die CPU natürlich auch keine Wucht. Dafür ist er mit 0,79€/Monat eine Abgabe nicht wert


    :)

    > Nur mal zum Verständnis: Wenn 10.1.100.0 auf 10.1.110.0 zugreifen soll und umgekehrt, muss es dann nicht 10.1.100.0/16 und 10.1.110.0/16 sein (statt /24)?


    Ich kenne den SW Stack nicht - aber eigentlich gehe ich davon aus das beide Netzwerke über die VPN Endpoints geroutet werden - dann wäre /24 schon richtig. Mit /16 müssten sich alle Rechner direkt (layer 2) sehen, denke ich. Und das ist nicht der Fall.


    Gib doch bitte mal den output von "ip r" auf jeweils einem client der beiden Seiten. Damit sieht man die definierten routen.

    Das sieht auf meinem 'router' z.B. so aus:

    # ip r

    default via 192.168.178.1 dev eth0
    192.168.176.0/20 dev eth0 proto kernel scope link src 192.168.179.2

    192.168.200.0/24 via 192.168.177.124 dev eth0


    192.168.178.0/20 ist mein Heimnetz [192.168.17[6789] sind da enthalten
    192.168.200.0/24 ist mein VPN Netzwerk (also z.B. mein handy wenn es unterwegs ist). Das Netzwerk liegt ausserhalb von 192.168.176.0/20
    192.168.177.124 ist ein container der auch eine IP im 192.168.200.0/24 Netz hat.


    -> Lokal via /20 spricht jeder direkt an
    -> Ins VPN (192.168.200.0/24) muss er über den vpn container (192.168.177.124)

    -> Wenn das nicht ausreicht um an die Zieladresse zu kommen wird über 192.168.178.1 (Fritzbox) geroutet


    So in der Richtung muss das aufgedröselt werden, meine ich. Wenn die Fritzboxen VPNs bauen erscheint das einfacher, weil das routing intern gehandelt wird. Ggf. kann man aber auch dort (also auf dem default gw) noch eine Route via 192.168.177.124 definieren, ich meine die Oberfläche gibt das her.


    Frohe Verwirrung (sorry),

    ItsMee