Posts by itsmee

    Ich empfinde knockd (Klopfe an zwei nur mir bekannten Ports, dann ist ssh für die Souce Ip 15 Sekunden offen, danach nur noch 'established sessions') als Sicherheitsgewinn, bei Portscans sieht man den non default ssh Port gar nicht erst.

    Nginx Hardening steht noch auf der Todo Liste, automatisierte Security updates sind sicherlich (für alles) keine schlechte Idee.

    Hi,


    Du hast im ersten Schritt ganz oben das filesystem mit resize2fs verkleinert. Davon unbeeindruckt ist aber die darunter liegende Parition - die Du in deinem letzten Post mit cfdisk anschaust.

    Die meisten Scenarien sprechen von Erweiterungen, aber schau doch mal nach parted. Wäre auch spannend ob growpart zum shrinken nutzbar ist, ob das geht habe ich aber auf die Schnelle nicht gefunden. Das es eine Try Run Option gibt solltest Du das aber schnell herausfinden können.


    ItsMee

    Den Link von Nitram finde ich gut - 1€/month für domain + email würde ich ohne Preisvergleiche zahlen.


    Ich geniesse z.B. die Freiheit beliebige Ordnerstrukturen (GMX 3? 10?) in meinem 10G Postfach zu bauen und viele bekannte Absender nach 》x Tagen automatisch in entsprechendd Folder zu schieben (imapfilter rules)


    Auch catchall auf einer anderen domain (boesershop.de@mydomain.de) ist lässig, wenn auch vielleicht übertrieben.


    SpamAssassin via imapfilter (o.ä) steht noch auf der Liste - den sicheren Betrieb des Emailservices überlasse ich gerne netcup Experten

    Hi,


    wenn dich die Frage nach 'wie starte ich services' ins grübeln bringt besteht die Chance das Du dir auf einem eventuell nicht gut gesichtern Server schnell 'Besuch' einfängst.


    Ich habe ähnlich angefangen (wahrscheinlich jeder) - aber lieber zuhause hinter der Fritzbox.

    Renès Ansatz (systemd) erscheint mir hier passender als nohub, &, screen & tmux - die auch gut sind, aber eher für 'mal schnell was starten' - und nicht für 'bei jedem Server start verschiedene Services hochfahren.


    Bei aktuellen distros würdest du systemd nutzen. Wie ja hoffentlich auch für nftables/iptables?


    ```

    cat /etc/systemd/system/myapp.service

    [Unit]

    Description=Application 1 - using jar


    [Service]

    Type=oneshot

    RemainAfterExit=yes

    WorkingDirectory=/..wherever

    ExecStart=java ..

    ExecStop=kill ..

    TimeoutStartSec=0

    ```

    Its not possible to "partition" your server the way that you're asking for. Workarounds that come to mind:


    A) use virtual machines on our VPS (=virtual private server)

    - You'll not enjoy that one unless you ask netcup to enable "nested virtualization" which I'm not sure they do on VPS. If they do - its probably not cheap.


    B) get rid of the 'big' VPS6000 and get multiple smaller ones


    C) Simply install multiple programs a.k. services on your VPS6000 - ignoring your idea of paritions


    D) Use containers (docker / podman / ..) for logical separation of your services.
    Via nginx you'd also be able to route multiple subdomains to individual containers. (Same for C, somewhat).
    I've not really investigated how to 'limit' the individual containers in order to not bother the other ones.

    I'd vote for B) as the simplest solution (leaving aside that managing multiple servers w/o automation is creating extra efforts) - I've personally decided to use D).

    .. ja für Kubernetes / OpenShift gibt es elegantere Wege, sehe ich ein. Wobei ich für den PXE Node mit DHCP, HAProxy, DNS, etc.. auch ne ganze Weile gebraucht habe.


    Von RedHat gibt es jetzt einen "assisted installer" - da klickst Du dir auf der WebOberfläche online dein Cluster zusammen (clustername, domain, ..) und bekommst dann ein single iso zum anbooten der Maschinen. Wenn Du nicht airgapped arbeitest tauchen die Maschinen dann in der WebOberfläche (RedHat.com) auf & du kannst kleinere Fehlerchen (NTP nicht erreichbar) online ändern. Fand ich sehr elegant - müsste in den freien Versionen ja ggf. auch gehen?


    https://www.openshift.com/blog…ster-on-metal-and-vsphere

    Themenfremd - aber vielleicht eine Anregung. Ich wollte mal mit Fedora spielen - dafür gab es kein Image. Wenn man sich lokal mit kvm ein qcow / raw image baut & das auf den FTP schiebt ist der Hauptaufwand geschehen.
    Vom Image installiert ist dann via SCP fix - noch ein resize partition & in 10 minuten ist der Server bereit für die Ansible playbooks zur Absicherung.


    Code
    1. virsh destroy fedora
    2. virsh undefine fedora
    3. rm /home/kvm/fedora/fedora-server-34.qcow2
    4. virt-install --name fedora --ram 4096 \ --disk path=/home/kvm/fedora/fedora-server-34.qcow2,size=4,format=qcow2 \ --vcpus 2 --os-type linux --os-variant fedora29 \ --network network:enp3s0v,model=virtio --mac 52:53:54:00:00:02 \ --graphics vnc,listen=0.0.0.0,port=5902,keymap=de --console pty,target_type=serial \ -l '/home/kvm/fedora/Fedora-Server-dvd-x86_64-34-1.2.iso' \ --initrd-inject=./kickstart.cfg --extra-args "inst.ks=file:/kickstart.cfg" --noautoconsole --wait -1

    ich nutze dafür roundcube mit aliases (manuell aufgesetzte Instanz). Nein, das entspricht nicht dem was du beschreibst - der Nutzungskomfort erscheint mir ähnlich da man mit single signon mit jedem alias antworten kann.

    Ich habe das ganze mit imapfilter so kombiniert das alle mails in einer inbox landen - das ginge auch via Weiterleitung.

    Der Hauptnachteil erscheint mir zu sein das man die Aliases auf jedem Endgerät (roundvube, aquamail, ...) manuell konfigurieren muss.

    Aber z.B. über domainA domainB oder gmx Emails verschicken - das versucht man in den Zeiten von viel zu viel Spammails zu verhindern, nicht zu fördern.

    Konnte mich noch nicht von meinem "VPS 50 G7" trennen und habe ihn mal als zusätzlichen Server für meine ansible Spielereien (managed host) genutzt.
    Werde ich wieder lassen, ist echt lahm - läuft aber prinzipiell mit fedora 34, podman + docker-compose.


    Von den 30GB sind noch 25GB übrig - gar so schlimm ist der Platzverbrauch von docker / podman also gar nicht. Der Memory ist Übel #1, die CPU natürlich auch keine Wucht. Dafür ist er mit 0,79€/Monat eine Abgabe nicht wert


    :-)

    > Nur mal zum Verständnis: Wenn 10.1.100.0 auf 10.1.110.0 zugreifen soll und umgekehrt, muss es dann nicht 10.1.100.0/16 und 10.1.110.0/16 sein (statt /24)?


    Ich kenne den SW Stack nicht - aber eigentlich gehe ich davon aus das beide Netzwerke über die VPN Endpoints geroutet werden - dann wäre /24 schon richtig. Mit /16 müssten sich alle Rechner direkt (layer 2) sehen, denke ich. Und das ist nicht der Fall.


    Gib doch bitte mal den output von "ip r" auf jeweils einem client der beiden Seiten. Damit sieht man die definierten routen.

    Das sieht auf meinem 'router' z.B. so aus:

    # ip r

    default via 192.168.178.1 dev eth0
    192.168.176.0/20 dev eth0 proto kernel scope link src 192.168.179.2

    192.168.200.0/24 via 192.168.177.124 dev eth0


    192.168.178.0/20 ist mein Heimnetz [192.168.17[6789] sind da enthalten
    192.168.200.0/24 ist mein VPN Netzwerk (also z.B. mein handy wenn es unterwegs ist). Das Netzwerk liegt ausserhalb von 192.168.176.0/20
    192.168.177.124 ist ein container der auch eine IP im 192.168.200.0/24 Netz hat.


    -> Lokal via /20 spricht jeder direkt an
    -> Ins VPN (192.168.200.0/24) muss er über den vpn container (192.168.177.124)

    -> Wenn das nicht ausreicht um an die Zieladresse zu kommen wird über 192.168.178.1 (Fritzbox) geroutet


    So in der Richtung muss das aufgedröselt werden, meine ich. Wenn die Fritzboxen VPNs bauen erscheint das einfacher, weil das routing intern gehandelt wird. Ggf. kann man aber auch dort (also auf dem default gw) noch eine Route via 192.168.177.124 definieren, ich meine die Oberfläche gibt das her.


    Frohe Verwirrung (sorry),

    ItsMee

    Letztendlich steht es NetCup frei was sie wem / wie oft und ob überhaupt anbietet.


    Das momentane Konzept (ewiges suchen nach dann nicht vorhandenen Angeboten in Kombination mit dem Gerücht das einzelne ungebührlich 'Absahnen') fühlt sich aber für mich als 'Normalo' mit Spass am Schnäppchen nicht spassig an.


    Vielleicht wäre eine Limitation pro Teilnehmer doch am schnellsten / sinnvollsten umzusetzen. Oder ich sollte auch die Spielumgebungen regular kaufen & weniger Zeit mit NetCup Marketing verbringen.


    ItsMee

    Hallo,


    mir ist aufgefallen das zwei meiner Container nicht mehr sauber mit dem von NetCup bereitgestellten Mailserver kommunizieren. So sagt z.B. imapfilter



    Wenn ich das MinProtocol von TSLv1.2 auf TLSv1.0 heruntersetze funktioniert die Verbindung wieder.

    Code
    1. cat /etc/ssl/openssl.cnf |grep -i tls
    2. MinProtocol = TLSv1.0


    Dazu habe ich jetzt zwei Fragen:

    - Bei der Suche habe ich diverse Empfehlungen gesehen TLSv1.0 abzuschalten. Ich bin kein Sicherheitsfanatiker, aber bevor ich die clients anpasse wäre die Frage ob ich Serverseitig Einfluss nehmen kann / etwas geplant ist.

    - Der zweite Container versteckt noch vor mir wo das MinProtocol gesetzt wird.


    Kommentare / Verbesserungen / Hinweise welcome.


    Alex

    Vielleicht blauäugig oder leicht off topic - aber ich stehe ja auf Port knocking.


    Gibt es in diversen Variationen, auch als Dienst oder / und mit einer Sequenz von Ports. Für den gelegentlichen ssh Zugriff halte ich das für mehr als ausreichend sicher.


    Code
    1. ## Knock on 5226 required! (e.g. "ssh host -P 5226 &")
    2. -A INPUT -p tcp -m tcp --dport 5226 -m recent --set --name SSH --mask 255.255.255.255 --rsource -m comment --comment "SSH Knock"
    3. ## sequential port scanning will check this port - and close the open Port again
    4. -A INPUT -p tcp -m tcp --dport 5225 -m recent --remove --name SSH --mask 255.255.255.255 --rsource -m comment --comment "SSH Knock"
    5. -A INPUT -p tcp -m tcp --dport 5227 -m recent --remove --name SSH --mask 255.255.255.255 --rsource -m comment --comment "SSH Knock"
    6. ## Only if knocked within the last 30 seconds - ssh is open
    7. -A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport 5229 -m recent --rcheck --seconds 30 --name SSH --mask 255.255.255.255 --rsource -j ACCEPT -m comment --comment "SSH when Knocked"
    8. -A INPUT -p tcp -m conntrack --ctstate ESTABLISHED -m tcp --dport 5229 -j ACCEPT -m comment --comment "SSH Knock when established"


    Dazu dann natürlich noch ein Drop all auf dem entsprechenden Interface - IPv6 nicht vergessen.


    :-) ItsMee

    Fiese Sache - crontab debugging. Bei mir liegt es i.d.R. an einem nicht gesetzten Pfad, d.h. ich rufe "meinScript.sh" auf, /usr/local/bin ist über .bashrc gesetzt, fehlt dann aber wenn ich via cron aufrufe.

    Einen solchen Fehler sehe ich bei dir auf Anhieb nicht - aber vielleicht liegt es ja z.B. an config files für ssmtp die nicht gesourced werden? Schau doch mal was da includiert werden muss, und lass dir ggf. die gesetzten Variablen ausgeben ("set > /tmp/log.file" ) um sie mit deiner funktionierenden Variante zu vergleichen.


    Grüße,

    ItsMee