Posts by joergmschulz

Valkyrie wrote:

Ich bin vorhin wegen etwas aus unserem Büro raus, war dann noch gemütlich auf dem stillen Örtchen, komme zurück und der ganze Raum nur so "Endlich bist du wieder da, Emails gehen nicht!!!". Ich setze mich hin, frage woran das denn festgemacht wurde (Tests zwischen den Kollegen, Anrufe von außerhalb), entsperre den Bildschirm, schaue auf mein Thunderbird, schaue auf die Uhrzeit, schaue auf das grüne Monitoring... sagt plötzlich der erste Kollege "Jetzt kam wieder eine!". Kurz darauf auch die anderen...

Ich habe wortwörtlich nichts gemacht. Glaubt man mir natürlich nicht. Hilft auch echt nicht, dass es gestern einen ähnlichen Effekt bei etwas anderem gab.

Ha! Da bin ich endlich den Fluch losgeworden. Früher, als ich noch admin war, geschah mir das dauernd. Am schlimmsten Wochenends. Anruf: nix geht. Einloggen: geht doch. Kommentar: Danke daß Du so toll geholfen hast.

mit der bullseye-minimal Version mußt Du vielleicht weniger abspecken, bevor Du ans Netz gehen willst. Ansonsten wirklich: Geschmackssache.

ein paar kleine Eingriffe in ufw, und dann wird geblockt wie erwartet - siehe https://github.com/chaifeng/ufw-docker

oder in

/etc/ufw/after.rules vor dem letzten Commit:

i wo, irgendwann sagt Apple dann von heut auf morgen Schluß mit IPV4, und wer nur noch IPV4 macht, bleibt draußen

aRaphael wrote:

Enten mit zwei Augen? Ich dachte die haben alle zwei Augen.

Nee, die Enten hier haben alle vier. Damit das 4Augen Prinzip durchgehalten werden kann.

Steini wrote:

Mach ich schon jeher so! Einmal kritisch von Rechts geguckt, einmal von Links: Müsste passen! => Uuund durch!

Mannomann Du hast ja recht. 4Augen. 2Hirne. Quak!

im normalen Umfeld / bei Servergrößen, die Du hier von der Stange orderst, ist in der Regel so viel Plattenspeicher vorhanden, daß eine Trennung der Nextcloud Daten von der Nextcloud App nicht sinnvoll ist; die Performance profitiert auf jeden Fall.

Eher ist es sinnvoll, die Datenbank auf separates Blech zu schieben, dann kannst Du Lastspitzen zwischen NC App und NC Datenbank auf mehrere Kisten verteilen. So viel Auslastung wirst Du bei Deiner Erstinstallation aber nicht erleben.

Paß beim Docker auf Deine Firewall Regeln auf - solltest Du ufw nutzen, beachte https://github.com/chaifeng/ufw-docker: Sonst erlebst Du, daß Ports offen stehen, von denen Du das nicht erwartest (z.B. der redis server für Nextcloud oder der Datenbankserver).

mainziman wrote:

joergmschulz Facebook und angehängtes Zeug a la WhatsApp und Co. gelten nicht als kritisch;

ich würde sogar meinen, wenn der Laden in die Luft fällt, hat das bis auf gröbere Staubwolken keine Auswirkung;

Einspruch, Euer Ehren. Die Auswirkungen wären riesig, aber positiv. Menschen würden wieder in echt miteinander sprechen müssen und müßten den Wahrheitsgehalt von Informationen in der echten Welt überprüfen. Oben steht aber was von 'wirklich kritischen' Systemen. Ob Facebook und Co wirklich kritisch sind, oder in ihren Auswirkungen wirklich kritisch betrachtet werden müssen, steht zur Debatte.

Wow, Facebook hat sich da ein wunderbares Eigentor zusammengeklickt:

BGP zerschießen, DNS unerreichbar, Gebäude-Zutritt nicht mehr möglich, wahrscheinlich auch die Alarmierungsketten für diejenigen, die es richten könnten.

Was lernen wir: bei wirklich kritischen Systemen nochmal nachsehen, wo der single point of failure liegen könnte. Und: bei wirklich kritischen Änderungen 2Augen Prinzip.

https://www.zdnet.com/article/…r-global-outage-drags-on/

korrekt, das habe ich mißverstanden, und nun Asche über mein Haupt! Blocken die ehrlich smtp out:25 ??? Auf die Idee wäre ich nicht gekommen.

Virinum wrote:

Port 25 erst nach einem Telefonat freigeschaltet bekommt.

Das ist doch nicht weiter schlimm - Deinen ausgehenden smtp server willst Du doch sowieso mit 587 oder einem custom Port erreichen. 25 zieht nur lästigen MailIn Verkehr an, den Du auf dem Server für eingehende Mail haben möchtest. Und der steht näher an Deinem rspam.

aRaphael wrote:

Eine sehr gewagte These.

ja? Schnell ein Beispiel aus der Geschichte der exploits: https://bigb0ss.medium.com/exp…eh-egghunter-b25ea5fab43f

Lars-Daniel wrote:

AGB

Ja- es steht irgendwo im Kleingedruckten, aber die Schwellwerte 100/500 sind nur im Forum veröffentlicht.

aRaphael wrote:

Blacklists

Ja, das geschieht alle paar Wochen; einer meiner Server wird mal wieder geblockt, die anderen beiden wurden noch nie geblockt. Es kostet jedes Mal einige Mails an den Microsoft-Support, die Sperre wieder los zu werden. Mails an outlook/hotmail/live/... sollten wenn möglich über andere Wege verschickt werden. Für die anderen mußt Du nur DMARC/DKIM/SPF/DNS korrekt einrichten; für den Eingang empfiehlt sich ein sauber konfigurierter rspamd, aber das ist Dir wahrscheinlich geläufig.

mainziman wrote:

ich unterstelle halt, dass die Monitoring Agents nicht weniger oder mehr fehlerfrei/-anfällig sind wie alles andere auch;

exakt - je nach Reife der Anwendung und der installierten Prozesse ist das Risiko für Angriffe über irgendwelche Monitoring Agents größer als der Nutzen. Klar ist's schön, gemeldet zu bekommen, daß die Platte bald voll ist oder CPU dauerhaft auf >90% - aber, Hand aufs Herz: Wie häufig kommt diese Meldung BEVOR der Admin das eh schon gemerkt hat?

Hatte auch schon den Fall, daß das Monitoring mir einen SUN Server lahmgelegt hat - das ist aber schon Jahrzehnte her, da war irgendwas mit ping Paketen, die das Betriebssystem lahmlegen konnten.

Keep it simple kann auch heißen, das Monitoring auf das Notwendigste einzuschränken und einfach zu halten.

Und jetzt wegducken und Popcorn holen, das Geschnattere wird lustig.

oooh ich bin geadelt, nach ein paar Jahren in diesem Forum gelte ich jetzt als Fortgeschritten. Welches sind denn eigentlich die Schwellwerte, ab denen mal diesen Status erhält?

Virinum wrote:

Zusätzliche IPv4 20% Rabatt:

https://www.netcup-sonderangeb…aetzliche-ipv4-20-rabatt/

ja - mal sehen, ob ich dem Docker-compose beibringen kann, nur auf der zusätzlichen IP zu horchen. Dann wäre sie hilfreich.

Und das gleiche Spiel wie immer. Automatisierte Mail, daß die IP nicht zur Entsperrung qualifiziere, meine Antwort: Ja, doch, und nun warten wir mal ab.

Alle paar Monate wieder:

Ticket bei Microsoft ist erstellt.

Virinum wrote:

Moin! Kennt sich hier zufällig jemand mit PA-Endstufen, Bridging und Speakon-Pinbelegungen aus?

Nee. Hört sich aber an, als könntest Du ein analoges 8track Tape Mischpult brauchen. Wenn's so ist: PN!

mein Macbook Pro von 2015 hat nun Suse Tumbleweed, das von 2010 Ubuntu.