Posts by H6G

    !!! ALARM

    External Content www.youtube.com
    Content embedded from external sources will not be displayed without your consent.
    Through the activation of external content, you agree that personal data may be transferred to third party platforms. We have provided more information on this in our privacy policy.

    AA/AAAA


    keine AA, sondern AAAA records.

    Ein A genügt für IPv4. <ironie>Nicht, dass jemand auf die Idee kommt 64 Bit breite IP Adressen zu erfinden und es dann IPv5 zu nennen.</ironie>

    Finde ich eigentlich eine gute Eselsbrücke: IPv4: 32 Bit => ein A | IPv6: 128 Bit => vier A (4 x 32 = 128)


    Back to topic:



    Bei VPN denke ich immer das es über solch einen Tunnel am sichersten ist.?!

    Zumindest musst du dann keinen Port an deiner Fritzbox öffnen. Ein Tunnel erlaubt dir nur, das "Sicherheitsgateway" auszulagern auf einen Server.

    Wenn dort die Sicherheit unzureichend ist, kann über den Tunnel auf dein Netzwerk zugegriffen werden.

    Ein Vorteil hat es, du musst dich nur einmal um TLS / https kümmern.


    Ich kann ja über den NPM alles mit Passwort zugänglich machen.

    Ja, wenn die Zugangsdaten nicht durch Bruteforce zu erraten sind. Die Absicherung über htaccess sollte jedoch immer überprüft werden.


    Wenn du der Einzige bist, der darauf Zugriff benötigt, bietet sich auch ein SSH Tunnel an. Das ist nochmal sicherer und bietet Fremden noch weniger Angriffsfläche.

    Ich dachte mir das ich mit einem Server (netcup) der evtl. auch Proxmox drauf hat

    Debian installieren über die Images oder bereits verfügbaren ISOs.

    Proxmox mit dieser Anleitung installieren: https://pve.proxmox.com/wiki/I…_VE_on_Debian_11_Bullseye


    Zu dem Rest: Willst du wirklich deine Kameras für das ganze Internet über einen Server erreichbar machen?

    Wenn ja, kannst du über den Server auf eine IPv6 Adresse weiterleiten über einen Proxy - der über IPv4 dann im Internet erreichbar ist.

    Dafür brauchst du kein VPN, und kein Proxmox.

    Bisher habe ich immer systemd-resolved deaktiviert, da ich Unbound habe und der ja auch Anfragen cacht. Sonst hätte ich direkt 2 DNS Caches

    Wenn ich mich recht erinnere, binded sich systemd-resolvd auf den Port 53, was es unmöglich macht Unbound zu starten.

    Darf denn der Mitbewerber bzw. Besitzer von Netcup Anexia hier genannt werden?

    1) Nehmen wir mal an die automatische Aktualisierung meines LE-Zertifikats schlägt aus irgendeinem Grund fehl. Sperre ich mich dann selbst aus ?

    Nein, es gibt eine Warnung, dass das Zertifikat abgelaufen ist - und wenn HSTS verletzt wird, gibt es auch eine Warnung. Die kann jedoch auch weggeklickt werden.



    2) Wenn ich mich ausgesperrt hätte, kann ich dann trotzdem noch über das Control-Panel ein neues Zertifikat erstellen und alles ist wieder gut ?

    Ja.



    Oder ist die HSTS-Periode einfach nur für TLS-Zugriff an sich und hat nichts mit einem spezifischen Zertifikat zu tun ?

    Dies. HSTS merkt sich einfach nur, dass hier ein TLS Zugriff zu erfolgen hat - es findet kein Certificate Pinning statt.



    außer das nicht TLS-fähige Clients die Website nicht ansurfen können

    Nicht TLS fähige Clients unterstützen auch kein HSTS, können es also nicht umsetzen. Da du aber eine Umleitung von http zu https drinne hast, können diese Clients deine Website auch ohne HSTS nicht abrufen.



    4) Hat HSTS irgendeinen entscheidenden Nachteil

    Ja, HSTS kann sich auf Dienste auswirken, die du unter einer Subdomain bereitstellen möchstest und explizit kein https anbietest.

    Hab ich z.B. unter h6g.de HSTS strikt aktiv, kann ich nicht mal eben so eine Kundenseite unter test.h6g.de anbieten, ohne dafür ein Zertifikat zu ziehen.


    Dafür muss dann eine extra Test Domain her, die nie mit HSTS in Berührung kommt, oder ich verzichte ganz auf HSTS.

    Naja, soweit... und dann immer mit der Tendenz, andere damit hineinzuziehen und schließlich zu überfordern 8o:saint:

    ^^



    bin ich mental ein bißchen weggebrochen, frustriert, demotiviert und versuche das z. Z. mit professioneller Unterstützung wieder etwas zusammenzusammeln.

    Viel Kraft und Erfolg.



    ordentlicher Stapel im Backlog zu erledigen.

    Brauchst du Unterstützung? Ich muss noch ein paar Netcup Rechnungen bezahlen ||

    Der VPS 200 hat limitierte Ressourcen ;)



    Statistiken, Logs

    Die Logs werden auf dem Server abgelegt - unter /var/logs/nginx bspw.

    Die kannst du mit matomo oder webalizer grafisch aufbereiten. Gibt aber noch weitere Tools.



    E-Mail Einrichtung, Konfiguration

    Das ist viel Aufwand und eigentlich willst du das nicht. Falls doch: mailcow https://mailcow.email/



    Domain-Setup, Subdomains, DNS

    Das willst du wirklich nicht.

    Dafür brauchst du mehr als einen Server - den Job solltest von anderen machen lassen, z.B. vom Domain Anbieter oder Cloudflare.


    Subdomains im Webserver werden in der Konfiguration eingetragen.



    Backup

    Kommt darauf an, wohin.

    Ein Backup auf dem gleichen Server ist kein Backup.

    Überlege dir ein Backup Konzept und ein Ziel - wohin mit meinem Backup.

    Dann kann man z.B. Borg bemühen.


    Wenn du ein Konzept hast und lieb fragst, scriptet dir das bestimmt auch jemand.


    Wenn es doch ein Control Panel sein soll:

    https://froxlor.org/

    https://www.keyhelp.de/

    https://www.cloudron.io/

    oder ein Webhosting - die Hostings bei Netcup basieren auf Plesk.

    Die Mailcow hat auch direkt ein Admin Interface, aber nur für die Mailcow an sich.

    Es gab wohl ein Edit von dir ^^


    Grundsätzlich: was du oben versucht hast, ist vermutlich FTPS

    SFTP basiert auf dem SSH Protokoll und braucht keine TLS Zertifikate.

    SFTP wird unter anderem von OpenSSH bereitgestellt - dem Default SSH Server.



    p.s.: Da ich derzeit nur statische html-Seiten ausliefern werde, brauche ich dafür überhaupt einen Apachen - reicht nicht ngix solo?

    Ja, da reicht Apache2 oder nginx. Die auszuliefernden Daten kommen z.B. nach /var/www/

    Es ist auch ohne weiteres Möglich php später nachzurüsten, bei beiden.



    p.s.: Ich vermute ja, dass es mit dem SSL-Zertifikat zusammenhängt (ohne die geringste Ahnung zu haben). Da ich ja sowieso eins brauche für https, "reicht" ein kostenloses von Cloudfare oder Let's Encrypt?

    Dafür ist Let's Encrypt da - das funktioniert einwandfrei über den Certbot.

    Beim Certbot gibst du an welche Domain und welchen Webserver du benutzt, und dann gehts direkt los.

    https://certbot.eff.org/