Posts by Gunah

    als Backup für Privat Personen kannst du dir "dns.he.net" anschauen.


    allerdings musst du alles doppelt Pflegen und der SOA muss eigentlich gleich sein.

    Da netcup aktuell noch keinen Hidden Primary unterstützt kann man da nicht viel machen mit den NS Servern.


    Wir haben unsere Domains auch bei 2 verschiedene NS Anbieter hinterlegt. da wir sowas schon einmal durch hatten, dass der NS Anbieter über ein Wochenende komplett nicht geantwortet hat.

    ob LibreSSL oder OpenSSL Sicherer ist, habe ich nicht erwähnt.

    Lediglich drauf hingewiesen, dass Debian Updates für OpenSSL liefert, wenn etwas ist.


    Ich würde eher versuchen, es parallel zu OpenSSL benutzen und die Software welche libressl benutzen soll diese ausliefern lassen.


    LibreSSL zu testen ist denke nicht das Problem, aber das alle Programme welche die lib Benutzen noch gehen ist die andere Geschichte.

    curl, wget, apache, nginx, proftpd und noch viele andere verwenden die lib. und teils ist die dort auch mit Version etc. "verankert". bei einigen ist es nur eine Warning, bei anderen schon gesehen nen Segfault etc.

    LibreSSL vs OpenSSL ist lediglich eine Politische Entscheidung.

    LibreSSL ist aus OpenSSL entstanden, am Anfang für BSD Systeme und der Grund war einerseits Heartbleed und da laut OpenBSD Projekt zuviele "Altlasten" im Projekt sind.


    Es kommt auf die Anzahl der System am Ende an um das Händlen zu können.

    Zumal bei Debian ja alles mit OpenSSL getestet wurde, auch die Sicherheit angeht beim Updaten.

    Dieses müsst ihr dann komplett übernehmen.

    /etc/sysctl.d/ipv6.conf


    Code
    1. net.ipv6.conf.default.accept_ra=0
    2. net.ipv6.conf.default.autoconf=0
    3. net.ipv6.conf.all.accept_ra=0
    4. net.ipv6.conf.all.autoconf=0
    5. net.ipv6.conf.eth0.accept_ra=0
    6. net.ipv6.conf.eth0.autoconf=0

    ist auf dem RDS eine Normale Seite, dann könntest du mit nginx/apache Proxy arbeiten.


    Wenn es mehrere Dienste sind, musst du es mit DYNDNS machen... bei vielen Anbietern kannst du dann die DDNS Adresse als CNAME bei einer Domain eintragen.

    Sieht soweit gut aus. Genrell sollte man die Regel verfolgen, dass man die Ports Whitelistet.

    So sind wir von einer "Katastrophalen" Standard Einstellung bei MongoDB nicht betroffen gewesen, als ein Kollege diese bei einem Kunden verwendet hat und aktiv genutzt hat.


    Bezüglich SSH würde ich komplett auf Keys setzen und Passwort in der Konfig deaktivieren.

    root ebenfalls nicht per Key zulassen.

    per IPTABLES pro IPv4 einen hitcount hinterlegen

    Beispiel:

    Code
    1. $IPT -A tcp_outbound -p TCP -s 0/0 -d $INET_ADDRESS --destination-port 22 -j ACCEPT
    2. $IPT -A tcp_inbound -d $INET_ADDRESS -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name DEFAULT --rsource
    3. $IPT -A tcp_inbound -d $INET_ADDRESS -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 5 --name DEFAULT --rsource -j DROP
    4. $IPT -A tcp_inbound -d $INET_ADDRESS -p tcp -m tcp --dport 22 -j ACCEPT

    Den Port Ändern bringt nur einen Pseudo erfolg, wenn der Port dicht ist, musst du von vielen einen Portscan über dich laufen lassen.

    Nach dem der Port dann bekannt war ging es weiter bei uns...


    Bei großen Setups nutzen wir 2 IPs

    habe bei einem Benachbartem Server-Anbieter einen Domain Robot. und dort gibt es die Möglichkeit, die DNS Server als Slave zu nutzen. sprich bei meinem Server ist ebenfalls ein PowerDNS am laufen und schicke per Notify immer wieder Änderung, an die des Anbieters... (sprich Hidden Primary).


    So habe ich auch Problemlos eine DynDNS IP Domain :)

    Einige DNS-Provider haben ein Ratelimit. was bspw. bei DS-Lite Verbindungen (Vodafone Kabel / Unitymedia) vorkommen kann.

    die Frage ist, wie fragst du die zum testen ab? per dig oder nslookup...


    ist die FW der Box aktuell?

    Code
    1. CPU Kerne:
    2. CPU MHz pro Kern:
    3. HDD/SSD Größe:
    4. Produktname des Server:
    5. Root Server oder VPS?
    6. Linux oder Windows?
    7. Wenn Linux, welches Linux:
    8. Welche Java / OpenJDK Version?



    Leider hast du bisher noch nicht die Technischen Daten deines Server (deiner Server) genannt, weshalb es schwer ist zu sagen, was es ggf sein kann.



    und wie startest du den Server ich nutze folgenden als Beispiel.

    Code
    1. java -Xmx6144M -Xms1024M -jar minecraft_server.1.11.2.jar nogui

    auf welchem Server genau, also TechSpecs läuft der Minecraft Server (SSD/SAS/HDD)?

    welcher Startparameter werden verwendet (wichtig viele Max Ram wird verwendet).


    Was für ein "ping" hat der Server selber.

    Bei welchem ISP sind die meisten der User.

    wir haben 2 ARK Server auf einer Kiste, allerdings Dedicated und bei einem Benachbartem Anbieter von NetCup.

    Bei NetCup läuft nur der TS3 und ein paar andere kleine Dienste.


    die Anzahl der Spieler liegt bei ~10 aktiven, möglich bis zu 32.


    Wir lagern die Maps per tmpfs im RAM und schieben die beim "saveworld" per Rsync auf die HDD.

    hier hatte ich das ganze mal zusammen geschrieben wie wir das machen:

    https://arksurvivalevolved.zon…s-ark-server-setup-linux/


    wir setzen auf keine Externen Tools zum Update etc. was eher daran liegt, dass ich täglich auf der Linux CLI unterwegs bin :)

    Bei netcup:
    > als Mail Relay (per Konfig der Backup MX, aber als erstes im DNS) und TS3 Server


    Wo Anders (Hardware Server)
    - Webserver
    - Gameservers (ARK/Minecraft/KF2/etc.) (48 GB RAM / 6 Kerner/ etc)
    - Mail Server
    - OpenVPN Server

    Das Problem an sich ist auch nicht direkt Symantec aber Marken / Firmen welche zu Symantec gehören.


    Es wird sich zeigen was draus wird.

    Das wäre eine sehr harte Reaktion und kann ich irgendwie noch nicht glauben, aber wenn es passiert dann kann man froh sein wenn man ein günstiges von Comodo hat :D

    naja wenn man sich anschaut, was andere CAs gemacht hat und dann zu Symantec schaut ist dass ein Schritt den man nach vollziehen kann.
    Warum sollte nen kleiner CA abgestraft werden, aber der Große kann so weiter machen?
    Symantec schlampt erneut mit TLS-Zertifikaten |
    heise Security


    Es kann halt auch nen Nachteil sein, wenn viele CA's unter einer Firma sitzen.