Der perfekte Rootserver (Support Thread)

Page 26 of 30

09/10/2016 08:48 _daniel4711#376

Die Installation ist erst einen Tag alt.

Auf dem zweiten Server sieht das ganze so aus:

Code:

Sep 10 08:40:03 mail kernel: [201957.404699] AIF:PRIV UDP broadcast: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:3a:e7:8e:4a:34:b0:08:00 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x10 PREC=0x00 TTL=128 ID=0 PROTO=UDP SPT=68 DPT=67 LEN=308 
Sep 10 08:40:13 mail kernel: [201967.559753] AIF:PRIV UDP broadcast: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:e6:02:c6:c5:50:ac:08:00 SRC=188.68.57.85 DST=188.68.59.255 LEN=229 TOS=0x00 PREC=0x00 TTL=128 ID=3698 PROTO=UDP SPT=138 DPT=138 LEN=209 
Sep 10 08:40:15 mail kernel: [201970.034887] AIF:PRIV TCP packet: IN=eth0 OUT= MAC=ca:4d:72:cf:41:ca:f0:1c:2d:7d:60:c0:08:00 SRC=182.186.236.107 DST=188.xx.xx.xx LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=13673 DF PROTO=TCP SPT=44942 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0 
Sep 10 08:40:18 mail kernel: [201973.032125] AIF:PRIV TCP packet: IN=eth0 OUT= MAC=ca:4d:72:cf:41:ca:f0:1c:2d:7d:60:c0:08:00 SRC=182.186.236.107 DST=188.xx.xx.xx LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=13674 DF PROTO=TCP SPT=44942 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0 
Sep 10 08:40:19 mail kernel: [201973.391984] AIF:UNPRIV TCP packet: IN=eth0 OUT= MAC=ca:4d:72:cf:41:ca:f0:1c:2d:7d:60:c0:08:00 SRC=112.117.167.201 DST=188.xx.xx.xx LEN=52 TOS=0x00 PREC=0x00 TTL=51 ID=24715 DF PROTO=TCP SPT=33392 DPT=1433 WINDOW=65535 RES=0x00 SYN URGP=0 
Sep 10 08:40:20 mail kernel: [201974.683840] AIF:UNPRIV TCP packet: IN=eth0 OUT= MAC=ca:4d:72:cf:41:ca:f0:1c:2d:7d:60:c0:08:00 SRC=112.117.167.201 DST=188.68.62.114 LEN=52 TOS=0x00 PREC=0x00 TTL=51 ID=25710 DF PROTO=TCP SPT=35531 DPT=1433 WINDOW=65535 RES=0x00 SYN URGP=0 
Sep 10 08:40:25 mail kernel: [201979.284410] AIF:PRIV UDP broadcast: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:3a:e7:8e:4a:34:b0:08:00 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x10 PREC=0x00 TTL=128 ID=0 PROTO=UDP SPT=68 DPT=67 LEN=308 
Sep 10 08:40:31 mail kernel: [201985.778359] AIF:PRIV UDP broadcast: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:1a:f3:d7:b6:01:d4:08:00 SRC=188.68.56.157 DST=188.68.59.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=22178 PROTO=UDP SPT=137 DPT=137 LEN=58 
Sep 10 08:40:39 mail postfix/pickup[22879]: 22FB227DC0: uid=0 from=<root>
Sep 10 08:40:39 mail postfix/cleanup[649]: 22FB227DC0: message-id=<[Only registered and activated users can see links. Click Here To Register...]>
Sep 10 08:40:39 mail postfix/qmgr[13135]: 22FB227DC0: from=<[Only registered and activated users can see links. Click Here To Register...]>, size=400, nrcpt=1 (queue active)
Sep 10 08:40:39 mail postfix/smtp[653]: connect to gmail-smtp-in.l.google.com[2a00:1450:400c:c0b::1b]:25: Network is unreachable
Sep 10 08:40:39 mail postfix/smtp[653]: Untrusted TLS connection established to gmail-smtp-in.l.google.com[64.233.184.26]:25: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)
Sep 10 08:40:39 mail postfix/smtp[653]: 22FB227DC0: to=<[Only registered and activated users can see links. Click Here To Register...]>, relay=gmail-smtp-in.l.google.com[64.233.184.26]:25, delay=0.74, delays=0.07/0.02/0.33/0.31, dsn=2.0.0, status=sent (250 2.0.0 OK 1473489640 t8si1804864wmb.102 - gsmtp)
Sep 10 08:40:39 mail postfix/qmgr[13135]: 22FB227DC0: removed
Sep 10 08:40:43 mail kernel: [201997.568685] AIF:PRIV UDP broadcast: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:ca:e3:c9:01:92:8e:08:00 SRC=188.68.59.35 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=128 ID=19745 PROTO=UDP SPT=68 DPT=67 LEN=308 
Sep 10 08:40:52 mail kernel: [202006.563281] AIF:PRIV UDP broadcast: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:76:01:54:35:23:9a:08:00 SRC=188.68.57.39 DST=188.68.59.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=16360 PROTO=UDP SPT=137 DPT=137 LEN=58 
Sep 10 08:41:04 mail kernel: [202018.391028] AIF:PRIV TCP packet: IN=eth0 OUT= MAC=ca:4d:72:cf:41:ca:f0:1c:2d:7d:40:c0:08:00 SRC=95.68.151.112 DST=188.xx.xx.xx LEN=60 TOS=0x00 PREC=0x00 TTL=58 ID=49218 DF PROTO=TCP SPT=46448 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0 
Sep 10 08:41:04 mail kernel: [202018.494070] AIF:PRIV UDP broadcast: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:66:cf:f2:dd:da:d8:08:00 SRC=188.68.59.244 DST=188.68.59.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=22857 PROTO=UDP SPT=137 DPT=137 LEN=58

*Domain und Ips ge�ndert.

Hier funktioniert der Mail Versand �ber Roundcube aber.
Was den Logeintrag f�r nginx angeht kann ich nicht sagen da die erste syslog nicht mehr auf dem Server liegt :mad:

09/12/2016 15:38 TiggaStyle#377

von der AIF gibts auch ne neue Version mit IPSET f�r die Blocklist.

09/12/2016 16:53 _daniel4711#378

Hast Du zuf�llig nen Link zur Hand?

Edit: Mal ne Frage, ist das normal das die blocked-hosts Datei nach nicht mal 24h Betrieb, bereits �ber 30k Eintr�ge hat?

09/13/2016 10:10 TiggaStyle#379

[Only registered and activated users can see links. Click Here To Register...]

und ja, das wird ja nicht nach und nach gef�llt, sonst �ber ein Script gef�llt. Somit sind es von Anfang an 30k Eintr�ge. Man kann das Script sogar erweitern oder nen anderes einsetzen die trick77 ipset blacklist macht sogar 55k Eintr�ge.

09/13/2016 10:54 _daniel4711#380

Quote:

Originally Posted by TiggaStyle

[Only registered and activated users can see links. Click Here To Register...]

und ja, das wird ja nicht nach und nach gef�llt, sonst �ber ein Script gef�llt. Somit sind es von Anfang an 30k Eintr�ge. Man kann das Script sogar erweitern oder nen anderes einsetzen die trick77 ipset blacklist macht sogar 55k Eintr�ge.

Ok ersteres schaue ich mir mal an und auf letzteres bin ich auch gerade gesto�en. Danke

09/14/2016 14:39 REtender#381

Update auf Version 0.2.3

Heute d�rfen wir euch ein ganz besonderes Update vorstellen.

Wir haben viel gearbeitet und im Script zahlreiche Ver�nderungen vorgenommen.

Bevor wir euch dar�ber informieren, m�chten wir an dieser Stelle einen ganz besonderen Dank an Zypr aussprechen, der das Script urspr�nglichen geschrieben hat und die Idee hatte ein solches Script bereit zu stellen. Selbstverst�ndlichen haben wir uns daher mit Ihm in Verbindung gesetzt und uns seinen „Segen“ geholt und halten ihn auf dem laufenden. Vielen Dank Zypr und viel Spa�, Gl�ck und Erfolg im weiteren Leben. Man schreibt sich.

Wir haben das Script modular aufgebaut und umstrukturiert
Addons k�nnen einfach und schnell geschrieben sowie eingef�gt werden. Diese laufen dann zusammen mit der Installation oder als Standalone. eine API Light sozusagen. Im Stable Release sind vorerst folgende Addons verf�gbar:

Ajenti
Minecraft
Teamspeak 3
VSFTPd

Alle Addons laufen auch allein und k�nnen so schnell und einfach nachtr�glich installiert werden!

Aktuelle Version von Nginx (1.11.4) sowie OpenSSL 1.1.0)welche alle derzeit bekannten Sicherheitsl�cken schlie�en.
Optimierung, dass wieder ein A+ der Seite erreicht wird.
Ganz wichtig: Updates! Wir entwicklen auf der Grundlage des Core-Scripts ein Updatesystem, mit welchem ihr zu jedem Zeitpunkt eurer System sicher und einfach aktualiseren k�nnt!

Webseite
Wir m�chten euch in Zukunft eine zentrale Anlaufstelle f�r den Script bieten und haben aus diesem Grund einen Wordpress Blog erstellt, in dem wir euch auf dem neusten Stand der Entwicklung halten, oder auf eure Probleme eingehen k�nnen.

[Only registered and activated users can see links. Click Here To Register...]

Die neue Version kann wie �blich bei Github runtergeladen werden.
Achtung: Die Installation umfasst nun einen weiteren Punkt!
[Only registered and activated users can see links. Click Here To Register...]

Euer BoBBer446 & Shoujii

09/16/2016 16:15 mxiiii#382

Da hab ihr euch aber echt m�he gegeben. Werde das Script die Tage gleich mal testen :-)

09/16/2016 16:30 TakeThisBitch#383

Das freut uns.

Wir werden heute oder morgen noch ein kleinen weiteren stable fix nachschieben, mit dem ihr hoffentlich �berall 100 Punkte im Zertifikat bekommt. Dazu sind noch einige �nderungen notwendig

09/19/2016 15:48 TiggaStyle#384

Moinsen,

ich nochmal, wenn ihr schon dabei seits.
ihr k�nnt den Memcache vllt noch aufbohren. statt 64 lieber 512MB

und das Pagespeed "Plugin" mit mehr Filtern ausstatten:
z.B:
# CSS Minification
pagespeed EnableFilters combine_css,rewrite_css,flatten_css_imports,extend _cache,prioritize_critical_css,inline_google_font_ css;
pagespeed EnableFilters move_css_above_scripts;

# JS Minification
pagespeed EnableFilters combine_javascript,rewrite_javascript,canonicalize _javascript_libraries,elide_attributes,rewrite_jav ascript,defer_javascript;

# Images Optimization
pagespeed EnableFilters lazyload_images;
pagespeed EnableFilters rewrite_images,sprite_images,recompress_images,str ip_image_meta_data;
pagespeed EnableFilters convert_jpeg_to_progressive,convert_png_to_jpeg,co nvert_jpeg_to_webp;

# Remove comments from HTML
pagespeed EnableFilters remove_comments;
# Remove WHITESPACE from HTML
pagespeed EnableFilters collapse_whitespace;

pagespeed EnableFilters insert_dns_prefetch;
pagespeed UseExperimentalJsMinifier on;

Ach und ihr k�nntet endlich mal php7 nutzen ;-)

10/12/2016 09:42 TiggaStyle#385

Passiert ja viel hier .....

10/12/2016 17:02 REtender#386

Quote:

Originally Posted by TiggaStyle

Passiert ja viel hier .....

Wir arbeiten im Moment an der n�chsten Version und vor allem einer Testing Umgebung bzw, wie wir in Zukunft besser zusammen arbeiten k�nnen an dem Projekt.

Diese Woche k�nnte die neue Version 0.2.5 rauskommen, die gibt es zwar schon auf Github, allerdings noch mit 2-3 kleinen Fehlern.

PHP7 haben wir erstmal nach hinten verschoben bei den Priorit�ten, da ein schneller Test einige Probleme aufgezeigt hat :(

Also nicht wundern wenn es hier ruhiger ist, die Entwicklung geht weiter und in Zukunft auch hoffentlich unkomplizierter aufgrund der aktuellen Arbeiten an der Basis :)

10/19/2016 20:57 MrXellos#387

Wie w�re es mit ECC Zertifikaten anstatt von RSA?

10/19/2016 22:21 TakeThisBitch#388

Wieso ECC statt Rsa?

10/20/2016 11:09 mxiiii#389

Quote:

Originally Posted by TakeThisBitch

Wieso ECC statt Rsa?

Die Idee ist nicht schlecht, vergleichbare Verschl�sselungsst�rke k�rzerer Schl�ssel und somit schneller beim Handshake, laden der seite etc.

Kann aber der CertBot das �berhaupt ?

F�r ein eigenes Zertifikat hat Zypr gut beschrieben was zu tun ist:

Spoiler

Wer sich trotz Let's Encrypt ein eigenes Zertifikat zulegen m�chte, findet hier eine Anleitung anhand eines COMODO PositiveSSL Zertifikats, wie man �berhaupt an ein Zertifikat kommt und OCSP zu Laufen bringt:

Zuerst muss ein privater Schl�ssel erstellt werden:

HTML Code:

openssl ecparam -out perfectrootserver.net.key -name secp384r1 -genkey

Anschlie�end der CSR:

HTML Code:

openssl req -new -sha256 -key perfectrootserver.net.key -nodes -out perfectrootserver.net.csr

Die Fragen sollten wie folgt beantwortet werden, dabei kann man alle Felder au�er FQDN ausgelassen. Wichtig ist, dass kein Passwort vergeben wird!

Spoiler

Im folgenden Beispiel habe ich mir ein SSL-Zertifikat f�r die Domain perfectrootserver.net gekauft und m�chte dieses nun aktivieren. Nachdem der CSR erstellt worden ist, w�hlt man den korrekten Webserver aus, in dem Fall ist es ganz wichtig, dass man "Apache OpenSSL" ausw�hlt! Nun kopiert den Inhalt von "perfectrootserver.net.csr" in das entsprechende Feld.

Im n�chsten Schritt wird eine Verifizierung durchgef�hrt, damit auch der tats�chliche Inhaber dieser Domain das Zertifikat erh�lt. Das geschieht bei einer einfachen Domain Validation per E-Mail an eine vorgegebene Adresse, zur Auswahl stehen meistens root, webmaster oder admin. Nachdem die Legitimation erfolgreich durchgef�hrt wurde, erh�lt man die Zertifikate mit folgendem Inhalt per E-Mail:

HTML Code:

AddTrustExternalCARoot.crt
COMODOECCAddTrustCA.crt
COMODOECCDomainValidationSecureServerCA.crt
perfectrootserver_net.crt

Nun m�ssen die Zertifikate kombiniert werden (Die Reihenfolge ist wichtig!):

HTML Code:

cat perfectrootserver_net.crt COMODOECCDomainValidationSecureServerCA.crt > perfectrootserver.net.bundle.crt

Und das trustedbundle:

HTML Code:

cat COMODOECCDomainValidationSecureServerCA.crt COMODOECCAddTrustCA.crt > trustedbundle.crt

Jetzt nur noch die stapling file:

HTML Code:

openssl ocsp -text -no_nonce -issuer  COMODOECCDomainValidationSecureServerCA.crt -CAfile  perfectrootserver.net.bundle.crt -cert perfectrootserver_net.crt -VAfile  COMODOECCDomainValidationSecureServerCA.crt -url  http://ocsp.comodoca.com -respout /etc/nginx/ssl/ocsp_staple

So sieht dann die VHost-Config aus:

Spoiler

10/20/2016 11:38 TakeThisBitch#390

Naja das der key k�rzer ist, ist schon gut. Ich denke aber das wir derzeit ein sehr schnelles script haben. Auch gro�e und stark frequentierte Webseiten laufen sehr schnell und stabil.

Das ECC einbauen ginge schon. Aber da ich derzeit keinen signifikanten Grund sehe das zu machen schreiben wir es uns auf aber umsetzen werden wir es wohl erstmal nicht.

Es ist minimal schneller und ob es sicherer ist bleibt Ansichtssache. Am Ende kann man alles knacken.

Aber wenn jemanden was einf�llt wieso das wichtig w�re bin ich daf�r offen. Sicher gibt es gr�ne aber mir f�llt halt gerade keiner ein.

LG

Page 26 of 30

« First

Last »