Der perfekte Rootserver (Nginx, SSL, Mailserver, Roundcube, phpMyAdmin, Firewall)

Quote:

Originally Posted by losaruka Hi Leute, ich habe das Skript installiert. Alles war wunderbar. Keine Fehler oder ähnliches. Dann sollte ich ViMbAdmin einrichten. Die Salts konnte ich auch in die .ini einfügen. Aber sobald ich einen Admin Account erstellen möchte, ich gebe eine Mail und ein Passwort an, kommt auf der nächsten Seite einfach eine leere Seite ohne irgendeine Fehlermeldung oder ähnliches. Ich habe nichts verändert und bin einfach nach Anleitung vorgegangen. Was mich wundert ist, dass kein Fehler ausgegeben wird. Es erscheint einfach gar nichts. Hat jemand eine Idee, was ich tun kann? Sollte ich ViMbAdmin nochmal neu installieren oder kann ich einen Admin direkt in der DB eintragen? Bin über jegliche Hilfe dankbar.

/etc/nginx/logs/modsecurity.log

/etc/nginx/modsecurity/modsecurity.conf

Quote:

Originally Posted by -skyDIVE Danke, wenn ich nur Cloudflare für die DNS Verwaltung benutze, sprich keine Protection etc. brauche ich das wohl nicht zu machen mit den zusätzlichen Schritten oder?

Quote:

Originally Posted by .interp Hallo losaruka, so lange die Fehlermeldung vom Webserver vearbeitet wird, siehst du die Ausgabe nur im Header. Es kann gut möglich sein, dass es eine neue Änderung gibt die sich nicht mit einer Modsecurity Regel verträgt. Sehen kannst du das in dem Log: Code: /etc/nginx/logs/modsecurity.log Im Log stehen dann ziemlich viele Informationen, unter anderem auch die Zeile, in der du die zuständige Regel findest. Such nach dem zeitlich passenden Eintrag und achte auf [line "xxxx"] Anschließend kannst du die Regel hier auskommentieren/löschen: Code: /etc/nginx/modsecurity/modsecurity.conf Die Standard-OWASP-Regeln sind leider nur mit bekannten Skripten umfassend kompatibel, z. Bsp. Foren wie vBulletin, WBB, XenForo, PHPBB, etc.. Ich teste die neuste Version gleich auch mal, dann werde ich die entsprechende Regel entweder auskommentieren oder ViMbAdmin whitelisten.

[28/Apr/2015:19:04:29 +0200] [/sid#7f526d6010a0][rid#7f5261e120a0][/auth/setup][1] Access denied with code 403 (phase 2). Pattern match "pattern" at ARGS:salt. [file "/etc/nginx/modsecurity/modsecurity.conf"] [line "1777"] [id "981231"] [rev "2"] [msg "SQL Comment Sequence Detected."] [data "Matched Data: data found within ARGS:salt: securitysalt"] [severity "CRITICAL"] [ver "OWASP_CRS/2.2.9"] [maturity "8"] [accuracy "8"] [tag "OWASP_CRS/WEB_ATTACK/SQL_INJECTION"] [tag "WASCTC/WASC-19"] [tag "OWASP_TOP_10/A1"] [tag "OWASP_AppSensor/CIE1"] [tag "PCI/6.5.2"]

Quote:

Originally Posted by losaruka Hi .interp, also mein log sagt folgendes aus: Code: [28/Apr/2015:19:04:29 +0200] [/sid#7f526d6010a0][rid#7f5261e120a0][/auth/setup][1] Access denied with code 403 (phase 2). Pattern match "pattern" at ARGS:salt. [file "/etc/nginx/modsecurity/modsecurity.conf"] [line "1777"] [id "981231"] [rev "2"] [msg "SQL Comment Sequence Detected."] [data "Matched Data: data found within ARGS:salt: securitysalt"] [severity "CRITICAL"] [ver "OWASP_CRS/2.2.9"] [maturity "8"] [accuracy "8"] [tag "OWASP_CRS/WEB_ATTACK/SQL_INJECTION"] [tag "WASCTC/WASC-19"] [tag "OWASP_TOP_10/A1"] [tag "OWASP_AppSensor/CIE1"] [tag "PCI/6.5.2"] In line 1777 ist ein Eintrag zum Thema Cookies. Kann es sein, dass diese gesperrt sind? Jedenfalls wenn ich die Zeile auskommentiere, hilft es trotzdem nichts. Was mich vielmehr verwundert: Access denied with code 403 (phase 2). Was kann das denn sein? Fehlt da eine Berechtigung? Falls kein Problem gefunden wird, kann ich den ViMbAdmin deinstallieren und eine Alternative installieren? Wenn ja, gibt es eine Empfehlung (postfixadmin, VBoxAdm, posty...)? Hoffe auf Hilfe, denn ich wollte eigentlich den Mailserver umziehen. Und jetzt geht er nicht :rolleyes::D Und wie ist das eigentlich mit dem MX-Eintrag? Muss ich da tatsächlich mail.domain.tld eingeben oder die IP meines Servers? Weil ich finde es merkwürdig, im DNS der Domain die eigene Domain einzugeben. Eventuell ist das auch ein Problem?! Danke schon mal.

			location / {
			   	ModSecurityEnabled off;
			   	ModSecurityConfig modsecurity/modsecurity.conf;

Quote:

Originally Posted by .interp Also Access denied ist ja richtig, das ist das Resultat nach der Ausführung der Regel. Der Webserver verwehrt bei Verletzung einer Regel einfach den Zugriff auf eine bestimmte Ressource. Den Code kann man frei definieren, jedoch ist 403 am schlüssigsten und hat erstmal nichts mit der Berechtigung zu tun. Schalte modsecurity doch einfach mal aus und teste es erneut, dann siehst du ob es daran liegt oder nicht. Bitte die entsprechende Option in deiner vma.domain.conf abändern: /etc/nginx/sites-available/vma.beispieldomain.de.conf Code: location / { ModSecurityEnabled off; ModSecurityConfig modsecurity/modsecurity.conf; Du kannst natürlich andere Admin-Tools nutzen, um den Mailserver zu bedienen, allerdings müsstest du je nach Datenbankstruktur die SQL-Einstellungen von Postfix und Dovecot entsprechend anpassen. Da müsstest du dir Beispiele suchen oder die FAQ des jeweiligen Tools durchlesen. Gruß

Quote:

Originally Posted by -skyDIVE Hallo, was wenn ich z.B. dann i-Mscp installieren möchte, und die Kunden (bzw ich) dann das ganze über Cloudflare schalten? Die IPs von Cloudflare werden dann doch noch trotzdem blockiert oder?

Quote:

Originally Posted by losaruka Habe ich gemacht, jetzt lädt er ewig. Also scheint schon mit modsecurity zu tun zu haben. Aber ich bin da echt überfragt...:-( Wie sieht es eigentlich damit aus, zusätzliche Subdomains einzubinden? Im DNS sind die da und habe auch eine .conf erstellt. Jedoch meldet mir Firefox, dass dem Zertifikat nicht vertraut wird und ich kann die Domain gar nicht aufrufen... Und als ich owncloud installieren wollte, wird mir immer gemeldet, dass ich keine Berechtigung habe, es zu installieren. Habe die Daten unter nginx/html/ abgelegt... Ich mag das Skript wirklich sehr, aber irgendwie klappt das bei mir nicht so gut :D Nochmal danke für die Hilfe :-)

chown -R www-data:www-data /pfad/zum/owncloud/ordner/

Quote:

Originally Posted by .interp Ich habe die Installation nun mit den neusten Versionen durchgeführt und musste jetzt auch feststellen, dass ViMbAdmin nicht sauber funktioniert. Das Problem ist ganz klar ModSecurity.. nach der fünften Regel habe ich es für die Subdomain komplett deaktiviert. Bis ich eine Lösung dafür gefunden habe, bleibt es erstmal aus. Was die Subomains angeht: Während HSTS aktiv ist, wird man die Problematik mit dem unsicheren Zertifikaten immer haben, sobald man für die Subdomain ein Zertifikat nutzt, das nicht dafür ausgestellt worden ist. Um das Problem zu lösen, brauchst du entweder für jede Subdomain ein einzelnes Zertifikat oder eines, das per Wildcard alle Subdomains der TLD abdeckt. Bzgl. Owncloud: Wenn du etwas hochgeladen hast, musst du www-data die Rechte dafür erteilen, sonst hat das Installationsskript von Owncloud Schwierigkeiten bei der Installation. Das geht so: Code: chown -R www-data:www-data /pfad/zum/owncloud/ordner/ Wenn du Owncloud nur privat nutzt, kannst du auch CAcert nutzen und die Zerfikate auf deinen Systemen installieren, damit die Zertifizierungsstelle nicht als "unbekannt" aufpoppt. Spätestens wenn [Only registered and activated users can see links. Click Here To Register...] aktiv ist, hat sich das mit den Zerfikaten sowieso erledigt.. in der Hoffnung, dass die großen Anbieter da draußen normale Domain-Zertifikate auch kostenfrei anbieten.

Quote:

Originally Posted by losaruka Hi .interp, vielen Dank für die ausführliche Hilfestellung. Was rätst du beim vorgehen mit ViMbAdmin? Selbst wenn ich modsecurity auf "off" stelle, lädt die Seite nur ewig und es gibt kein Ergebnis. Ist es ratsam das Skript nochmal neu zu installieren und dann gleich zu Beginn die modsecurity für vma.domain.tld auszuschalten? Weil so wie jetzt läuft es ja nicht wirklich rund :(. Des Weiteren hatte ich mir ein Wildcard-Zertifikat erstellt (*.domain.tld). Aber weiterhin bekomme ich die Meldung, dass das Zertifikat selbst signiert ist. Kannst du eventuell nochmal schreiben, wie man ein Wildcard-Zertfikat anlegt? Kann man dabei so vorgehen: [Only registered and activated users can see links. Click Here To Register...]? Und letsencrypt.org hört sich ja echt gut an. Hoffentlich wird das was. Das würde viele echt erleichtern, weil das schon teilweise anstrengend ist :D Vielen Dank nochmals. :-)

Quote:

Originally Posted by -skyDIVE Danke interp für die Hilfe ! Hätte noch eine Frage: Das Script sollte auch für Debian Jessie (8) klappen oder?

Quote:

Originally Posted by .interp Grüß dich, also ich habe modsecurity auch einfach deaktiviert und konnte ViMbAdmin nach einem Neustart des Webservers wieder aufrufen. Evtl. solltest du mal die Cookies löschen, denn neu installieren sollte jetzt nicht nötig sein (: Was die Zertifikate angeht: Chrome zeigt dir diese Meldung bei jedem Besuch an, allerdings hast du dank des Wildcard Zertifikats kein Problem mehr mit HSTS, so kannst du die Seite dennoch besuchen. Diese Meldung wird auch nie wegfallen, so lange die Zertifizierungsstelle (In dem Falle ja du selbst) unbekannt ist. Mit CAcert kannst du das wie bereits erwähnt elegant lösen, indem du die Root Zertifikate lokal installierst. Firefox hingegen weist dich selbst bei einem selbst signierten Zertifkat nur einmal darauf hin, dann kommt - zumindest bei mir (Ich nutze Pale Moon) - gar keine Meldung mehr, da das Zertifkat der Ausnahme hinzugefügt wurde.

Quote:

Diagnostic-Code: smtp; 550 SC-001 (BAY004-MC4F34) Unfortunately, messages from IPADRESSEDESSERVERS weren't sent. Please contact your Internet service provider since part of their network is on our block list. You can also refer your provider to [Only registered and activated users can see links. Click Here To Register...]. Hay.eml

Quote:

Originally Posted by -skyDIVE Hallo, ich benutze es auf Debian 7 und es läuft perfekt, allerdings kann ich keine Mail zu live.de senden, da es anscheinend blockiert wird. Hast du da eine Lösung ?