Der perfekte Rootserver (Nginx, SSL, Mailserver, Roundcube, phpMyAdmin, Firewall)

Zypr · 05/19/2015, 13:05

Quote:

Originally Posted by Luuc'

Okay. Mittlerweile wurde es nun endlich fertiggestellt. Was ich nur mysteriös finde ist, dass es auf einem anderen Droplet mit denselben Spezifikationen viel kürzer (höchstens halb so lange) gedauert hat. :o

Okay, nachdem ich nun das Skript fertiggestellt habe, kann ich den Server nicht mehr per SFTP erreichen, weder unter dem Standard Port (da wird verbunden bis zum Timeout) noch unter dem neuen Port den ich eingestellt habe (wo sofort der Fehler "There was a problem while connecting to ..." kommt).

Welche Software benutzt du? Ich habe extra die modernsten Cipher eingestellt, sodass du auch entsprechend neuere Software brauchst, die das unterstützt. Für mich klappt es wunderbar mit WinSCP. Hast du auch daran gedacht den key in deiner Software für SFTP-Verbindungen zu hinterlegen, damit du dich auch tatsächlich verbinden kannst? SFTP Port = SSH Port, da wird es keinen anderen geben.

Was die Generierung des DH-Keys angeht, so kann es tatsächlich sehr schnell gehen oder auch mal sehr langsam. Einige User haben berichtet, dass es mit einer Core teilweise extrem lange gedauert hat.. hier empfehle ich den Key einfach auf 2048 zu begrenzen. Eigentlich reichen 2048 auch völlig aus, die 4096 sind eigentlich schon zu paranoid ;)

Luuc' · 05/19/2015, 13:33

Ich habe es mit FileZilla und Cyberduck ausprobiert, ich schau mal ob es sowas wie WinSCP für Mac gibt

MasterMints · 05/19/2015, 18:47

Edit 5:
Hier ein Zitat aus einer Email die ich intern erhalten habe (Cronlog-Auszug):
"php5: /usr/lib/x86_64-linux-gnu/libcrypto.so.1.0.0: no version information available (required by php5)
php5: /usr/lib/x86_64-linux-gnu/libcrypto.so.1.0.0: no version information available (required by /usr/lib/x86_64-linux-gnu/libssl.so.1.0.0)
php5: /usr/lib/x86_64-linux-gnu/libcrypto.so.1.0.0: no version information available (required by /usr/lib/x86_64-linux-gnu/libssl.so.1.0.0)
php5: /usr/lib/x86_64-linux-gnu/libcrypto.so.1.0.0: no version information available (required by /usr/lib/x86_64-linux-gnu/libssl.so.1.0.0)"

Eine komplette reinstallation hatte zumindest die anderen Fehler beseitigt, so stellte sich seltsamerweise doch keine Problemen mehr mit der Installation von beispielsweise openjdk heraus.. Allerdings gibt es immer noch das no version information Problem, ich denke mittlerweise das es beabsichtigt sein könnte? Dann kann man es ja eigentlich ignorieren..? Soweit scheint es zumindest keine weiteren bemerkbaren Probleme zu geben.

Zypr · 05/23/2015, 11:58

Quote:

Originally Posted by MasterMints

Edit 5:
Hier ein Zitat aus einer Email die ich intern erhalten habe (Cronlog-Auszug):
"php5: /usr/lib/x86_64-linux-gnu/libcrypto.so.1.0.0: no version information available (required by php5)
php5: /usr/lib/x86_64-linux-gnu/libcrypto.so.1.0.0: no version information available (required by /usr/lib/x86_64-linux-gnu/libssl.so.1.0.0)
php5: /usr/lib/x86_64-linux-gnu/libcrypto.so.1.0.0: no version information available (required by /usr/lib/x86_64-linux-gnu/libssl.so.1.0.0)
php5: /usr/lib/x86_64-linux-gnu/libcrypto.so.1.0.0: no version information available (required by /usr/lib/x86_64-linux-gnu/libssl.so.1.0.0)"

Eine komplette reinstallation hatte zumindest die anderen Fehler beseitigt, so stellte sich seltsamerweise doch keine Problemen mehr mit der Installation von beispielsweise openjdk heraus.. Allerdings gibt es immer noch das no version information Problem, ich denke mittlerweise das es beabsichtigt sein könnte? Dann kann man es ja eigentlich ignorieren..? Soweit scheint es zumindest keine weiteren bemerkbaren Probleme zu geben.

Hallo MaserMints,

die Fehler sind aktuell leider nicht zu umgehen, es sei denn man ist mit einer älteren OpenSSL Version zufrieden. Da die Sicherheit allerdings an erster Stelle steht, werde ich im Skript immer die aktuellste Version von OpenSSL nutzen. Lässt man so wie es ist, funktioniert zwar OpenSSH aber keins der anderen Programme (Postfix, Dovecot, etc.). Kopiert man die neuen Libs einfach über die alten, dann wird gar keine Verison mehr angezeigt.. deshalb kommt die Fehlermeldung. Füllt zwar den Errorlog, aber kann einfach ignoriert werden. Linux packt die Logs sowieso selbständig, wäre also auch kein Problem was die Größe angeht.

Gruß

MasterMints · 05/28/2015, 00:51

Folgende Seite existiert nicht mehr bzw. wurde scheinbar deren Server neu eingerichtet und ist noch leer:

--2015-05-28 00:28:37--

Führt bei mir zum Problem bei der Scriptinstallation:
cat: blacklisted: Datei oder Verzeichnis nicht gefunden

Offensichtlich weil es die Datei nicht runter laden konnte - könntest du dies lösen? Hatte mein Server vorhin wieder neu aufgesetzt und dein Script verwende ich mittlerweile als Vorlage

Grüße,

MrXellos · 05/29/2015, 18:45

Quote:

Originally Posted by MasterMints

Folgende Seite existiert nicht mehr bzw. wurde scheinbar deren Server neu eingerichtet und ist noch leer:

--2015-05-28 00:28:37--
Führt bei mir zum Problem bei der Scriptinstallation:
cat: blacklisted: Datei oder Verzeichnis nicht gefunden

Offensichtlich weil es die Datei nicht runter laden konnte - könntest du dies lösen? Hatte mein Server vorhin wieder neu aufgesetzt und dein Script verwende ich mittlerweile als Vorlage

Grüße,

Einfach die Zeile

wget -N

löschen und

cat blacklisted all.txt > /etc/arno-iptables-firewall/blocked-hosts

mit

cat all.txt > /etc/arno-iptables-firewall/blocked-hosts

ersetzen

~~Uni3z~~ · 06/01/2015, 18:08

Was soll man dazu groß sagen, einfach ein Perfektes Tutorial, für neueinsteiger in Linux.

Schlafi12 · 06/06/2015, 15:01

Hallo .interp,

danke für das übersichtliche Tutorial/Script! Ich hatte zwar einige Fehler in den ersten Durchläufen, diese konnte ich aber ganz einfach selber beheben. Nun bin ich auf einen Fehler gestoßen, der mich schon seit einigen Stunden beschäftigt:
" sed: -e Ausdruck #1, Zeichen 66: Unbekannte Option für `s' "

Ich weiß, dass der Fehler mit den locales zusammenhängt, aber wie ich diesen beheben kann, weiß ich nicht. Die Sprache ist auf de_DE.UTF-8 UTF-8 eingestellt.

Ich hoffe, du oder jemand anderes kannst/kann mir da weiterhelfen!

MasterMints · 06/06/2015, 19:15

Ich bezweifle das es daran liegt, es könnte die Selbe Ursache sein wie bei mir erst - kann es sein das es diese Zeile vor diesen Fehler übereinstimmt?
"ymfony/console suggests installing psr/log (For using the console logger)
doctrine/orm suggests installing symfony/yaml (If you want to use YAML Metadata Mapping Driver)
Writing lock file
Generating autoload files
sed: -e Ausdruck #1, Zeichen 108: Unbekannte Option für `s'"
Dann liegt es daran, das du ein nicht gestatteten Sonderzeichen bei der Passworteingabe verwendet hast oder auch kürzlich herausgefunden: auch wenn das Passwort zu lange ist. Verwende deshalb erstmals ein sehr einfaches Passwort nur mit Buchstaben und Zahlen evtl. mit Sternchen (*), danach kannst du es immer noch abändern.

MrXellos · 06/06/2015, 22:27

.interp lebst du noch? Seit 3 Wochen kein Update mehr.

Schlafi12 · 06/07/2015, 12:32

Quote:

Originally Posted by MasterMints

Ich bezweifle das es daran liegt, es könnte die Selbe Ursache sein wie bei mir erst - kann es sein das es diese Zeile vor diesen Fehler übereinstimmt? ...

Ja das kommt hin. Ich habe den Server nun manuell konfiguriert, da ich den Webserver eh nicht verwendet hätte bzw. mein Webserver ein openVZ System ist und das Script daher dort nicht anwendbar ist.

reaper984 · 06/11/2015, 15:56

Hallo!

Zunächst einmal danke ich für dieses grandiose Tutorial und auch Script. Leider hat mir das Tutorial die Nerven geraubt, aber umso besser lief es mit dem Script (warum bloss ;-) ). Jetzt habe ich dennoch Fragen zu dem Script:

1. Wie schaut es aus, wenn ich ein eigenes Zertifikat einbinden will? Kurze Erklärung: Wir starten mit einem Onlineshop und da werden wir wohl ein Zertifikat von Geotrust nehmen.
Wie kann man dieses dann einsetzen?

2.Hat jemand schon probier Froxlor auf der Konfig zu installieren? Wenn ja, wie habt ihr das gemacht?

3. Wie sieht es mit weiteren Websites aus? Ich betreibe 4 Websites und würde die gerne auf meinem Server laufen lassen. Werden alle Webseiten von vorneherein SSL zertifiziert sein oder habe ich die Möglichkeit auch nur http anzuwenden (zum Beispiel für mein Forum)?

Es wäre echt hammer, wenn mir da einer helfen könnte!

Grüße

MasterMints · 06/14/2015, 13:50

Beim

nun ausgesperrt - super! Hat auch Kehrseiten die aktuellste Version stets zu pflegen ; ) In 10 Tagen 600 Emails in der Mailbox von Cron Auszügen usw. mit nur einen Inhalt "libcrypto.so1.0.0: no version information available.".. ^^ Nur als kleine Vorabwarnung..

@ reaper984:
1. Dort z.B. den SSL Zertifikat hinzufügen: /etc/nginx/ssl/ und dort die Sachen Anpassen /etc/nginx/sites-enabled/DEINEDOMAIN.TLD.conf (wenn vorhanden auch mit Subdomain vor deine domain, aber das ist nur zur bessern Übersicht, auf die inneren Einstellungen kommt es an ; ) Einfach z.B. von /etc/nginx/sites-enabled/vma.DEINEDOMAIN.TLD.conf kopieren und alles was vma ist zu deine subdomain) usw. Grund/Amateurkenntnisse empfehle ich jeden schon, sonst ist dieser Script ein größerer Krampf, auch wenn es sehr viel Zeit spart.

2. Ich würde das Risiko nicht mit diesen Script eingehen ganz ehrlich^^

3. Dafür die Vhosts Einträge wie oben beschrieben bei /etc/nginx/sites-enabled/***.XXXXXXX.***.conf - funktioniert einwandfrei, auch unter verschiedenen Zertifikate usw.

MasterMints · 06/15/2015, 17:21

Quote:

Originally Posted by MrXellos

.interp lebst du noch? Seit 3 Wochen kein Update mehr.

Hier seine derzeitige Signatur:

Quote:

Originally Posted by .interp

Aufgrund gesundheitlicher Probleme inaktiv!

@.interp Gute Besserung!

mxiiii · 06/17/2015, 13:30

Quote:

Originally Posted by MasterMints

Beim nun ausgesperrt - super! Hat auch Kehrseiten die aktuellste Version stets zu pflegen ; ) In 10 Tagen 600 Emails in der Mailbox von Cron Auszügen usw. mit nur einen Inhalt "libcrypto.so1.0.0: no version information available.".. ^^ Nur als kleine Vorabwarnung..

Ist mit Version 1.0.2c wieder behoben.

@reaper984
Auf der ersten Seite unter OCSP stapling: steht unterm Spolier alles genau beschrieben.