Der perfekte Rootserver (Nginx, SSL, Mailserver, Roundcube, phpMyAdmin, Firewall)

[DjCeeM]

Hallo, super Tutorial und hat alles wirklich gut geklappt.
Nun habe ich nur ein großes Problem.

Wenn ich auf meine Domain gehe (aogiri.de), dann kommt ganze Zeit bei mir Datenschutzfehler und dass es keine sichere Verbindung ist, auch wenn ich Risiko annehme und versuche weiter zu kommen, komme ich wieder ich auf diese Seite.

Würde mich über eine Hilfe freuen.

Grüße
Mike

[MrXellos]

Quote:

Originally Posted by DjCeeM

Hallo, super Tutorial und hat alles wirklich gut geklappt.
Nun habe ich nur ein großes Problem.

Wenn ich auf meine Domain gehe (aogiri.de), dann kommt ganze Zeit bei mir Datenschutzfehler und dass es keine sichere Verbindung ist, auch wenn ich Risiko annehme und versuche weiter zu kommen, komme ich wieder ich auf diese Seite.

Würde mich über eine Hilfe freuen.

Grüße
Mike

Da das Zertifikat self-signed ist und HSTS aktiviert ist kriegst du diese Nachricht. Du könntest CloudFlare benutzen um die Nachricht zu umgehen.

[DjCeeM]

Quote:

Originally Posted by MrXellos

Da das Zertifikat self-signed ist und HSTS aktiviert ist kriegst du diese Nachricht. Du könntest CloudFlare benutzen um die Nachricht zu umgehen.

Wie könnte ich HSTS deaktivieren oder CloudFlare benutzen?

Danke für die Antwort :-)

[REtender]

Quote:

Originally Posted by DjCeeM

Wie könnte ich HSTS deaktivieren oder CloudFlare benutzen?

Danke für die Antwort :-)

HSTS deaktivieren:
/etc/nginx/sites-available
dann die conf von deiner Webseite...
und dort den folgenden Eintrag ändern
add_header Strict-Transport-Security "max-age=15768000; includeSubdomains;";

zu

add_header Strict-Transport-Security "max-age=0; includeSubdomains;";

Allerdings bekommst du dann immer noch einen Zertifikatsfehler, auch wenn du weiter zu der gewüntschen Seite gehen kannst.

Die Nutzung von Cloudflare (das kann man am Anfang der Installation auswählen und du brauchst nur einen kostenlosen Account) oder ein eigenes Zertifikat wäre sinnvoller!

Die Edith sagt:
Ich würde bei dem Script gerne noch ein paar eigene Installationen hinzufügen...
kann ich in dem part4(){ unter der letzten Zeile
magenta "/usr/local/vimbadmin/application/configs/application.ini"

gefahrlos noch eigene Dinge einfügen?
sed -i '1s/.*/5/' ~/status setzt ja danach erst den Status weiter...

[DjCeeM]

Quote:

Originally Posted by REtender

HSTS deaktivieren:
/etc/nginx/sites-available
dann die conf von deiner Webseite...
und dort den folgenden Eintrag ändern
add_header Strict-Transport-Security "max-age=15768000; includeSubdomains;";

zu

add_header Strict-Transport-Security "max-age=0; includeSubdomains;";

Allerdings bekommst du dann immer noch einen Zertifikatsfehler, auch wenn du weiter zu der gewüntschen Seite gehen kannst.

Die Nutzung von Cloudflare (das kann man am Anfang der Installation auswählen und du brauchst nur einen kostenlosen Account) oder ein eigenes Zertifikat wäre sinnvoller!

Wo muss ich denn ein Account erstellen? Weil ich habe am Anfang CloudFlare auch ausgewählt, aber dennoch merke ich davon nichts.
Wo bekomme ich denn ein eigenes Zertifikat her und wende ich es an?

Tut mir Leid, dass ich so durch stochere, kenne mich damit nicht so wirklich aus.

[REtender]

Quote:

Originally Posted by DjCeeM

Wo muss ich denn ein Account erstellen? Weil ich habe am Anfang CloudFlare auch ausgewählt, aber dennoch merke ich davon nichts.
Wo bekomme ich denn ein eigenes Zertifikat her und wende ich es an?

Tut mir Leid, dass ich so durch stochere, kenne mich damit nicht so wirklich aus.

Schau mal im ersten Post bei dem Punkt OCSP stapling und da im Spoiler ist eine Anleitung.

Ich habe mir ein Comodo Zertifikat bei Cheapssl gekauft, allerdings tut es auch eines von startssl (siehe auch den Absatz unter "Wie installiere ich das ganze Zeug nun endlich?!").

Zu Cloudflare:
Du musst dir zunächst hier einen kostenlosen Account machen
Bei der Installation des Scriptes musst du nur auswählen, dass du Cloudflare nutzen willst (wenn ich mich recht erinnere)... wenn du den kostenlosen Account hast musst du in den DNS Einstellungen deiner Webseite die von Cloudflare einfügen, aber das müsste bei Cloudflare auch beschrieben sein soweit ich weiß.

Cloudflare wäre für dich erstmal am "unwichtigsten", ein Zertifikat solltest du als erstes hinzufügen meiner Meinung nach.

Edith
Bei Änderungen an der Vhost config:
service nginx restart

[MasterMints]

Quote:

Originally Posted by mxiiii

Ist mit Version 1.0.2c wieder behoben.

Nicht wirklich.. Direkt 1.0.2c installiert und weiterhin Email-Spam von PHP und CLAMAV.. //
Weiß einer ob die ganzen Errors beim Restarten von MYSQL eigentlich harmlos sind? - "mysqldNo directory, logging in with HOME=/" - nach dem Neustart füllen sich auch die Error Logs mit einigen nicht vorhandenen Plugins (Warnings unter anderem) oder derartiges, scheint aber nur nach den Neustart einmal angekündigt zu werden.

[mxiiii]

Quote:

Originally Posted by MasterMints

Nicht wirklich.. Direkt 1.0.2c installiert und weiterhin Email-Spam von PHP und CLAMAV.. //

Probier mal:

Code:

mv /usr/lib/x86_64-linux-gnu/libcrypto.so{,.bak}
mv /usr/lib/x86_64-linux-gnu/libcrypto.so.1.0.0{,.bak}
mv /usr/lib/x86_64-linux-gnu/libcrypto.a{,.bak}
cp /usr/lib/x86_64-linux-gnu/libcrypto.so.orig /usr/lib/x86_64-linux-gnu/libcrypto.so
cp /usr/lib/x86_64-linux-gnu/libcrypto.so.1.0.0.orig /usr/lib/x86_64-linux-gnu/libcrypto.so.1.0.0
cp /usr/lib/x86_64-linux-gnu/libcrypto.a.orig /usr/lib/x86_64-linux-gnu/libcrypto.a

Oder im Script folgendes auskommentieren:

Code:

mv /usr/lib/x86_64-linux-gnu/libcrypto.so{,.orig}
mv /usr/lib/x86_64-linux-gnu/libcrypto.so.1.0.0{,.orig}
mv /usr/lib/x86_64-linux-gnu/libcrypto.a{,.orig}
cp /usr/lib/libcrypto.so /usr/lib/x86_64-linux-gnu/
cp /usr/lib/libcrypto.so.1.0.0 /usr/lib/x86_64-linux-gnu/
cp /usr/lib/libcrypto.a /usr/lib/x86_64-linux-gnu/

[MasterMints]

Einwandfrei! Zwar funktionierte erstmals dieser Kommando hier nicht - obwohl alles vom Pfad und auch generell vom vorhanden sein stimmte, doch letztendlich (seltsamerweise..) Fehlerfrei, nachdem die Reihenfolge ausgetauscht wurde :

"cp /usr/lib/x86_64-linux-gnu/libcrypto.so.orig /usr/lib/x86_64-linux-gnu/libcrypto.so
cp: Aufruf von stat für „/usr/lib/x86_64-linux-gnu/libcrypto.so.orig“ nicht möglich: Datei oder Verzeichnis nicht gefunden. (...)
bash-4.3# cp /usr/lib/x86_64-linux-gnu/libcrypto.so.1.0.0.orig /usr/lib/x86_64-linux-gnu/libcrypto.so.1.0.0
bash-4.3# cp /usr/lib/x86_64-linux-gnu/libcrypto.a.orig /usr/lib/x86_64-linux-gnu/libcrypto.a
bash-4.3# cp /usr/lib/x86_64-linux-gnu/libcrypto.so.orig /usr/lib/x86_64-linux-gnu/libcrypto.so // << plötzlich Fehlerfrei"

echt seltsam manchmal..

Vielen Dank ! Jetzt kann ich die Synchronisation für mein Postfach wieder auf automatisch statt manuell umstellen und mehrere tausende Spam-Mails/Logs vom System selbst bleiben mir nun auch erspart ; )

EDIT: Zu früh gefreut.. Folgende Fehlermeldung hätte mich beinahe wieder ausgesperrt, wenn ich nicht gerade wieder eine Log-Email von ClamAV erhalten hätte, diese die gleiche Nachricht ist wie zuvor beim selben Geschehen auch.. : "OpenSSL version mismatch. Built against 1000203f, you have 1000105f" Anders auch, SSH Zugang ist kaputt und ist somit deaktiviert. Hier hatte es jemand scheinbar so selbst gelöst, kann das einer vllt. Anpassen? Scheint so nicht direkt zu klappen (./config oder wo soll es ausgeführt werden? )

 Spoiler

Problem: libssl.so.1.0.0 and libcrypto.so.1.0.0 no version information available warning/error.

After much research, time and effort, (took weeks), here's what I finally ended up doing...

In the directory where you ended up extracting the source code for your version of openssl 1.0.1h (should work for other versions too.) I create a file called openssl.ld

In this file put this...

OPENSSL_1.0.0 {
global:
*;
};

save it. Now type in...

make clean

(Just to be sure we are starting fresh.)

Now for the really mind boggling part...

./config --prefix=/usr/local --openssldir=/usr/local/openssl shared -Wl,--version-script=openssl.ld -Wl,-Bsymbolic-functions

Then...

make
make test
make install
ldconfig

And that should do it. (It's so simple. No patching required.)

I have applied this solution to Debian Wheezy both 32 and 64 bit versions. And have made an observation. The 64 bit version automatically defaults to the new libssl.so.1.0.0 and libcrypto.so.1.0.0 files that are created in the /usr/local/lib directory. The 32 bit version does not. Which is why I had thought at first that the 32 bit version of Debian Wheezy didn't suffer from this problem, but it does once you get the 32 bit version to use the new openssl libraries in the /usr/local/lib dir.

Using the ldd command to test what libraries the binaries are using was invaluable in figuring this out too.

Eine Frage hätte ich noch bezüglich NGINX und dessen Performance - hat da wer bessere Empfehlungen? Wäre mal interessant zu wissen worauf ihr setzt und warum - falls das noch in diesen Thread gestattet ist mit zu besprechen.
Mir gefällt z.B. Die Latenz mit NGINX nicht - nach pagespeed.de ist die Latenz bei NGINX von den Script bei etwa (hierbei schaue ich auf folgenden Wert: "Transferstart nach Connect: XXX,XXX ms (Latenz*)" ) 80ms+ und bei einer reinen nginx/apache Version nur bei ca. 40-60ms - wenn man eine reine Seite oder eben Wordpress als Vorlage nimmt.

Neben Memcache hätte ich hier noch ein weiteren Kandidaten nämlich Varnish - diesen wollte ich auch schon vor geraumer Zeit vorschlagen, doch fiel mir dessen Name zudem Zeitpunkt nicht ein.. Außerdem scheint es auch noch nur im reinen HTML Protokoll zu fungieren. Zitat" Die Entwickler sprechen von einer 300-fachen bis maximal 1000-fachen Beschleunigung. " Was hält ihr davon?

Grüße,

[mxiiii]

Quote:

Originally Posted by MasterMints

EDIT: Zu früh gefreut.. Folgende Fehlermeldung hätte mich beinahe wieder ausgesperrt, wenn ich nicht gerade wieder eine Log-Email von ClamAV erhalten hätte

Probier mal OpenSSL sowie OpenSSH neu zu kompilieren. Habe bei mir gleich die mv/cp Befehle weggelassen und keine Fehler bekommen.

 Spoiler

Code:

#!/bin/bash
# Stops the script on the first error
set -e

OPENSSL_VERSION=1.0.2c
OPENSSH_VERSION=6.8

# Download OpenSSL
cd ~/sources
mkdir -p openssl-${OPENSSL_VERSION}_release
wget http://www.openssl.org/source/openssl-${OPENSSL_VERSION}.tar.gz
tar -xzvf openssl-${OPENSSL_VERSION}.tar.gz
cd openssl-${OPENSSL_VERSION}/
./config -fPIC shared --prefix=/usr --openssldir=/etc/ssl
make && make install INSTALL_PREFIX=~/sources/openssl-${OPENSSL_VERSION}_release
cp -rf ~/sources/openssl-${OPENSSL_VERSION}_release/* /
make clean

# Update OpenSSH 
cd ~/sources
wget http://ftp.hostserver.de/pub/OpenBSD/OpenSSH/portable/openssh-${OPENSSH_VERSION}p1.tar.gz
tar -xzvf openssh-${OPENSSH_VERSION}p1.tar.gz
cd openssh-${OPENSSH_VERSION}p1
./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-ssl-engine
make
mv /etc/ssh{,.bak}
make install

Habe bei mir gleich die mv/cp Befehle weggelassen und keine Fehler mehr.

Quote:

Originally Posted by MasterMints

Eine Frage hätte ich noch bezüglich NGINX und dessen Performance ...

Das habe ich auch schon bemerkt, aber noch keine Lösung gefunden. Wobei die reine Latenz nicht viel über den gesamten Seitenaufbau aussagt. Hast du mal von verschiedenen Standorten getestet und ggf. den Seitenaufbau verglichen ?

Quote:

Originally Posted by MasterMints

Neben Memcache hätte ich hier noch ein weiteren Kandidaten nämlich Varnish...
Zitat" Die Entwickler sprechen von einer 300-fachen bis maximal 1000-fachen Beschleunigung. " Was hält ihr davon?

Hmm, 300 - 1000-fachen Beschleunigung ? Glaub ich zwar persönlich nicht, aber ein versuch ist es Wert. Wenn meine Seite fertig ist Vergleich ich mal die 3

LG
mxiiii

[MasterMints]

Der Script lief einwandfrei durch, hat zwar meine SSH-Configs zurückgesetzt aber die meisten wurden nur kommentiert - alle bestehenden wurden allerdings überschrieben. Dafür hab ich aber auch meine BackUPS- ich bin gerade dabei diese auszugleichen.

Leider scheint dieser Fehler noch nicht behoben zu sein.. Ätzend. Oder muss ich nach diesen Script nun die oberen mv/cp Befehle noch mal durchführen? Bzw. Ist es bei dir wirklich behoben? Prüf doch mal via mail eine Nachricht nach außen zu senden, dabei sollte es nach dem versenden keine Ausgaben kommen wie:
"send-mail: /usr/lib/x86_64-linux-gnu/libcrypto.so.1.0.0: no version information available (required by /usr/lib/x86_64-linux-gnu/libssl.so.1.0.0)"

[mxiiii]

Quote:

Originally Posted by MasterMints

....
Leider scheint dieser Fehler noch nicht behoben zu sein.. Bzw. Ist es bei dir wirklich behoben? ....

Bei mir tauen die Fehler erst gar nicht auf. Allerdings hatte ich von Anfang an das Modifizierte Script benutzt.

Auf Grund von diesem Post:



und diesem Post:



[EDIT]

Ich hab noch mal im Script bei mir geschaut, ich hatte folgendes weggelassen:

Code:

#mv /usr/lib/x86_64-linux-gnu/libcrypto.so{,.orig}
#mv /usr/lib/x86_64-linux-gnu/libcrypto.so.1.0.0{,.orig}
#mv /usr/lib/x86_64-linux-gnu/libcrypto.a{,.orig}
#cp /usr/lib/libcrypto.so /usr/lib/x86_64-linux-gnu/
#cp /usr/lib/libcrypto.so.1.0.0 /usr/lib/x86_64-linux-gnu/
#cp /usr/lib/libcrypto.a /usr/lib/x86_64-linux-gnu/
#/sbin/ldconfig
#/usr/bin/updatedb

Hast du /sbin/ldconfig und /usr/bin/updatedb vor dem kompilieren ausgeführt um die Bibliotheken und Datenbanken zu aktualisieren ?

[MasterMints]

Quote:

Originally Posted by mxiiii

Hast du /sbin/ldconfig und /usr/bin/updatedb vor dem kompilieren ausgeführt um die Bibliotheken und Datenbanken zu aktualisieren ?

Nein, es kam mir nicht zu Sinne. Gib mir doch noch mal bitte das komplette Script überarbeitet mit allen notwendigen Schritten in der richtigen Reihenfolge - die Datenbank Aktualisierung dann auch inkl. Wenn möglich auch im Script bitte gleich die nötigen Ressourcen neu heruntergeladen, bei mir könnten diese dann z.B. vielleicht fehlerhaft überschrieben sein

Die einfachste Methode wäre sicherlich die neu Installation, aber da derzeit einige Ressourcen bereits im Betrieb sind würde ich gerne dies versuchen irgendwie so zu lösen - sollte wir das nicht irgendwie hinbekommen werde ich noch irgendwann bei passender Gelegenheit dies noch versuchen. Derzeit kann die neu Installation Methode also noch warten.

Meine Kenntnisse sind leider noch beschränkt auf die oberflächlichen Basics die bisher im normalen Umfeld benötigt wurden.. Es ist leider auch eine kritische Problematik stelle, ein kurzzeitiger Verbindungsverlust meinerseits reicht aus, um in den passendsten Momenten mich aus den Server aus zu sperren.. Oft genug geschehen ; )

EDIT: Habs mittlerweile schon selbst ausgetestet- scheint null zu helfen.. Werde irgendwann mal das System also neu aufsetzen..

[REtender]

Ich würde bei dem Script gerne noch ein paar eigene Installationen hinzufügen...
kann ich in dem part4(){ unter der letzten Zeile
magenta "/usr/local/vimbadmin/application/configs/application.ini"

gefahrlos noch eigene Dinge einfügen?
sed -i '1s/.*/5/' ~/status setzt ja danach erst den Status weiter...

[MasterMints]

Quote:

Originally Posted by REtender

Ich würde bei dem Script gerne noch ein paar eigene Installationen hinzufügen...
kann ich in dem part4(){ unter der letzten Zeile
magenta "/usr/local/vimbadmin/application/configs/application.ini"

gefahrlos noch eigene Dinge einfügen?
sed -i '1s/.*/5/' ~/status setzt ja danach erst den Status weiter...

Passe doch einfach folgendes an:

Code:

part5(){

<< im Script zu

HTML Code:

part6(){

ändern, dann das

Code:

sed -i '1s/.*/5/' ~/status
}

zu das :

HTML Code:

sed -i '1s/.*/6/' ~/status
}

und dann unter diesen Part

Code:

sed -i '1s/.*/4/' ~/status
}

folgendes hinzufügen:

Code:

part5(){

und

Code:

sed -i '1s/.*/6/' ~/status
}

unten drunter - zwischen den beiden kannst du dann dein Script ja einfügen.

Folgendes erweitern das es so aussieht am Ende:

Code:

# Need to extend this..
if [[ $(sed '1q;d' ~/status) == '' ]]; then
        part0
fi

if [[ $(sed '1q;d' ~/status) == '1' ]]; then
        part1
fi

if [[ $(sed '1q;d' ~/status) == '2' ]]; then
        part2
fi

if [[ $(sed '1q;d' ~/status) == '3' ]]; then
        part3
fi

if [[ $(sed '1q;d' ~/status) == '4' ]]; then
        part4
fi
if [[ $(sed '1q;d' ~/status) == '5' ]]; then
        part5
fi
if [[ $(sed '1q;d' ~/status) == '6' ]]; then
        part6
fi

Und fertig - jetzt machst du vor den letzten Schritt ein weiteren wo du alles bequem einrichten kannst! Schreibkenntnisse hab ich zwar noch keine, aber das Anpassen echt einfach zu sein.. Ich übernehme keine Garantie das es funktioniert, sollte es aber eigentlich wirklich. Hoffe du kannst mir bzw. die Umänderung nachvollziehen..