Der perfekte Rootserver (Nginx, SSL, Mailserver, Roundcube, phpMyAdmin, Firewall)
Discussion on Der perfekte Rootserver (Nginx, SSL, Mailserver, Roundcube, phpMyAdmin, Firewall) within the Tutorials forum part of the Off-Topics category.
Unzwar habe ich ja auf meinem Dedicated Root Proxmox am laufen.
und ich wollte mit diesem Script ohne Irgendwelche ausfälle oder Probleme auf meinem Dedicated Root Dass Script installieren.. aus dem Grund dass mir der SSH Zu Offen ist man könnte sich als Kunde von mir auf meinem HostRoot einfach per SSH verbinden und mein Passwort Knacken..
Jetzt meine Frage.
Kann ich weil der Kernel von Linux durch Proxmox ja bereits bearbeitet wurde dieses Script diereckt aufm Dedicated Server nutzenm um diesen Lediglich mit dem Script absichern ??
oder geht dass wirklich nur auf einem Sauberem Server mit Minimal Debian 8??
Hope U Can Help me ^^
LG Euer Axia
PS: auf dem Dedi laufen derzeit 3 V-Server mit dem Script für mich selbst und 2 Server mit Dem Script inkl Ts3 & GameServer die Vermietet wurden..
...der SSH Zu Offen ist man könnte sich als Kunde von mir auf meinem HostRoot einfach per SSH verbinden und mein Passwort Knacken..
Jetzt meine Frage.
....Proxmox ja bereits bearbeitet wurde dieses Script diereckt aufm Dedicated Server nutzenm um diesen Lediglich mit dem Script absichern ??
.....oder geht dass wirklich nur auf einem Sauberem Server mit Minimal Debian 8??
Zum Script:
Es würde auch auf einem nicht minimal System gehen, aber je nach installierter Software kann es eventuell zu Problemen kommen, da das Script nur auf minimal und clean getestet wurde.
Auf einem XEN-Server mit verändertem Kernel und vorinstalliertem Apache hat es funktioniert, musste nur den Apache vorher entfernen.
Bei Proxmox würde ich das Script allerdings nicht benutzen, da es ein in sich abgestimmtes System ist.
Zu SSH:
Wenn es dir nur um die Absicherung per KEY geht, erstell doch manuell einen neuen für den Server oder kopiere folgende Daten von einem bestehenden Server. Dann benötigst du auch nur noch ein KEY-File auf dem Verbindungsrechner und nicht für jeden Server ein eigenes.
Andere Frage.. Habe aktuell probleme auf dem Nginx server PHPbb zu installieren weißt du da zufällig weiter ? oder kannst du mir ein Anderes Foren Script ohne Unnötige funktionen sagen welches ich in meine PHP/CSS Seite implementieren kann ?!
Nach der Installation des Scripts (0.3.8) bekomme ich beim aufruf der Website über Firefox immer einen "mozilla_pkix_error_key_pinning_failure"-Fehler angezeigt. Weiss jemand wie ich das Problem lösen kann? Leider fand ich auch per Google keine brauchbare lösung.
Prüfe mal mit wie dein PIN für das Zertifikat ist und ob dieser mit dem Eintrag im NGNIX übereinstimmt.
Wenn die Einträge nicht übereinstimmen bitte die NGINX Config an den richtigen Pin anpassen.
Wenn du ein Lets Encrypt Zertifikat benutzt würde ich Pinning deaktivieren oder das Script v0.3.9 benutzen.
Begründung:
Aber egal was du machst, sobald dein Browser das Pinning erkannt hat ...ob mit richtiger oder falscher Pin ist egal.... lässt er dich für die eingestellte Zeit in der NGINX Config nur noch mit diesem Pin auf die Website. Wenn das Zertifikat dann nicht mit dem Pin übereinstimmt hast du dich ausgesperrt.
Wass muss ich beachten wenn ich die vHosts Von Nginx in den Apache2 Webserver von meinem Container aufm Root Übernehmen will?
Leider läuft da nur der Apache webserver da die Container Virtualisierung nicht mit Nginx arbeiten will.. und ich für etwas bestimmtes den Apache Webserver Benötige ^^
server {
listen 80 default_server;
server_name 127.0.0.1 domain.tld;
return 301 https://domain.tld$request_uri;
}
server {
listen 443;
server_name 127.0.0.1 www .dom ain. tld mail.domain.tld;
return 301 https://domain.tld$request_uri;
}
server {
listen 443 ssl http2 default deferred;
server_name domain.tld;
root /etc/nginx/html;
index index.php index.html index.htm;
charset utf-8;
error_page 404 /index.php;
ssl_certificate ssl/domain.tld.pem;
ssl_certificate_key ssl/domain.tld.key.pem;
ssl_trusted_certificate ssl/domain.tld.pem;
ssl_dhparam ssl/dh.pem;
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
ssl_session_tickets off;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_buffer_size 1400;
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 208.67.222.222 208.67.220.220 valid=60s;
resolver_timeout 2s;
ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK";
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
#add_header Public-Key-Pins 'pin-sha256="PIN1"; pin-sha256="PIN2"; max-age=5184000; includeSubDomains';
add_header Cache-Control "public";
add_header X-Frame-Options SAMEORIGIN;
add_header Alternate-Protocol 443:npn-http/2;
add_header X-Content-Type-Options nosniff;
add_header X-XSS-Protection "1; mode=block";
add_header X-Permitted-Cross-Domain-Policies "master-only";
add_header "X-UA-Compatible" "IE=Edge";
add_header "Access-Control-Allow-Origin" "*";
add_header Content-Security-Policy "script-src 'self' 'unsafe-inline' 'unsafe-eval' *.youtube.com maps.gstatic.com *.googleapis.com *.google-analytics.com cdnjs.cloudflare.com assets.zendesk.com connect.facebook.net; frame-src 'self' *.youtube.com assets.zendesk.com *.facebook.com s-static.ak.facebook.com tautt.zendesk.com; object-src 'self'";
pagespeed on;
pagespeed EnableFilters collapse_whitespace;
pagespeed EnableFilters canonicalize_javascript_libraries;
pagespeed EnableFilters combine_css;
pagespeed EnableFilters combine_javascript;
pagespeed EnableFilters elide_attributes;
pagespeed EnableFilters extend_cache;
pagespeed EnableFilters flatten_css_imports;
pagespeed EnableFilters lazyload_images;
pagespeed EnableFilters rewrite_javascript;
pagespeed EnableFilters rewrite_images;
pagespeed EnableFilters insert_dns_prefetch;
pagespeed EnableFilters prioritize_critical_css;
pagespeed FetchHttps enable,allow_self_signed;
pagespeed FileCachePath /var/lib/nginx/nps_cache;
pagespeed RewriteLevel CoreFilters;
pagespeed CssFlattenMaxBytes 5120;
pagespeed LogDir /var/log/pagespeed;
pagespeed EnableCachePurge on;
pagespeed PurgeMethod PURGE;
pagespeed DownstreamCachePurgeMethod PURGE;
pagespeed DownstreamCachePurgeLocationPrefix [url]http://127.0.0.1:80/;[/url]
pagespeed DownstreamCacheRewrittenPercentageThreshold 95;
pagespeed LazyloadImagesAfterOnload on;
pagespeed LazyloadImagesBlankUrl "data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7";
pagespeed MemcachedThreads 1;
pagespeed MemcachedServers "localhost:11211";
pagespeed MemcachedTimeoutUs 100000;
pagespeed RespectVary on;
pagespeed Disallow "*/pma/*";
# This will correctly rewrite your subresources with https:// URLs and thus avoid mixed content warnings.
# Note, that you should only enable this option if you are behind a load-balancer that will set this header,
# otherwise your users will be able to set the protocol PageSpeed uses to interpret the request.
#
#pagespeed RespectXForwardedProto on;
auth_basic_user_file htpasswd/.htpasswd;
location ~ \.php$ {
fastcgi_split_path_info ^(.+\.php)(/.+)$;
try_files $fastcgi_script_name =404;
set $path_info $fastcgi_path_info;
fastcgi_param PATH_INFO $path_info;
fastcgi_param APP_ENV production;
fastcgi_pass unix:/var/run/php5-fpm.sock;
fastcgi_index index.php;
include fastcgi.conf;
fastcgi_intercept_errors on;
fastcgi_ignore_client_abort off;
fastcgi_buffers 256 16k;
fastcgi_buffer_size 128k;
fastcgi_connect_timeout 3s;
fastcgi_send_timeout 120s;
fastcgi_read_timeout 120s;
fastcgi_busy_buffers_size 256k;
fastcgi_temp_file_write_size 256k;
}
include /etc/nginx/sites-custom/*.conf;
location / {
include /etc/nginx/naxsi.rules;
# Uncomment, if you need to remove index.php from the
# URL. Usefull if you use Codeigniter, Zendframework, etc.
# or just need to remove the index.php
#
#try_files $uri $uri/ /index.php?$args;
}
location ~* /\.(?!well-known\/) {
deny all;
access_log off;
log_not_found off;
}
location ~* (?:\.(?:bak|conf|dist|fla|in[ci]|log|psd|sh|sql|sw[op])|~)$ {
deny all;
access_log off;
log_not_found off;
}
location = /favicon.ico {
access_log off;
log_not_found off;
}
location = /robots.txt {
allow all;
access_log off;
log_not_found off;
}
location ~* ^.+\.(css|js)$ {
rewrite ^(.+)\.(\d+)\.(css|js)$ $1.$3 last;
expires 30d;
access_log off;
log_not_found off;
add_header Pragma public;
add_header Cache-Control "max-age=2592000, public";
}
location ~* \.(asf|asx|wax|wmv|wmx|avi|bmp|class|divx|doc|docx|eot|exe|gif|gz|gzip|ico|jpg|jpeg|jpe|mdb|mid|midi|mov|qt|mp3|m4a|mp4|m4v|mpeg|mpg|mpe|mpp|odb|odc|odf|odg|odp|ods|odt|ogg|ogv|otf|pdf|png|pot|pps|ppt|pptx|ra|ram|svg|svgz|swf|tar|t?gz|tif|tiff|ttf|wav|webm|wma|woff|wri|xla|xls|xlsx|xlt|xlw|zip)$ {
expires 30d;
access_log off;
log_not_found off;
add_header Pragma public;
add_header Cache-Control "max-age=2592000, public";
}
if ($http_user_agent ~* "FeedDemon|JikeSpider|Indy Library|Alexa Toolbar|AskTbFXTV|AhrefsBot|CrawlDaddy|CoolpadWebkit|Java|Feedly|UniversalFeedParser|ApacheBench|Microsoft URL Control|Swiftbot|ZmEu|oBot|jaunty|Python-urllib|lightDeckReports Bot|YYSpider|DigExt|YisouSpider|HttpClient|MJ12bot|heritrix|EasouSpider|Ezooms|Scrapy") {
return 403;
}
}
Weil ich kann ja nicht die nginx vHost config für Apache einfach übernehmen :/..
und auf dem Server muss leider Apache laufen weil mein GameScript nur für Apache Geschrieben wurde.. und auf Nginx auch nach längerer bearbeitung nicht läuft..
bekomme bei der Installation von dem script immer diese Fehler.
[19:31:43] | [INFO] Installing Arno-Iptables-Firewall...
[19:31:45] | [INFO] Configuring Arno-Iptables-Firewall...
grep: /etc/rc.local: No such file or directory
sed: can't read /etc/rc.local: No such file or directory
[19:31:47] | [INFO] Kernel hardening & system tuning...
nichteinmal ein Normales Forum wie PHPbb mit der Nginx Config die beigelegt wurde lässt sich installieren !!
Ich krieg die Kriese..
Ich Werde Jetzt den Server Neuinstallieren und Apache Als HauptWebserver installieren und später vielleicht den Nginx als Proxyserver habe eine anleitung gefunden und es ist nichtmal so schwer...
nichteinmal ein Normales Forum wie PHPbb mit der Nginx Config die beigelegt wurde lässt sich installieren !!
Ich krieg die Kriese..
Ich Werde Jetzt den Server Neuinstallieren und Apache Als HauptWebserver installieren und später vielleicht den Nginx als Proxyserver habe eine anleitung gefunden und es ist nichtmal so schwer...
Funktioniert wunderbar mit der beigelegten Config, es liegt einfach an dir.
Funktioniert wunderbar mit der beigelegten Config, es liegt einfach an dir.
Es kann aber nicht angehen .. weil ich habe ALLES versucht.. ich habe alle Anderen Configs offline genummen und nur die verwendet ich habe die aktuelle angepasst alles..
und Immer bekam ich nur ne Weiße seite..
genau so bei der installation von MyBB, VBulletin, XenForo oder Sonstigen Scripten.. entweder bin ich schlichtweg zu dumm oder ich mache alles Falsch wass ja nicht angehen kann .. :/ .. war schon kurz drauf und dran meinen RootServer an die tonne zu haun weil ich ja jetzt nen neuen von OVH habe wo ich mein Eigenes imaGE von Debian installiere..
//Edit//
Könntest du vielleicht mal deine vHosts von Nginx Uploaden natürlch anonymisiert.. d.h. ip und Domain raus nehmen ??..
vlcht kann ich den ja mal sehen wass bei mir falsch ist ..
bzw.. Hast du noch an anderen datein wass verändert.. weil WBB läuft ja bei mir nur halt alles andere nicht :/
Es kann aber nicht angehen .. weil ich habe ALLES versucht.. ich habe alle Anderen Configs offline genummen und nur die verwendet ich habe die aktuelle angepasst alles..
und Immer bekam ich nur ne Weiße seite..
genau so bei der installation von MyBB, VBulletin, XenForo oder Sonstigen Scripten.. entweder bin ich schlichtweg zu dumm oder ich mache alles Falsch wass ja nicht angehen kann .. :/ .. war schon kurz drauf und dran meinen RootServer an die tonne zu haun weil ich ja jetzt nen neuen von OVH habe wo ich mein Eigenes imaGE von Debian installiere..
//Edit//
Könntest du vielleicht mal deine vHosts von Nginx Uploaden natürlch anonymisiert.. d.h. ip und Domain raus nehmen ??..
vlcht kann ich den ja mal sehen wass bei mir falsch ist ..
bzw.. Hast du noch an anderen datein wass verändert.. weil WBB läuft ja bei mir nur halt alles andere nicht :/
nginx 1.9.9
Nicht vergessen, du musst cgi.fix_pathinfo auf 1 setzen, weil einige Frameworks sonst nicht laufen. Das hatte ich dir ja letzte Woche oder so mal geschrieben, als du ein Problem mit WBB4 hattest und eine Config gebraucht hast.
Wenn du SEO-Links in WBB4 aktiviert hast, benötigst du zusätzlich auch den Teil hier:
Code:
location / {
index index.php;
try_files $uri $uri/ /index.php?$uri&$args;
}
Andernfalls kannst du es rauslassen.
Der Rest ist identlisch mit dem aus der Installation..
Rootserver, Webspaces, Domains ab 130 e*G - Inkl. 700Gbps DDoS-Firewall 05/11/2015 - Web Host / Server Trading - 1 Replies http://i.epvpimg.com/wNEvd.png
http://i.epvpimg.com/POFCh.png
http://i.epvpimg.com/UaEcd.png
http://i.epvpimg.com/RV9Fb.png
http://i.epvpimg.com/U9ndf.png
http://i.epvpimg.com/l24Qg.png
http://i.epvpimg.com/A0aSc.png
http://i.epvpimg.com/0tvhc.png
http://i.epvpimg.com/IoQOd.png
[Suche]Perfekte Serverfiles+Client für Rootserver 07/26/2011 - Metin2 Private Server - 9 Replies Hey Leute,
Also ich suche für meinen Metin2-Rootserver gute Serverfiles+Client.
Sie sollten haben:
*Die neuen Waffen von SonyStyle
*Die neuen Rüsstungen von EYvil
*Reittiere (Egal ob alt oder neu)
*Maximal level: mindestens 120
*Es darf nichts verbuggt sein
Also das sollte in den Client+in den Serverfiles/Datenbank drinnen sein.
wie dein PIN für das Zertifikat ist und ob dieser mit dem Eintrag im NGNIX übereinstimmt.
