Der perfekte Rootserver (Nginx, SSL, Mailserver, Roundcube, phpMyAdmin, Firewall)

[-skyDIVE]

Danke, wenn ich nur Cloudflare für die DNS Verwaltung benutze, sprich keine Protection etc. brauche ich das wohl nicht zu machen mit den zusätzlichen Schritten oder?

[Zypr]

Quote:

Originally Posted by losaruka

Hi Leute,

ich habe das Skript installiert. Alles war wunderbar. Keine Fehler oder ähnliches.
Dann sollte ich ViMbAdmin einrichten. Die Salts konnte ich auch in die .ini einfügen. Aber sobald ich einen Admin Account erstellen möchte, ich gebe eine Mail und ein Passwort an, kommt auf der nächsten Seite einfach eine leere Seite ohne irgendeine Fehlermeldung oder ähnliches. Ich habe nichts verändert und bin einfach nach Anleitung vorgegangen.

Was mich wundert ist, dass kein Fehler ausgegeben wird. Es erscheint einfach gar nichts. Hat jemand eine Idee, was ich tun kann? Sollte ich ViMbAdmin nochmal neu installieren oder kann ich einen Admin direkt in der DB eintragen?

Bin über jegliche Hilfe dankbar.

Hallo losaruka,

so lange die Fehlermeldung vom Webserver vearbeitet wird, siehst du die Ausgabe nur im Header. Es kann gut möglich sein, dass es eine neue Änderung gibt die sich nicht mit einer Modsecurity Regel verträgt. Sehen kannst du das in dem Log:

Code:

/etc/nginx/logs/modsecurity.log

Im Log stehen dann ziemlich viele Informationen, unter anderem auch die Zeile, in der du die zuständige Regel findest. Such nach dem zeitlich passenden Eintrag und achte auf [line "xxxx"]

Anschließend kannst du die Regel hier auskommentieren/löschen:

Code:

/etc/nginx/modsecurity/modsecurity.conf

Die Standard-OWASP-Regeln sind leider nur mit bekannten Skripten umfassend kompatibel, z. Bsp. Foren wie vBulletin, WBB, XenForo, PHPBB, etc..

Ich teste die neuste Version gleich auch mal, dann werde ich die entsprechende Regel entweder auskommentieren oder ViMbAdmin whitelisten.

Quote:

Originally Posted by -skyDIVE

Danke, wenn ich nur Cloudflare für die DNS Verwaltung benutze, sprich keine Protection etc. brauche ich das wohl nicht zu machen mit den zusätzlichen Schritten oder?

Hallo skyDIVE,

Wenn du den Schutz nicht aktiv nutzt und die entsprechenden DNS-Einträge direkt auf die IP-Adresse deines Servers auflösen, dann müsstest du am Anfang der Installation sagen, dass du CloudFlare nicht nutzt.

Viele Grüße

[losaruka]

Quote:

Originally Posted by .interp

Hallo losaruka,

so lange die Fehlermeldung vom Webserver vearbeitet wird, siehst du die Ausgabe nur im Header. Es kann gut möglich sein, dass es eine neue Änderung gibt die sich nicht mit einer Modsecurity Regel verträgt. Sehen kannst du das in dem Log:

Code:

/etc/nginx/logs/modsecurity.log

Im Log stehen dann ziemlich viele Informationen, unter anderem auch die Zeile, in der du die zuständige Regel findest. Such nach dem zeitlich passenden Eintrag und achte auf [line "xxxx"]

Anschließend kannst du die Regel hier auskommentieren/löschen:

Code:

/etc/nginx/modsecurity/modsecurity.conf

Die Standard-OWASP-Regeln sind leider nur mit bekannten Skripten umfassend kompatibel, z. Bsp. Foren wie vBulletin, WBB, XenForo, PHPBB, etc..

Ich teste die neuste Version gleich auch mal, dann werde ich die entsprechende Regel entweder auskommentieren oder ViMbAdmin whitelisten.

Hi .interp,

also mein log sagt folgendes aus:

Code:

[28/Apr/2015:19:04:29 +0200] [/sid#7f526d6010a0][rid#7f5261e120a0][/auth/setup][1] Access denied with code 403 (phase 2). Pattern match "pattern" at ARGS:salt. [file "/etc/nginx/modsecurity/modsecurity.conf"] [line "1777"] [id "981231"] [rev "2"] [msg "SQL Comment Sequence Detected."] [data "Matched Data: data found within ARGS:salt: securitysalt"] [severity "CRITICAL"] [ver "OWASP_CRS/2.2.9"] [maturity "8"] [accuracy "8"] [tag "OWASP_CRS/WEB_ATTACK/SQL_INJECTION"] [tag "WASCTC/WASC-19"] [tag "OWASP_TOP_10/A1"] [tag "OWASP_AppSensor/CIE1"] [tag "PCI/6.5.2"]

In line 1777 ist ein Eintrag zum Thema Cookies. Kann es sein, dass diese gesperrt sind? Jedenfalls wenn ich die Zeile auskommentiere, hilft es trotzdem nichts. Was mich vielmehr verwundert: Access denied with code 403 (phase 2). Was kann das denn sein? Fehlt da eine Berechtigung?

Falls kein Problem gefunden wird, kann ich den ViMbAdmin deinstallieren und eine Alternative installieren? Wenn ja, gibt es eine Empfehlung (postfixadmin, VBoxAdm, posty...)?

Hoffe auf Hilfe, denn ich wollte eigentlich den Mailserver umziehen. Und jetzt geht er nicht

Und wie ist das eigentlich mit dem MX-Eintrag? Muss ich da tatsächlich mail.domain.tld eingeben oder die IP meines Servers? Weil ich finde es merkwürdig, im DNS der Domain die eigene Domain einzugeben. Eventuell ist das auch ein Problem?!

Danke schon mal.

[Zypr]

Quote:

Originally Posted by losaruka

Hi .interp,

also mein log sagt folgendes aus:

Code:

[28/Apr/2015:19:04:29 +0200] [/sid#7f526d6010a0][rid#7f5261e120a0][/auth/setup][1] Access denied with code 403 (phase 2). Pattern match "pattern" at ARGS:salt. [file "/etc/nginx/modsecurity/modsecurity.conf"] [line "1777"] [id "981231"] [rev "2"] [msg "SQL Comment Sequence Detected."] [data "Matched Data: data found within ARGS:salt: securitysalt"] [severity "CRITICAL"] [ver "OWASP_CRS/2.2.9"] [maturity "8"] [accuracy "8"] [tag "OWASP_CRS/WEB_ATTACK/SQL_INJECTION"] [tag "WASCTC/WASC-19"] [tag "OWASP_TOP_10/A1"] [tag "OWASP_AppSensor/CIE1"] [tag "PCI/6.5.2"]

In line 1777 ist ein Eintrag zum Thema Cookies. Kann es sein, dass diese gesperrt sind? Jedenfalls wenn ich die Zeile auskommentiere, hilft es trotzdem nichts. Was mich vielmehr verwundert: Access denied with code 403 (phase 2). Was kann das denn sein? Fehlt da eine Berechtigung?

Falls kein Problem gefunden wird, kann ich den ViMbAdmin deinstallieren und eine Alternative installieren? Wenn ja, gibt es eine Empfehlung (postfixadmin, VBoxAdm, posty...)?

Hoffe auf Hilfe, denn ich wollte eigentlich den Mailserver umziehen. Und jetzt geht er nicht

Und wie ist das eigentlich mit dem MX-Eintrag? Muss ich da tatsächlich mail.domain.tld eingeben oder die IP meines Servers? Weil ich finde es merkwürdig, im DNS der Domain die eigene Domain einzugeben. Eventuell ist das auch ein Problem?!

Danke schon mal.

Also Access denied ist ja richtig, das ist das Resultat nach der Ausführung der Regel. Der Webserver verwehrt bei Verletzung einer Regel einfach den Zugriff auf eine bestimmte Ressource. Den Code kann man frei definieren, jedoch ist 403 am schlüssigsten und hat erstmal nichts mit der Berechtigung zu tun. Schalte modsecurity doch einfach mal aus und teste es erneut, dann siehst du ob es daran liegt oder nicht. Bitte die entsprechende Option in deiner vma.domain.conf abändern:

/etc/nginx/sites-available/vma.beispieldomain.de.conf

Code:

			location / {
			   	ModSecurityEnabled off;
			   	ModSecurityConfig modsecurity/modsecurity.conf;

Du kannst natürlich andere Admin-Tools nutzen, um den Mailserver zu bedienen, allerdings müsstest du je nach Datenbankstruktur die SQL-Einstellungen von Postfix und Dovecot entsprechend anpassen. Da müsstest du dir Beispiele suchen oder die FAQ des jeweiligen Tools durchlesen.

Gruß

[-skyDIVE]

Hallo,

was wenn ich z.B. dann i-Mscp installieren möchte, und die Kunden (bzw ich) dann das ganze über Cloudflare schalten? Die IPs von Cloudflare werden dann doch noch trotzdem blockiert oder?

[losaruka]

Quote:

Originally Posted by .interp

Also Access denied ist ja richtig, das ist das Resultat nach der Ausführung der Regel. Der Webserver verwehrt bei Verletzung einer Regel einfach den Zugriff auf eine bestimmte Ressource. Den Code kann man frei definieren, jedoch ist 403 am schlüssigsten und hat erstmal nichts mit der Berechtigung zu tun. Schalte modsecurity doch einfach mal aus und teste es erneut, dann siehst du ob es daran liegt oder nicht. Bitte die entsprechende Option in deiner vma.domain.conf abändern:

/etc/nginx/sites-available/vma.beispieldomain.de.conf

Code:

			location / {
			   	ModSecurityEnabled off;
			   	ModSecurityConfig modsecurity/modsecurity.conf;

Du kannst natürlich andere Admin-Tools nutzen, um den Mailserver zu bedienen, allerdings müsstest du je nach Datenbankstruktur die SQL-Einstellungen von Postfix und Dovecot entsprechend anpassen. Da müsstest du dir Beispiele suchen oder die FAQ des jeweiligen Tools durchlesen.

Gruß

Habe ich gemacht, jetzt lädt er ewig. Also scheint schon mit modsecurity zu tun zu haben. Aber ich bin da echt überfragt...:-(

Wie sieht es eigentlich damit aus, zusätzliche Subdomains einzubinden? Im DNS sind die da und habe auch eine .conf erstellt. Jedoch meldet mir Firefox, dass dem Zertifikat nicht vertraut wird und ich kann die Domain gar nicht aufrufen... Und als ich owncloud installieren wollte, wird mir immer gemeldet, dass ich keine Berechtigung habe, es zu installieren. Habe die Daten unter nginx/html/ abgelegt...
Ich mag das Skript wirklich sehr, aber irgendwie klappt das bei mir nicht so gut

Nochmal danke für die Hilfe :-)

[Zypr]

Quote:

Originally Posted by -skyDIVE

Hallo,

was wenn ich z.B. dann i-Mscp installieren möchte, und die Kunden (bzw ich) dann das ganze über Cloudflare schalten? Die IPs von Cloudflare werden dann doch noch trotzdem blockiert oder?

Bei der Installation gibt es nur eine Sache bzgl. CloudFlare zu beachten: Wenn du am Anfang der Installation die Option "Mit CloudFlare" auswählst, erhälst du nach der Installation bei direktem Aufruf deiner IP-Adresse ein 503: Service Unavailable. Ein redirect gibt es in dem Fall auch nicht (Siehe Zeilen 666 - 675 im Skript). Es gibt noch die hardcore Variante, bei der du grundsätzlich nur CloudFlare-Diensten erlaubst sich mit deinem Server zu verbinden. Dies bringt allerdings das Risiko mit sich, dass wenn du nicht mindestens "CloudFlare Business" nutzt, die bei einer größeren Attacke ganz schnell den Schutz deaktivieren und den Traffic direkt zu dir routen.. dann ist deine Seite aber überhaupt nicht mehr erreichbar.

Wenn du allerdings die Option "Kein CloudFlare" nimmst, installiert das Skript alles ganz normal. Du oder deine Kunden können CloudFlare inkl. dem Schutz natürlich nutzen, allerdings müsstest du eine Kleinigkeit in deine nginx.conf packen:
Wenn du also angeriffen wirst oder allgemein Ressourcen schonen möchtest und z. Bsp. mit dem arbeitest, dann hast du dank der realip Funktion () die korrekte IP-Adresse.

Quote:

Originally Posted by losaruka

Habe ich gemacht, jetzt lädt er ewig. Also scheint schon mit modsecurity zu tun zu haben. Aber ich bin da echt überfragt...:-(

Wie sieht es eigentlich damit aus, zusätzliche Subdomains einzubinden? Im DNS sind die da und habe auch eine .conf erstellt. Jedoch meldet mir Firefox, dass dem Zertifikat nicht vertraut wird und ich kann die Domain gar nicht aufrufen... Und als ich owncloud installieren wollte, wird mir immer gemeldet, dass ich keine Berechtigung habe, es zu installieren. Habe die Daten unter nginx/html/ abgelegt...
Ich mag das Skript wirklich sehr, aber irgendwie klappt das bei mir nicht so gut

Nochmal danke für die Hilfe :-)

Ich habe die Installation nun mit den neusten Versionen durchgeführt und musste jetzt auch feststellen, dass ViMbAdmin nicht sauber funktioniert. Das Problem ist ganz klar ModSecurity.. nach der fünften Regel habe ich es für die Subdomain komplett deaktiviert. Bis ich eine Lösung dafür gefunden habe, bleibt es erstmal aus.

Was die Subomains angeht: Während HSTS aktiv ist, wird man die Problematik mit dem unsicheren Zertifikaten immer haben, sobald man für die Subdomain ein Zertifikat nutzt, das nicht dafür ausgestellt worden ist. Um das Problem zu lösen, brauchst du entweder für jede Subdomain ein einzelnes Zertifikat oder eines, das per Wildcard alle Subdomains der TLD abdeckt.

Bzgl. Owncloud: Wenn du etwas hochgeladen hast, musst du www-data die Rechte dafür erteilen, sonst hat das Installationsskript von Owncloud Schwierigkeiten bei der Installation. Das geht so:

Code:

chown -R www-data:www-data /pfad/zum/owncloud/ordner/

Wenn du Owncloud nur privat nutzt, kannst du auch CAcert nutzen und die Zerfikate auf deinen Systemen installieren, damit die Zertifizierungsstelle nicht als "unbekannt" aufpoppt. Spätestens wenn aktiv ist, hat sich das mit den Zerfikaten sowieso erledigt.. in der Hoffnung, dass die großen Anbieter da draußen normale Domain-Zertifikate auch kostenfrei anbieten.

[losaruka]

Quote:

Originally Posted by .interp

Ich habe die Installation nun mit den neusten Versionen durchgeführt und musste jetzt auch feststellen, dass ViMbAdmin nicht sauber funktioniert. Das Problem ist ganz klar ModSecurity.. nach der fünften Regel habe ich es für die Subdomain komplett deaktiviert. Bis ich eine Lösung dafür gefunden habe, bleibt es erstmal aus.

Was die Subomains angeht: Während HSTS aktiv ist, wird man die Problematik mit dem unsicheren Zertifikaten immer haben, sobald man für die Subdomain ein Zertifikat nutzt, das nicht dafür ausgestellt worden ist. Um das Problem zu lösen, brauchst du entweder für jede Subdomain ein einzelnes Zertifikat oder eines, das per Wildcard alle Subdomains der TLD abdeckt.

Bzgl. Owncloud: Wenn du etwas hochgeladen hast, musst du www-data die Rechte dafür erteilen, sonst hat das Installationsskript von Owncloud Schwierigkeiten bei der Installation. Das geht so:

Code:

chown -R www-data:www-data /pfad/zum/owncloud/ordner/

Wenn du Owncloud nur privat nutzt, kannst du auch CAcert nutzen und die Zerfikate auf deinen Systemen installieren, damit die Zertifizierungsstelle nicht als "unbekannt" aufpoppt. Spätestens wenn aktiv ist, hat sich das mit den Zerfikaten sowieso erledigt.. in der Hoffnung, dass die großen Anbieter da draußen normale Domain-Zertifikate auch kostenfrei anbieten.

Hi .interp,

vielen Dank für die ausführliche Hilfestellung.
Was rätst du beim vorgehen mit ViMbAdmin? Selbst wenn ich modsecurity auf "off" stelle, lädt die Seite nur ewig und es gibt kein Ergebnis. Ist es ratsam das Skript nochmal neu zu installieren und dann gleich zu Beginn die modsecurity für vma.domain.tld auszuschalten? Weil so wie jetzt läuft es ja nicht wirklich rund .

Des Weiteren hatte ich mir ein Wildcard-Zertifikat erstellt (*.domain.tld). Aber weiterhin bekomme ich die Meldung, dass das Zertifikat selbst signiert ist. Kannst du eventuell nochmal schreiben, wie man ein Wildcard-Zertfikat anlegt? Kann man dabei so vorgehen: ?

Und letsencrypt.org hört sich ja echt gut an. Hoffentlich wird das was. Das würde viele echt erleichtern, weil das schon teilweise anstrengend ist

Vielen Dank nochmals. :-)

[-skyDIVE]

Danke interp für die Hilfe ! Hätte noch eine Frage: Das Script sollte auch für Debian Jessie (8) klappen oder?

[Zypr]

Quote:

Originally Posted by losaruka

Hi .interp,

vielen Dank für die ausführliche Hilfestellung.
Was rätst du beim vorgehen mit ViMbAdmin? Selbst wenn ich modsecurity auf "off" stelle, lädt die Seite nur ewig und es gibt kein Ergebnis. Ist es ratsam das Skript nochmal neu zu installieren und dann gleich zu Beginn die modsecurity für vma.domain.tld auszuschalten? Weil so wie jetzt läuft es ja nicht wirklich rund .

Des Weiteren hatte ich mir ein Wildcard-Zertifikat erstellt (*.domain.tld). Aber weiterhin bekomme ich die Meldung, dass das Zertifikat selbst signiert ist. Kannst du eventuell nochmal schreiben, wie man ein Wildcard-Zertfikat anlegt? Kann man dabei so vorgehen: ?

Und letsencrypt.org hört sich ja echt gut an. Hoffentlich wird das was. Das würde viele echt erleichtern, weil das schon teilweise anstrengend ist

Vielen Dank nochmals. :-)

Grüß dich,

also ich habe modsecurity auch einfach deaktiviert und konnte ViMbAdmin nach einem Neustart des Webservers wieder aufrufen. Evtl. solltest du mal die Cookies löschen, denn neu installieren sollte jetzt nicht nötig sein (:

Was die Zertifikate angeht: Chrome zeigt dir diese Meldung bei jedem Besuch an, allerdings hast du dank des Wildcard Zertifikats kein Problem mehr mit HSTS, so kannst du die Seite dennoch besuchen. Diese Meldung wird auch nie wegfallen, so lange die Zertifizierungsstelle (In dem Falle ja du selbst) unbekannt ist. Mit CAcert kannst du das wie bereits erwähnt elegant lösen, indem du die Root Zertifikate lokal installierst. Firefox hingegen weist dich selbst bei einem selbst signierten Zertifkat nur einmal darauf hin, dann kommt - zumindest bei mir (Ich nutze Pale Moon) - gar keine Meldung mehr, da das Zertifkat der Ausnahme hinzugefügt wurde.

Quote:

Originally Posted by -skyDIVE

Danke interp für die Hilfe ! Hätte noch eine Frage: Das Script sollte auch für Debian Jessie (8) klappen oder?

Ich habe es am Releasetag direkt ausprobiert, leider gibt es ein Problem mit Fuse und der Installation von ClamAV, auf die ich kein Einfluss habe. Aktuell teste ich neue Software und schaue mir Alternativen an. Sobald es auf Jessie läuft, werde ich es hier bekannt geben.

Gruß

[losaruka]

Quote:

Originally Posted by .interp

Grüß dich,

also ich habe modsecurity auch einfach deaktiviert und konnte ViMbAdmin nach einem Neustart des Webservers wieder aufrufen. Evtl. solltest du mal die Cookies löschen, denn neu installieren sollte jetzt nicht nötig sein (:

Was die Zertifikate angeht: Chrome zeigt dir diese Meldung bei jedem Besuch an, allerdings hast du dank des Wildcard Zertifikats kein Problem mehr mit HSTS, so kannst du die Seite dennoch besuchen. Diese Meldung wird auch nie wegfallen, so lange die Zertifizierungsstelle (In dem Falle ja du selbst) unbekannt ist. Mit CAcert kannst du das wie bereits erwähnt elegant lösen, indem du die Root Zertifikate lokal installierst. Firefox hingegen weist dich selbst bei einem selbst signierten Zertifkat nur einmal darauf hin, dann kommt - zumindest bei mir (Ich nutze Pale Moon) - gar keine Meldung mehr, da das Zertifkat der Ausnahme hinzugefügt wurde.

Danke für die Hilfe. ViMbAdmin läuft jetzt erstmal. Und das mit dem Zertifikat werde ich auch noch irgendwie hinbekommen.
Falls nochmal was ist, melde ich mich.

Edit: Habe nochmal ein Problem: Wie füge ich denn bei nginx andere Subdomains hinzu? Habe es geschafft, ein Wildcard-Cert zu erstellen. Aber wenn ich z.B. die conf von der vma kopiere und dort dann die Werte der Domain eintrage, die ich aufschalten möchte, werde ich immer nur auf das html-root verwiesen. Ich habe auch einen symlink erstellt. Keine Besserung. Was müsste denn in die conf rein, damit die Subdomain richtig abgerufen wird? Sitze da jetzt schon seit mehreren Stunden dran

Grüße
losaruka

Und wenn ich versuche mich mit roundcube oder rainloop einzuloggen ( + passwd) rödelt er immer ewig und es passiert nichts. Bei roundcube habe ich bei IMAP und SMTP ssl://mail.domain.tld eingetragen und darunter die Ports aus dem Script. Aber es funktioniert einfach nicht.

Kannst Du mir dabei helfen, das richtig einzurichten? Ich bekomme es einfach nicht gebacken. Es ist auch nicht so, dass ich alles durchgeguckt hätte um nach Fehlern zu suchen. Aber alles scheint richtig. Bin ratlos, denn in Thunderbird oder Gmail (auf dem Smartphone) kann ich meinen Mailserver problemlos einbinden und auch senden + empfangen.

Also, todo ist gerade Subdomains und Webmailclient. Wenn das gehen würde, wäre ich glücklich. Wenn du Infos brauchst, einfach Bescheid sagen. Kann dir alles geben ;-)

Beste Grüße

[jmzbz]

Hallo,

Ist das tutorial Der Perfekte Server auch schon auf "Jessie" anwendbar?

vg jmz

[-skyDIVE]

Hallo,

ich benutze es auf Debian 7 und es läuft perfekt, allerdings kann ich keine Mail zu live.de senden, da es anscheinend blockiert wird.

Quote:

Diagnostic-Code: smtp; 550 SC-001 (BAY004-MC4F34) Unfortunately, messages from
IPADRESSEDESSERVERS weren't sent. Please contact your Internet service provider
since part of their network is on our block list. You can also refer your
provider to .


Hay.eml

Hast du da eine Lösung ?

[Zypr]

Quote:

Originally Posted by -skyDIVE

Hallo,

ich benutze es auf Debian 7 und es läuft perfekt, allerdings kann ich keine Mail zu live.de senden, da es anscheinend blockiert wird.

Hast du da eine Lösung ?

Microsoft (Hotmail) ist leider etwas paranoid und blockiert teilweise ganze IP-Ranges, siehe auch hier:

Schau dir folgendes an:

[-skyDIVE]

Danke, sprich ich muss einfach DNS einträge anpassen oder wie kann ich das insgesamt entnehmen?