Der perfekte Rootserver (Support Thread)

TakeThisBitch · 06/29/2016, 11:21

Tut es aber irgendwie nicht. Muss ich mal schauen was ich wie dagegen machen kann u d vorallem wieso fail2ban das nicht selbst macht

Gesendet von meinem C6903 mit Tapatalk

REtender · 07/08/2016, 15:42

Falls es wer braucht / testen mag bzw. Anregungen hat:

Ich habe einen Fork erstellt und ein paar Sachen geändert wie
- Verisign durch den Google DNS ausgetauscht
- rc.local "Fehler" gefixt
- man kann Teamspeak 3 nun installieren!
- mc wird nun auto installiert

In Zukunft möchte ich vll noch mehr Programme einbauen die man auswählen kann, dass ist eine gute Möglichkeit um sich mit Linux auseinander zu setzen :P

Ich hoffe das ist für Zypr okay

TakeThisBitch · 07/08/2016, 15:47

Klingt gut. Werde es mal testen die tage.

Gesendet von meinem C6903 mit Tapatalk

_daniel4711 · 07/09/2016, 08:47

Kann man in der userconfig auch 2 Domain Adressen angeben?

TakeThisBitch · 07/09/2016, 08:48

Sollte nicht möglich sein

Gesendet von meinem C6903 mit Tapatalk

REtender · 07/12/2016, 01:12

Quote:
Originally Posted by TakeThisBitch
z.B. habe ich die Spielwiese vorhin neu aufgesetzt. Wieder Debian 8 so wie davor auch. Nur diesmal wurde beim bzw. nach dem erstellen des ssl Zertifikats gesagt, dass die .pem file nicht gefunden wurde.

Also nochmal neu aufgesetzt und siehe da, jetzt wieder:
Code:
[..]
[20:13:27] | [INFO] Creating valid SSL certificates...
sources/script/functions.sh: line 627: /etc/nginx/ssl/meine-domain.de.pem: No such file or directory
unable to load Public Key
[20:16:22] | [INFO] Creating strong Diffie-Hellman parameters, please wait...

Da ich gerade mit meinem Fork rumspiele installiere ich regelmäßig meine Spielwiese neu...
Ich bekomme mit den Original und meinem Script den Fehler und die Domain steht definitiv klein in der Config

Der Wurm ist wohl bei ./letsencrypt-auto
... es wird kein /etc/letsencrypt/live/${MYDOMAIN}/fullchain.pem angelegt, daher wird auch kein gültiger Link erzeugt...
ergo lädt er den public Key nicht
Nun ist die Frage wieso das ab und an auftritt... vielleicht wenn man zu oft an einem Tag ein Cert anfordert bzw. dauert es dann mal länger?

TakeThisBitch · 07/12/2016, 08:07

Nein, das kann eigentlich nicht sein, weil es keine laufzeitbegrenzung gibt. Auch lets encrypt hat nur eine Limitierung von der Anzahl der Zertifikate pro domain á 7 Tage soweit ich weiß.

Ich werd da auch nochmal was prüfen.

Mal ne Frage zum Zertifikat :
Wird das automatisch erneuert? Habe nämlich eine Mail bekommen, dass die Zertifikate heute auslaufen und ich die erneuern soll.

Dachte der.cron geht ein paar.tage vor auslaufen der Zertifikate los.

Gesendet von meinem C6903 mit Tapatalk

Hello,

Your certificate (or certificates) for the names listed below will expire in 1 days (on 12 Jul 16 19:31 +0000). Please make sure to renew your certificate before then, or visitors to your website will encounter errors.

autoconfig.domain.de
autodiscover.domain.de
mail.domain.de

Domain.de

For any questions or support, please visithttps://community.letsencrypt.org/. Unfortunately, we can't provide support by email.

=--------------------------------------------=

Achso, was meiner Meinung nach im Script fehlt sind nen paar moderne serverüberwachungsmethoden.

Z.b. Bei übermäßig viel traffic.

Außerdem kann man nach der Installation doch einen oder mehrere hashwerte der Ordner erstellen. Ausgenommen log Ordner oder sonstige dynamische Inhalte.

Installiert man dann eine Seite oder macht was, generiert man die "sauberen" hashwerte neu. Auch nach einem update und.upgrade.

Sollte sich dann irgendwann mal doch maleware unterjubeln sollte man in einer wöchentlichen hashprüfung das.erkennen.

Gesendet von meinem C6903 mit Tapatalk

REtender · 07/12/2016, 11:56

Quote:

20 certificates per registered domain per week (up from 5).
Added an exception to this limit for renewing certificates (issuing a new certificate with same names as a previous one).
Added a new limit on issuing certificates with the exact same set of names: 5 certificates per FQDN set per week.

Das wird es wohl sein... gut zu wissen das es da ein Limit gibt

Gut dann wird die Spielwiese erstmal nur ein selbst erstelltes Zertifikat haben.

TakeThisBitch · 07/12/2016, 12:24

Hat das Script eine Methode zum erneuern der Zertifikate?

Wie kann ich die erneuern?

Gesendet von meinem C6903 mit Tapatalk

TiggaStyle · 07/12/2016, 12:56

ich weiß grade nicht wo letsencrypt liegt, aber es gibt die funktion letsencrypt --renew

Tulskie · 07/15/2016, 19:16

Quote:
Originally Posted by Zypr
Der perfekte Rootserver

Version 0.3.8

Was kann das Skript?:

Das Zertifikat von Let's Encrypt ist aktuell nur 3 Monate gültig, deshalb muss es ca. alle 80 Tage neu validiert werden. Let's Encrypt ansich findet man hier:
Code:
/root/sources/letsencrypt
So erstellt/erneutert man sein Zertifikat:

In den Ordner navigieren:
Code:
cd ~/sources/letsencrypt
Jetzt kann man ein neues Zertifikat erstellen. Let's Encrypt bietet zwar keine Wildcard Zertifikate an, unterstützt aber meines Wissens nach beliebig viele Subdomains.
Code:
Wenn der Mailserver genutzt wird:
./letsencrypt-auto --agree-tos --renew-by-default --email  --rsa-key-size 4096 -d deinedomain.tld -d www.deinedomain.tld -d mail.deinedomain.tld -d autodiscover.deinedomain.tld -d autoconfig.deinedomain.tld -d dav.deinedomain.tld certonly

Wenn der Mailserver nicht genutzt wird:
./letsencrypt-auto --agree-tos --renew-by-default --email  --rsa-key-size 4096 -d deinedomain.tld -d www.deinedomain.tld certonly
Die E-Mail ist wichtig, damit man bei Verlust seine Daten wiederbekommt.

Zypr

Bitteschön

REtender · 07/17/2016, 02:47

Ich habe den Script nochmal erweitert und man kann neben Teamspeak 3 nun auch Ajenti installieren

Es sollte alles funktionieren wobei ich noch unzufrieden bin, dass der User selbst das Ajenti Standard Passwort ändern muss.

_daniel4711 · 07/17/2016, 09:02

Die aktuelle Installation hab ich noch nicht ausprobiert. Aber mal eine grundsätzliche Frage. Beim Aufruf der Domain werd ich immer wieder auf

geleitet.

funktioniert nicht. Was müsste ich an der conf ändern?

REtender · 07/17/2016, 13:11

Quote:

Originally Posted by _daniel4711

Die aktuelle Installation hab ich noch nicht ausprobiert. Aber mal eine grundsätzliche Frage. Beim Aufruf der Domain werd ich immer wieder auf geleitet. funktioniert nicht. Was müsste ich an der conf ändern?

Schau mal in der Userconfig:

Quote:

# Enter your domain without a subdomain (www) unless you know what you are doing!
# --------------------------------
MYDOMAIN="yourdomain.tld"

Nachträglich kann man das nur über Nginx ändern -> Vhosts-Konfiguration (/etc/nginx/sites-available) denke ich mal

Wenn man "redirect www to https nginx" googled finden sich Beispiele von configs bzw. Ansätzen... ich bin gerade leider auf dem Sprung, vll hilft es ja dennoch.

bubliko · 07/17/2016, 14:24

kann jemand auch eine Version ohne Mailserver machen?

ich nutze immer die Mailserver von meinem Hoster, da es öffters mal sehr anstrengent ist mit eigenem Server. muss ja immer erreichbar sein.
oder kann Postfix & Co einfach ausschalten, ohne dass die Mails über "Kontaktformular" ankommen?

wie geht man da am besten vor?