Beiträge von nitram70

    Hallo,

    aktuelles Problem, certbot-auto will nicht mehr laufen bzw. Updates installieren und ich würde daher ebenfalls gerne auf den Python Kram verzichten. Dazu müsste man zunächst wissen, ob nur der Certbot Python benötigt oder auch das letsencrypt Script.


    Hier gibts eine Liste von ACME kompatiblen Clients als Certbot-Alternativen, ein Providerkollege empfahl mir ebenfalls acme.sh


    Hat da schonmal jemand implementiert?


    Viele Grüße,

    Martin

    Gefunden und installiert. Klappt aber nicht zu 100%, ich habe dasselbe Problem wie oben beschrieben, der Login klappt aber der Dateibrowser baut sich nicht auf. Ich nutze Cyberduck auf dem Mac aber auch ein anderer FTP Client tats nicht.


    Im user.log sieht man "Login successfull" aber mehr passiert nicht.


    Code
    1. PassivePorts 6000 6100

    habe ich wie beschrieben eingefügt, keine Änderung.


    Aktivieren des tls.log brachte folgende Einträge:

    Code
    1. 2018-12-09 09:49:04,460 mod_tls/2.6[7563]: TLS/TLS-C requested, starting TLS handshake
    2. 2018-12-09 09:49:04,608 mod_tls/2.6[7563]: client supports secure renegotiations
    3. 2018-12-09 09:49:04,608 mod_tls/2.6[7563]: TLSv1 connection accepted, using cipher ECDHE-RSA-AES256-SHA (256 bits)
    4. 2018-12-09 08:49:04,681 mod_tls/2.6[7563]: Protection set to Private

    Mehr kann ich leider nicht bieten...

    Noch ein Nachtrag: Es hat sich gezeigt, dass das abwarten von 500 Hits in 300 Sekunden sehr gut funktioniert. Bisher keine False Positives, aber sicherheitshalber sollte man das einige Zeit überwachen.


    Nun hatte ich heute und gestern Probleme mit Serverlast und festgestellt, dass 80% der Zugriffe aus China kamen, hierbei arbeite ich gerade daran, mittels iptables und ipset ungewünschte Subnetze komplett auszusperren. Das ganze verursacht bei mir enorme Last, hat mit fail2ban aber nicht direkt was zu tun, daher gehe ich hier nicht weiter darauf ein.
    Ich verwende diese Anleitung: https://askubuntu.com/question…block-china-with-iptables


    Wo ich aber aktuell dran bin ist das aussperren von Bots. Ob das die Jobboerse oder sonstige Marketing-Bots sind, eigentlich sollte alles ausser Google draussen bleiben.

    Auch das verursacht nicht unerheblich last und die Summer der Maßnahmen bringen hoffentlich Besserung.


    Hier meine Konfiguration:


    jail.conf

    Code
    1. [blockbots]
    2. enabled = true
    3. port = http,https
    4. filter = blockbots
    5. logpath = /usr/local/pd-admin2/logs/access_log
    6. maxretry = 2
    7. findtime = 600


    filter.d/blockbots.conf

    Code
    1. [Definition]
    2. blockbots = 360Spider|AhrefsBot|AwarioRssBot|Baiduspider|BLEXBot|BuiBui|CCBot|coccoc|crawler|datasift|dotbot|EmailCollector|Exabot|Finderlein|Genieo|Jimdo_Feed_Fetcher|linkdexbot|meanpathbot|Mail.RU_Bot|Mediatoolkitbot|MJ12bot|NetSeer|Pixray|proximic|publiclibraryarchive|Riddler|SemrushBot|SEMrushBot|SentiBot|SeznamBot|SEOkicks|SiteExplorer|Sogou|SurveyBot|TrackBack|trendiction|Uptimebot|WebEMailExtrac|webmeup|Yandex
    3. failregex = ^\S+ <HOST>.*(?:%(blockbots)s).*$
    4. ignoreregex =

    Deine Ansatz finde ich ziemlich brutal. 300 Hits in 300 Sekunden hat mal schnell mal beisammen. Braucht sich nur jemand durch Seiten mit vielen Bildern klicken.

    Da hast Du recht, bisher habe ich einen False Positive. Allerdings komme ich mit der benannten Lösung "fail2ban für Wordpress" nicht weiter, wobei auch dies bei mir läuft, aber nur eben zuviele gescheiterte Login-Versuche abfängt. Das aber sehr effizient.

    Problem hier ist, dass man die Seiten offenbar einfach nur aufruft und dadurch versucht, den Server in die Knie zu zwingen. Ich vermute auch, dass es egal ist, ob es sich um Wordpress handelt oder nicht. Ich hab halt nur Wordpress Hosting auf dem Server.


    Ich würde vielleicht mit den Regeln mal etwas rumspielen, Aufrufe aus dem Verzeichnis wp-includes und wp-content ignorieren, dann hat man sicher "echtere" Seitenaufrufe.

    Um einen Post vom Anfang dieses Threads nochmal aufzugreifen: hat es jemand umgesetzt, blocklist.de einzubinden? Zum einen fürs Reporting, zum anderen aber auch zur Nutzung der gesammelten IPs. Ich blick das irgendwie nicht...


    Viele Grüße,

    Martin

    Ich greife das Thema mal wieder auf. Leider zwingen einfache DOS Atacken den Server regelmässig in die Knie. Ob Wordpress diese Atacken anzieht oder ob hier einfach nur ins Blaue geschossen wird, entzieht sich meiner Kenntnis. Fakt ist, dass man einfach die Seite massiv "abruft", es entstehen also keine Fehler, nur haufenweise GET Einträge im access_log.


    Gelöst habe ich das wie folgt:


    /etc/fail2ban/jail.conf

    Code
    1. [http-get-dos]
    2. enabled = true
    3. port = http,https
    4. filter = http-get-dos
    5. action = iptables-multiport[name=http-get-dos, port="http,https", protocol=tcp]
    6. sendmail-whois-lines[name=http-get-dos-Banned,dest=root, sender=fail2ban@localhost]
    7. logpath = /usr/local/pd-admin2/logs/access_log
    8. maxretry = 500
    9. findtime = 300


    /etc/fail2ban/filter.d/http-get-dos.conf (Kommentare fürs Forum gelöscht)

    Code
    1. [Definition]
    2. before = common.conf
    3. failregex = ^\S+ <HOST> .*$
    4. ignoreregex =


    Damit werden nun konsequent IPs ausgesperrt, die mehr als 500 Hits in 300 Sekunden verursachen.

    Das Funktioniert. Ich hab versucht, mit einem Tool eine Homepage runter zu laden, da hat es gegriffen.

    False positives halte ich für Unwahrscheinlich, beobachte das aber erstmal ein paar Tage.


    Was leider nicht geklappt hat, war das einbinden der Umgebungsvariable __hostname aus der common.conf, warum auch immer.

    Deswegen ist diese Zeile wieder auskommentiert.


    Viele Grüße,

    Martin

    Das hat geholfen, vielen Dank. Da hab ich wohl mal wieder nicht gründlich genug gesucht.
    Am Pfad lag es nicht, ich musste Pakete nachinstallieren.
    Wie in diesem Thread letsencrypt DOMAIN -> dpkg: warning: 'ldconfig' not found in PATH or not executable
    von User monderka beschrieben

    Code
    1. Debian 7.11 64bit
    2. apt-get install augeas-lenses libaugeas0 libexpat1-dev libffi-dev libpython2.7 libssl-dev python-dev python-pkg-resources python-setuptools python-virtualenv python2.7-dev zlib1g-dev


    Und danach ging die erste Installation ohne Fehlermeldung und jedes weitere Zertifikat ohne weitere Komplikationen.

    Ich musste das Paket ca-certificates installieren, dann ging es.


    Der Tipp kam von Herrn Koer von Providerdienste, hier stehts:
    https://community.letsencrypt.…rg-is-not-trusted/44769/3


    Leider klappt es immer noch nicht:



    ldconfig und start-stop-deamon sind unter /sbin/ zu finden und an der konsole ohne Pfadangabe aufzurufen.


    Code
    1. echo $PATH
    2. /usr/local/pd-admin2/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin


    Ich hab keine Idee was ich da falsch mache, kann mir jemand helfen?


    Viele Grüße,
    Martin

    Bei mir ergibt die Ausgabe diese Fehlermeldung:


    Code
    1. /opt/pdadmin/bin/letsencrypt --all
    2. --2017-11-16 10:36:40-- https://dl.eff.org/certbot-auto
    3. Aufl?sen des Hostnamen ?dl.eff.org (dl.eff.org)?... 2a04:4e42:1b::201, 151.101.112.201
    4. Verbindungsaufbau zu dl.eff.org (dl.eff.org)|2a04:4e42:1b::201|:443... verbunden.
    5. FEHLER: Dem Zertifikat von ?dl.eff.org? wird nicht vertraut.
    6. FEHLER: Das Zertifikat von ??dl.eff.org?? wurde von einem unbekannten Austeller herausgegeben.


    Auch die Angabe einer korrekten Subdomain führt zur selben Fehlermeldung.


    Was mache ich falsch?


    PD-Admin v4.57
    SE 3-0.300


    Ich fange gerade erst an mit SSL, bisher bin ich noch recht ahnungslos. Ich habe diese Anleitung befolgt, mehr nicht.
    Nutzung von Let's Encrypt


    Viele Grüße,
    Martin

    Ich habe mir die Installation von Mailgate nochmal vorgenommen aber die Fehlermeldung, siehe oben, bleibt dieselbe.
    Leider liegt mir Perl so garnicht... Hat jemand einen Tipp für mich?

    - Welche Version von pd-admin wird eingesetzt?
    4.52
    - Welche Version der Serverumgebung wird eingesetzt?
    280


    Hallo,
    seid gestern Abend habe ich regelmässig folgende Fehermeldung im mail.log


    Code
    1. Feb 1 08:43:58 mastermind qmail-remote: active TLS block </usr/local/pd-admin2/var/qmail-tls-error/web.de>


    Aber die Mail wird zugestellt, der Empfänger hat mir dies auch bestätigt.


    Code
    1. Feb 1 09:04:07 mastermind qmail: 1485936247.006759 delivery 16530: success: 212.227.17.8_accepted_message./Remote_host_said:_250_Requested_mail_action_okay,_completed:_id=0MStkv-1d09uF0ZK1-00Rsv7/


    Was genau bewirkt das und wie stelle ich das Problem ab?


    Gennerell:
    Leider lebe ich, was das Thema Mailverschlüsselung angeht, noch total auf dem Baum, ich muss da unbedingt ran. Ein aktuelles HowTo, welches die neue SSL Bestellmöglichkeit von PD-Admin beinhaltet, habe ich hier im Forum nicht gefunden oder es ist gut versteckt. Die meisten SSL Anleitungen sind uralt und beziehen sich teilweise auch nur auf die http Verschlüsselung, nicht auf den Mailverkehr.
    Wo finde ich dazu Hilfe?


    Viele Grüße
    Martin

    Eintrag Bug-Forum: Dies ist eine vorgefertigte Schablone, die bei der Formulierung eines Bugreports unterstützen soll. Bitte die folgenden Angaben möglichst vollständig ausfüllen.


    - Welche Version von pd-admin wird eingesetzt?
    4.5.2


    Hallo,
    in der Responsiv Ansicht wird an beliebiger Stelle die Auswahl im Feld "Records per page" nicht gespeichert. Wenn man ein wenig mehr administrieren muss, ist das etwas lästig. Zumindest in der aktuellen Session wäre es gut, wenn es für die aktuelle Liste gespeichert bleiben würde.


    Viele Grüße
    Martin

    Guten morgen,
    ich benutze die Mailinglisten-Funktion in Verbindung mit einem Forum für den Newsletterversand. Die User werden aktuell noch manuell gepflegt und in verschiedenen Listen einsortiert.
    Das ist fehleranfällig und zeitaufwändig, ausserdem würde eine Weiterleitung diese Funktion auch absolut erfüllen.


    Die Frage ist: darf man die Liste der Weiterleitungen nur mit dem PD-Admin Frontend pflegen, oder kann man auch, sofern die Weiterleitung einmal angelegt ist (steht in vadmin.forward), diese über ein Script füllen, welches die Adressliste aus dem Forum generiert?
    Es sind pro Weiterleitung maximal 70 eMail-Adressen.