Beiträge von Sumeragi

    Ich nutze keine Co-Domains. Daher habe ich mich damit auch nie näher beschäftigt. Es scheint mir aber so nicht umsetzbar.


    Man könnte versuchen aus der vadmin Datenbank eine domains.txt zu generieren und diese dann mit dehydrated ausführen. Die letsencrypt Binary kann (oder sollte) dann nicht mehr verwendet werden.

    Welche Version von pd-admin und der Serverumgebung wird denn eingesetzt? Ich kann bei mir (PDA 4.73, SE 6-0.374) derartiges nicht beobachten. Wenn ich ein paar der IPs Abfrage wird ein Hostname zurückgegeben.


    Ich würde trotzdem ein lokales DNS Problem vermuten.

    An der Stelle auch der Hinweis:


    Ein höheres Prozesslimit bedeutet nicht mehr Leistung. Die Limits im Angebot dienen dazu den Server vor übermäßiger Ressourcennutzung zu schützen. Damit eben ein einzelner Nutzer nicht den kompletten Server mit hunderten Prozessen lahm legt.

    Nicht unbedingt. Wenn es keine Weiterleitung auf HTTPS gibt wird/wurde die Seite per HTTP aufgerufen. Das wird auch als unsicher angezeigt.


    Auch kann die Seite per HTTPS aufgerufen werden, einzelne Inhalte aber explizit per HTTP. Dann wird die Seite auch als unsicher angezeigt.


    Oder zeigt der Browser ein Zertifikatsfehler an?


    Letztlich fehlen hier wichtige Informationen, wie eine konkrete Fehlermeldung, um eine korrekte Aussage treffen zu können. So kann nur spekuliert werden, was zu falschen Annahmen und Aussagen führt.

    Die Anzahl der fpm Prozesse hängt vom Prozesslimit im Angebot der Nutzers ab.


    Prozesslimit / 16 = Minimum Spare Server bzw. Start Server (min idle fpm Prozesse bzw. fpm Prozesse bei Start)

    Prozesslimit / 4 = Maximum Spare Server (max idle fpm Prozesse)

    Prozesslimit / 2 = Max Children (max fpm Prozesse)


    Also einfach das Prozesslimit anpassen ;)


    Zusätzlich kann in der Serverkonfiguration request_terminate_timeout eingeschaltet werden. Dann wird der fpm Prozesse beendet wenn nach X Sekunden keine Rückmeldung kommt. X entspricht der CPU Zeit im Angebot. Dies kann helfen wenn einzelne fpm Prozesse Mal hängen und sich so die Prozesse unnötig aufstauen.

    Die EFF möchte den certbot wohl zukünftig nur über snap anbieten. Bei snap seien wohl alle notwendigen Pakete enthalten. Die je Distribution bereit zu stellen scheint wohl schwieriger/aufwändiger 🤷

    Das Problem hat nichts mit dem cronjob zu tun. Schaut man sich diesen nämlich einmal an, werden dort Keys für qmail erzeugt. Die Keys werden für die verschlüsselte Kommunikation verwendet. Der Syntax Fehler kommt aber als Rückmeldung durch den web.de Server. Sprich die Verbindung wurde erfolgreich aufgebaut.


    Die Frage bist, wieso es zu einem Syntax Fehler kommt. Tritt dieser bei jeder web.de Adresse auf? Dies muss meines Erachtens kein Problem/Fehler von qmail sein, sondern des Absenders sein. Gibt es die Möglichkeit sich die original Mail inklusive Header anzuschauen?

    Ein paar mehr Details: hibernate scheint prinzipiell vorhanden zu sein

    Bash
    $ echo "" | nc -U /usr/local/pd-admin2/dovecot-2.2/var/run/dovecot/imap-hibernate
    VERSION imap-hibernate 1 0
    $ lsof -n | grep imap-hibernate
    dovecot 15560 root 41u unix 0xffff8800dab20000 0t0 54805383 /usr/local/pd-admin2/dovecot-2.2/var/run/dovecot/imap-hibernate
    imap-hibe 24578 dovecot txt REG 253,17 37264 21217373 /usr/local/pd-admin2/dovecot-2.2/libexec/dovecot/imap-hibernate
    imap-hibe 24578 dovecot 7u unix 0xffff8800dab20000 0t0 54805383 /usr/local/pd-admin2/dovecot-2.2/var/run/dovecot/imap-hibernate

    Bei mir ist der Socket vorhanden und es wird darauf gelauscht. Laut https://doc.dovecot.org/settings/core/ ist der Standardwert für imap_hibernate_timeout 0. Hibernate wird somit nicht genutzt. Natürlich sollte jeder einmal bei sich prüfen, ob der Wert nicht doch gesetzt wurde und >0 ist.


    Prinzipiell wäre die Sicherheitslücke da. Kann aber nicht ausgenutzt werden, da die Option standardmäßig deaktiviert ist.

    Bei mir kam eine schlechte TTFB bisher eigentlich immer von der (PHP) Anwendung oder langsamen MySQL Queries. In der Regel war es fehlendes bzw. falsch konfiguriertes Caching oder fehlende Indizes bei MySQL.


    Abgesehen vom Caching ließ sich bei PHP auch immer was durch Umstellung auf fpm heraus holen.


    Am Apache selber mache ich dazu nichts.

    Also soweit ich das verstehe wird lediglich die Installation über snapd empfohlen. Nicht aber dass dies zukünftig der einzige Weg ist

    Your system is not supported by certbot-auto anymore.

    Certbot will no longer receive updates.

    Please visit https://certbot.eff.org/ to check for other alternatives.

    Die Meldung kann vielleicht daher kommen, dass das System vorher Debian 9 war und dies ja EOL ist. Dementsprechend keine Updates mehr erhält.


    Der Aufruf von

    Bash
    /snap/bin/certbot renew

    klappt aber? Mir kommt es etwas komisch vor. Die Fehlermeldung

    Bash
    root@server05 /opt/pdadmin/bin # /opt/pdadmin/bin/certbot-auto renew
    error: unknown command "renew", see 'snap help'.

    scheint ja in Zusammenhang mit snapd zu sein. Letztlich ist /opt/pdadmin/bin/certbot-auto genau ein Symlink wie es laut Anleitung nach snapd /usr/bin/certbot ist.

    Als Reaktion darauf wurde Rocky Linux vom CentOS Gründer ins Leben gerufen. Es gibt derzeit aber noch keine Release Informationen oder gar wie man von CentOS migrieren könnte.


    Als Alternative gibt es Oracle Linux. Dies sieht vielversprechend aus. Es gibt dafür sogar ein Migrationsskript für den Umstieg von CentOS.

    zu 1)


    Die hängt vermutlich mit der Zustellung zusammen und an welchem Punkt die Signierung stattfindet. Ich nehme an, die Signierung findet beim Verlassen des Servers statt. Wozu sollten auch interne Mails signiert werden? Da ist man ja selbst Absender. IIRC greift bei interner Zustellung z.b. auch kein Spamassassin.


    zu 2) und 3)


    Die DKIM Signierung wurde nur in qmail implementiert. Zumindest wurden entsprechende Pakete in die SE eingepflegt. Mails, welche über qmail versandt werden, werden somit signiert. Alle anderen Mails werden nicht signiert.

    Eine Doppelsignierung erfolgt nur wenn das Skript / die Anwendung Mails signiert und dann über eine Mailbox versendet. Ob dies jedoch problematisch ist, weiß ich nicht.


    zu 4)


    Ich meine Gmail prüft auch auf DKIM und dort wurde mir meine Signatur als valide angezeigt... Müsste ich nur noch Mal nach schauen. Hatte es einmal getestet, wurde als valide angezeigt und damit hatte sich das Thema für mich erledigt :-P