11Aug/170

Die gängigsten RAID-Varianten im Überblick

In diesem Betrag befassen wir uns mit einer Thematik rund um die Datensicherheit.
Einigen wird es schon passiert sein: Die Festplatte ist plötzlich ausgefallen - alle Daten sind weg. Eine Datenrettung ist meist extrem teuer und kann nur in einem speziellen Labor durchgeführt werden.

"Später ist man immer schlauer", das muss so nicht sein - wir erklären Ihnen, wie man einen kompletten Datenverlust aufgrund von Hardware-Fehlern umgehen kann.

Diese Übersicht findet keine Anwendung auf VPS-Systeme, die Daten Ihrer VPS sind natürlich auf einem RAID-Speicher abgelegt und werden entsprechend von geschultem Personal überprüft und gewartet.

Das Erstellen von Backups ist auch mit einem redundantem RAID sehr wichtig!

Weitere Informationen hierzu findet man in folgendem Tutorial: Datenverlust und wie er vermieden werden kann

Es gibt verschiedene Punkte, die individuell abgearbeitet werden müssen.

  1. Spielt die Performance des RAIDs eine Rolle?
  2. Wie hoch soll die Datensicherheit sein?
  3. Dürfen Systemressourcen verwendet werden (CPU/RAM)

Je nach Auswertung und Budget kommt man hier zu unterschiedlichen Ergebnissen, ob nun ein Software-RAID oder Hardware-RAID, RAID 0, 1, 10 oder 5 bzw. 6 die passende Wahl ist.
Ein Hardware-RAID ist teurer, stellt aber oft die performantere Lösung dar und die Datensicherheit lässt sich durch die Verwendung einer Batteriepufferung weiter erhöhen.
Ein Software-RAID ist die einfachste Methode, um fast beliebige RAID-Varianten schnell aufzusetzen.

Untenstehend folgt eine Übersicht der verfügbaren RAID-Varianten, nach benötigter Anzahl der Festplatten sortiert.


RAID 0

Bei einem RAID 0 werden die Daten gleichmäßig auf mindestens zwei Festplatten aufgeteilt. Da hierbei keinerlei Redundanz gegeben ist, entsteht ein kompletter Datenverlust bei einem Ausfall einer einzelnen Festplatte. Die Lese- und Schreibrate ist bei einem RAID 0 erhöht.

  • Mindestens zwei Festplatten benötigt
  • Keine Ausfallsicherheit
  • Der maximale (komplette) Speicherplatz steht zur Verfügung
  • Erhöhte Schreib-/Leserate


RAID 1

Bei einem RAID 1 werden sämtliche Daten auf eine zweite Festplatte gespiegelt, bei einem Ausfall eines einzelnen Datenträgers sind alle Daten noch auf dem zweiten Datenträger vorhanden. Die Leserate ist bei einem RAID 1 erhöht. Es ist ebenfalls möglich, die Daten auf mehr als einer Festplatte zu spiegeln, dieses RAID nennt sich dann RAID 1E.

  • Mindestens zwei Festplatten benötigt
  • n-1 HDDs dürfen ausfallen
  • 1/n an Speicher steht zur Verfügung (n = Anzahl der Festplatten, bei zwei Festplatten also die Hälfte des Gesamtspeichers)
  • Erhöhte Leserate


RAID 5

Bei einem RAID 5 werden auf zwei Datenträgern die Daten gespeichert, ein dritter Datenträger speichert entsprechend die daraus berechneten Paritätsdaten. Die Berechnung ist sehr CPU intensiv, gerade bei hoher Schreiblast kann die CPU stark ausgelastet werden. Durch die Speicherung einer Parität bleiben auch bei einem Ausfall eines Datenträgers die Daten intakt. Die Lese- und Schreibrate ist je nach verbauten RAID-Controller oder CPU erhöht.

  • Mindestens drei Festplatten benötigt
  • Eine HDD darf ausfallen
  • n-1/n an Speicher steht zur Verfügung (n = Anzahl der Festplatten, bei drei Festplatten also 2/3 des Gesamtspeichers)
  • Erhöhte Lese-/Schreibrate
  • Benötigt viel Rechenleistung


RAID 6

Bei einem RAID 6 werden auf zwei Datenträgern die Daten gespeichert, ein dritter und vierter Datenträger speichern entsprechend die daraus berechneten Paritätsdaten. Die Berechnung ist sehr CPU intensiv, gerade bei hoher Schreiblast kann die CPU stark ausgelastet werden. Durch die Speicherung einer Parität bleiben auch bei einem Ausfall eines Datenträgers die Daten intakt. Die Leserate ist erhöht. Im Gegensatz zu einem RAID 5 können hier zwei Festplatten ausfallen, die Berechnung der Parität ist jedoch umso aufwendiger.

  • Mindestens vier Festplatten benötigt
  • Zwei HDDs dürfen ausfallen
  • n-2/n an Speicher steht zur Verfügung (n = Anzahl der Festplatten, bei vier Festplatten also 2/4 (die Hälfte) des Gesamtspeichers)
  • Erhöhte Leserate
  • Benötigt sehr viel Rechenleistung


RAID 01

Ein RAID 01 ist die Kombination von zwei oder mehr RAID 0 Volumengruppen in einem RAID 1. In einer Volumengruppe können beide Datenträger problemlos ausfallen, ein Datenverlust wird in diesem Fall vermieden. Auch können in unterschiedlichen Volumengruppen Datenträger mit verschiedenen Bestandsdaten ausfallen.

  • Mindestens vier Festplatten werden benötigt
  • Zwei HDDs dürfen ausfallen, solange sich diese in der gleichen logischen Laufwerksgruppe befinden
  • Die Hälfte an Speicher steht zur Verfügung
  • Erhöhte Lese-/Schreibrate


RAID 10

Ein RAID 10 ist die Kombination von zwei oder mehr RAID 1 Volumengruppen in einem RAID 0. Je Volumengruppe kann ein Datenträger problemlos ausfallen, ein Datenverlust wird in diesem Fall vermieden.

  • Mindestens vier Festplatten werden benötigt
  • Zwei HDDs dürfen ausfallen, solange sich diese in unterschiedlichen logischen Laufwerksgruppen befinden
  • Die Hälfte an Speicher steht zur Verfügung
  • Erhöhte Lese-/Schreibrate


 

Der Unterschied zwischen einem RAID 01 oder 10 wird erst ab sechs Festplatten wirklich sichtbar, ab sechs Festplatten hat man in einem RAID 10 eine statistisch erhöhte Ausfallsicherheit, daher empfehlen wir in jedem Fall ein RAID 10. Die RAID 5+6 Varianten arbeiten mit Checksummen, diese müssen aufwendig berechnet werden. Ein RAID 5 bzw. RAID 6 wird nicht von jedem RAID-Controller unterstützt und benötigt selbst in einem Software-RAID einiges an CPU Ressourcen.

Zu unseren dedizierten Servern kann man natürlich jederzeit zusätzliche Festplatten oder RAID-Controller hinzu buchen, die aktuellen Preise und Angebote kann man jederzeit auf unserer Homepage einsehen. Bei spezielleren Konfigurationen können Sie gerne unseren Support täglich zwischen 08:00 Uhr und 23:00 Uhr kontaktieren.

Posted by: Gianni-Donato | Tagged as: , , , , , No Comments
3Aug/170

Ab sofort verfügbar: Fedora 26 und Suse Leap 42.3

Wir bieten Euch ab jetzt Fedora in der neuen Version 26 an, ebenso gibt es Suse Leap nun in der aktualisierten Version 42.3.

Die beiden neuen Betriebssysteme sind mit dem Software RAID 1 und Webmin kombinierbar. Fedora 26 kann via VNC installiert werden.

Unsere Bestandskunden können problemlos über den Kundenlogin auf die neuen Versionen wechseln.

Bei uns erhaltet Ihr eine große Auswahl der aktuellen Linux-Distributionen (sowie Windows Server 2012 und 2016). Klickt einfach im Bestellvorgang bei Eurem gewünschten (virtuellen) Servermodell auf "Konfigurieren & Bestellen"!

Alle weiteren Infos und eine Produktübersicht gibt's auf unserer Homepage!

Posted by: Markus | Tagged as: , , , , No Comments
19Jul/170

Auslesen von Log-Dateien unter Linux und Windows

Jeder kennt es, man möchte ein Problem auf dem Server oder dem Heimcomputer genauer untersuchen, doch wo findet man die relevanten Informationen?

Im Folgenden werden wir auf spezifische Log-Dateien in Linux und auf den Windows Event Viewer näher eingehen. Ein weiterer Abschnitt wird die Log-Analyse unter Linux via Systemd behandeln.

Linux Log-Dateien

Leider ist es von Distribution zu Distribution unterschiedlich, welche Informationen aus welcher Log-Datei bezogen werden können. Wir werden im folgenden speziell die Struktur anhand von Debian 8 und CentOS 7.2 behandeln. Im Prinzip kann man sehr viele nützliche Log-Dateien unter dem Verzeichnis /var/log/ finden. Je nachdem, wie Apache, Nginx oder ähnliche Programme konfiguriert wurden, loggen diese ebenfalls in das /var/log/ Verzeichnis. In der Datei unter /etc/rsyslog.conf ist genau spezifiziert, welche Art von System-Logs in welche Datei geloggt werden.

Debian 8:

  • /var/log/auth.log

Hier können erfolgreiche und nicht erfolgreiche Login-Versuche auf Ihrem System eingesehen werden. Ebenfalls wird hier geloggt, wenn ein Benutzer via sudo Befehle ausführt.

  • /var/log/messages

In dieser Datei werden allgemeine Systeminformationen geloggt, unter anderem ist hier auch der Systemstart geloggt.

  • /var/log/dmesg bzw dmesg

Via dmesg kann der "Kernel ring buffer" ausgelesen werden. Hier finden sich Informationen über den Systemstart, Kernel-Nachrichten die zur Laufzeit - zum Beispiel von Kernel -Modulen - geschrieben wurden und viele weitere nützliche Informationen über Hardware und Software des Systems. Standardmäßig wird via dmesg der gesamte "ring buffer" ausgegeben. Man kann allerdings die Ausgabe nach eigenen Wünschen manipulieren, indem man weitere Parameter übergibt. Eine vollständige Dokumentation finden man auf der Manual Page (man dmesg).

  • /var/log/syslog

Dies ist eine der wichtigsten Log-Dateien, da hier im Prinzip jeder Linux-Prozess seine Logs anhängen kann.  Man kann hier ebenfalls die Kernel-Logs des Systemstarts, ausgeführte cron-jobs und Logs von jedem weiteren Prozess welcher die syslog Schnittstelle implementiert, einsehen.

CentOS 7.2:

Die Logging-Struktur von CentOS ist der von Debian 8 sehr ähnlich, weshalb wir hier nur die Unterschiede beleuchten werden.

  • /var/log/secure

Diese Datei ist das Äquivalent zu /var/log/auth.log auf Debian-Systemen. Authentifizierungen jeglicher Art werden hier aufgezeichnet.

  • /var/log/messages

In CentOS gibt es keine Trennung zwischen /var/log/messages und /var/log/syslog, alle systemweiten Logs von Prozessen, welche die syslog Schnittstelle implementieren, kann man hier finden.

  • /var/log/cron

Cron-spezifische Logs sind nicht Teil des syslogs wie in Debian, sondern werden in die obige Datei separat geloggt.

 

Loganalyse via Systemd

Systemd ist mittlerweile auf fast allen "Major" Linux-Distributionen das Standard Init System. Spätestens seit April 2015, als es ebenfalls standardmäßig auf Debian und Ubuntu eingeführt wurde, kommt jeder Administrator oder auch Benutzer mit Systemd in Berührung. Da Systemd ein sehr komplexes System ist, werden wir hier nur speziell auf die von Systemd bereitgestellte Log-Analyse eingehen. Im Prinzip sind alle via Systemd verwalteten Prozesse in sogenannte "Units" eingeteilt. Man kann alle aktiven Units mit folgendem Befehl auflisten:

systemctl list-units

Mit dem Parameter --all kann man auch alle inaktiven Units mit ausgeben.

Logs, welche via Systemd erfasst werden, werden im sogenannten Journal verwaltet. Diese Logs kann man mit dem binary journalctl einsehen.

Wenn man journalctl ohne Parameter aufruft, wird das gesamte Journal ausgegeben. Es ist aber auch ohne Probleme möglich, nur Logs von spezifischen Units auszugeben. Im folgenden Beispiel sollen die Logs des Apache-Webservers genauer untersucht werden.

journalctl -u httpd

Man kann diese Logs mit den Parametern --since und --until sehr fein granulieren.

journalctl -u httpd --since "2016-11-01 20:00:00" --until "2016-11-03 20:00:00"

Obiger Befehl würde die Apache-Logs zwischen 2016-11-01 20:00:00 und 2016-11-03 20:00:00 ausgeben. Es sind auch Schlagwörter wie "today" und "yesterday" möglich.

Man kann sich ebenfalls die Logs von mehreren Units gleichzeitig ausgeben lassen. Im folgenden Beispiel werden alle Apache- und Nginx-Logs ausgegeben, welche seit gestern geschrieben wurden.

journalctl -u httpd -u nginx --since yesterday

Wenn man den Parameter -f benutzt, kann man die gewünschten Logs live einsehen.

Dies waren nur ein paar nützliche Parameter um die Logs feiner zu granulieren, es gibt noch zahlreiche weitere nützliche Möglichkeiten, welche auf der Manual Page genauer beschrieben sind (man journalctl).

 

Loganalyse via Windows Event Viewer

Windows Event Viewer Übersicht

Im obigen Bild gibt es in der linken Navigation den Punkt "Windows Logs". Hier sind vor allem folgende Punkte interessant:

  • Application

Unter diesem Punkt werden Ereignisse von lokal installierten Anwendungen angezeigt.

  • Security

Hier werden erfolgreiche und fehlgeschlagene Anmeldungen protokolliert.

  • System

Unter diesem Punkt kann man betriebssysteminterne Ereignisse und Fehler einsehen.

Unter dem Punkt "Custom Views" -> "Server Roles" -> "Remote Desktop Services" werden RDP Verbindungen und Probleme protokolliert.

Eventuelle Hardware-Probleme kann man über "Application and Service Logs" -> "Hardware Events" identifizieren.

Hilfreich bei einer Problemanalyse ist auch der Punkt "Overview and Summary" -> "Summary of Administrative Events", welcher einen sehr guten Überblick über den derzeitigen Systemstatus gibt.

7Jul/170

vServer: 100 Mbit/s – kein Limit, keine Drosselung

Für die Internetanbindung unserer V-Server galt noch bis vor Kurzem: 100 Mbit/s-Port, bei Überschreitung eines bestimmten Trafficlimits wurde der Port jedoch auf 10 Mbit/s limitiert.

Diese Limitierung auf weniger als 100Mbit/s haben wir ab sofort für Euch und damit für all unsere Kunden aufgehoben.

Wie bei unseren dedizierten Servern gilt nun auch für alle unsere V-Server:
100 Mbit/s sind ab sofort jederzeit verfügbar - ohne Volumenbegrenzung, ohne Port-Drosselung, egal wieviel Traffic Ihr nutzt!

Diese neue Regelung gilt ab sofort für alle Neu- und Bestandskunden bei Contabo, ohne, dass Ihr hierfür noch etwas tun müsst. Ganz einfach gesagt: Wir haben das Limit für Euch dauerhaft entfernt.

Posted by: Markus | Tagged as: , , , No Comments
3Jul/170

Jetzt verfügbar: Auswahl der aktuellen PHP-Versionen auf den Webspace Paketen

Seit heute ist es möglich, auf sämtlichen Webspace Paketen die PHP Version selbst zu bestimmen.

Künftig hat man die freie Wahl zwischen:

  • PHP 5.6 (oldstable)
  • PHP 7.0 (stable)
  • PHP 7.1 (testing)

Hierfür ist im cPanel Login fortan die Option "Multi PHP Manager" unter der Rubrik Software freigeschaltet.

Außerdem kann man nun bequem über den cPanel Login die PHP.INI mit dem "MultiPHP INI Editor" bearbeiten, dieser ist ebenfalls unter der Rubrik "Software" zu finden.

Hier geht's zu unseren aktuellen Webspace Angeboten.

Posted by: Gianni-Donato | Tagged as: , , , No Comments
29Jun/170

Die ersten Schritte mit Plesk Onyx

Plesk ist eine kommerzielle Webhosting-Plattform, welches vom Hersteller Parallels sowohl für Linux als auch für Windows Server entwickelt wurde. Es steht damit für praktisch jedes bei uns bestellbare Betriebssystem zur Verfügung.

In Kooperation mit unserem Partner Plesk bieten wir Ihnen derzeit an, eine der drei nachfolgend aufgeführten Editionen von Plesk Onyx einen Monat lang vollkommen kostenlos zu testen. Diese Aktion gilt nur in Kombination mit unseren vServern. Weitere Informationen dazu finden Sie in unserem Newsbereich: Plesk Onyx bei Contabo ein Monat gratis.

Nachfolgend geben wir Ihnen einen ersten Überblick über die verschiedenen Editionen und die ersten Schritte mit Plesk.

Aktuell steht Plesk in der Version 17 (Onyx) zur Verfügung und wird in dieser Version auch von uns in mehreren Editionen angeboten:

  • Web Admin Edition: Diese Edition ist für Kunden interessant, die ausschließlich Ihre eigenen Seiten auf ihrem Server hosten wollen. Für diese Zwecke überflüssige Features wie zum Beispiel Kunden-/Resellerverwaltung sind in dieser Edition nicht aktiv.
  • Web Pro Edition: Mit dieser Edition können bis zu 30 verschiedene Domains gehostet werden. Außerdem stehen bis auf das Reseller Management alle Features von Plesk zur Verfügung.
  • Web Host Edition: Mit dieser Edition können unlimitiert viele Domains gehostet werden, seitens Plesk gibt es keine Limitierung.  Die Web Host Edition ist die umfangreichste aller Plesk-Editionen - vom Reseller Management über die Security Core Features bis hin zum automatischen Outbound Spamschutz bietet sie alle Features.

In diesem Tutorial wollen wir uns jedoch auf die absoluten Basics beschränken. Wir werden Ihnen zeigen, wie Sie Domains mit dazugehörigen FTP-Accounts und Datenbanken einrichten und Mailaccounts anlegen, über welche Sie E-Mails senden und empfangen können.

Zunächst einmal melden wir uns im Plesk-Webinterface an. Dies geschieht über den Browser mit unserer IP-Adresse und dem Port 8443 (zum Beispiel https://198.51.100.3:8443).

Wir melden uns mit den Daten aus der Zugangsdatenmail an...

... und landen auf der Hauptseite des Plesk-Webinterfaces. In unserem Fall ist bereits eine Domain angelegt, in Ihrem Plesk sieht das Fenster gegebenenfalls etwas anders aus.

Nun, da die Grundvoraussetzungen - nämlich der Zugriff auf das Panel - geschaffen sind, kommen wir zum ersten Punkt unseres Tutorials:

Domain anlegen:

Wir klicken auf "Domain hinzufügen" auf der Hauptseite unseres Plesk-Interfaces und landen auf der entsprechenden Seite.

Hier füllen wir die entsprechenden Felder aus. Bei "Domainname" tragen wir unsere Domain (ohne "www") ein. In unserem Fall heißt die Domain "example.com". Als Speicherort wählen wir "Neuer Webspace".

Bei der Auswahl der IPv4/IPv6-Adressen wählen wir die entsprechenden IP-Adressen aus, unter welcher unsere Website später erreichbar sein soll. Der Benutzername sowie das Passwort sind selbstverständlich frei wählbar.

Der erste Schritt ist hiermit schon getan, die Domain ist nun auf unserem Server angelegt.

Nun können unsere Homepagedaten auf den Server hochgeladen werden. Üblicherweise geschieht dies per FTP. Glücklicherweise legt Plesk beim Anlegen einer neuen Domain automatisch einen FTP-User an. Wir nehmen also einfach einen FTP-Client unserer Wahl (z.B. FileZilla), und verbinden uns mit den gerade festgelegten Zugangsdaten. So können wir im Ordner "httpdocs" unsere Homepagedaten hochladen.

Was nun noch fehlt, ist eine Datenbank für unsere Website. Mit einem Klick auf "Datenbanken" landen wir auf der entsprechenden Seite:

Durch Klick auf "Datenbank hinzufügen" landen wir im nächsten Assistenten:

Hier füllen wir die Felder entsprechend aus. Um auf die Datenbank zugreifen zu können, muss unbedingt ein Nutzer mit Name und Passwort angelegt werden. Wir notieren uns diese Zugangsdaten! Unter Zugriffssteuerung wählen wir "Nur lokale Verbindungen zulassen".

Nachdem die Datenbank angelegt wurde, erscheint folgendes auf unserem Bildschirm:

Hier könnten wir unter "Abbild importieren" eine bereits bestehende Datenbank importieren. Dies würde jedoch den Rahmen dieses Tutorials sprengen.

E-Mail-Account anlegen:

Nun fehlt uns noch ein E-Mail-Account für unsere soeben erstellte Domain. Auch hier bietet Plesk eine komfortable Möglichkeit, dies mit wenigen Klicks zu realisieren.
Wir klicken im Hauptmenü auf der linken Seite auf "E-Mail" und auf der Folgeseite auf "E-Mail-Adresse erstellen":

Der Assistent ist selbsterklärend; wir füllen die Felder aus und klicken auf "OK". Auch hier notieren wir uns Mailadresse und Passwort! Der Mailaccount ist nun angelegt. Mit den notierten Zugangsdaten können wir uns nun unter "webmail.example.com" in unser Webmailinterface einloggen und Mails versenden und empfangen.

Klingt gut? Super! 🙂

Wenn Sie jetzt bereit sind, in die Welt von Plesk Onyx einzutauchen, möchten wir Sie nochmals auf unsere aktuelle Aktion hinweisen. Sichern Sie sich Plesk Onyx in Kombination mit einem unserer vServer einen Monat lang kostenlos. Entscheiden Sie sich in unserer vServer Übersicht für Ihr gewünschtes Modell und wählen Sie bei der Konfiguration Plesk Onyx in der bevorzugten Edition aus.

20Jun/172

Neues Betriebssystem: Debian 9 ab jetzt bei uns verfügbar!

Gerade erst veröffentlicht, bieten wir Euch Debian 9, Codename Stretch, bereits für Eure virtuellen und dedizierten Server an. Ihr könnt es bei Neubestellungen auswählen, Bestandskunden können über das Kundenlogin auf die neue Version updaten.

Kombinieren könnt Ihr Debian 9 Webmin, Lamp, Webmin+LAMP und dem Software Raid 1.

Mit dem Update auf die neue Version wurde u.a. MySQL durch MariaDB ersetzt, natürlich gibt es ebenso eine neue Kernelversion 4.9.

Neben Debian 9 bieten wir Euch für Eure vServer und Rootserver noch eine Vielzahl weiterer Linux-Distributionen sowie Windows Server 2012 und 2016 an. Klickt dazu einfach beim gewünschten Servermodell auf "Konfigurieren & Bestellen" - die Details dazu findet Ihr auf unserer Homepage!

Posted by: Markus | Tagged as: , , , , 2 Comments
14Jun/170

Das SSL Zertifikat

Oft fragt man sich, in welchen Situationen ein SSL Zertifikat wirklich Sinn macht. In diesem Tutorial zeigen wir Ihnen, wann und wo Zertifikate genutzt werden sollten um von Verschlüsselung zu profitieren.

Ein Zertifikat besteht meist aus zwei Teilen, einem privaten und einem öffentlichem Schlüssel.
Um das Verfahren genauer zu verstehen, haben wir folgende Abbildung angefertigt.

 

ssl

Der Client kontaktiert den Server und bietet dem Server seine unterstützten Verschlüsselungsmodi an, am Ende einigen sich beide auf eine Verschlüsselungsart. Nun sendet der Server dem Client den öffentlichen Schlüssel, mit diesem Schlüssel kann der Client seine Daten verschlüsseln.  Startet man nun einen Paketmitschnitt bekommt man nur verschlüsselte Daten. Man benötigt den privaten Schlüssel, um verschlüsselte Daten entschlüsseln zu können, diesen Schlüssel hat nur der Server. Der private Schlüssel darf auf keinen Fall Dritten zugänglich gemacht werden, das birgt ein enormes Sicherheitsrisiko weil jegliche verschlüsselte Daten der Clients entschlüsselt werden können.

Für einen kleinen Test haben wir ein HTML Formular erstellt, in dem man einen Nutzernamen und ein Passwort eingeben kann, eine solche Login-Maske findet man sehr häufig auf Webseiten.

Unser Loginname war: test@contabo.de

Das Passwort war : "unencryptedpassword"

Mit einem gängigen Netzwerktool wurden Pakete mitgeschnitten um den Unterschied deutlich zu machen.

Ohne Verschlüsselung konnten wir mühelos den Nutzernamen und das Passwort in Klartext sehen, theoretisch könnten wir auch nachvollziehen, welche Seiten aufgerufen wurden.

pw_unencrypted

Mit Verschlüsselung konnten wir keinerlei Passwörter, Benutzernamen oder die Seiten, die aufgerufen worden sind, darstellen.
Es zeigt sich uns nur ein Datenpaket, was dieses Paket beinhaltet, kann ohne Entschlüsselung nicht festgestellt werden.
In diesem Fall sollte der Benutzername und das Passwort in folgendem Paket übermittelt worden sein (ganz genau kann man es nicht bestimmen).

pw_encrypted

Um wirklich professionell aufzutreten, sollte man seinen Kunden in jedem Fall eine verschlüsselte Verbindung zur Verfügung stellen, vor allem dann, wenn sensible Daten wie E-Mail Adressen, Benutzernamen, Passwörter oder auch Kreditkarteninformationen eines Kunden übermittelt, verarbeitet und gespeichert werden.

Es gibt natürlich verschiedene Arten von Verschlüsselungen, wir befassen uns hier jedoch nur mit dem Thema der SSL-Zertifikate, die für eine Verschlüsselung benötigt werden. Selbst Verschlüsselungsalgorithmen aus den 90er Jahren bieten einen sehr guten Schutz, hier muss man sich prinzipiell nur bei einem "Finetuning" wirklich Gedanken machen.

 


Das Mysterium der unsicheren Verbindungen wird gelüftet:

Jene, die ein Webinterface (cPanel, Plesk, Webmin etc.) installiert haben, haben sicherlich schon einmal folgende Warnmeldung gesehen:

ssl_err_ger

"Dem Zertifikat wird nicht vertraut, da es vom Aussteller selbst signiert wurde", normalerweise sollte man sich jetzt zweimal überlegen ob man trotzdem die Seite laden möchte, unter Umständen wurde man auf einen anderen Server umgeleitet, in unserem Fall besteht hier keine Gefahr. Die Warnung besagt nur, dass keine öffentliche Institution das Zertifikat unterzeichnet hat. Das Zertifikat an sich hat nichts mit der Stärke der Verschlüsselung zu tun, die Verschlüsselung wird vom Client und Server ausgehandelt.

Es ist natürlich ärgerlich, wenn jeder Kunde eine solche Meldung bekommt - diese Meldung wird oft falsch interpretiert, die Verbindung ist selbstverständlich "sicher" und verschlüsselt.

Abhilfe schafft hier nur ein Zertifikat, welches von einer öffentlichen Institution signiert wurde, die Preise für solche Zertifikate sind meist extrem hoch und übersteigen schnell das Budget. Daher sollte man sich vorher überlegen wie viel Sicherheit man selbst benötigt, bzw. wie viel Sicherheit man seinen Kunden zur Verfügung stellen möchte.

Zertifikate von Institutionen, wie bspw. "Lets Encrypt" sind eine tolle kostenlose Alternative, vor allem wenn man ansonsten unverschlüsselt übertragen würde. Sicherheit für die eigene Website bieten domainvalidierte Zertifikate, welche Sie auch bei uns erwerben können. Diese Art von Zertifikaten ist sehr weit verbreitet, es erfolgt hier eine einfache Prüfung der Domain, das Zertifikat ist dann für diese Domain gültig.

Diese Prüfungen gehen so weit, dass zum Teil notariell beglaubigte Urkunden eingesendet werden müssen, dies nennt man dann "Extended Validation". Ziel ist natürlich immer ein möglichst seriöser Auftritt im Web.

Sobald man sich für ein Zertifikat entschieden hat, egal ob domainvalidiert oder eines mit einer Extended Validation, verschwindet die Warnmeldung und die Website ist fortan für jedermann ohne Warnmeldung erreichbar.

Ebenfalls sehr wichtig ist die Entscheidung, ob man das Zertifikat für eine oder gleich mehrere Domains, bzw. Subdomains benötigt. Ein Wildcard-Zertifikat gilt für eine Vielzahl an Domains, bspw. *.domain.tld, während ein einfaches Zertifikat meist nur für eine Domain gültig ist, z.B. subdomain.domain.tld. Oft wird auch die "www" Subdomain in das Zertifikat integriert, sodass ein Zertifikat durchaus für mehrere Subdomains gültig sein kann. Ein solches Zertifikat, das für mehrere Domains gültig ist, nennt man Multi-Domain-Zertifikat oder auch UCC (Unified Communications Certificate).

Ist die Suche nach dem passenden Zertifikat abgeschlossen und das Zertifikat bestellt, muss lediglich die Konfiguration des Webservers angepasst werden. Anleitungen bekommt man meist von der ausstellenden Institution.

ssl_ok

Wichtig :
Zertifikate bzw. Verschlüsselung spielen nicht nur bei Webservern eine Rolle, Nutzernamen und Passwörter können überall im Klartext abgegriffen werden, egal ob beim Mailversand, FTP Transfer oder sonst einem Dienst. Man sollte möglichst eine verschlüsselte Verbindung vorziehen oder eine unverschlüsselte Verbindung verweigern.

Posted by: Gianni-Donato | Tagged as: , , , , No Comments
1Jun/170

Eigene Nameserver in cPanel und Plesk

Damit Ihre Domain im Internet nutzbar ist, wird ein Nameserver benötigt, der den Domainnamen zu Ihrer IP-Adresse auflöst. Generell empfehlen wir, unsere Nameserver (ns1.contabo.net, ns2.contabo.net, ns3.contabo.net) zu verwenden. Damit können Sie die DNS-Zonen zu Ihrer Domain komfortabel über den Kundenlogin selbst bearbeiten. Dazu betreiben wir mehrere Nameserver an unterschiedlichen Standorten. Aus verschiedenen Gründen kann es jedoch notwendig sein, eigene Nameserver zu betreiben.

Dieses Tutorial gibt eine kurze Einführung, wie Sie unter cPanel und Plesk Ihre eigenen Nameserver verwalten können. Voraussetzung für die meisten Domainendungen (TLDs) sind hierfür mindestens zwei IP-Adressen für zwei Nameserver.

Als Beispiel für dieses Tutorial nehmen wir die Domain "yourdomain.com" und die beiden Nameserver "ns1.yourdomain.com" und "ns2.yourdomain.com". Als IP-Addressen für die beiden Nameserver verwenden wir "1.1.1.1" und "2.2.2.2".

cPanel

Zur Nutzung einer zusätzlichen IP Adresse als zweiten Nameserver, muss die IP-Adresse im WHM unter "IP Functions" - "Add a New IP Address" hinzugefügt werden. Der DNS-Server ist über alle IP-Adressen, die auf dem System konfiguriert sind, erreichbar. Sie können die Nameserver auch unter anderen IP-Adressen als Ihre Webseite konfigurieren.

Im nächsten Schritt sollten Sie die Nameserver, die Sie für Ihre Domains nutzen möchten, in Ihrem cPanel konfigurieren. Gehen Sie dazu in WHM zu "Server Configuration" - "Basic Webhost Manager® Setup". Am Ende der Seiten können Sie die zu verwendenden Nameserver angeben. Tragen Sie die gewünschten Nameserver ein. Klicken Sie danach hinter den Einträgen auf "Configure Address Records" und geben Sie die zu verwendende IP-Addresse an und klicken Sie "Configure Address Record" und schließen Sie die Meldung dann über "Close". Bitte beachten Sie, dass die Einträge unter Umständen beim erneuten Aufrufen von "Configure Address Records" nicht den eingestellten Wert enthalten. Dies ist besonders dann der Fall, wenn die Domain aktuell noch auf andere Nameserver zeigt. Im Anschluss müssen Sie die Einstellungen noch mit "Save Changes" speichern.

Wenn Sie nun über WHM - "Account Functions" - "Create a new Account" eine neue Domain anlegen, werden die Nameserver bereits automatisch hinterlegt und die DNS-Zone entsprechend konfiguriert. Einen Überblick aller DNS-Einträge für eine Domain finden Sie unter WHM - "Edit DNS Zone".

Hier können Sie alle DNS-Einträge der Domain bearbeiten, neue hinzufügen oder bestehende löschen. Dies sind jedoch teilweise interne Einträge, die nicht verändert werden sollten. Zum Verwalten benutzerdefinierter Einträge sollten Sie daher die Funktion "Zone Editor" im cPanel Account unter "Domains" verwenden.

Damit die Domain Ihre Nameserver verwendet, müssen die Nameserver noch bei Ihrem Domain-Registrar hinterlegt werden. Möchten Sie als Nameserver Subdomains Ihrer Domain verwenden, also z.B. "ns1.yourdomain.com" für die Domain "yourdomain.com", dann müssen Sie so genannte Glue-Records anlegen. Dies bedeutet, dass zusammen mit dem Namen des Nameservers auch die IP-Adresse gespeichert wird. Oftmals ist es dabei notwendig, dass vor der Änderung der Nameserver die Einträge für die neuen Server auf den aktuellen Nameservern mit der neuen IP-Adresse konfiguriert werden.

Nachdem die Einstellungen übernommen wurden, kann es bis zu 24 Stunden dauern, bis die Änderungen global aktiv sind. Um die Einstellungen und die korrekte Namensauflösung zu testen, können Sie Ihre Domain mit externen Tools wie intoDNS testen. Dort werden die Einstellungen beim Domain-Provider und bei Ihren Nameservern geprüft.

Plesk

Zuerst müssen Sie, falls noch nicht geschehen, Ihre Domain in Plesk anlegen. Unter "Websites & Domains" sehen Sie Ihre Domain in der Übersicht:

Zur Nutzung einer zusätzlichen IP-Adresse als zweiten Nameserver, muss die IP-Adresse im Plesk unter "Tools & Settings" - "Tools & Resources" - "IP Addresses" konfiguriert sein. Der DNS-Server ist über alle IP-Adressen, die auf dem System konfiguriert sind, erreichbar. Neben den IPv4 Adressen läuft der DNS-Server auch über IPv6 und kann darüber genutzt werden. Sie können die Nameserver auch unter anderen IP-Adressen als Ihre Webseite konfigurieren.

Alle DNS-Zonen werden von Plesk aufgrund eines DNS-Templates erstellt. Dort können alle wichtigen Einträge, die für alle Domains auf dem Server gelten sollen, vorgegeben werden. Ein Großteil der Einstellungen ist dort bereits durch Plesk angelegt. Es werden neben Subdomains für interne Dienste, wie z.B. Webmail auch schon zwei Nameserver-Einträge erstellt, jedoch beide mit der IPv4 und IPv6 der Domain. Sollen die Nameserver für alle Domains verwendet werden, empfiehlt es sich, die IP-Adressen der Nameserver in den Einträgen "ns1.yourdomain.com" und "ns2.yourdomain.com" und die NS-Einträge im DNS-Template zu hinterlegen. Sollten Sie unterschiedliche Nameserver für die Domains auf dem Server verwenden wollen, können Sie diese Einstellungen später auch in der DNS-Zone der Domain selbst ändern und die Einstellungen des Templates überschreiben. Nach der Anpassung des DNS-Templates muss dies noch für alle angelegten Domains übernommen werden. Die DNS-Templates befinden sich unter "Tools & Settings" - "General Settings" - "DNS Template":

Nachdem die Einstellungen des DNS-Templates übernommen wurden, sind die Nameserver nun auch in der DNS-Zone der Domain eingetragen. Sie finden die DNS-Zone unter "Websites & Domains" - "yourdomain.com" - "DNS Settings":

Damit die Domain Ihre Nameserver verwendet, müssen die Nameserver noch bei Ihrem Domain-Registrar hinterlegt werden. Möchten Sie als Nameserver Subdomains Ihrer Domain verwenden, also z.B. "ns1.yourdomain.com" für die Domain "yourdomain.com", dann müssen Sie so genannte Glue-Records anlegen. Dies bedeutet, dass zusammen mit dem Namen des Nameservers auch die IP-Adresse gespeichert wird. Oftmals ist es dabei notwendig, dass vor der Änderung der Nameserver die Einträge für die neuen Server auf den aktuellen Nameservern mit der neuen IP-Adresse konfiguriert werden.

Nachdem die Einstellungen übernommen wurden, kann es bis zu 24 Stunden dauern, bis die Änderungen global aktiv sind. Um die Einstellungen und die korrekte Namensauflösung zu testen, können Sie Ihre Domain mit externen Tools wie intoDNS testen. Dort werden die Einstellungen beim Domain-Provider und Ihren Nameservern geprüft.

Posted by: Torsten | Tagged as: , , , No Comments
8May/170

Rechenzentrumsanbindung: Jetzt 100 Gbit/s

Es gibt eine weitere tolle Neuigkeit: Wir bieten Euch ab sofort zwei weitere Uplinks für unsere Rechenzentren!

Die beiden Carrier Telia und Level 3 wurden mit zusätzlichen jeweils 10 Gbit/s an unser Backbone angeschlossen.

Mit dem konsequenten Ausbau unserer Upstreams via Telia Carrier und Level 3 setzen wir unverändert und kompromisslos auf höchste Qualität und bestmögliche Verfügbarkeit unserer Rechenzentrumsanbindung - und zwar für Euch, unsere Kunden. Das Schöne an der ganzen Sache: Bei Level 3 und Telia Carrier handelt es sich um die Nummer 1 und die Nummer 2 der größten Internetcarrier weltweit - kein anderer Carrier ist global so gut vernetzt, wie diese beiden.

Für Euch ergeben sich daraus entscheidende Vorteile: Zum einen bedeuten die zwei zusätzlichen Rechenzentrums-Uplinks eine noch höhere Redundanz beim potenziellen Ausfall einer Rechenzentrumsleitung und noch mehr zur Verfügung stehende Internetbandbreite. Zum anderen bieten wir Euch damit ein noch besseres, weltweites Routing sowie letztlich einen noch besseren Trafficpreis.

Die Contabo Rechenzentren sind jetzt mit 100 Gbit/s an das Internet angebunden:

  • Telia Carrier: 30 Gbit/s
  • Level 3: 30 Gbit/s
  • DE-CIX: 20 Gbit/s
  • Versatel: 10 Gbit/s
  • M-Net: 10 Gbit/s