19Jul/170

Auslesen von Log-Dateien unter Linux und Windows

Jeder kennt es, man möchte ein Problem auf dem Server oder dem Heimcomputer genauer untersuchen, doch wo findet man die relevanten Informationen?

Im Folgenden werden wir auf spezifische Log-Dateien in Linux und auf den Windows Event Viewer näher eingehen. Ein weiterer Abschnitt wird die Log-Analyse unter Linux via Systemd behandeln.

Linux Log-Dateien

Leider ist es von Distribution zu Distribution unterschiedlich, welche Informationen aus welcher Log-Datei bezogen werden können. Wir werden im folgenden speziell die Struktur anhand von Debian 8 und CentOS 7.2 behandeln. Im Prinzip kann man sehr viele nützliche Log-Dateien unter dem Verzeichnis /var/log/ finden. Je nachdem, wie Apache, Nginx oder ähnliche Programme konfiguriert wurden, loggen diese ebenfalls in das /var/log/ Verzeichnis. In der Datei unter /etc/rsyslog.conf ist genau spezifiziert, welche Art von System-Logs in welche Datei geloggt werden.

Debian 8:

  • /var/log/auth.log

Hier können erfolgreiche und nicht erfolgreiche Login-Versuche auf Ihrem System eingesehen werden. Ebenfalls wird hier geloggt, wenn ein Benutzer via sudo Befehle ausführt.

  • /var/log/messages

In dieser Datei werden allgemeine Systeminformationen geloggt, unter anderem ist hier auch der Systemstart geloggt.

  • /var/log/dmesg bzw dmesg

Via dmesg kann der "Kernel ring buffer" ausgelesen werden. Hier finden sich Informationen über den Systemstart, Kernel-Nachrichten die zur Laufzeit - zum Beispiel von Kernel -Modulen - geschrieben wurden und viele weitere nützliche Informationen über Hardware und Software des Systems. Standardmäßig wird via dmesg der gesamte "ring buffer" ausgegeben. Man kann allerdings die Ausgabe nach eigenen Wünschen manipulieren, indem man weitere Parameter übergibt. Eine vollständige Dokumentation finden man auf der Manual Page (man dmesg).

  • /var/log/syslog

Dies ist eine der wichtigsten Log-Dateien, da hier im Prinzip jeder Linux-Prozess seine Logs anhängen kann.  Man kann hier ebenfalls die Kernel-Logs des Systemstarts, ausgeführte cron-jobs und Logs von jedem weiteren Prozess welcher die syslog Schnittstelle implementiert, einsehen.

CentOS 7.2:

Die Logging-Struktur von CentOS ist der von Debian 8 sehr ähnlich, weshalb wir hier nur die Unterschiede beleuchten werden.

  • /var/log/secure

Diese Datei ist das Äquivalent zu /var/log/auth.log auf Debian-Systemen. Authentifizierungen jeglicher Art werden hier aufgezeichnet.

  • /var/log/messages

In CentOS gibt es keine Trennung zwischen /var/log/messages und /var/log/syslog, alle systemweiten Logs von Prozessen, welche die syslog Schnittstelle implementieren, kann man hier finden.

  • /var/log/cron

Cron-spezifische Logs sind nicht Teil des syslogs wie in Debian, sondern werden in die obige Datei separat geloggt.

 

Loganalyse via Systemd

Systemd ist mittlerweile auf fast allen "Major" Linux-Distributionen das Standard Init System. Spätestens seit April 2015, als es ebenfalls standardmäßig auf Debian und Ubuntu eingeführt wurde, kommt jeder Administrator oder auch Benutzer mit Systemd in Berührung. Da Systemd ein sehr komplexes System ist, werden wir hier nur speziell auf die von Systemd bereitgestellte Log-Analyse eingehen. Im Prinzip sind alle via Systemd verwalteten Prozesse in sogenannte "Units" eingeteilt. Man kann alle aktiven Units mit folgendem Befehl auflisten:

systemctl list-units

Mit dem Parameter --all kann man auch alle inaktiven Units mit ausgeben.

Logs, welche via Systemd erfasst werden, werden im sogenannten Journal verwaltet. Diese Logs kann man mit dem binary journalctl einsehen.

Wenn man journalctl ohne Parameter aufruft, wird das gesamte Journal ausgegeben. Es ist aber auch ohne Probleme möglich, nur Logs von spezifischen Units auszugeben. Im folgenden Beispiel sollen die Logs des Apache-Webservers genauer untersucht werden.

journalctl -u httpd

Man kann diese Logs mit den Parametern --since und --until sehr fein granulieren.

journalctl -u httpd --since "2016-11-01 20:00:00" --until "2016-11-03 20:00:00"

Obiger Befehl würde die Apache-Logs zwischen 2016-11-01 20:00:00 und 2016-11-03 20:00:00 ausgeben. Es sind auch Schlagwörter wie "today" und "yesterday" möglich.

Man kann sich ebenfalls die Logs von mehreren Units gleichzeitig ausgeben lassen. Im folgenden Beispiel werden alle Apache- und Nginx-Logs ausgegeben, welche seit gestern geschrieben wurden.

journalctl -u httpd -u nginx --since yesterday

Wenn man den Parameter -f benutzt, kann man die gewünschten Logs live einsehen.

Dies waren nur ein paar nützliche Parameter um die Logs feiner zu granulieren, es gibt noch zahlreiche weitere nützliche Möglichkeiten, welche auf der Manual Page genauer beschrieben sind (man journalctl).

 

Loganalyse via Windows Event Viewer

Windows Event Viewer Übersicht

Im obigen Bild gibt es in der linken Navigation den Punkt "Windows Logs". Hier sind vor allem folgende Punkte interessant:

  • Application

Unter diesem Punkt werden Ereignisse von lokal installierten Anwendungen angezeigt.

  • Security

Hier werden erfolgreiche und fehlgeschlagene Anmeldungen protokolliert.

  • System

Unter diesem Punkt kann man betriebssysteminterne Ereignisse und Fehler einsehen.

Unter dem Punkt "Custom Views" -> "Server Roles" -> "Remote Desktop Services" werden RDP Verbindungen und Probleme protokolliert.

Eventuelle Hardware-Probleme kann man über "Application and Service Logs" -> "Hardware Events" identifizieren.

Hilfreich bei einer Problemanalyse ist auch der Punkt "Overview and Summary" -> "Summary of Administrative Events", welcher einen sehr guten Überblick über den derzeitigen Systemstatus gibt.

29Jun/170

Die ersten Schritte mit Plesk Onyx

Plesk ist eine kommerzielle Webhosting-Plattform, welches vom Hersteller Parallels sowohl für Linux als auch für Windows Server entwickelt wurde. Es steht damit für praktisch jedes bei uns bestellbare Betriebssystem zur Verfügung.

In Kooperation mit unserem Partner Plesk bieten wir Ihnen derzeit an, eine der drei nachfolgend aufgeführten Editionen von Plesk Onyx einen Monat lang vollkommen kostenlos zu testen. Diese Aktion gilt nur in Kombination mit unseren vServern. Weitere Informationen dazu finden Sie in unserem Newsbereich: Plesk Onyx bei Contabo ein Monat gratis.

Nachfolgend geben wir Ihnen einen ersten Überblick über die verschiedenen Editionen und die ersten Schritte mit Plesk.

Aktuell steht Plesk in der Version 17 (Onyx) zur Verfügung und wird in dieser Version auch von uns in mehreren Editionen angeboten:

  • Web Admin Edition: Diese Edition ist für Kunden interessant, die ausschließlich Ihre eigenen Seiten auf ihrem Server hosten wollen. Für diese Zwecke überflüssige Features wie zum Beispiel Kunden-/Resellerverwaltung sind in dieser Edition nicht aktiv.
  • Web Pro Edition: Mit dieser Edition können bis zu 30 verschiedene Domains gehostet werden. Außerdem stehen bis auf das Reseller Management alle Features von Plesk zur Verfügung.
  • Web Host Edition: Mit dieser Edition können unlimitiert viele Domains gehostet werden, seitens Plesk gibt es keine Limitierung.  Die Web Host Edition ist die umfangreichste aller Plesk-Editionen - vom Reseller Management über die Security Core Features bis hin zum automatischen Outbound Spamschutz bietet sie alle Features.

In diesem Tutorial wollen wir uns jedoch auf die absoluten Basics beschränken. Wir werden Ihnen zeigen, wie Sie Domains mit dazugehörigen FTP-Accounts und Datenbanken einrichten und Mailaccounts anlegen, über welche Sie E-Mails senden und empfangen können.

Zunächst einmal melden wir uns im Plesk-Webinterface an. Dies geschieht über den Browser mit unserer IP-Adresse und dem Port 8443 (zum Beispiel https://198.51.100.3:8443).

Wir melden uns mit den Daten aus der Zugangsdatenmail an...

... und landen auf der Hauptseite des Plesk-Webinterfaces. In unserem Fall ist bereits eine Domain angelegt, in Ihrem Plesk sieht das Fenster gegebenenfalls etwas anders aus.

Nun, da die Grundvoraussetzungen - nämlich der Zugriff auf das Panel - geschaffen sind, kommen wir zum ersten Punkt unseres Tutorials:

Domain anlegen:

Wir klicken auf "Domain hinzufügen" auf der Hauptseite unseres Plesk-Interfaces und landen auf der entsprechenden Seite.

Hier füllen wir die entsprechenden Felder aus. Bei "Domainname" tragen wir unsere Domain (ohne "www") ein. In unserem Fall heißt die Domain "example.com". Als Speicherort wählen wir "Neuer Webspace".

Bei der Auswahl der IPv4/IPv6-Adressen wählen wir die entsprechenden IP-Adressen aus, unter welcher unsere Website später erreichbar sein soll. Der Benutzername sowie das Passwort sind selbstverständlich frei wählbar.

Der erste Schritt ist hiermit schon getan, die Domain ist nun auf unserem Server angelegt.

Nun können unsere Homepagedaten auf den Server hochgeladen werden. Üblicherweise geschieht dies per FTP. Glücklicherweise legt Plesk beim Anlegen einer neuen Domain automatisch einen FTP-User an. Wir nehmen also einfach einen FTP-Client unserer Wahl (z.B. FileZilla), und verbinden uns mit den gerade festgelegten Zugangsdaten. So können wir im Ordner "httpdocs" unsere Homepagedaten hochladen.

Was nun noch fehlt, ist eine Datenbank für unsere Website. Mit einem Klick auf "Datenbanken" landen wir auf der entsprechenden Seite:

Durch Klick auf "Datenbank hinzufügen" landen wir im nächsten Assistenten:

Hier füllen wir die Felder entsprechend aus. Um auf die Datenbank zugreifen zu können, muss unbedingt ein Nutzer mit Name und Passwort angelegt werden. Wir notieren uns diese Zugangsdaten! Unter Zugriffssteuerung wählen wir "Nur lokale Verbindungen zulassen".

Nachdem die Datenbank angelegt wurde, erscheint folgendes auf unserem Bildschirm:

Hier könnten wir unter "Abbild importieren" eine bereits bestehende Datenbank importieren. Dies würde jedoch den Rahmen dieses Tutorials sprengen.

E-Mail-Account anlegen:

Nun fehlt uns noch ein E-Mail-Account für unsere soeben erstellte Domain. Auch hier bietet Plesk eine komfortable Möglichkeit, dies mit wenigen Klicks zu realisieren.
Wir klicken im Hauptmenü auf der linken Seite auf "E-Mail" und auf der Folgeseite auf "E-Mail-Adresse erstellen":

Der Assistent ist selbsterklärend; wir füllen die Felder aus und klicken auf "OK". Auch hier notieren wir uns Mailadresse und Passwort! Der Mailaccount ist nun angelegt. Mit den notierten Zugangsdaten können wir uns nun unter "webmail.example.com" in unser Webmailinterface einloggen und Mails versenden und empfangen.

Klingt gut? Super! 🙂

Wenn Sie jetzt bereit sind, in die Welt von Plesk Onyx einzutauchen, möchten wir Sie nochmals auf unsere aktuelle Aktion hinweisen. Sichern Sie sich Plesk Onyx in Kombination mit einem unserer vServer einen Monat lang kostenlos. Entscheiden Sie sich in unserer vServer Übersicht für Ihr gewünschtes Modell und wählen Sie bei der Konfiguration Plesk Onyx in der bevorzugten Edition aus.

14Jun/170

Das SSL Zertifikat

Oft fragt man sich, in welchen Situationen ein SSL Zertifikat wirklich Sinn macht. In diesem Tutorial zeigen wir Ihnen, wann und wo Zertifikate genutzt werden sollten um von Verschlüsselung zu profitieren.

Ein Zertifikat besteht meist aus zwei Teilen, einem privaten und einem öffentlichem Schlüssel.
Um das Verfahren genauer zu verstehen, haben wir folgende Abbildung angefertigt.

 

ssl

Der Client kontaktiert den Server und bietet dem Server seine unterstützten Verschlüsselungsmodi an, am Ende einigen sich beide auf eine Verschlüsselungsart. Nun sendet der Server dem Client den öffentlichen Schlüssel, mit diesem Schlüssel kann der Client seine Daten verschlüsseln.  Startet man nun einen Paketmitschnitt bekommt man nur verschlüsselte Daten. Man benötigt den privaten Schlüssel, um verschlüsselte Daten entschlüsseln zu können, diesen Schlüssel hat nur der Server. Der private Schlüssel darf auf keinen Fall Dritten zugänglich gemacht werden, das birgt ein enormes Sicherheitsrisiko weil jegliche verschlüsselte Daten der Clients entschlüsselt werden können.

Für einen kleinen Test haben wir ein HTML Formular erstellt, in dem man einen Nutzernamen und ein Passwort eingeben kann, eine solche Login-Maske findet man sehr häufig auf Webseiten.

Unser Loginname war: test@contabo.de

Das Passwort war : "unencryptedpassword"

Mit einem gängigen Netzwerktool wurden Pakete mitgeschnitten um den Unterschied deutlich zu machen.

Ohne Verschlüsselung konnten wir mühelos den Nutzernamen und das Passwort in Klartext sehen, theoretisch könnten wir auch nachvollziehen, welche Seiten aufgerufen wurden.

pw_unencrypted

Mit Verschlüsselung konnten wir keinerlei Passwörter, Benutzernamen oder die Seiten, die aufgerufen worden sind, darstellen.
Es zeigt sich uns nur ein Datenpaket, was dieses Paket beinhaltet, kann ohne Entschlüsselung nicht festgestellt werden.
In diesem Fall sollte der Benutzername und das Passwort in folgendem Paket übermittelt worden sein (ganz genau kann man es nicht bestimmen).

pw_encrypted

Um wirklich professionell aufzutreten, sollte man seinen Kunden in jedem Fall eine verschlüsselte Verbindung zur Verfügung stellen, vor allem dann, wenn sensible Daten wie E-Mail Adressen, Benutzernamen, Passwörter oder auch Kreditkarteninformationen eines Kunden übermittelt, verarbeitet und gespeichert werden.

Es gibt natürlich verschiedene Arten von Verschlüsselungen, wir befassen uns hier jedoch nur mit dem Thema der SSL-Zertifikate, die für eine Verschlüsselung benötigt werden. Selbst Verschlüsselungsalgorithmen aus den 90er Jahren bieten einen sehr guten Schutz, hier muss man sich prinzipiell nur bei einem "Finetuning" wirklich Gedanken machen.

 


Das Mysterium der unsicheren Verbindungen wird gelüftet:

Jene, die ein Webinterface (cPanel, Plesk, Webmin etc.) installiert haben, haben sicherlich schon einmal folgende Warnmeldung gesehen:

ssl_err_ger

"Dem Zertifikat wird nicht vertraut, da es vom Aussteller selbst signiert wurde", normalerweise sollte man sich jetzt zweimal überlegen ob man trotzdem die Seite laden möchte, unter Umständen wurde man auf einen anderen Server umgeleitet, in unserem Fall besteht hier keine Gefahr. Die Warnung besagt nur, dass keine öffentliche Institution das Zertifikat unterzeichnet hat. Das Zertifikat an sich hat nichts mit der Stärke der Verschlüsselung zu tun, die Verschlüsselung wird vom Client und Server ausgehandelt.

Es ist natürlich ärgerlich, wenn jeder Kunde eine solche Meldung bekommt - diese Meldung wird oft falsch interpretiert, die Verbindung ist selbstverständlich "sicher" und verschlüsselt.

Abhilfe schafft hier nur ein Zertifikat, welches von einer öffentlichen Institution signiert wurde, die Preise für solche Zertifikate sind meist extrem hoch und übersteigen schnell das Budget. Daher sollte man sich vorher überlegen wie viel Sicherheit man selbst benötigt, bzw. wie viel Sicherheit man seinen Kunden zur Verfügung stellen möchte.

Zertifikate von Institutionen, wie bspw. "Lets Encrypt" sind eine tolle kostenlose Alternative, vor allem wenn man ansonsten unverschlüsselt übertragen würde. Sicherheit für die eigene Website bieten domainvalidierte Zertifikate, welche Sie auch bei uns erwerben können. Diese Art von Zertifikaten ist sehr weit verbreitet, es erfolgt hier eine einfache Prüfung der Domain, das Zertifikat ist dann für diese Domain gültig.

Diese Prüfungen gehen so weit, dass zum Teil notariell beglaubigte Urkunden eingesendet werden müssen, dies nennt man dann "Extended Validation". Ziel ist natürlich immer ein möglichst seriöser Auftritt im Web.

Sobald man sich für ein Zertifikat entschieden hat, egal ob domainvalidiert oder eines mit einer Extended Validation, verschwindet die Warnmeldung und die Website ist fortan für jedermann ohne Warnmeldung erreichbar.

Ebenfalls sehr wichtig ist die Entscheidung, ob man das Zertifikat für eine oder gleich mehrere Domains, bzw. Subdomains benötigt. Ein Wildcard-Zertifikat gilt für eine Vielzahl an Domains, bspw. *.domain.tld, während ein einfaches Zertifikat meist nur für eine Domain gültig ist, z.B. subdomain.domain.tld. Oft wird auch die "www" Subdomain in das Zertifikat integriert, sodass ein Zertifikat durchaus für mehrere Subdomains gültig sein kann. Ein solches Zertifikat, das für mehrere Domains gültig ist, nennt man Multi-Domain-Zertifikat oder auch UCC (Unified Communications Certificate).

Ist die Suche nach dem passenden Zertifikat abgeschlossen und das Zertifikat bestellt, muss lediglich die Konfiguration des Webservers angepasst werden. Anleitungen bekommt man meist von der ausstellenden Institution.

ssl_ok

Wichtig :
Zertifikate bzw. Verschlüsselung spielen nicht nur bei Webservern eine Rolle, Nutzernamen und Passwörter können überall im Klartext abgegriffen werden, egal ob beim Mailversand, FTP Transfer oder sonst einem Dienst. Man sollte möglichst eine verschlüsselte Verbindung vorziehen oder eine unverschlüsselte Verbindung verweigern.

Posted by: Gianni-Donato | Tagged as: , , , , No Comments
1Jun/170

Eigene Nameserver in cPanel und Plesk

Damit Ihre Domain im Internet nutzbar ist, wird ein Nameserver benötigt, der den Domainnamen zu Ihrer IP-Adresse auflöst. Generell empfehlen wir, unsere Nameserver (ns1.contabo.net, ns2.contabo.net, ns3.contabo.net) zu verwenden. Damit können Sie die DNS-Zonen zu Ihrer Domain komfortabel über den Kundenlogin selbst bearbeiten. Dazu betreiben wir mehrere Nameserver an unterschiedlichen Standorten. Aus verschiedenen Gründen kann es jedoch notwendig sein, eigene Nameserver zu betreiben.

Dieses Tutorial gibt eine kurze Einführung, wie Sie unter cPanel und Plesk Ihre eigenen Nameserver verwalten können. Voraussetzung für die meisten Domainendungen (TLDs) sind hierfür mindestens zwei IP-Adressen für zwei Nameserver.

Als Beispiel für dieses Tutorial nehmen wir die Domain "yourdomain.com" und die beiden Nameserver "ns1.yourdomain.com" und "ns2.yourdomain.com". Als IP-Addressen für die beiden Nameserver verwenden wir "1.1.1.1" und "2.2.2.2".

cPanel

Zur Nutzung einer zusätzlichen IP Adresse als zweiten Nameserver, muss die IP-Adresse im WHM unter "IP Functions" - "Add a New IP Address" hinzugefügt werden. Der DNS-Server ist über alle IP-Adressen, die auf dem System konfiguriert sind, erreichbar. Sie können die Nameserver auch unter anderen IP-Adressen als Ihre Webseite konfigurieren.

Im nächsten Schritt sollten Sie die Nameserver, die Sie für Ihre Domains nutzen möchten, in Ihrem cPanel konfigurieren. Gehen Sie dazu in WHM zu "Server Configuration" - "Basic Webhost Manager® Setup". Am Ende der Seiten können Sie die zu verwendenden Nameserver angeben. Tragen Sie die gewünschten Nameserver ein. Klicken Sie danach hinter den Einträgen auf "Configure Address Records" und geben Sie die zu verwendende IP-Addresse an und klicken Sie "Configure Address Record" und schließen Sie die Meldung dann über "Close". Bitte beachten Sie, dass die Einträge unter Umständen beim erneuten Aufrufen von "Configure Address Records" nicht den eingestellten Wert enthalten. Dies ist besonders dann der Fall, wenn die Domain aktuell noch auf andere Nameserver zeigt. Im Anschluss müssen Sie die Einstellungen noch mit "Save Changes" speichern.

Wenn Sie nun über WHM - "Account Functions" - "Create a new Account" eine neue Domain anlegen, werden die Nameserver bereits automatisch hinterlegt und die DNS-Zone entsprechend konfiguriert. Einen Überblick aller DNS-Einträge für eine Domain finden Sie unter WHM - "Edit DNS Zone".

Hier können Sie alle DNS-Einträge der Domain bearbeiten, neue hinzufügen oder bestehende löschen. Dies sind jedoch teilweise interne Einträge, die nicht verändert werden sollten. Zum Verwalten benutzerdefinierter Einträge sollten Sie daher die Funktion "Zone Editor" im cPanel Account unter "Domains" verwenden.

Damit die Domain Ihre Nameserver verwendet, müssen die Nameserver noch bei Ihrem Domain-Registrar hinterlegt werden. Möchten Sie als Nameserver Subdomains Ihrer Domain verwenden, also z.B. "ns1.yourdomain.com" für die Domain "yourdomain.com", dann müssen Sie so genannte Glue-Records anlegen. Dies bedeutet, dass zusammen mit dem Namen des Nameservers auch die IP-Adresse gespeichert wird. Oftmals ist es dabei notwendig, dass vor der Änderung der Nameserver die Einträge für die neuen Server auf den aktuellen Nameservern mit der neuen IP-Adresse konfiguriert werden.

Nachdem die Einstellungen übernommen wurden, kann es bis zu 24 Stunden dauern, bis die Änderungen global aktiv sind. Um die Einstellungen und die korrekte Namensauflösung zu testen, können Sie Ihre Domain mit externen Tools wie intoDNS testen. Dort werden die Einstellungen beim Domain-Provider und bei Ihren Nameservern geprüft.

Plesk

Zuerst müssen Sie, falls noch nicht geschehen, Ihre Domain in Plesk anlegen. Unter "Websites & Domains" sehen Sie Ihre Domain in der Übersicht:

Zur Nutzung einer zusätzlichen IP-Adresse als zweiten Nameserver, muss die IP-Adresse im Plesk unter "Tools & Settings" - "Tools & Resources" - "IP Addresses" konfiguriert sein. Der DNS-Server ist über alle IP-Adressen, die auf dem System konfiguriert sind, erreichbar. Neben den IPv4 Adressen läuft der DNS-Server auch über IPv6 und kann darüber genutzt werden. Sie können die Nameserver auch unter anderen IP-Adressen als Ihre Webseite konfigurieren.

Alle DNS-Zonen werden von Plesk aufgrund eines DNS-Templates erstellt. Dort können alle wichtigen Einträge, die für alle Domains auf dem Server gelten sollen, vorgegeben werden. Ein Großteil der Einstellungen ist dort bereits durch Plesk angelegt. Es werden neben Subdomains für interne Dienste, wie z.B. Webmail auch schon zwei Nameserver-Einträge erstellt, jedoch beide mit der IPv4 und IPv6 der Domain. Sollen die Nameserver für alle Domains verwendet werden, empfiehlt es sich, die IP-Adressen der Nameserver in den Einträgen "ns1.yourdomain.com" und "ns2.yourdomain.com" und die NS-Einträge im DNS-Template zu hinterlegen. Sollten Sie unterschiedliche Nameserver für die Domains auf dem Server verwenden wollen, können Sie diese Einstellungen später auch in der DNS-Zone der Domain selbst ändern und die Einstellungen des Templates überschreiben. Nach der Anpassung des DNS-Templates muss dies noch für alle angelegten Domains übernommen werden. Die DNS-Templates befinden sich unter "Tools & Settings" - "General Settings" - "DNS Template":

Nachdem die Einstellungen des DNS-Templates übernommen wurden, sind die Nameserver nun auch in der DNS-Zone der Domain eingetragen. Sie finden die DNS-Zone unter "Websites & Domains" - "yourdomain.com" - "DNS Settings":

Damit die Domain Ihre Nameserver verwendet, müssen die Nameserver noch bei Ihrem Domain-Registrar hinterlegt werden. Möchten Sie als Nameserver Subdomains Ihrer Domain verwenden, also z.B. "ns1.yourdomain.com" für die Domain "yourdomain.com", dann müssen Sie so genannte Glue-Records anlegen. Dies bedeutet, dass zusammen mit dem Namen des Nameservers auch die IP-Adresse gespeichert wird. Oftmals ist es dabei notwendig, dass vor der Änderung der Nameserver die Einträge für die neuen Server auf den aktuellen Nameservern mit der neuen IP-Adresse konfiguriert werden.

Nachdem die Einstellungen übernommen wurden, kann es bis zu 24 Stunden dauern, bis die Änderungen global aktiv sind. Um die Einstellungen und die korrekte Namensauflösung zu testen, können Sie Ihre Domain mit externen Tools wie intoDNS testen. Dort werden die Einstellungen beim Domain-Provider und Ihren Nameservern geprüft.

Posted by: Torsten | Tagged as: , , , No Comments
13Apr/170

Installation von Hyper-V auf Windows Server 2016

Willkommen zu unserer Anleitung für die Installation von Hyper-V auf Ihrem dedizierten Server mit dem Betriebssystem Windows Server 2016. Bitte beachten Sie vorab, dass dies ausschließlich auf dedizierten Servern möglich ist.

Schritt 1

Installation von Hyper-V

Nach dem Erhalt der Zugangsdaten möchte man eventuell Hyper-V installieren. Hyper-V ist eine Serverrolle, die im Server-Manager einfach hinzugefügt werden kann.

Oben rechts im Server-Manager Fenster öffnet sich mit einem Klick auf "Verwalten" ein Untermenü, dort kann man unter "Rollen und Features hinzufügen" die Windows Hyper-V Serverrolle hinzufügen.

 

Nachdem man auf den Unterpunkt geklickt hat, wird sich ein neues Fenster öffnen.

Bestätigen Sie mit "Weiter" bis Sie zu dem Punkt "Serverrollen" gelangt sind.

Mit einem Klick auf Hyper-V öffnet sich ein neues Fenster, es sollten alle Features installiert werden. Anschließend auf "Weiter" klicken bis die Installation startet.
Es ist notwendig, dass der Server mindestens einmal neu gestartet wird, dies kann automatisch durchgeführt werden. Hierfür muss das entsprechende Häkchen gesetzt werden.

Die Installation kann einige Zeit beanspruchen, sofern das Häkchen gesetzt wurde wird die Installation vollautomatisch durchlaufen, sobald der Server neu gestartet wurde sollte Hyper-V installiert sein.

 

 

Schritt 2

Konfiguration von Hyper-V

Für die notwendige Konfiguration nutzen wir den Hyper-V Manager, dieser kann durch einen Klick auf "Tools" innerhalb des Server-Manager Fensters geöffnet werden.

Bevor eine virtuelle Maschine erstellt werden kann muss die Netzwerkkonfiguration des Servers aktualisiert werden. Öffnen Sie den "Manager für virtuelle Switches", um die notwendigen Einstellungen vorzunehmen.

Man muss nun einen neuen externen Switch erstellen.

Geben Sie einen Namen und eine Beschreibung, falls gewünscht, in das jeweilige Feld ein.

Wählen Sie die korrekte Netzwerkkarte aus und stellen Sie sicher, dass "Gemeinsames verwenden dieses Netzwerkadapters für das Verwaltungsbetriebssystem zulassen" ausgewählt wurde.

Schritt 3

Konfiguration des Netzwerks

In der Taskbar finden Sie rechts außen das Netzwerksymbol, mit einem Rechtsklick gelangen Sie in das "Netzwerk- und Freigabecenter".

 

Navigieren Sie nun zu Ihren Netzwerkgeräten.

Führen Sie einen Rechtsklick auf den virtuellen Switch aus und wählen Sie "Eigenschaften".

Wählen Sie nun "Internet Protocol Version 4" aus und drücken Sie erneut auf "Eigenschaften".

Tragen Sie nun die IP Adresse Ihres Servers ein.

Überprüfen Sie unbedingt die angegebenen Daten vor dem Absenden, Ihr Server wird andernfalls nicht mehr erreichbar sein!

Schritt 4

Erstellen einer virtuellen Maschine

Im nächsten Schritt werden wir eine virtuelle Maschine anlegen.

Gehen Sie im Hyper-V Manager auf "Neu", um eine neue VM anzulegen.

Konfigurieren Sie die VM nun nach Ihren Wünschen.

Tipp: Bei aktuellen Windows Betriebssystemen (ab Windows 8 bzw. Windows Server 2012)  in der VM macht es durchaus Sinn, "Generation 2" auszuwählen, da dadurch die Performance gesteigert werden kann.

Als "Verbindung" sollte der von uns im Vorfeld erstellte Switch herangezogen werden.

Wählen Sie nun die .ISO aus und starten Sie die Installation.

Nachdem die Installation der VM abgeschlossen wurde, müssen Sie dieser eine öffentliche IP zuweisen.
Falls Sie weitere zusätzliche IPs benötigen, kontaktieren Sie uns bitte unter support@contabo.de.

Sobald eine öffentliche IP konfiguriert wurde, sollte die VM problemlos mit dem Internet kommunizieren können.

Posted by: Gianni-Donato | Tagged as: , , , , , No Comments
2Mar/170

Passwortänderung unter Windows – The easy way

Willkommen zu unserer kurzen Anleitung, wie man am besten und vor allem schnellsten das Windows Passwort ändern kann.
Diese Anleitung sollte mit allen Windows Versionen seit Windows XP/NT (Windows Server 2003) funktionieren.
Ab Windows 10 gibt es eine Neuerung - online Accounts, hier kann man natürlich nicht so einfach das Passwort ändern,  Server-Betriebssysteme betrifft das jedoch nicht.

Es sind nur wenige Schritte notwendig, zuerst verbindet man sich über RDP auf seinen Server.

Nun starten wir die CMD.exe mit Administrator Rechten, hierfür die "Windowstaste +R" drücken und CMD.exe eingeben.
cmd

Das Fenster sollte schon kurze Zeit später erscheinen, es fehlt jetzt nur noch der passende Befehl.
Der Befehl hat folgende Syntax:

net user <Benutzername des zu ändernden Passworts> <Neues Passwort>

Beispiel:

net user Administrator ein_sicheres_Passwort

Natürlich sollte man nicht das oben genannte Passwort verwenden, hier sollte in jedem Fall ein langes aus Buchstaben, Zahlen und Sonderzeichen bestehendes Passwort verwendet werden. Indem man "*" statt des neuen Passwortes eingibt, wird eine versteckte Eingabe aufgerufen, so steht das Passwort nicht in Klartext in der Textbox.

Wenn man hierbei ein leeres Passwort eingibt, wird bei Windows Desktop-Betriebssystemen das Passwort entfernt.

pw_ger

 

Posted by: Gianni-Donato | Tagged as: , , , No Comments
9Feb/170

Vorteile von ZFS

ZFS als eher neues Dateisystem bietet diverse Vorteile gegenüber den aktuell weit verbreiteten Dateisystemen, wie z.B. ext3, ext4 und NTFS. Wir haben diese für Sie kurz im folgenden zusammengefasst:

Datenintegrität ist der wichtigste Vorteil von ZFS gegenüber herkömmlichen Dateisystemen

Durch den Einsatz blockweiser Prüfsummen wird Datenintegrität an jedem Punkt der Speicherkette sichergestellt. Dies bedeutet, dass jeder Lesevorgang geprüft wird, was wiederum Datenverfall zu einem Problem der Vergangenheit macht. Zusätzlich wird mittels “Copy on Write” (CoW) verhindert, dass bei einem System-Crash Daten verloren gehen welche gerade in Bearbeitung durch das Dateisystem waren. ZFS ändert die Position der Daten auf dem Speichermedium erst, nachdem der Schreibvorgang abgeschlossen und erfolgreich verifiziert ist.
Zusätzlich zum CoW Feature bietet ZFS erweiterte RAID Sicherheit im Vergleich zu standard RAID Leveln. Mit RAID-Z3 sind maximal drei Fehler im RAID Pool verkraftbar, wobei in einem herkömmlichen RAID nur zwei problemlos wären. Zusätzlich bietet ZFS die Möglichkeit des multi-disk-mirror RAID (nRAID), bei welchem nicht nur eine gespiegelte Platte zur Datensicherheit beiträgt, sondern mehrere als Mirror zur Verfügung stehen. Das beschleunigt außerdem die Lesegeschwindigkeit mit jeder weiteren Mirror-Platte.

Hohe Skalierbarkeit

Die Speicherkapazität mit ZFS Dateisystem wird praktisch nur durch die Hardware begrenzt. Die maximale Größe des Dateisystems ist 16 EiB = 16 * 2^60 Byte, das entspricht drei Millionen 6TB Platten. Ein eingerichteter ZFS Pool kann jederzeit beliebig in seiner Größe erweitert werden. Ein Pool kann schrittweise durch größere Festplatten ersetzt werden, ohne dass es komplizierter Prozeduren bedarf.
Festplatten können physikalisch sogar in anderer Reihenfolge in ein anderes System gesteckt werden und solange die ZFS Version auf dem Zielsystem größer oder gleich ist, können sämtliche Daten, ACLs, Snapshots etc nach dem Import genutzt werden.

Erhöhte Performance

ZFS kann auch maßgeblich die Performance Ihres Systems erhöhen. ZFS erlaubt es, Schreibvorgänge an individuelle physikalische Platten zu senden anstatt nur an einzelne RAID-Volumes. Zusätzlich gibt es keine write penalty, wie z.B. in einem klassischem RAID 5.
Beim Ausfall einer Festplatte in einem RAID-Verbund werden nur die belegten Daten rebuildet, nicht die gesamte Festplatte. Dies reduziert die Rebuild-Zeit und die Wahrscheinlichkeit eines weiteren Ausfalls. Die implementierten ZFS Algorithmen stellen sicher, dass die meist genutzen Daten auf den schnellsten Massenspeichern befindlich sind, was in Verbindung mit Flash basiertem Schreib-Cache und L2ARC Lese-Cache zu einer Performancesteigerung von bis zu 20% führt.
Ein weiteres Feature von ZFS sind die intelligent entwickelten Snapshot-, Clone- und Vervielfältigungsfunktionen. Diese benötigen nur einen Bruchteil der Zeit im Vergleich zu herkömmlichen Dateisystemen.

Einfache Administration

Das Anlegen eines neuen ZFS-Pools gestaltet sich sehr einfach. Die verfügbaren Datenträger lassen sich mit "rmformat" anzeigen und mit dem Befehl “zpool create -m /mountpunkt Contabo1 DEVICE” kann in wenigen Sekunden ein neuer Pool erstellt werden. Das neue Dateisystem wird automatisch gemountet und ist sofort nutzbar. Ein Formatieren o.ä. ist nicht notwendig.

Sollte der Speicherplatz eines Datenträgers nicht ausreichen, kann man der Pool auf sehr einfache Weise um einen zusätzlichen Datenträger erweitert werden mittels “zpool add Contabo1 DEVICE”. Dies entspricht dem bereits bekannten RAID 0. Die Daten werden auf alle Datenträger verteilt, so dass die Transferrate zunimmt. Allerdings erhöht sich hierdurch auch die Wahrscheinlichkeit von Datenverlust, da der Ausfall von nur einem Datenträger aus dem Pool ausreicht sämtliche Daten unbrauchbar zu machen.

In der Regel ist ein auf Datensicherheit ausgelegter Pool am sinnvollsten. Gespiegelte Platten, das entspricht dem klassischen RAID 1, lassen sich mittels “zpool create Contabo1 mirror DEVICE DEVICE” sehr leicht erstellen. Natürlich können Verbunde mit mehreren Mirrors hinzugefügt werden, indem einfach ein weiterer Mirror an den Befehl gehängt wird. Mittels der "add" Option lässt sich dies auch nachträglich erledigen. RAID-Z Verbunde können ähnlich einfach erstellt werden mittels “zpool create Contabo1 raidz DEVICE DEVICE DEVICE DEVICE”. Der Befehl erstellt einen RAID-Pool mit vier Datenträgern, wobei maximal ein Datenträger ausfallen darf. Wird statt "raidz" die Option "raidz2" verwendet, können bis zu zwei Datenträger ausfallen.

Es gibt außerdem die Option, Reserveplatten, die sogenannten Hot Spares, in einen Verbund einzubinden. Im Normalbetrieb werden sie nicht genutzt und erst dann aktiviert, wenn eine im Betrieb befindliche Platte ausfällt. Bei einem Problem wird automatisch ein rebuild gestartet. Nach Abschluss des Vorgangs ist die Redundanz der Datenträger wieder gegeben. Dazu verwendet man den Befehl “zpool add Contabo1 spare DEVICE” und die letzte Platte in unserem Beispiel wird somit als Hot Spare im Pool verwendet.
Mittels "zpool list" werden alle ZFS-Pools inklusive Größe, aktueller Belegung sowie dem Gesundheitszustand aufgelistet.
Es empfiehlt sich die Anleitungen der zwei wichtigsten Befehle und Ihrer Optionen mittels “man zfs” und “man zpool” durchzulesen.

Hier nochmal eine kurze Übersicht zu den wichtigsten Befehlen:

- Anlegen eines RAID-Z Pools
zpool create NAME raidz DEVICE DEVICE DEVICE
- Anlegen eines MIRROR Pools
zpool create NAME mirror DEVICE DEVICE
- Anzeigen der angelegten Pools
zpool list
- I/O für die Pools anzeigen
zpool iostat 1
- Eigenschaften der Pool Geräte anzeigen
zpool vdevs
- Platte/Device zum Pool hinzufügen
zpool add NAME DEVICE
- Pool löschen
zpool destroy NAME
- Anlegen eines ZFS Dateisystem mit gleichzeitigem Einhängen
zfs create POOL/NAME
- Anzeigen der aktuellen ZFS Dateisysteme
zfs list
- Anlegen eines ZFS Dateisystem und einhängen unter einem nicht-default Pfad
zfs create POOL/NAME /MOUNTPOINT
- Snapshot eines Dateisystems
zfs snapshot POOL/FILESYSTEM@SNAPSHOTNAME
- ZFS Dateisystem mounten
zfs mount POOL/FILESYSTEM /MOUNTPOINT
- Dateisystem entfernen
zfs destroy POOL/NAME

Welche Betriebssysteme sind mit ZFS kompatibel?

ZFS wurde ursprünglich auf Solaris entwickelt, kann aber heutzutage auf FreeBSD, FreeNAS, den meisten Linux Distributionen und Proxmox genutzt werden.

Posted by: Philipp | Tagged as: , , , , , No Comments
13Jan/170

Windows Updates bearbeiten (WS 2016)

Mit der Einführung von Windows Server 2016 hat sich auch die Verwaltung der Windows Updates leicht geändert. In diesem Tutorial möchten wir Ihnen jetzt erklären, welche Einstellungsmöglichkeiten bezüglich der Windows Updates von Windows Server 2016 bereitgestellt werden.

Bitte verbinden Sie sich über RDP mit Ihrem Server und öffnen die "Settings" App über das Windows Startmenü.

Daraufhin klicken Sie bitte auf "Update & Security", woraufhin Sie auf folgenden Bildschirm gelangen.

Alle Update Einstellungsmöglichkeiten können von diesem Bildschirm aus verwaltet werden.

Es gibt den Button "Check for updates", welcher nach den neuesten Updates sucht und diese automatisch herunterlädt und installiert. Sollte ein installiertes Update einen Neustart erfordern, wird Windows einen Zeitpunkt hierfür automatisch planen. Über den Link "Change active hours" kann man einen Zeitraum festlegen in dem der Neustart nicht durchgeführt werden darf.

Über den Link "Restart options" kann man einen exakten Zeitpunkt für den Neustart festlegen.

Der Link "Update history" öffnet eine Übersicht der bereits installierten Updates. Hier ist es möglich, Updates zu deinstallieren und weitere Wiederherstellungsoptionen einzusehen.

Über den Link "Advanced options" kann man unter anderem einstellen, dass auch andere Microsoft Produkte über das Windows Update aktuell gehalten werden. Man hat ebenfalls die Möglichkeit "Defer feature updates" zu aktivieren. Diese Option wird von Microsoft wie folgt beschrieben: "Wenn defer upgrades aktiviert ist, werden keine neuen Windows Features für mehrere Monate heruntergeladen und installiert. Diese Einstellung hat keinen Einfluss auf Sicherheitsupdates, welche weiterhin installiert werden".

Über den Link "Privacy settings" kommt man zu den allgemeinen Datenschutz Einstellungen von Windows.

17Nov/160

Let’s Encrypt!

In der heutigen Zeit ist Datensicherheit sehr wichtig und Verschlüsselung ist ein wichtiger Bestandteil dieses Themas. Leider ist das Verschlüsseln in vielen Fällen ein komplexer Prozess, welcher von vielen Benutzern aufgrund fehlender Fachkenntnisse nicht oder nur ungenügend bewältigt werden kann. Um eine Webseite via Secure Socket Layer (SSL) beziehungsweise über Transport Layer Security (TLS) abzusichern, sodass diese über das Hypertext-Transfer-Protocol Secure (HTTPS) erreichbar ist, ist ein Zertifikat notwendig.

Dieses Zertifikat dient als Basis für verschlüsselte Verbindungen. Wenn ein Benutzer auf eine via HTTPS verschlüsselte Seite zugreifen möchte, wird eine verschlüsselte Verbindung aufgebaut.  Bevor diese Verbindung aufgebaut werden kann, wird das vom angefragten Server präsentierte Zertifikat überprüft. Hierbei wird überprüft, ob dem vom Server übermittelten Zertifikat vertraut werden kann.  Diese Vertrauensüberprüfung funktioniert etwas vereinfacht dargestellt folgendermaßen:

  1. Überprüfung der Signatur des Zertifikats auf Basis der Vertrauenskette
  2. Überprüfung ob die aufgerufene Domain mit der für das Zertifikat hinterlegten übereinstimmt

Was genau ist die Vertrauenskette des Zertifikats?

Im Prinzip sind in jedem Betriebssystem und zum Teil auch in Browsern wie Mozilla Firefox und Google Chrome Zertifikate von vertrauenswürdigen Zertifizierungsstellen vorinstalliert. Diesen Zertifikaten wird, sofern sie nicht zwischenzeitlich für ungültig erklärt wurden, immer vertraut. Bei der Überprüfung der Vertrauenskette wird, vereinfacht ausgedrückt, überprüft, ob der Signatur des Zertifikats bereits von den vorinstallierten Zertifikaten der vertrauenswürdigen Zertifizierungsstellen vertraut wird. Man spricht hier von einer Vertrauenskette, da es zum Beispiel möglich ist, dass der Signatur von Let's Encrypt auf Ihrem System nicht vertraut wird, allerdings wurde das Let's Encrypt Zertifikat, welches zum Signieren Ihres Zertifikats benutzt wurde, ebenfalls von einer dritten Zertifizierungsstelle signiert, welcher auf Ihrem System vertraut wird. Somit bürgt Let's Encrypt dafür, dass Ihr Zertifikat vertrauenswürdig ist und die dritte Zertifizierungsstelle, welcher auf Ihrem System vertraut wird, bürgt für die Vertrauenswürdigkeit von Let's Encrypt.

Wo und wie ist das Let's Encrypt Projekt einzuordnen?

Da der Aufbau und Betrieb einer vertrauenswürdigen Zertifizierungsstelle aufwändig und mit Kosten verbunden ist, war es bisher gang und gäbe, dass man für ein signiertes Zertifikat, dessen Signatur bereits von den vorinstallierten Zertifikaten vertraut wird, bezahlen muss. Let's Encrypt hat ebenfalls eine vertrauenswürdige Zertifizierungsstelle aufgebaut, welche kostenlos Zertifikate signiert und den Prozess der Zertifikatserstellung und Installation weitestgehend vereinfachen und automatisieren möchte. Der Hauptgedanke ist dabei, ein sichereres Internet voranzutreiben.

Automatische Zertifikate bei unseren Webspace Paketen

Wie wir bereits ausführlich im Post Webspace: Kostenlose SSL-Zertifikate sind ab sofort verfügbar informiert haben, ist auf unseren Webspace Paketen automatisch ein Zertifikat für die hinzugefügten Domains via Let's Encrypt aktiviert. Selbst das manuelle Erneuern der Zertifikate ist nicht mehr notwendig, da es ebenfalls automatisch passiert.

Let's Encrypt via AutoSSL in cPanel

Seit cPanel & WHM Version 58.0.17 wird Let's Encrypt offiziell von cPanel unterstützt. Zum jetzigen Zeitpunkt muss die Integration in AutoSSL vom Benutzer noch selbständig via Shell angestoßen werden. Hierfür muss das Installationsskript unter /scripts/install_lets_encrypt_autossl_provider als root Benutzer ausgeführt werden.  Nach erfolgreicher Installation kann Let's Encrypt unter Home >> SSL/TLS >> Manage AutoSSL als Zertifikat Provider ausgewählt werden.

autossl_lets_encryptEinstellungen für spezifische Benutzer können unter dem Reiter "Manage Users" vorgenommen werden.

Let's Encrypt über eine Erweiterung in Plesk

Auch Plesk unterstützt ab Version 12.5 Let's Encrypt über eine Erweiterung. Die Installation und Konfiguration in dieser Anleitung funktioniert für Linux und Windows Installationen gleichermaßen.

Um die Erweiterung zu installieren, gehen Sie bitte in Plesk zu:

"Tools & Settings" >> Oberpunkt "Plesk" >> "Updates & Upgrades"

Es öffnet sich ein neuer Tab, für den Sie eventuell im Browser noch ein selbst signiertes Zertifikat bestätigen müssen. In diesem Tab wechseln Sie bitte zu: "Add/Remove Components".

plugin

Wählen Sie bitte die Erweiterung, wie in Bild oben dargestellt, zur Installation aus und bestätigen Sie mit "Continue". Sobald das Plugin installiert ist, wird die Meldung "All operations with products and components have been successfully completed." erscheinen. Mit einem Klick auf OK kommen Sie wieder in das Hauptmenü. Sie können den Tab nun schließen.
Nun müssen Sie nur noch ein Zertifikat beziehen und es für die Domain aktivieren. Bitte wechseln Sie hierfür zu "Websites & Domains" und klappen Sie alle Optionen für die gewählte Domain auf. Hier ist nun die Option Let's Encrypt hinzugekommen:

letsencrypt

Öffnen Sie bitte diese Verlinkung und überprüfen Sie die E-Mail Adresse. Überlegen Sie, ob die Seite auch über www erreichbar sein soll und setzen Sie gegebenenfalls den Haken bei "Include www.ihredomain.de as an alternative domain name.". Schicken Sie abschließend, mit einem Klick auf "OK", die Anfrage für das Zertifikat ab. Sobald der Vorgang abgeschlossen ist, sollte Ihre Seite bereits über https aufrufbar sein. Zur Sicherheit können Sie aber auch noch in die "Hosting Settings" für Ihre Domain gehen, dort im Bereich "Security" die permanente Weiterleitung auf https aktivieren und das soeben bezogene Zertifikat aktiv auswählen, falls es noch nicht gesetzt ist. Wenn es bei dem Anfordern des Zertifikates zu einer Fehlermeldung kam, sollten Sie überprüfen, ob der A-Record für die gewählte Domain auf Ihre Server IP zeigt. Das gilt auch für die eventuell aktivierte Subdomain "www".

Benutzung von Let's Encrypt ohne Administration Panel (Debian 8)

Es wird empfohlen, Certbot in Verbindung mit Let's Encrypt zu benutzen. In unserem Beispiel benutzen wir Apache als Webserver und Debian 8 als Betriebssystem.

Als root Benutzer müssen folgende Befehle ausgeführt werden um Certbot für Apache und dessen Abhängigkeiten zu installieren:

# Debian Jessie backports repository aktivieren

echo "deb http://ftp.debian.org/debian jessie-backports main" >> /etc/apt/sources.list && apt-get update

 

# Certbot installieren

apt-get install python-certbot-apache -t jessie-backports

 

Nach dem Abschluss der Installation ist es via Certbot möglich, vollautomatisch signierte Zertifikate für Ihre Domains zu generieren. Diese werden dann, ebenfalls automatisch, in Apache für Sie konfiguriert. Folgender Befehl startet einen Konfigurationsdialog  in dem benötigte Informationen wie, Domain Namen und E-Mail Adresse abgefragt werden. Nach der Eingabe der erforderlichen Informationen und dem Bestätigen der AGB von Let's Encrypt, werden Ihre signierten Zertifikate bezogen und automatisch in Apache konfiguriert. Es ist ebenfalls möglich zu konfigurieren, ob Ihre Domains via HTTP und HTTPS oder nur via HTTPS erreichbar sein sollen.

# Automatischen Konfigurationsdialog starten

certbot --apache

Falls man das Zertifikat selbst konfigurieren möchte, kann folgender Befehl benutzt werden welcher nur das Zertifikat erstellt.

# Zertifikat Erstellen ohne automatische Konfiguration in Apache

certbot --apache certonly

Certbot funktioniert nicht nur in Verbindung mit dem Apache Webserver und Debian 8, es sind viele Betriebssystem und Webserver Kombinationen möglich, welche unter folgendem Link eingesehen werden können: Certbot.

Installation von Let's Encrypt ohne Administration Panel (CentOS 7.2)

Da die Benutzung von Certbot auf CentOS exakt wie auf Debian 8 funktioniert, wird im folgenden nur kurz auf die Installation von Certbot auf CentOS eingegangen. Da die Apache/httpd default Installation (yum install httpd) auf CentOS nicht das SSL Modul installiert, muss darauf geachtet werden, dass dieses ebenfalls installiert ist.

# Extra Packages for Enterprise Linux und optional mod_ssl installieren

yum install epel-release mod_ssl 

# Certbot installieren

yum install python-certbot-apache

 

Automatische Verlängerung der Zertifikate einrichten

Da Zertifikate von Let's Encrypt nur eine Gültigkeit von drei Monaten haben, ist es wichtig, eine automatische Verlängerung einzurichten.

Bei der Installation des Debian 8 Pakets von Certbot wurde solch ein "cron-job" bereits automatisch eingerichtet. Auf CentOS wird dieser nicht automatisch eingerichtet, allerdings kann man diesen, wie unten stehend, auf einer Standard CentOS Installation anlegen.

# /etc/cron.d/certbot

SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

0 */12 * * * root test -x /usr/bin/certbot && perl -e 'sleep int(rand(3600))' && certbot -q renew

 

Dieser cron-job wird alle 12 Stunden ausgeführt und erneuert die Gültigkeit aller Zertifikate, falls diese weniger als 30 Tage Gültigkeit aufweisen. Es wird empfohlen, dass alle 12 Stunden die Gültigkeit der Zertifikate überprüft wird, damit man zeitnah mitbekommt, ob Zertifikate für ungültig erklärt wurden.

 

 

Posted by: Dirk | Tagged as: , , , No Comments
27Oct/160

Datenverlust und wie er vermieden werden kann

Wer kennt das nicht. Man ist im Urlaub und hat tolle Fotos gemacht. Diese lädt man auf seinem Server hoch um sie sicher zu wissen und um sie mit Freunden und Familie zu teilen. Kaum hoch geladen und kurz vor der nächsten Reise die Bilder von der SD Karte gelöscht, möchte man eben noch die eigene Webseite etwas auf Vordermann bringen. Beim Aufräumen dann ein "rm -rf" im falschen Verzeichnis und schon ist die neue Bildergalerie verschwunden. Ärgerlich!
Grundsätzlich sind die Kunden bei uns für ein Backup jeglicher Daten selbst verantwortlich und wir möchten Ihnen hier zeigen, wie man Situationen wie oben beschrieben vermeiden kann.

Aber was ist überhaupt ein Backup?
Bei einem Backup spricht man grundsätzlich von einer Sicherheitskopie seiner Daten, die von dem Server unabhängig auf einem weiterem Speichermedium abgelegt wird. Das kann sein: Eine weitere Festplatte, der USB Stick oder die CD zu Hause oder eben unser professioneller FTP-Backup Speicher. Hierzu untenstehend mehr.

Man unterscheidet unterschiedliche Formen des Backups:

  1. Das Vollbackup: Wie der Name schon sagt, wird hierbei eine Sicherung des kompletten Datenbestands gesichert. Der Vorteil ist, dass alle Dateien komplett vorliegen. Nachteil ist ganz klar, dass bei häufiger Sicherung der Speicherverbrauch sehr hoch ist.
  2. Das differentielle Backup: Dies ist zu empfehlen, wenn man erst ein Vollbackup erstellt und anschließend nur im Vergleich zum Vollbackup geänderte oder neue Dateien sichern möchte.  Allerdings werden die Daten immer wieder bis zum Zeitpunkt eines neuen Vollbackups gesichert.
  3. Das inkrementelle Backup: Ähnlich wie beim differentiellem Backup muss hier ein Vollbackup angelegt werden. Anschließend wird nur noch jede im Vergleich zur vorherigen inkrementellen Sicherung geänderte oder neue Datei gesichert. Der große Nachteil hier ist, dass zur Wiederherstellung das letzte Voll-, sowie jedes inkrementelle Backup gebraucht wird.

Aber wo sichere ich jetzt meine Daten?
Hierfür bieten wir unseren Backupspeicher in unterschiedlichster Größe an. Falls Interesse besteht, kontaktieren Sie uns bitte unter support@contabo.de
Auf unseren Backup Speicher kann via FTP und FTPS zugegriffen werden. Wie das funktioniert, haben wir bereits hier beschrieben:
https://contabo.de/?show=tutorials&tutorial=nutze-ich-den-contabo-backup-space-richtig

„Ich brauche kein Backup, mein Server ist über ein RAID System gesichert.“

VORSICHT! Ein RAID ersetzt kein Backup. Grundsätzlich soll ein RAID tatsächlich Redundanz herstellen. Beim Ausfall mehrerer Platten oder eines Datenverlustes aufgrund eines externen Angriffs, o. ä. bringt ein RAID oft nichts. Die Aussage oben haben wir oft gehört. Dementsprechend ist die Entäuschung über den Verlust sicher geglaubter Daten hoch. Ein RAID ist sehr wirksam um Ausfallzeiten aufgrund defekter Platten zu verhindern und, falls der Defekt eintritt, keine komplexe Wiederherstellung der Daten vornehmen zu müssen.

Trotzdem darf die oben genannte Redundanz keinesfalls mit einer Datensicherung gleichgestellt werden.

„Ich habe aber einen VPS der SSD Reihe. Dank der Snapshots brauche ich mir um Datensicherung keine Gedanken zu machen.“

Auch diese Aussage haben wir bereits des Öfteren so gelesen. Aber auch hier gilt: Ein Snapshot ist keine Datensicherung und ersetzt in keinem Fall ein Backup!

Aber wofür sind Snapshots dann überhaupt gut?
Snapshots frieren lediglich den Zustand eines Dateisystems zu einem bestimmten Zeitpunkt ein, verweisen aber immer noch auf den „physikalischen“ Speicher. Snapshots sind ein hervorragendes Mittel für „Ich mach das jetzt, mal schauen ob das so funktioniert“. Sollte es nicht klappen, kann man auf den vorhergehenden Stand zurückgehen.
Also doch ein Backup? Nein! Snapshots sind von dem VPS auf dem Host Server System abhängig. Wie bereits oben beschrieben ist ein Backup die Sicherung der Daten auf einem externen Speicher. Dies ist mit einem Snapshot nicht erfüllt.

Wie erstelle ich nun am besten ein Backup?
Alle wichtigen Daten müssen gesichert sein. Im Normalfall weiß man, wo diese Daten liegen und kann gezielt diese Ordner und Dateien sichern. Hier bietet sich eine automatische Backup Routine an.
Unter Linux empfehlen wir den Einsatz eines Skripts, das periodisch die zu sichernden Dateien packt, auf unserem Backup Space ablegt und ältere Stände automatisch löscht. So ist die Aktualität der Backups sowie die optimale Nutzung des Backupspeichers sichergestellt. Bei Windows lässt sich dies mit Hilfe von Powershell erledigen. Gerade bei Backups gilt aber, dass man wissen muss was man tut. Ansonsten bringt auch die best gemeinte Sicherung nichts. Wie das Skript unter Windows aussehen kann, sieht man hier:
http://www.it-adviser.net/ftp-backup-mit-powershell-ncftp-und-7-zip/
Falls Sie Fragen haben, unterstützen wir gerne:
support@contabo.de

Der letzte Schritt: Verschlüsselung
Der Schutz der privaten Daten wird immer wichtiger. Um die Daten vor dem unberechtigten Zugriff Dritter zu schützen, muss man diese verschlüsseln. Dies ist unter Linux, aber auch unter Windows  möglich. An dieser Stelle verweisen wir auf sehr gut geschriebene Tutorials.

Linux:
http://www.online-tutorials.net/security/gnupg-gpg-tutorial/tutorials-t-69-124.html

Windows Nutzer können mit Hilfe des Tools Veracrypt verschlüsselte Laufwerke erstellen:
https://www.heise.de/download/product/veracrypt-95747
http://schneckchen.in/veracrypt-anleitung-zum-daten-verschluesseln/

Posted by: Matthias | Tagged as: , , , , No Comments