[[gelöst] "Primary script unknown" und php-fpm]

Wenn es nur um spezifische Dateien geht, geht auch das Apache Modul mod_maxminddb und die GeoLite2 Datenbank um die Zugriffe nur von Deutschland (oder beliebig anderen Ländern) aus zuzulassen. Das reduziert die Versuche ebenfalls innerhalb kurzer Zeit erheblich. Allerdings sollte man natürlich wissen von wo aus die eigenen Kunden zugreifen.

.htaccess Beispiel für Wordpress:

<IfModule mod_maxminddb.c>
MaxMindDBEnable On
MaxMindDBFile DB /usr/share/GeoIP/GeoLite2-Country.mmdb
MaxMindDBEnv MM_COUNTRY_CODE DB/country/iso_code
SetEnvIf MM_COUNTRY_CODE ^(AT|CH|DE) AllowCountry
</IfModule>

<IfModule mod_authz_core.c>
<Files wp-login.php>
Require env AllowCountry
</Files>
<Files xmlrpc.php>
Require all denied
</Files>
</IfModule>

# BEGIN WordPress
# Die Anweisungen ...

Zugriffe auf wp-login.php aus deutschsprachigen Länder (DE, AT, CH) werden zugelassen.

Zugriffe auf xmlrpc.php komplett abgelehnt.

[Release 0.10.27 - Debian Bullseye support, added ZeroSSL alternative to Let's Encrypt and custom logo upload]

First thoughts: Use if file_exist in the template directory logo_custom.png and logo_custom_login.png. If nothing found use database. If nothing found in database use logo.png. So you have only include a few lines 😉

 

[Release 0.10.27 - Debian Bullseye support, added ZeroSSL alternative to Let's Encrypt and custom logo upload]

Thanks for the possibility with custom.css but the new custom logo solution is a step backwards. Why? It is no longer possible to include different logos in different themes and a database query is needed which means broken database access = wrong logo 😞

[Postfix: nach SMTP Authentifizierung unter anderer Adresse Mails versenden?]

Das Verhalten lässt sich einstellen:

reject_sender_login_mismatch

Reject the request when $smtpd_sender_login_maps specifies an owner for the MAIL FROM address, but the client is not (SASL) logged in as that MAIL FROM address owner; or when the client is (SASL) logged in, but the client login name doesn't own the MAIL FROM address according to $smtpd_sender_login_maps.

[Problem mit Datenbank-Update und Error Report (Adresse tuts nicht)]

setz mal in /etc/mysql/my.cnf folgende Zeilen:

innodb_default_row_format = 'DYNAMIC'
innodb_strict_mode=OFF

 

[SPAM FOLDER]

Dovecot can automatically create folders and automatically subscribe users to this folder. Therefore you need to adjust /etc/dovecot/conf.d/15-mailboxes.conf.

After that, you have to deliver the mails through sieve filters as d00p mentioned.

[Verschiedene IPs bei Subdomains]

Die Hauptdomain normal anlegen und bei ServerAlias-Angabe für Domain: nur www oder kein Alias auswählen.
Die gewünschte Subdomain dann als normale Domain anlegen. Dort ebenfalls nur www oder kein Alias auswählen. Dann gehen die IP Einschränkungen und es ist sogar kundenübergreifend.

Funktioniert bei mir so seit Jahren wenn ich Kundenwebseiten während der Erstellen anlegen muss ohne bereits die Domain zu haben (weil noch bei anderem Provider). Möglicherweise gehts auch mit Wildcard, was ich aber nie getestet habe.

[PHP-FCGID bewirkt Fehler, wenn im Froxlor-VHOST verwendet]

1 hour ago, CHF said:

In /var/TEST/tmp legt es froxlor.panel mit recht restriktiven Rechten an und darin darf es dann auch schreiben:

Das leuchtet mir nicht ein und daher möchte ich das unbedingt verstehen. „Laß die Defaults, dann geht es“ reicht mir da nicht.

Danke übrigens schon mal für die ganzen Hinweise.

Viele Grüße, Christoph

was leuchtet da nicht ein? Unter /var/TEST/tmp oder den Defaults entsprechend /var/customers/tmp werden für jeden Kunden Unterverzeichnisse angelegt in die nur dieser Kunde schreiben darf. Das ist sicherheitsrelevant weil somit da auch Dinge temporär abgelegt werden können ohne dass andere Kunden darauf zugreifen können.

[Fehler beim Speichern von Standard SSL vHost-Einstellungen]

1 hour ago, Afox said:

Hallo,

ich versuche folgende Einstellungen in den Standard (SSL) vHost-Einstellungen (System->Einstellungen->Webserver-Einstellungen) einzutragen:

ServerTokens Prod
ServerSignature Off

Erst einmal die Frage: Ist das der richtige Ort um das global zu machen?

Unter Debian ist es /etc/apache2/conf-enabled/security.conf

[Froxlor 0.10.20 neue Domain anlegen, SSL voreingestellt]

10 minutes ago, df8oe said:

Das manuelle Anonymisieren frisst jede Menge zeit (ich schrieb es bereits).

Den Unix-Befehl sed kennst du aber als Linux-Administrator schon oder?

Ganz ehrlich in der Zeit in der Du das hier immer wieder herunter betest wärst du damit lange durch...

[Mailserver-Neustart nach Zertifikats-Erneuerung]

Dann wäre es aber noch zu begrüßen wenn weitere Namen noch angegeben werden können. Ein Zertifikat was dann bspw. auf mail.domain.de, webmail.domain.de und froxlor.domain.de genutzt werden kann.

 

[Mailserver-Neustart nach Zertifikats-Erneuerung]

6 hours ago, d00p said:

Bringt froxlor nur bedingt was, zum einen führen wir kein --installcert aus und zum anderen nutzen wir nicht den cron von acme.sh

Richtig, aber man kann das acme.sh Script via cron ja parallel für Dovecot, Postfix usw. nutzen. Aragorn hat ja nur nach einer möglichen Lösung gefragt.

[Mailserver-Neustart nach Zertifikats-Erneuerung]

7 hours ago, d00p said:

ist das pro zertifikat angebbar? oder triggered das bei jeglichem renew?

Ja klar. Das Script was das Zertifikat und das entsprechende Konfigurationsverzeichnis erstellt sieht so aus:

#!/bin/bash

DOMAIN="mail.meinehauptdomain.net"

/usr/local/acme/acme.sh --issue -k 4096 -w /var/www/froxlor -d $DOMAIN

/usr/local/acme/acme.sh --installcert -d $DOMAIN \
--certpath /etc/ssl/letsencrypt/$DOMAIN.crt \
--keypath /etc/ssl/letsencrypt/$DOMAIN.key \
--fullchainpath /etc/ssl/letsencrypt/$DOMAIN.chain.crt \
--capath /etc/ssl/letsencrypt/$DOMAIN.ca.crt \
--reloadcmd "/usr/local/sbin/restart_mailservices"

Der Cronjob für nächtliches Überprüfen und evtl. notwendigen Renew:

0 0 * * *       root    /usr/local/acme/acme.sh --cron --home /usr/local/acme > /dev/null

 

[Mailserver-Neustart nach Zertifikats-Erneuerung]

Ich habe die Zertifikate meiner FTP-Server und Mailserver (lange bevor froxlor bei 0.10.x darauf gewechselt hat) mit acme.sh gemacht. Man kann ein Script angeben was nach der Erneuerung ausgeführt werden soll. Darin werden die entsprechenden Services neu geladen.