Guest Posted October 29, 2021 Share Posted October 29, 2021 (edited) Für die, die es Wissen wollen... für alle anderen, ab hier nicht weiter Lesen.... das ist der Stand der Dinge. Meine Problem Apps wie z.B. Nextcloud konnte ich zum laufen bringen, hier habe ich einfach eine andere App gewählt, bei anderen musste ich nur den Schalter "Privilegierte Rechte" Aktivieren, hat nur etwas gedauert bis ich dahinter gekommen bin 🙂 4 Container konnte ich noch nicht dazu Bewegen die Arbeit aufzunehmen..., aber ich habe ja noch Zeit. Ich habe mir mal Gedanken um passende Plugins gemacht, (an)getestet habe ich so um die 30 Stück, wobei das eine oder andere wieder entfernt wird, zwischen zwei Backup Systemen muss ich mich noch entscheiden... Dann habe ich heute eine ein TB USB HDD zum Array hinzugefügt, die Daten auf der ersten Platte blieben erhalten, ich weis das soll so sein, war aber dennoch Überrascht das das so locker ging! Langsam werde ich "Warm" mit Unraid 🙂 Edited October 29, 2021 by Guest Quote Link to comment
Thokar Posted October 29, 2021 Share Posted October 29, 2021 1 hour ago, Master67 said: bei anderen musste ich nur den Schalter "Privilegierte Rechte" Aktivieren Ganz schlechte Idee. Du solltest mal nachschlagen, was das bewirkt. Da gibt es sogar Erklärungen auf Deutsch. 3 Quote Link to comment
hawihoney Posted October 30, 2021 Share Posted October 30, 2021 8 hours ago, Master67 said: USB HDD zum Array hinzugefügt Das sollte man auf keinen Fall tun. USB Verbindungen sind nicht für solche Anwendungsszenarien gedacht. Da muss bloß etwas mit dem Strom oder der Verbindung wackeln, dann markiert Unraid diese USB-Platte sofort mit einem Fehler, o.ä.. Da das Array dann trotzdem weiterarbeitet (wenn Parity-Platten existieren), bedeutet das, dass Du die Platte aus dem Array entfernen und anschließend die Parity neu aufbauen musst. USB-Verbindungen gehören weder ins Array noch in Pools. Ich weiß, das machen einige wenige. Die müssen dann aber auch mit dieser Entscheidung leben. Man nutzt USB-Verbindungen höchstens als temporäre Speicher, dafür sind sie designed. 1 Quote Link to comment
Guest Posted October 30, 2021 Share Posted October 30, 2021 8 hours ago, Thokar said: Ganz schlechte Idee. Du solltest mal nachschlagen, was das bewirkt. Da gibt es sogar Erklärungen auf Deutsch. Okay,,,, aber nur so habe ich die Container zum laufen bekommen, was wäre hier die Alternative? Quote Link to comment
Guest Posted October 30, 2021 Share Posted October 30, 2021 (edited) 1 hour ago, hawihoney said: Das sollte man auf keinen Fall tun. USB Verbindungen sind nicht für solche Anwendungsszenarien gedacht. Danke für den Tipp, dachte ich mir schon da ja die Daten verteilt werden, ist ja nur zum Testen auf meinem T430 🙂 Unter OMV nutze ich das so aber das sind andere Voraussetzungen! Edited October 30, 2021 by Guest Quote Link to comment
mgutt Posted October 30, 2021 Share Posted October 30, 2021 33 minutes ago, Master67 said: Okay,,,, aber nur so habe ich die Container zum laufen bekommen, was wäre hier die Alternative? Mehr Input. Welcher Container und was kommt in den Logs? Quote Link to comment
Guest Posted October 30, 2021 Share Posted October 30, 2021 14 minutes ago, mgutt said: Mehr Input. Welcher Container und was kommt in den Logs? Die Container sind: Nextcloud, tvHeadend, ClamAV, luckyBackup, das sind die Container die mehr Rechte Benötigen, wobei ich nicht wirklich verstehe warum das ein Problem sein sollte! Ich kennen das von den LXCs her, einigen Container müssen so Installiert werden und zu 98% bin ich der Einzige der Zugriff auf die Container hat, zuzüglich, wie z.B. der Zweifachen Authentifizierung, unter Nextcloud, Amazon, usw. usw.. Was für Logs möchtest du?... die die zum Container gehören (Protokolldatei).. oder vom System? Quote Link to comment
alturismo Posted October 30, 2021 Share Posted October 30, 2021 12 minutes ago, Master67 said: Die Container sind: Nextcloud, tvHeadend, ClamAV, luckyBackup, das sind die Container die mehr Rechte Benötigen, laufen hier alle ohne priviledged mode 12 minutes ago, Master67 said: Was für Logs möchtest du?... die die zum Container gehören (Protokolldatei).. oder vom System? ich denke wenn du nochmal "zurück denkst" an den Anfang, hatte unter anderem auch ich Dir bereits gezeigt wo der Fehler beim Start eines Dockers steht wenn gar nichts geht, das wäre Schritt 1, dann evtl. noch einen Blick in den log des dockers wo nicht starten will ob da evtl. noch was vorkommt und sich dann dem Fehler widmen. Würde sicherlich bei künftigen Problemen helfen da dann das Grundverständnis kommt ... 15 minutes ago, Master67 said: wobei ich nicht wirklich verstehe warum das ein Problem sein sollte! ist es nicht, wenn Dir klar ist was es heißt kannst du auch priviledged laufen lassen ... es gibt sogar welche da ist es elementar bzw. um ein vielfaches einfacher ... mit all den bewussten Risiken ... hier meine Docker als Beispiel, einen davon im priv mode ... ist ein wireguard VPN Docker, der Rest braucht das nicht. Quote Link to comment
Guest Posted October 30, 2021 Share Posted October 30, 2021 16 minutes ago, alturismo said: ich denke wenn du nochmal "zurück denkst" an den Anfang, hatte unter anderem auch ich Dir bereits gezeigt wo der Fehler beim Start eines Dockers steht wenn gar nichts geh ... gut, dann schau ich noch mal was du dazu geschrieben hast 🙂 Quote Link to comment
mgutt Posted October 30, 2021 Share Posted October 30, 2021 28 minutes ago, Master67 said: Was für Logs möchtest du?... die die zum Container gehören (Protokolldatei).. oder vom System? Die von den Containern. 28 minutes ago, Master67 said: zu 98% bin ich der Einzige der Zugriff auf die Container hat Eine VM oder Container ist ein isoliertes System mit strengen Regeln. Wenn man anfängt das Konzept aufzuweichen, könnte man auch gleich die Software auf dem Host installieren. Dann passiert aber das was Syno und Qnap passiert, nämlich Sicherheitslücken, die sich auf das gesamte System auswirken. Aus dem Grund lehne ich auch klar Unraid's MyServer ab bzw eigentlich alle lokal laufenden Dienste wie auch Wireshark. Konkret zu deinen Containern wäre dann schon die Frage ob Nextcloud öffentlich erreichbar sein wird. Wenn ja, stellt sich da gar nicht die Frage ob nur du darauf zugreifst, denn dass ist garantiert nicht der Fall. Aber auch nur bei lokalem Zugriff sollten die Hürden hoch bleiben. Schließlich könnte sich dein Client einen Virus einfangen, der gezielt nach Lücken auf anderen Systemen im Netzwerk sucht. Wenn dir die 2% Restrisiko nachher alles zerschießen, wirst du das auch nicht mehr lustig finden. Natürlich bleibt es deine Entscheidung, aber ganz klar gesagt: Die Container laufen normalerweise alle so wie sie eingestellt sind. Das ist ja das schöne an unRAID. Quote Link to comment
Guest Posted October 30, 2021 Share Posted October 30, 2021 (edited) 28 minutes ago, mgutt said: Die von den Containern. Eine VM oder Container ist ein isoliertes System mit strengen Regeln. Wenn man anfängt das Konzept aufzuweichen, könnte man auch gleich die Software auf dem Host installieren. Dann passiert aber das was Syno und Qnap passiert, nämlich Sicherheitslücken, die sich auf das gesamte System auswirken. Aus dem Grund lehne ich auch klar Unraid's MyServer ab bzw eigentlich alle lokal laufenden Dienste wie auch Wireshark. Konkret zu deinen Containern wäre dann schon die Frage ob Nextcloud öffentlich erreichbar sein wird. Wenn ja, stellt sich da gar nicht die Frage ob nur du darauf zugreifst, denn dass ist garantiert nicht der Fall. Aber auch nur bei lokalem Zugriff sollten die Hürden hoch bleiben. Schließlich könnte sich dein Client einen Virus einfangen, der gezielt nach Lücken auf anderen Systemen im Netzwerk sucht. Wenn dir die 2% Restrisiko nachher alles zerschießen, wirst du das auch nicht mehr lustig finden. Natürlich bleibt es deine Entscheidung, aber ganz klar gesagt: Die Container laufen normalerweise alle so wie sie eingestellt sind. Das ist ja das schöne an unRAID. Okay.... ich glaube dann habe ich ein Problem, die 4 o.g. Container lassen sich nur so "bei mir" Starten, ggf. habe ich auch die Container falsch Eingestellt, wo wir hier wieder bei dem Thema an kommen das mir dann die passenden Anleitungen fehlen und die Antwort von der Community sein wird "lerne Docker", das mag stimmen der Docker intensiv nutzen will, also Technisch, ich möchte ja grade deshalb von Pmox zu Unraid wechseln weil es ja so dargestellt wird (Zitat: Die Container laufen normalerweise alle so wie sie eingestellt sind. Das ist ja das schöne an unRAID) und nicht wie bei Pmox das ich da erstmal eine config zusammenbasteln muss 🙂 Äh.... natürlich ist mir klar das die Nextcloud von außen erreichbar ist, deshalb läuft in jedem LXC ein fail2ban zusätzlich mit so wie die "Zweifachen Authentifizierung", auch Prüfe ich die Ports und.... per Suma XXXXX Prüfe ich auch meine Öffentliche IP auf offene Ports, mehr kann ich als Laie nicht machen, wenn eine "Profi" in mein System rein will, wird er es auch können! Hier mal der Log der Nextcloud: (so ist sie fehlerfei, also nichts Rot, Blau oder Gelb) AH00558: apache2: Could not reliably determine the server's fully qualified domain name, using 192.168.178.239. Set the 'ServerName' directive globally to suppress this message AH00558: apache2: Could not reliably determine the server's fully qualified domain name, using 192.168.178.239. Set the 'ServerName' directive globally to suppress this message [Thu Oct 28 14:29:40.202751 2021] [mpm_prefork:notice] [pid 1] AH00163: Apache/2.4.51 (Debian) PHP/8.0.12 configured -- resuming normal operations [Thu Oct 28 14:29:40.202798 2021] [core:notice] [pid 1] AH00094: Command line: 'apache2 -D FOREGROUND' 192.168.178.127 - - [28/Oct/2021:14:29:44 -0700] "GET / HTTP/1.1" 200 4191 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.104 Safari/537.36" 192.168.178.127 - - [28/Oct/2021:14:29:44 -0700] "GET /core/css/guest.css?v=ba222ded25d957b900c03bef914333cd HTTP/1.1" 200 6183 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.104 Safari/537.36" 192.168.178.127 - - [28/Oct/2021:14:29:44 -0700] "GET /core/img/actions/caret-white.svg HTTP/1.1" 200 680 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.104 Safari/537.36" 192.168.178.127 - - [28/Oct/2021:14:29:44 -0700] "GET /core/l10n/de_DE.js?v=ba222ded25d957b900c03bef914333cd HTTP/1.1" 200 22251 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.104 Safari/537.36" 192.168.178.127 - - [28/Oct/2021:14:29:44 -0700] "GET /core/img/background.png?v=2 HTTP/1.1" 200 10154 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.104 Safari/537.36" 192.168.178.127 - - [28/Oct/2021:14:29:44 -0700] "GET /core/img/logo/logo.svg?v=1 HTTP/1.1" 200 856 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.104 Safari/537.36" 192.168.178.127 - - [28/Oct/2021:14:29:44 -0700] "GET /core/js/dist/install.js?v=ba222ded25d957b900c03bef914333cd HTTP/1.1" 200 87517 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.104 Safari/537.36" 192.168.178.127 - - [28/Oct/2021:14:29:44 -0700] "GET /core/img/actions/toggle.svg?v=1 HTTP/1.1" 200 843 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.104 Safari/537.36" 192.168.178.127 - - [28/Oct/2021:14:29:44 -0700] "GET /core/img/actions/checkbox-mark-white.svg HTTP/1.1" 200 780 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.104 Safari/537.36" 192.168.178.127 - - [28/Oct/2021:14:29:44 -0700] "GET /core/img/actions/info-white.svg?v=2 HTTP/1.1" 200 921 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.104 Safari/537.36" 192.168.178.127 - - [28/Oct/2021:14:29:44 -0700] "GET /core/js/dist/main.js?v=ba222ded25d957b900c03bef914333cd HTTP/1.1" 200 480519 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.104 Safari/537.36" 192.168.178.127 - - [28/Oct/2021:14:29:44 -0700] "GET /core/vendor/zxcvbn/dist/zxcvbn.js HTTP/1.1" 200 400231 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.104 Safari/537.36" 192.168.178.127 - - [28/Oct/2021:14:29:45 -0700] "GET /core/img/favicon.ico HTTP/1.1" 200 3809 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.104 Safari/537.36" 192.168.178.127 - - [28/Oct/2021:14:29:45 -0700] "GET /core/img/favicon.ico HTTP/1.1" 200 3809 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.104 Safari/537.36" 127.0.0.1 - - [28/Oct/2021:14:29:51 -0700] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.4.51 (Debian) PHP/8.0.12 (internal dummy connection)" 127.0.0.1 - - [28/Oct/2021:14:29:52 -0700] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.4.51 (Debian) PHP/8.0.12 (internal dummy connection)" 192.168.178.127 - - [28/Oct/2021:14:30:36 -0700] "-" 408 0 "-" "-" 192.168.178.127 - - [28/Oct/2021:14:44:45 -0700] "GET /index.php/csrftoken HTTP/1.1" 200 3580 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.104 Safari/537.36" [Thu Oct 28 14:56:14.640730 2021] [mpm_prefork:notice] [pid 1] AH00170: caught SIGWINCH, shutting down gracefully AH00558: apache2: Could not reliably determine the server's fully qualified domain name, using 192.168.178.239. Set the 'ServerName' directive globally to suppress this message AH00558: apache2: Could not reliably determine the server's fully qualified domain name, using 192.168.178.239. Set the 'ServerName' directive globally to suppress this message [Fri Oct 29 01:59:35.677180 2021] [mpm_prefork:notice] [pid 1] AH00163: Apache/2.4.51 (Debian) PHP/8.0.12 configured -- resuming normal operations [Fri Oct 29 01:59:35.677245 2021] [core:notice] [pid 1] AH00094: Command line: 'apache2 -D FOREGROUND' 192.168.178.127 - - [29/Oct/2021:01:59:39 -0700] "GET / HTTP/1.1" 200 3580 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.104 Safari/537.36" 192.168.178.127 - - [29/Oct/2021:02:14:40 -0700] "GET /index.php/csrftoken HTTP/1.1" 200 3576 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.104 Safari/537.36" 192.168.178.127 - - [29/Oct/2021:02:29:40 -0700] "GET /index.php/csrftoken HTTP/1.1" 200 3573 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.104 Safari/537.36" 192.168.178.127 - - [29/Oct/2021:02:44:40 -0700] "GET /index.php/csrftoken HTTP/1.1" 200 3578 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.104 Safari/537.36" 192.168.178.127 - - [29/Oct/2021:02:59:40 -0700] "GET /index.php/csrftoken HTTP/1.1" 200 3578 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.104 Safari/537.36" 192.168.178.127 - - [29/Oct/2021:03:15:32 -0700] "GET /index.php/csrftoken HTTP/1.1" 200 3581 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.104 Safari/537.36" 192.168.178.127 - - [29/Oct/2021:03:30:32 -0700] "GET /index.php/csrftoken HTTP/1.1" 200 3576 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.104 Safari/537.36" 192.168.178.127 - - [29/Oct/2021:03:45:32 -0700] "GET /index.php/csrftoken HTTP/1.1" 200 3573 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.104 Safari/537.36" 192.168.178.127 - - [29/Oct/2021:04:00:32 -0700] "GET /index.php/csrftoken HTTP/1.1" 200 3579 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.104 Safari/537.36" 192.168.178.127 - - [29/Oct/2021:04:15:32 -0700] "GET /index.php/csrftoken HTTP/1.1" 200 3580 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.104 Safari/537.36" 192.168.178.127 - - [29/Oct/2021:04:30:32 -0700] "GET /index.php/csrftoken HTTP/1.1" 200 3577 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.104 Safari/537.36" 192.168.178.127 - - [29/Oct/2021:04:45:32 -0700] "GET /index.php/csrftoken HTTP/1.1" 200 3581 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.104 Safari/537.36" 192.168.178.127 - - [29/Oct/2021:05:00:32 -0700] "GET /index.php/csrftoken HTTP/1.1" 200 3579 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.104 Safari/537.36" 192.168.178.127 - - [29/Oct/2021:05:15:32 -0700] "GET /index.php/csrftoken HTTP/1.1" 200 3574 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.104 Safari/537.36" 192.168.178.127 - - [29/Oct/2021:05:30:32 -0700] "GET /index.php/csrftoken HTTP/1.1" 200 3580 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.104 Safari/537.36" 192.168.178.127 - - [29/Oct/2021:05:45:32 -0700] "GET /index.php/csrftoken HTTP/1.1" 200 3579 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.104 Safari/537.36" 192.168.178.127 - - [29/Oct/2021:06:00:32 -0700] "GET /index.php/csrftoken HTTP/1.1" 200 3579 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.104 Safari/537.36" [Fri Oct 29 14:31:19.183922 2021] [mpm_prefork:notice] [pid 1] AH00170: caught SIGWINCH, shutting down gracefully AH00558: apache2: Could not reliably determine the server's fully qualified domain name, using 192.168.178.239. Set the 'ServerName' directive globally to suppress this message AH00558: apache2: Could not reliably determine the server's fully qualified domain name, using 192.168.178.239. Set the 'ServerName' directive globally to suppress this message [Fri Oct 29 14:48:37.311239 2021] [mpm_prefork:notice] [pid 1] AH00163: Apache/2.4.51 (Debian) PHP/8.0.12 configured -- resuming normal operations [Fri Oct 29 14:48:37.311284 2021] [core:notice] [pid 1] AH00094: Command line: 'apache2 -D FOREGROUND' Edited October 30, 2021 by Guest Quote Link to comment
jj1987 Posted October 30, 2021 Share Posted October 30, 2021 2 hours ago, Master67 said: Unter OMV nutze ich das so aber das sind andere Voraussetzungen! Wird aber auch da nicht empfohlen. Wenn du das dann noch im RAID nutzt kann das böse ins Auge gehen Quote Link to comment
Guest Posted October 30, 2021 Share Posted October 30, 2021 1 minute ago, jj1987 said: Wird aber auch da nicht empfohlen. Wenn du das dann noch im RAID nutzt kann das böse ins Auge gehen Ich bin da voll bei dir, USBs sind für mich nur Notlösungen, und ein Raid verwende ich nicht, deshalb ist ja Unraid mitunter auch so Reizvoll Quote Link to comment
mgutt Posted October 30, 2021 Share Posted October 30, 2021 1 hour ago, Master67 said: natürlich ist mir klar das die Nextcloud von außen erreichbar ist, deshalb läuft in jedem LXC ein fail2ban zusätzlich mit so wie die "Zweifachen Authentifizierung", auch Prüfe ich die Ports und.... per Suma XXXXX Prüfe ich auch meine Öffentliche IP auf offene Ports, mehr kann ich als Laie nicht machen, wenn eine "Profi" in mein System rein will, wird er es auch können! 1.) Ein Passwort was man nicht erraten kann, wird auch ohne Fail2Ban nicht erraten. Einen Schutz vor Bruteforce hat Nextcloud nämlich schon eingebaut: https://docs.nextcloud.com/server/latest/admin_manual/configuration_server/bruteforce_configuration.html 2.) 2FA ist dagegen schon sinnvoll, wenn man davon ausgeht, dass ein Angreifer das Passwort irgendwie stehlen könnte. 3.) Hilft beides nicht gegen Sicherheitslücken innerhalb von Nextcloud. Und genau die brechen einem das Genick, wenn der Nextcloud Container auf dem Host System mehr Rechte hat, als er eigentlich sollte. Die Angreifer brechen dann nämlich nicht "nur" in die Website ein, sondern ins Host System und genau das soll ja ein Container bzw eine VM verhindern. 1 hour ago, Master67 said: Hier mal der Log der Nextcloud: (so ist sie fehlerfei, also nichts Rot, Blau oder Gelb) Also sind das jetzt die Logs wo Nextcloud mit erweiterten Rechten läuft? Das nützt ja nichts. Dann tritt ja offensichtlich kein Fehler auf. Du musst schon die Rechte entziehen. Vorzugsweise den Container inkl Image löschen und mit dem Plugin "Appdata Cleanup" auch die Dateien auf der SSD entfernen. Quote Link to comment
Guest Posted October 30, 2021 Share Posted October 30, 2021 7 minutes ago, mgutt said: Du musst schon die Rechte entziehen Doch falsch verstanden, habe ich gemacht, und läuft trotzdem, gestern habe ich eine Fehlermeldung gehabt das die "Seite" nicht Aufgerufen werden kann. Möglich das da Pi-Hole mit Unbound der als DNS in der FB läuft ein bisschen "langsam" ist und die Seiten (IPs) erst sehr Spät durchschleift? Ich Teste grade noch die anderen.... Quote Link to comment
mgutt Posted October 30, 2021 Share Posted October 30, 2021 1 minute ago, Master67 said: Möglich das da Pi-Hole mit Unbound der als DNS in der FB läuft ein bisschen "langsam" ist und die Seiten (IPs) erst sehr Spät durchschleift? Pi-Hole schleift schon mal gar nichts durch (löst als DNS Server ja nur Domains auf) und Unbound kenne ich nicht. Kann aber gut sein, dass es andere Gründe hatte. Deswegen sollte dein erster Blick immer sein: Läuft der Container laut Übersicht und wenn du ihn nicht erreichst: Was sagen die Logs des Containers? Quote Link to comment
Guest Posted October 30, 2021 Share Posted October 30, 2021 3 minutes ago, mgutt said: Pi-Hole schleift schon mal gar nichts durch (löst als DNS Server ja nur Domains auf) und Unbound kenne ich nicht. Kann aber gut sein, dass es andere Gründe hatte. Deswegen sollte dein erster Blick immer sein: Läuft der Container laut Übersicht und wenn du ihn nicht erreichst: Was sagen die Logs des Containers? So sieht Nextcloud aus: AH00558: apache2: Could not reliably determine the server's fully qualified domain name, using 192.168.178.239. Set the 'ServerName' directive globally to suppress this message AH00558: apache2: Could not reliably determine the server's fully qualified domain name, using 192.168.178.239. Set the 'ServerName' directive globally to suppress this message [Sat Oct 30 05:00:28.441775 2021] [mpm_prefork:notice] [pid 1] AH00163: Apache/2.4.51 (Debian) PHP/8.0.12 configured -- resuming normal operations [Sat Oct 30 05:00:28.441822 2021] [core:notice] [pid 1] AH00094: Command line: 'apache2 -D FOREGROUND' 192.168.178.127 - - [30/Oct/2021:05:00:47 -0700] "GET / HTTP/1.1" 200 3669 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.104 Safari/537.36" [Sat Oct 30 05:10:40.759915 2021] [mpm_prefork:notice] [pid 1] AH00170: caught SIGWINCH, shutting down gracefully AH00558: apache2: Could not reliably determine the server's fully qualified domain name, using 192.168.178.239. Set the 'ServerName' directive globally to suppress this message AH00558: apache2: Could not reliably determine the server's fully qualified domain name, using 192.168.178.239. Set the 'ServerName' directive globally to suppress this message [Sat Oct 30 05:10:49.829764 2021] [mpm_prefork:notice] [pid 1] AH00163: Apache/2.4.51 (Debian) PHP/8.0.12 configured -- resuming normal operations [Sat Oct 30 05:10:49.829816 2021] [core:notice] [pid 1] AH00094: Command line: 'apache2 -D FOREGROUND' 192.168.178.127 - - [30/Oct/2021:05:10:53 -0700] "GET / HTTP/1.1" 200 3577 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.104 Safari/537.36" und so LuckyBauckup, der Container Starte aber ich kann nicht per WebGui draufzugreifen: ---Checking if UID: 99 matches user--- ---Checking if GID: 100 matches user--- ---Setting umask to 0000--- ---Checking for optional scripts--- ---No optional script found, continuing--- ---Checking configuration for noVNC--- Nothing to do, noVNC resizing set to default Nothing to do, noVNC qaulity set to default Nothing to do, noVNC compression set to default ---Starting cron--- ---Starting...--- ---Preparing Server--- ---ssh_host_rsa_key keys found!--- ---ssh_host_ecdsa_key found!--- ---ssh_host_ed25519_key found!--- ---Starting ssh daemon--- ---Resolution check--- ---Checking for old logfiles--- ---Starting TurboVNC server--- ---Starting Fluxbox--- ---Starting noVNC server--- WebSocket server settings: - Listen on :8080 - Web server. Web root: /usr/share/novnc - No SSL/TLS support (no cert file) - Backgrounding (daemon) ---Starting ssh daemon--- ---Starting luckyBackup--- ---Checking if UID: 99 matches user--- usermod: no changes ---Checking if GID: 100 matches user--- usermod: no changes ---Setting umask to 0000--- ---Checking for optional scripts--- ---No optional script found, continuing--- ---Checking configuration for noVNC--- Nothing to do, noVNC resizing set to default Nothing to do, noVNC qaulity set to default Nothing to do, noVNC compression set to default ---Starting cron--- ---Starting...--- ---Preparing Server--- ---ssh_host_rsa_key keys found!--- ---ssh_host_ecdsa_key found!--- ---ssh_host_ed25519_key found!--- ---Starting ssh daemon--- ---Resolution check--- ---Checking for old logfiles--- ---Starting TurboVNC server--- ---Starting Fluxbox--- ---Starting noVNC server--- WebSocket server settings: - Listen on :8080 - Web server. Web root: /usr/share/novnc - No SSL/TLS support (no cert file) - Backgrounding (daemon) ---Starting ssh daemon--- ---Starting luckyBackup--- tvHeadend starte nicht mehr, das Protokoll ist Leer, die Fehler Meldung lt. " Fehler bei der Ausführung - Server error" ClamAV starte zeigt aber etwas wegen dem System an: 2021-10-30T12:07:41+00:00 ClamAV process starting Updating ClamAV scan DB ClamAV update process started at Sat Oct 30 12:07:41 2021 daily.cld database is up-to-date (version: 26338, sigs: 1940691, f-level: 90, builder: raynman) main.cvd database is up-to-date (version: 62, sigs: 6647427, f-level: 90, builder: sigmgr) bytecode.cvd database is up-to-date (version: 333, sigs: 92, f-level: 63, builder: awillia2) Freshclam updated the DB ClamAV 0.103.3/26338/Sat Oct 30 08:21:41 2021 Scanning /scan Quote Link to comment
Guest Posted October 30, 2021 Share Posted October 30, 2021 (edited) Ich habe die Ports für Lucky noch mal geprüft, hier war der Port schon vergeben, hatte ich gestern Abend wohl übersehen, also das läuft nun auch…. Ich Prüfe jetzt noch mal alles exakt nach, mal sehen ob ich noch was finde 😩 Edited October 30, 2021 by Guest Quote Link to comment
mgutt Posted October 30, 2021 Share Posted October 30, 2021 1 hour ago, Master67 said: und so LuckyBauckup, der Container Starte aber ich kann nicht per WebGui draufzugreifen: Dann läuft der Container denke ich mal und das Problem liegt woanders. Denk dran, dass jeder Container ein paar Sekunden braucht, bis er eine GUI anzeigt. Gerade die mit VNC brauchen ein paar Sekunden länger. Quote Link to comment
Guest Posted October 30, 2021 Share Posted October 30, 2021 (edited) Danke für den Tipp 🙂 Ich konnte nun fast alle Probleme lösen, die die ich nicht direkt in Unraid lösen kann, z.B. verstehe ich nicht wie ich die App Pi-Hole mit der App Unbound Verheiraten kann, alle Anleitungen beziehen sich, so wie von mir auch genutzt, auf eine Linux Installation für die Docker kombi finde ich nichts. Die Lösung für die nicht Lösbaren Apps wird sein Proxmox in eine VM zuziehen und dort die CT zu Installieren oder zu Kopieren bzw. ein Backup zu laden. Ein Kompromiss aber einer mit dem ich Leben kann,,, es sind ja nicht viele Apps, also halb so wild 🙂 Meine nächsten Fragen werden mehr in Richtung Array und Pools laufen Edited October 30, 2021 by Guest Quote Link to comment
mgutt Posted October 30, 2021 Share Posted October 30, 2021 Statt mich mit der miesen Latenz von Unbound herumzuschlagen, würde ich einfach alle x Minuten den DNS Upstream ändern. Bei zB 100 DNS Servern verteilen sich die Namensauflösungen dann zu jeweils 1%. Man kann die Config direkt ändern und Pi-Hole dann neu laden: https://discourse.pi-hole.net/t/change-upstream-dns-server-ip/7808/3 Wenn du richtig Gaga sein willst, kannst du dann ja noch alle x Stunden deine Internetverbindung neu aufbauen und damit eine neue öffentliche IP beziehen. Ansonsten sehe ich kein wirkliches Problem beide zu konfigurieren. Erstmal Unbound konfigurieren und testen. Danach Unbound als DNS Upstream in Pihole hinterlegen und fertig. Sollte gehen, wenn beide feste IPs im br0 haben. Denk dran, dass nicht jedes Docker Netz das andere einfach so erreichen kann: https://forums.unraid.net/topic/99393-häufig-gestellte-fragen/?do=findComment&comment=1027380 Quote Link to comment
Guest Posted October 31, 2021 Share Posted October 31, 2021 (edited) 9 hours ago, mgutt said: https://discourse.pi-hole.net/t/change-upstream-dns-server-ip/7808/3 Danke, aber obwohl ich mir das in DE übersetzen lassen habe, habe ich kein Wort verstanden, die Leute die sich da unterhalten haben kenne sich mit der Materie aus, ich benötige mehr Anleitungen (Generell) in dieser Form 🙂 Edited October 31, 2021 by Guest Quote Link to comment
mgutt Posted October 31, 2021 Share Posted October 31, 2021 31 minutes ago, Master67 said: habe ich kein Wort verstanden Nun das Thema DNS ist auch nichts was man einfach so versteht. Nur dann frage ich mich wie man überhaupt auf Unbound kommt. Ich meine ich kann ja verstehen, wenn man nicht will, dass ein großer Konzern wie Google auch noch den DNS Server stellt, aber warum dann nicht einfach den DNS vom deutschen Provider nehmen oder den von Quad9? Unbound macht dein Surfverhalten jedenfalls saulahm, weil für wirklich jede Domain die ursprüngliche Quelle nach der IP gefragt wird. Auf jeder Website eine halbe Sekunde länger warten ist doch ein Witz und wenn man mit dem Smartphone das Haus verlässt, nutzt man wieder nur den DNS Provider vom Netzanbieter oder sind bei dir alle mobilen Geräte dauerhaft per VPN verbunden? Ansonsten bringt das eh herzlich wenig, da die Geräte selbst ja tracken. Oder hast du kein Smartphone und nutzt nur Linux PCs? Quote Link to comment
ich777 Posted October 31, 2021 Share Posted October 31, 2021 23 minutes ago, mgutt said: Auf jeder Website eine halbe Sekunde länger warten ist doch ein Witz Also das kann ich so nicht bestätigen, dann muss an den Einstellungen was nicht passen... 24 minutes ago, mgutt said: wenn man mit dem Smartphone das Haus verlässt, nutzt man wieder nur den DNS Provider vom Netzanbieter Sieh dir mal DoH an... Ich verwende mittlerweile AdGuard Home in verbindung mit Unbound und dem integrierten DoH in AdGuard Home und ich befinde mich eigentlich nie auf einem DNS Provider von meinem Anbieter egal ob ich nun außer Haus oder in meinem WLAN bin. 25 minutes ago, mgutt said: Smartphone Für DoH kannst du am Smartphones zB die AdGuard App selbst (iOS und Android) für Android gibt es dann zB Intra usw. und für iOS gibt es zB DNS Cloak und wenn ich mich nicht irre unterstütz iOS11+ DoH nativ und du brauchst keine App mehr dafür. Quote Link to comment
mgutt Posted October 31, 2021 Share Posted October 31, 2021 10 minutes ago, ich777 said: Sieh dir mal DoH an Das hat doch nichts mit Unbound zu tun?! Unbound ist ein dig/nslookup auf den Root DNS der Domain, damit die Anfragen nicht an die großen DNS Provider gehen. Das kann gar nicht ohne extra Latenzen gehen. Und 99% der Domains haben eine TTL von 24 Stunden. Das Spiel wiederholt sich dann ja ständig. Oder macht Unbound automatisch ein Preloading von bereits bekannten Domains? DoH ist ansonsten nur die Art wie eine Domain aufgelöst wird. In dem Fall über eine https URL. Dadurch kann der Provider oder der Router oder der Access Points oder ..., nicht mehr sehen welche Domain man auflösen möchte. Allerdings auch das auf Kosten der Latenz, da https auf TCP und nicht wie DNS auf UDP setzt. Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.