VPS provider für website

nexus_VI

Overnumerousness!

Registered: Aug 2006
Location: südstadt
Posts: 3746

03.08.2022 - 16:28

Du kannst wahlweise ein Zertifikat für alle Domains erstellen, oder separate Zertifikate für jede Domain (server_name bei Nginx).

Viper780

Moderator
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 49909

03.08.2022 - 17:57

Zitat aus einem Post von Rogaahl
Afaik sind dann alle anderen Domains über die Hauptdomain zertifiziert, Subdomains außer für die Hauptdomain gehen dann glaube ich auch nicht. Oder täusche ich mich mit den zwei Aussagen?

Früher war das ein Problem. Mit SNI https://de.wikipedia.org/wiki/Server_Name_Indication und dem server_name im TLS Header geht es auch anders.

Best Practice ist aber nach wie vor eine eigene IP für Port 443 und eine für Port 80
In meinen Setups hab ich aber jedesmal drauf verzichtet.

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12069

03.08.2022 - 18:49

Zitat aus einem Post von Viper780
Best Practice ist aber nach wie vor eine eigene IP für Port 443 und eine für Port 80

Diese Aussage ergibt nur extrem wenig Sinn.

Weiters gibt es heute keine benutzbaren TLS-Clients mehr, die keinen SNI-Support haben. Man kann (und in der Praxis: hat) beliebig viele TLS/X.509-Zertifikate auf einem listening socket (haben).

Viper780

Moderator
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 49909

03.08.2022 - 19:26

Zitat aus einem Post von COLOSSUS
Diese Aussage ergibt nur extrem wenig Sinn.

Technisch mag das stimmen, aber ca eine halbe Mio Webserver in Deutschland und Österreich sind bei den großen Hostern so konfiguriert

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16837

03.08.2022 - 19:45

Zitat aus einem Post von COLOSSUS
Diese Aussage ergibt nur extrem wenig Sinn.

Weiters gibt es heute keine benutzbaren TLS-Clients mehr, die keinen SNI-Support haben. Man kann (und in der Praxis: hat) beliebig viele TLS/X.509-Zertifikate auf einem listening socket (haben).

Wie machst heute let’s encrypt verification ohne port 80? Klappt das mittlerweile auf 443?

Viper780

Moderator
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 49909

03.08.2022 - 20:10

Zitat aus einem Post von Smut
Wie machst heute let’s encrypt verification ohne port 80? Klappt das mittlerweile auf 443?

DNS-01 (bevorzugt und nur damit geht Wildcard) oder ALPN-01

HTTP-01 geht aber auch mit https auf Port 443 - du brauchst aber schon mal ein gültiges Zertifikat

Rogaahl

Super Moderator
interrupt

Registered: Feb 2014
Location: K
Posts: 2305

03.08.2022 - 21:03

Zitat aus einem Post von nexus_VI
Du kannst wahlweise ein Zertifikat für alle Domains erstellen, oder separate Zertifikate für jede Domain (server_name bei Nginx).

Danke, müsste ich mir mal genauer ansehen, ergibt natürlich Sinn, dass es geht. Es erscheint es mir ziemlich umständlich, vor allem mit dem swag/letsencrypt Containern gibt es keine schnell deployable Lösung, und finden tut man diesbezüglich nur wenig Information.

_Aber_ ist in dem fall jetzt eh egal, weil ich viel lieber die gschichtln auf kleine vps aufteile und somit auch keine IP Assoziation stattfinden kann, nachdem alle cert Informationen öffentlich einsehbar sind.

TOM

Super Moderator
Oldschool OC.at'ler

Registered: Nov 2000
Location: Vienna
Posts: 7368

05.08.2022 - 16:38

Um wieder zurück zu den VPS Anbietern zu kommen:

Ich werfe nach meiner Recherche noch https://www.hostinger.de/ in die Anbieterliste. Hat bei den Tests die ich gefunden habe recht performant und günstig abgeschnitten. Nachteil den ich gefunden habe, "nur" 100 Mbit Anbindung und nur ein Snapshot pro Woche inkludiert.
Hat mit dem jemand schon Erfahrungen gemacht?

Netcup und Ipax schauen an sich recht nett aus.

Habt Ihr best practice Anleitungen bzgl. VPS Absicherungen/Konfigurationen bei der Hand, die ihr nutzt um die Kisten im Netz abzusichern? (SSH Ports ändern, Keys, fail2ban, etc.)

Sonst irgendwelche Tools die man sich für einen performanten modernen Webserver mit TLS Absicherung via LetsEncrypt anschauen sollte? Swag kannte ich z.B. bisher nicht, hab nur von Traefik und dergleichen als Reverse Proxy / SSL Offloading gelesen bisher.

Würd mich gern mehr mit Static Site Generatoren spielen inkl. hug of death prevention via Cloudflare als free CDN (z.B.)... einfach aus Spielelaune

Bearbeitet von TOM am 05.08.2022, 16:40

Rogaahl

Super Moderator
interrupt

Registered: Feb 2014
Location: K
Posts: 2305

05.08.2022 - 17:07

Am Server selbst nur ein geändertes ssh port offen. Theoretisch könnte man "kein port offen haben", wenn man sich über einen transparenten wireguard server verbindet.

vps haben meistens keine FW dabei, dafür verwende ich ufw, allerdings Vorsicht, docker überspringt mit den defaults Settings die fw!
Mit route allow geht es gut, wie hier beschrieben: https://github.com/chaifeng/ufw-docker

SSH hardening: https://medium.com/@jasonrigden/har...sh-1bcb99cd4cef
aktuelle auditing scripts: https://github.com/jtesta/ssh-audit
+ fail2ban für ssh

Alle anderen Dienste sind dann nur per reverse proxy mit port 80/443 über den swag Container offen, der Container hat auch fail2ban für http auth.

Bin aber auch kein pro, vielleicht haben andere hier bessere Tipps.

Zitat
Würd mich gern mehr mit Static Site Generatoren spielen

Das muss ich mir auch mal ansehen!

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12069

05.08.2022 - 18:50

OpenSSH sshd so konfigurieren, dass man nur noch per Public Key Auth reinkommen kann - fertig. Mehr mache ich seit vielen Jahren nicht, um einen Server "abzusichern".

Manche Dienste mit auth vertragen vor sich sowas wie fail2ban als Bruteforce-Erschwernis ganz gut - ist aber in der Regel unnotwendig und kann durchaus auch Probleme verursachen.

jousch

Bloody Newbie

Registered: Jan 2012
Location: Wienerwald
Posts: 25

07.11.2022 - 09:08

Ich hab gute Erfahrung mit hetzner cloud. Linode und Netcup klappt auch gut. Ich werde mir in Kürze mal easyname ansehen. Das shared Hosting dort ist nicht soo gut, aber bin gespannt was die VPSn dort hergeebn.

JDK

Oberwortwart

Registered: Feb 2007
Location: /etc/graz
Posts: 2827

07.11.2022 - 21:41

Kein VPS in dem Sinne, aber für Spielereien werfe ich mal https://uberspace.de/ in den Raum. Hab da schon seit Jahren Websites (Wordpress, SSG) und hin und wieder Zeug wie Chatbot etc laufen.

Haben auch brauchbare Doku [1] und Anleitungen für bestimmte Software [2].

[1] https://manual.uberspace.de/
[2] https://lab.uberspace.de/

nexus_VI Overnumerousness! Registered: Aug 2006 Location: südstadt Posts: 3746	03.08.2022 - 16:28 Du kannst wahlweise ein Zertifikat für alle Domains erstellen, oder separate Zertifikate für jede Domain (server_name bei Nginx).
Viper780 Moderator Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 49909	03.08.2022 - 17:57 Zitat aus einem Post von Rogaahl Afaik sind dann alle anderen Domains über die Hauptdomain zertifiziert, Subdomains außer für die Hauptdomain gehen dann glaube ich auch nicht. Oder täusche ich mich mit den zwei Aussagen? Früher war das ein Problem. Mit SNI https://de.wikipedia.org/wiki/Server_Name_Indication und dem server_name im TLS Header geht es auch anders. Best Practice ist aber nach wie vor eine eigene IP für Port 443 und eine für Port 80 In meinen Setups hab ich aber jedesmal drauf verzichtet.
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12069	03.08.2022 - 18:49 Zitat aus einem Post von Viper780 Best Practice ist aber nach wie vor eine eigene IP für Port 443 und eine für Port 80 Diese Aussage ergibt nur extrem wenig Sinn. Weiters gibt es heute keine benutzbaren TLS-Clients mehr, die keinen SNI-Support haben. Man kann (und in der Praxis: hat) beliebig viele TLS/X.509-Zertifikate auf einem listening socket (haben).
Viper780 Moderator Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 49909	03.08.2022 - 19:26 Zitat aus einem Post von COLOSSUS Diese Aussage ergibt nur extrem wenig Sinn. Technisch mag das stimmen, aber ca eine halbe Mio Webserver in Deutschland und Österreich sind bei den großen Hostern so konfiguriert
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16837	03.08.2022 - 19:45 Zitat aus einem Post von COLOSSUS Diese Aussage ergibt nur extrem wenig Sinn. Weiters gibt es heute keine benutzbaren TLS-Clients mehr, die keinen SNI-Support haben. Man kann (und in der Praxis: hat) beliebig viele TLS/X.509-Zertifikate auf einem listening socket (haben). Wie machst heute let’s encrypt verification ohne port 80? Klappt das mittlerweile auf 443?
Viper780 Moderator Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 49909	03.08.2022 - 20:10 Zitat aus einem Post von Smut Wie machst heute let’s encrypt verification ohne port 80? Klappt das mittlerweile auf 443? DNS-01 (bevorzugt und nur damit geht Wildcard) oder ALPN-01 HTTP-01 geht aber auch mit https auf Port 443 - du brauchst aber schon mal ein gültiges Zertifikat
Rogaahl Super Moderator interrupt Registered: Feb 2014 Location: K Posts: 2305	03.08.2022 - 21:03 Zitat aus einem Post von nexus_VI Du kannst wahlweise ein Zertifikat für alle Domains erstellen, oder separate Zertifikate für jede Domain (server_name bei Nginx). Danke, müsste ich mir mal genauer ansehen, ergibt natürlich Sinn, dass es geht. Es erscheint es mir ziemlich umständlich, vor allem mit dem swag/letsencrypt Containern gibt es keine schnell deployable Lösung, und finden tut man diesbezüglich nur wenig Information. _Aber_ ist in dem fall jetzt eh egal, weil ich viel lieber die gschichtln auf kleine vps aufteile und somit auch keine IP Assoziation stattfinden kann, nachdem alle cert Informationen öffentlich einsehbar sind.
TOM Super Moderator Oldschool OC.at'ler Registered: Nov 2000 Location: Vienna Posts: 7368	05.08.2022 - 16:38 Um wieder zurück zu den VPS Anbietern zu kommen: Ich werfe nach meiner Recherche noch https://www.hostinger.de/ in die Anbieterliste. Hat bei den Tests die ich gefunden habe recht performant und günstig abgeschnitten. Nachteil den ich gefunden habe, "nur" 100 Mbit Anbindung und nur ein Snapshot pro Woche inkludiert. Hat mit dem jemand schon Erfahrungen gemacht? Netcup und Ipax schauen an sich recht nett aus. Habt Ihr best practice Anleitungen bzgl. VPS Absicherungen/Konfigurationen bei der Hand, die ihr nutzt um die Kisten im Netz abzusichern? (SSH Ports ändern, Keys, fail2ban, etc.) Sonst irgendwelche Tools die man sich für einen performanten modernen Webserver mit TLS Absicherung via LetsEncrypt anschauen sollte? Swag kannte ich z.B. bisher nicht, hab nur von Traefik und dergleichen als Reverse Proxy / SSL Offloading gelesen bisher. Würd mich gern mehr mit Static Site Generatoren spielen inkl. hug of death prevention via Cloudflare als free CDN (z.B.)... einfach aus Spielelaune Bearbeitet von TOM am 05.08.2022, 16:40
Rogaahl Super Moderator interrupt Registered: Feb 2014 Location: K Posts: 2305	05.08.2022 - 17:07 Am Server selbst nur ein geändertes ssh port offen. Theoretisch könnte man "kein port offen haben", wenn man sich über einen transparenten wireguard server verbindet. vps haben meistens keine FW dabei, dafür verwende ich ufw, allerdings Vorsicht, docker überspringt mit den defaults Settings die fw! Mit route allow geht es gut, wie hier beschrieben: https://github.com/chaifeng/ufw-docker SSH hardening: https://medium.com/@jasonrigden/har...sh-1bcb99cd4cef aktuelle auditing scripts: https://github.com/jtesta/ssh-audit + fail2ban für ssh Alle anderen Dienste sind dann nur per reverse proxy mit port 80/443 über den swag Container offen, der Container hat auch fail2ban für http auth. Bin aber auch kein pro, vielleicht haben andere hier bessere Tipps. Zitat Würd mich gern mehr mit Static Site Generatoren spielen Das muss ich mir auch mal ansehen!
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12069	05.08.2022 - 18:50 OpenSSH sshd so konfigurieren, dass man nur noch per Public Key Auth reinkommen kann - fertig. Mehr mache ich seit vielen Jahren nicht, um einen Server "abzusichern". Manche Dienste mit auth vertragen vor sich sowas wie fail2ban als Bruteforce-Erschwernis ganz gut - ist aber in der Regel unnotwendig und kann durchaus auch Probleme verursachen.
jousch Bloody Newbie Registered: Jan 2012 Location: Wienerwald Posts: 25	07.11.2022 - 09:08 Ich hab gute Erfahrung mit hetzner cloud. Linode und Netcup klappt auch gut. Ich werde mir in Kürze mal easyname ansehen. Das shared Hosting dort ist nicht soo gut, aber bin gespannt was die VPSn dort hergeebn.
JDK Oberwortwart Registered: Feb 2007 Location: /etc/graz Posts: 2827	07.11.2022 - 21:41 Kein VPS in dem Sinne, aber für Spielereien werfe ich mal https://uberspace.de/ in den Raum. Hab da schon seit Jahren Websites (Wordpress, SSG) und hin und wieder Zeug wie Chatbot etc laufen. Haben auch brauchbare Doku [1] und Anleitungen für bestimmte Software [2]. [1] https://manual.uberspace.de/ [2] https://lab.uberspace.de/

VPS provider für website

Forum Index > Digital Life > Internet & Provider

nexus_VI

Viper780

COLOSSUS

Viper780

Smut

Viper780

Rogaahl

TOM

Rogaahl

COLOSSUS

jousch

JDK