Gerade habe ich meinen letzten Keyhelp-Server mit Debian 12, meinen Mailserver mit ARM64, auf Debian 13 gebracht. Ging völlig problemlos dank Update-Skript. Jedenfalls bemerke ich bisher noch keine Probleme. Mail scheint nach ersten Tests zu funktionieren.
Ich hatte vorher noch einen Snapshot gemacht, den behalte ich vorsichtshalber erst einmal noch eine Weile, falls doch noch Probleme auftauchen sollten. Aber sieht erst einmal sehr gut aus. DANKE für das tolle Upgrade-Skript!
Debian 12 auf 13 Upgrade dank Skript problemlos
Re: Debian 12 auf 13 Upgrade dank Skript problemlos
Die ersten Erfahrungen sind gemacht, insbesondere mit fail2ban. Da ich es bei postfix und dovecot unter "mode=aggressive" nicht mache ist mir heute Morgen schnell aufgefallen, dass einige Spielchen beim IMAP und POP3-Login, die mit der älteren Version und Debian 12 noch mit einem Ban "belohnt" wurden, jetzt nicht mehr geahndet wurden. Das war dann erst mal nicht so schön - wobei das mit Keyhelp nichts zu tun hat. Das machen Debian 13, Postfix, Dovecot und fail2ban unter sich aus. Debian 13 installiert neuere Versionen als Debian 12, insbesondere Dovecot scheint nun etwas andere Logzeilen zu schreiben, was aber in den installierten Filtern von fail2ban zum Teil nicht berücksichtigt wird.
Nach einigem Suchen auf Github habe ich mich dann entschlossen, die neuesten Filter postfix.conf und dovecot.conf aus dem Master Branch zu versuchen. Und siehe da, es funktioniert damit nun wieder in etwa so gut wie zuvor mit Debian 12
, nachdem heute den ganzen Tag über bei Dovecot und Postfx nichts gefunden oder gar gebannt wurde, gibt es jetzt wieder die ersten Treffer. Wobei die Angriffswelle der letzten Woche jetzt aber auch allmählich auszulaufen scheint.
Ich beobachte das mal bis morgen Nachmittag und ziehe dann vielleicht noch ein paar andere (neuere) Filterversionen für die anderen Jails nach. Je nachdem ob es im letzten Jahr noch Änderungen gab.
Nach einigem Suchen auf Github habe ich mich dann entschlossen, die neuesten Filter postfix.conf und dovecot.conf aus dem Master Branch zu versuchen. Und siehe da, es funktioniert damit nun wieder in etwa so gut wie zuvor mit Debian 12
, nachdem heute den ganzen Tag über bei Dovecot und Postfx nichts gefunden oder gar gebannt wurde, gibt es jetzt wieder die ersten Treffer. Wobei die Angriffswelle der letzten Woche jetzt aber auch allmählich auszulaufen scheint.Ich beobachte das mal bis morgen Nachmittag und ziehe dann vielleicht noch ein paar andere (neuere) Filterversionen für die anderen Jails nach. Je nachdem ob es im letzten Jahr noch Änderungen gab.
Re: Debian 12 auf 13 Upgrade dank Skript problemlos
Die Filterdefinitionen postfix.conf und dovecot.conf zu ersetzen durch die neuesten aus dem Master-Branch kann ich also für alle Server mit Debian 13 nur empfehlen. Funktioniert bei mir problemlos, ich werde es heute noch auf drei weiteren Servern mit Debian 13 nachziehen. Wer das recidive-Jail benutzt mag es allerdings gar nicht bemerken, weil das sshd-Jail meist den Löwenanteil an den Bans hat, da geht kh-postfix, kh-postfix-sasl und kh-dovecot fast schon im Rauschen unter. Man sieht dann auch nach relativ kurzer Zeit schon gar nicht mehr warum die IPs im recidive-Jail gelandet sind. Jedenfalls nicht ohne das Journal nach den IPs zu durchforsten.
Ich bin auf diesem einen Server von recidive wieder weg, weil bei diesem Server der ssh-Zugriff in der Firewall geblockt, bzw nur für meine IPv6 zuhause und die IPs meines Jumphosts freigegeben ist (auch das werde ich wohl in nächster Zeit auf die anderen drei Server übertragen). Zudem war bei mir die Zahl der IPs, die wegen Bans in mehreren, unterschiedlichen Jails im recidive-Jail landeten, vernachlässigbar bzw Null. So sehe ich jetzt im Keyhelp-Panel wieder genau, welche IP warum geblockt ist. Und im Munin-Monitoring sehe ich zumindest die Gesamtzahlen pro Jail.
Da "mode=aggressive" beim postfix-Filter auch SASL umfasst, habe ich kh-postfix-sasl deaktiviert. Die entsprechenden IPs landen dann im kh-postfix Jail.
Ich bin auf diesem einen Server von recidive wieder weg, weil bei diesem Server der ssh-Zugriff in der Firewall geblockt, bzw nur für meine IPv6 zuhause und die IPs meines Jumphosts freigegeben ist (auch das werde ich wohl in nächster Zeit auf die anderen drei Server übertragen). Zudem war bei mir die Zahl der IPs, die wegen Bans in mehreren, unterschiedlichen Jails im recidive-Jail landeten, vernachlässigbar bzw Null. So sehe ich jetzt im Keyhelp-Panel wieder genau, welche IP warum geblockt ist. Und im Munin-Monitoring sehe ich zumindest die Gesamtzahlen pro Jail.
Da "mode=aggressive" beim postfix-Filter auch SASL umfasst, habe ich kh-postfix-sasl deaktiviert. Die entsprechenden IPs landen dann im kh-postfix Jail.
Re: Debian 12 auf 13 Upgrade dank Skript problemlos
Nur zur Info:Ich bin auf diesem einen Server von recidive wieder weg,
Ich habe mittlerweile seit 2-3 Wochen auf bantime.inkrement etc. umgestellt und recidive entfernt. Das wird mit KH 26.0 der neue Standard (für Neu-Installationen / Dist-Upgrades).
viewtopic.php?t=14294
Mit freundlichen Grüßen / Best regards
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************