Gerade habe ich meinen letzten Keyhelp-Server mit Debian 12, meinen Mailserver mit ARM64, auf Debian 13 gebracht. Ging völlig problemlos dank Update-Skript. Jedenfalls bemerke ich bisher noch keine Probleme. Mail scheint nach ersten Tests zu funktionieren.
Ich hatte vorher noch einen Snapshot gemacht, den behalte ich vorsichtshalber erst einmal noch eine Weile, falls doch noch Probleme auftauchen sollten. Aber sieht erst einmal sehr gut aus. DANKE für das tolle Upgrade-Skript!
Debian 12 auf 13 Upgrade dank Skript problemlos
Re: Debian 12 auf 13 Upgrade dank Skript problemlos
Die ersten Erfahrungen sind gemacht, insbesondere mit fail2ban. Da ich es bei postfix und dovecot unter "mode=aggressive" nicht mache ist mir heute Morgen schnell aufgefallen, dass einige Spielchen beim IMAP und POP3-Login, die mit der älteren Version und Debian 12 noch mit einem Ban "belohnt" wurden, jetzt nicht mehr geahndet wurden. Das war dann erst mal nicht so schön - wobei das mit Keyhelp nichts zu tun hat. Das machen Debian 13, Postfix, Dovecot und fail2ban unter sich aus. Debian 13 installiert neuere Versionen als Debian 12, insbesondere Dovecot scheint nun etwas andere Logzeilen zu schreiben, was aber in den installierten Filtern von fail2ban zum Teil nicht berücksichtigt wird.
Nach einigem Suchen auf Github habe ich mich dann entschlossen, die neuesten Filter postfix.conf und dovecot.conf aus dem Master Branch zu versuchen. Und siehe da, es funktioniert damit nun wieder in etwa so gut wie zuvor mit Debian 12
, nachdem heute den ganzen Tag über bei Dovecot und Postfx nichts gefunden oder gar gebannt wurde, gibt es jetzt wieder die ersten Treffer. Wobei die Angriffswelle der letzten Woche jetzt aber auch allmählich auszulaufen scheint.
Ich beobachte das mal bis morgen Nachmittag und ziehe dann vielleicht noch ein paar andere (neuere) Filterversionen für die anderen Jails nach. Je nachdem ob es im letzten Jahr noch Änderungen gab.
Nach einigem Suchen auf Github habe ich mich dann entschlossen, die neuesten Filter postfix.conf und dovecot.conf aus dem Master Branch zu versuchen. Und siehe da, es funktioniert damit nun wieder in etwa so gut wie zuvor mit Debian 12
, nachdem heute den ganzen Tag über bei Dovecot und Postfx nichts gefunden oder gar gebannt wurde, gibt es jetzt wieder die ersten Treffer. Wobei die Angriffswelle der letzten Woche jetzt aber auch allmählich auszulaufen scheint.Ich beobachte das mal bis morgen Nachmittag und ziehe dann vielleicht noch ein paar andere (neuere) Filterversionen für die anderen Jails nach. Je nachdem ob es im letzten Jahr noch Änderungen gab.
Re: Debian 12 auf 13 Upgrade dank Skript problemlos
Die Filterdefinitionen postfix.conf und dovecot.conf zu ersetzen durch die neuesten aus dem Master-Branch kann ich also für alle Server mit Debian 13 nur empfehlen. Funktioniert bei mir problemlos, ich werde es heute noch auf drei weiteren Servern mit Debian 13 nachziehen. Wer das recidive-Jail benutzt mag es allerdings gar nicht bemerken, weil das sshd-Jail meist den Löwenanteil an den Bans hat, da geht kh-postfix, kh-postfix-sasl und kh-dovecot fast schon im Rauschen unter. Man sieht dann auch nach relativ kurzer Zeit schon gar nicht mehr warum die IPs im recidive-Jail gelandet sind. Jedenfalls nicht ohne das Journal nach den IPs zu durchforsten.
Ich bin auf diesem einen Server von recidive wieder weg, weil bei diesem Server der ssh-Zugriff in der Firewall geblockt, bzw nur für meine IPv6 zuhause und die IPs meines Jumphosts freigegeben ist (auch das werde ich wohl in nächster Zeit auf die anderen drei Server übertragen). Zudem war bei mir die Zahl der IPs, die wegen Bans in mehreren, unterschiedlichen Jails im recidive-Jail landeten, vernachlässigbar bzw Null. So sehe ich jetzt im Keyhelp-Panel wieder genau, welche IP warum geblockt ist. Und im Munin-Monitoring sehe ich zumindest die Gesamtzahlen pro Jail.
Da "mode=aggressive" beim postfix-Filter auch SASL umfasst, habe ich kh-postfix-sasl deaktiviert. Die entsprechenden IPs landen dann im kh-postfix Jail.
Ich bin auf diesem einen Server von recidive wieder weg, weil bei diesem Server der ssh-Zugriff in der Firewall geblockt, bzw nur für meine IPv6 zuhause und die IPs meines Jumphosts freigegeben ist (auch das werde ich wohl in nächster Zeit auf die anderen drei Server übertragen). Zudem war bei mir die Zahl der IPs, die wegen Bans in mehreren, unterschiedlichen Jails im recidive-Jail landeten, vernachlässigbar bzw Null. So sehe ich jetzt im Keyhelp-Panel wieder genau, welche IP warum geblockt ist. Und im Munin-Monitoring sehe ich zumindest die Gesamtzahlen pro Jail.
Da "mode=aggressive" beim postfix-Filter auch SASL umfasst, habe ich kh-postfix-sasl deaktiviert. Die entsprechenden IPs landen dann im kh-postfix Jail.
Re: Debian 12 auf 13 Upgrade dank Skript problemlos
Nur zur Info:Ich bin auf diesem einen Server von recidive wieder weg,
Ich habe mittlerweile seit 2-3 Wochen auf bantime.inkrement etc. umgestellt und recidive entfernt. Das wird mit KH 26.0 der neue Standard (für Neu-Installationen / Dist-Upgrades).
viewtopic.php?t=14294
Mit freundlichen Grüßen / Best regards
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Re: Debian 12 auf 13 Upgrade dank Skript problemlos
Klingt spannend. Ich war mir da jetzt selbst lange unsicher, ob es wirklich eine gute Idee war, habe mich aber jetzt dazu entschlossen, das erst einmal auf alle meine Keyhelp-Server zu übertragen. Mit recidive hätte ich wahrscheinlich nicht gemerkt, dass die postfix und dovecot Filter nach dem Dist-Upgrade nicht mehr so richtig funktionieren. Tatsächlich habe ich das auf den anderen Servern, die direkt auf einem Debian 13 Minimalimage installiert wurden, nicht gemerkt.
Ein paar Kopfschmerzen habe ich aber noch. Ich überlege gerade, wie ich das mit meinen geänderten Filtern am besten machen soll. Im Moment habe ich jeweils eine Filterdatei mit anderem Namen angelegt, mit einem Prefix vor dem Standardnamen.
Ich wollte die alte Datei weiterhin zur Verfügung haben und auch verhindern, dass die geänderte Datei (postfix.conf, dovecot.conf) bei irgendwelchen Updates eventuell wieder überschrieben wird. Andererseits ist sowieso zu erwarten, dass die Dateien aus dem Master-Branch, die ich übernommen habe, in der nächsten Version von fail2ban zum Standard werden oder sogar bis dahin weiter optimiert werden. Ein überschreiben würde also wahrscheinlich eher noch eine Verbesserung bringen als irgendwas zu verschlechtern.
Also werde ich wohl doch eher die Original-Filterdateien ändern. So wie es jetzt realisiert ist, bekomme ich weitere Verbesserungen der Filter bei zukünftigen Updates nicht automatisch.
Kann man an die neuen Jail-Einstellungen von Keyhelp 26.0 dann auch ohne Neuinstallation bzw Dist-Upgrade drankommen? Wäre ein Patch vielleicht eine Idee dafür? Man muss den Patch ja nicht einspielen, wenn man lieber bei der bisherigen Methode mit recidive bleiben will. Man kann natürlich alternativ auch einfach Keyhelp auf einem Server neu installieren und sich dann die Dateien von dort holen. Aber das wäre schon ein wenig Overkill für ein paar (wahrscheinlich nur eine) geänderte Dateien.
Ein paar Kopfschmerzen habe ich aber noch. Ich überlege gerade, wie ich das mit meinen geänderten Filtern am besten machen soll. Im Moment habe ich jeweils eine Filterdatei mit anderem Namen angelegt, mit einem Prefix vor dem Standardnamen.
Ich wollte die alte Datei weiterhin zur Verfügung haben und auch verhindern, dass die geänderte Datei (postfix.conf, dovecot.conf) bei irgendwelchen Updates eventuell wieder überschrieben wird. Andererseits ist sowieso zu erwarten, dass die Dateien aus dem Master-Branch, die ich übernommen habe, in der nächsten Version von fail2ban zum Standard werden oder sogar bis dahin weiter optimiert werden. Ein überschreiben würde also wahrscheinlich eher noch eine Verbesserung bringen als irgendwas zu verschlechtern.
Also werde ich wohl doch eher die Original-Filterdateien ändern. So wie es jetzt realisiert ist, bekomme ich weitere Verbesserungen der Filter bei zukünftigen Updates nicht automatisch.
Kann man an die neuen Jail-Einstellungen von Keyhelp 26.0 dann auch ohne Neuinstallation bzw Dist-Upgrade drankommen? Wäre ein Patch vielleicht eine Idee dafür? Man muss den Patch ja nicht einspielen, wenn man lieber bei der bisherigen Methode mit recidive bleiben will. Man kann natürlich alternativ auch einfach Keyhelp auf einem Server neu installieren und sich dann die Dateien von dort holen. Aber das wäre schon ein wenig Overkill für ein paar (wahrscheinlich nur eine) geänderte Dateien.
Re: Debian 12 auf 13 Upgrade dank Skript problemlos
Die kannst du dir dann aus dieser Datei holen: /home/keyhelp/www/keyhelp/install/templates/fail2ban/jail.d/keyhelp.conf
Mit freundlichen Grüßen / Best regards
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************