Das mag zwar stimmen, glauben tu ich das aber nicht. Schau mal genau nach, die ersten Eintraege sind aelter als 0 Uhr heute Nacht.
Es gibt jede Menge Serverdienste, die per cronjob nicht zuverlaessig geupdatet werden koennen, fast alle die nicht aus dem Repository kommen und genau da sind Deine Einfallstore fuer die dunkle Seite der Macht. 
Gruss Harry
Ouh! ist mir jetzt etwas peinlich, aber du hast Recht:
root@sysfn01 /var/log # head auth.log
May 2 00:01:35 sysfn01 sshd[19775]: Invalid user oracle from 81.71.37.46 port 55522
da war wohl der Koffeinspiegel noch nicht auf dem richtigen Niveau 
Jo - die Systemdienste (aus den Distributionsrepos) laufen. Aber wir updaten auch BBB und NC mit „crontab“, das war am Anfang etwas gefriemel - und kommt auch mal vor, dass mal ein fehlerhaftes Update dabei ist.
logrotate rotiert in der Regel einmal die Woche und das sonntags und da es eigentlich nur einen Grund gibt in der Config rumzueditieren, bin ich davon ausgegangen, dass das bei Dir auch so ist.
Der eine Grund ist aus meiner Sicht die Anzahl der backlogs zu erhoehen, die letzten 4 Wochen ist mir zu wenig, man koennte das aber auch anders sehen, wenn wirklich jemand den root-Account gehackt bekommt, dann loescht er sowieso seine Spuren und da auch die auth.log bzw. bereinigt diese mit zur Distribution passenden Skripten. An diese Skripte kommt man wenn man sich in den entsprechenden Foren rumdrueckt oder wenn man sich die Muehe macht draussen einen Satz Honeypots zu installieren und da quasi ueber ein paar Jahre das Aquarium durch die Glasscheibe beobachtet. Die Downloads der boesen Jungs (die sich unbeobachtet fuehlen) per curl oder wget zeigen Dir dann jede Menge interessante Quellen fuer interessante Skripte.
Davon abgesehen war die Anzahl der Logins bei Dir auch viel zu hoch, der login-Prozess bzw. das PAM-Modul hintendran inklusive dem sshd lassen nur eine bestimmte Anzahlt Versuche pro Zeiteinheit zu, das ist aber von einigen Variablen abhaengig, laesst sich schwer verallgemeinern - deshalb sind die Bots auch per default sehr lahm unterwegs, sonst wuerden sie bei einem Grossteil der Systeme gleich ins offene Messer laufen.
Bei Nextcloud kann ich mir das automatisiert nicht vorstellen, welche Magie loest bei Dir da Abhaengigkeiten bzgl. php- und MariaDB-Versionen? Aktivierung von PHP-FPM und dergleichen?
Bei BBB mag das klappen, ich haette da aber auch kein gutes Gefuehl bei - musste da schon zu oft unvorhersebare Probleme loesen.
Gruss Harry
In der Anfangszeit war das auch recht holprig, weiß nicht ob es daran lag, dass es plötzlich häufiger Updates gab (wegen höherer Nutzung) oder daran, dass wir noch nicht erfahren genug waren. Mittlerweile - jedenfalls - gabs erst ein Mal 2021 Probleme, die ich auf „im Rahmen von automatischen Updates entstanden“ schieben würde.
(Ist aber ehrlicherweise einer der Gründe, warum wir auch nur 99%-Verfügbarkeit garantieren)
Wie würdest du mit Updates umgehen? Patchdays einführen?
Hallo,
wenn ich diese Sätze richtig interpretiere vergleicht ihr glaube ich Äpfel mit Birnen, nämlich Dienstleister mit vielen NC etc. Installationen vs. Einzelschule.
Ich mache Updates bislang auch von Hand und überwache und prüfe, dass alles glatt läuft.
Bei x Installationen/Instanzen muss man natürlich automatisieren. Das macht auch Belwü mit Moodle, das ZSL mit BBB usw.
Viele Grüße
Steffen
Hallo Manuel,
danke dafür, hatte ich nicht gesehen.
Und Danke an @merdian , dass er im wirklich wortgetreuen Sinne seinen Kopf hin hält.
Ihr habt wirklich verdient, durch heise so interviewt und indirekt auch gelobt zu werden!
VG, Tobias
Hallo,
beim Lesen des Artikels kommen mir zwei Dinge in den Sinn:
Viele Grüße
Alois
Ps. Wie war das noch mit dem Eid „… Schaden vom Volk fernhalten“, oder lautet der „… den Schaden für das Volk maximieren“?
Hallo Alois,
Ja, frag mich auch wie bescheuert man sein muss, das aufzugeben.
Ein Rechenzentrum, Server, Speicher, einen Pool von IP-Adressen und Bandbreite haben wir sowieso. Wir brauchten nur zusätzliche Server und mehr Speicherplatz. Wenn man Cloud-Ressourcen einkauft, zahlt man für diese Dinge mit, die wir schon haben.
Da ist ein Haufen Wahnnsinniger unterwegs, der die Herausforderung auch annimmt und anstatt diesen Haufen mit Geld und zusaetzlichen Wahnsinnigen zu bewerfen…machen wir das jetzt alles irgendwie neu, wissen aber nicht wie.
Viel mehr faellt mir da nicht zu ein, da werde ich sprachlos.
Gruss Harry
Hallo Jochen,
Da bislang über Belwue genügend IPs zur Verfügung stehen (demnächst dann wohl nicht mehr), habe ich mir über deren Verwendung keine großen Gedanken gemacht, und so auch Subdomains für Nextcloud und Rocket.Chat mit eigenen IPs versorgen lassen. Wenn alles auf einem Host läuft, dann spielt die Bandbreite wohl keine Rolle. Aber schon aus Kostengründen könnte man ja überlegen, ob nicht eine IP ausreicht und die Verteilung dann über einen Reverse Proxy funktioniert, wovon ich momentan nur wenig Ahnung habe. Müsste der Reverse Proxy dann auf der OPNsense laufen? Welche Konsequenzen hat das für die Sicherheit, Zertifikat usw. … ?
Viele Grüße
Wilfried
Hallo Wilfried,
ausprobiert hab’ ich das auch noch nicht. Ja, ich deenke, der Reverse-Proxy sollte dann auf der OPNsense laufen.
Viele Grüße,
Jochen
Hallo Wilfried,
bei mir läuft HAproxy auf IPFire, weil ich noch LMN6.2 habe, aber es müsste mit der OPNsense in LMN7 auch funktionieren. Man müsste sich überlegen, ob man z.B. ein Wildcard Zertifikat auf der Firewall ablegt und nur bis dahin verschlüsselt oder bis zum Webserver, der das Zertifikat, die Verschlüsselung aufrecht erhält. Für den zweiten Fall hat mir das Stichwort SNI geholfen, obwohl ich es nicht richtig verstanden habe. Jedenfalls habe ich mich damals an einer Anleitung orientiert, die dieser Anleitung ähnlich sah: Kann ein Reverse Proxy SNI mit SSL-Pass-Through verwenden?
Inzwischen habe ich ein Wildcard Zertifikat, das ich hoffentlich bald auch automatisiert (dank DNS API bei Ionos) mit einer DNS-Challenge erneuern kann. Dann wäre der erste Fall wahrscheinlich auch sinnvoll und möglich.
VG
Christian
Hallo zusammen,
jetzt scheint es ernst zu werden: Unsere Schule ist aufgefordert worden, den Webauftritt bis zum 31.11. umzuziehen. Vorher gab es noch online eine „Abfrage Folgedienstleister BelWü“, bei der ein Angebot von „Komm.One“ für Schulen angekündigt wurde. Nach Rücksprache meinerseits mit Komm.One stellte sich heraus, dass dieser Anbieter so gut wie keine Dienstleistungen für Schulen erbringen möchte. Ich habe Belwü darauf hingewiesen und die Antwort erhalten, dass man meine Mail ans Kultusministerium weitergeleitet habe - seither Funkstille.-
Ich erspare mir und euch die Einschätzung des Ganzen!
Vielleicht kann jemand, der umgezogen ist oder woanders hostet, etwas empfehlen.
Viele Grüße
Wilfried
Hallo Wilfried,
wir haben noch etwas mehr Zeit.
Bis 31.07.2022 und 31.03.2023
Aber ein Austausch über Hostinganbieter und Umzugsszenarien wäre sicher hilfreich.
Viele Grüße
Steffen
Hallo Wilfried,
KOMM.ONE wird wenn ich das richtig verstanden habe, hauptsächlich die KISS-Anbindungen abdecken. Ok, Jugendschutzfilter bieten sie auch an.
Viele Grüße,
Jochen
Hallo Jochen,
hast du da genauere Informationen? Gerne an mich schicken.
KOMM.One ist zwar, nach BITBW, der Laden mit dem ich am wenigsten zusammenarbeiten will, aber mal sehen was die so anbieten.
Ich hab inzwischen meinen Webspace bewegt und unser moodle ist ja seit März 2020 extern: bleiben 3 Probleme:
und falls ich die letzte Mail von BelWü richtig verstanden habe, dann muss ich 2) und 3) bis 31.7.2022 umgezogen haben …
Und da ich keine Lust auf Reverseproxy vor meinem Netz habe, hätte ich gerne wieder mehrere IP Adressen auf einer Leitung (wir haben Vodafon Kabel mit 1GBit/s Download).
Kennt jemand irgend wen der sowas anbietet wie es BelWü gemacht hat?
Die Cisco Router dazu besitzt die Schule ja schon (wir haben zwei).
… wir bekommen ja auch Glasfaser an der Schule … schon seit 5 Jahren … ist der totale Running Gag.
Anfang des Jahres kam das mal wieder hoch. Als ich trocken sagte, dass ich das erst glaube, wenn ich „licht durch das Kabel sehen kann“ war die Realschulschulleiterin noch verdutzt: „Nee, das kommt … bald …“ (ich musste immer noch lachen).
Jetzt hat sie mal wieder nachgefragt. Antwort von der Gemeinde „… bitte bedenken Sie, dass wir in Deutschland leben …“.
Inzwischen sagen sie, es wird mindestens 2022 … also nehme ich mal „nach 2025“ an.
LG
Holger
Hallo Holger,
wir haben Vodafon Kabel mit 1GBit/s Download
Vodafone bietet bei seinen Business-Kabel-Tarifen auch welche mit
mehreren IP-Adressen an, entweder schon inklusive der dazubuchbar. Auch
Business-Tarife von anderen Anbietern bieten sowas.
Beste Grüße
Jörg
Hallo Holger und Jochen,
ich habe im Juli Komm.One per E-Mail angeschrieben. Von der Unternehmenskommunikation bekam ich nach 10 Tagen eine Antwort, vom Support nach 3 Wochen. Letztendlich habe ich mit einem Mitarbeiter auf dessen Wunsch hin telefoniert. Das Ergebnis: Kein Webhosting, Filterung lassen sie von einer Drittfirma in Österreich machen, wenn es denn mal ein Kunde wünscht, IP-Adressen bieten sie auch nicht an und im Übrigen müsse eine Außenanbindung der Schule über die Gemeinde laufen.
Im Online-Fragebogen hörte sich das so an:
„Dienstekorb 1.
Marktübliche Dienste wie Webhosting, Jugendschutzfilter und DSL-Anschluss für pädagogisches Netz und Schulverwaltung. Die Schulträger sind hier frei in der Entscheidung für einen Dienstleister ihrer Wahl. Für diese Dienste hat Komm.One ein Angebot für alle Schulträger zum Ende August 2021 angekündigt. Der Übergang wird durch BelWü und die Komm.One begleitet.“
Viele Grüße
Wilfried
Hallo,
Komm.one bietet Webhosting inklusive E-Mail(-Postfächern) an, was wohl
zugekauft ist (und teurer als auf dem Markt). Dann Jugendschutzfilter
und Anbindung an das KVN-Netz („Kiss-Netz“). Die entsprechenden Angebote
sollten alle kommunalen Schulträger über den
Städte-/Landkreis-/Gemeindetag erhalten haben. Wenn man bei
https://www.staedtetag-bw.de nach „Angebot Komm.one Belwü“ sucht, findet
man gleich die relevanten Rundschreiben (und kann sie allerdings nicht
einsehen, aber der Schulträger müsste das könne bzw. sie erhalten haben).
Für uns noch ungeklärt ist das Thema E-Mail. So etwas wie der
Mail-Relay-Host von Belwü wird wohl nicht angeboten.
Beste Grüße
Jörg
Hallo Jörg,
für Mail brauchen wir auch noch eine Lösung - für KuK wie auch SuS.
Das Gymi hat die SuS-Mail-Accounts bei M$. Das will ich eigentlich nicht, selbst wenn die wohl die Domain der Schule haben.
Ich befürchte aber, dass mit der gemeinsamen Infrastruktur mit pädML Win, die für’s ganze Bildungszentrum kommt, dann auch die Maillösung des Gymi bei uns übergestülpt wird 
Daher wäre ich dankbar für Tipps sinnvoller(er), guter Alternativen, um ggf. argumentativ etwas erreichen zu können.
Die Frage ist also: Welche Provider in D bieten gute, zuverlässige, datenschutzkonforme Maildienste ohne Webung zu bezahlbaren Konditionen an?
Viele Grüße
Steffen