Benutzer-Werkzeuge

Webseiten-Werkzeuge


Seitenleiste

Was fehlt?

Es liegt in der Natur der Sache: Ein Wiki ist niemals fertig. Wir geben uns große Mühe, mit der Entwicklung Schritt zu halten; lassen Supportanfragen direkt in neue Artikel einfließen … aber auch wir sind nicht perfekt. Wenn du hier nicht fündig wirst: Nicht schmollen - Bescheid sagen! Unter hallo@uberspace.de steht dir unser Team gerne bereit. Hand drauf!

faq

Inhaltsverzeichnis

FAQ

Allgemeines

Was genau ist ein Uberspace eigentlich?

Ein User-Account auf einem Linux-Server, dessen Ressourcen du dir mit anderen Usern teilst - der Fachbegriff wäre „Shared Hosting“.

Du hast bei uns zudem die Möglichkeit, per SSH auf eine vollwertige Shell zuzugreifen und auch eigene Serverdienste zu starten, was bei den meisten konventionellen Shared-Hosting-Anbietern nicht der Fall ist. Du hast allerdings keine root-Rechte; ein Uberspace ist ausdrücklich kein virtueller Server.

Wonach benennt ihr eure Server?

Die ersten paar Dutzend Hosts sind nach Sternbildern benannt. Aktuelles Namensschema sind die 57 Selected Stars for Navigation. Ausnahme ist der allererste Host, der helium heißt - da waren wir noch etwas blauäugig und dachten, „Edelgase“ wären doch eine hübsche Idee. Davon sind wir aber frühzeitig abgekommen, als sich gezeigt hat, wie schnell die Plattform Fahrt aufgenommen hat.

Wieviele Server habt ihr eigentlich?

Damit wir die FAQ nicht jeden Monat anpassen müssen, etwas generischer: Einige Dutzend, aber noch zweistellig. Um die 100.

Wer garantiert mir, dass es euch nächstes Jahr noch gibt?

Nun ja, äh… niemand?! Wer „garantiert“ dir das denn bitte bei jedem beliebigen anderen Hoster?

Zunächst einmal kannst du dich natürlich darauf verlassen, dass wir eine bereits im Voraus bezahlte Leistung nicht einfach einstellen werden. Auch wenn es nicht so aussieht, aber mit dem Anlegen eines Accounts und dessen Bezahlung bist du ja durchaus einen Vertrag im Sinne des BGB eingegangen, für den wir entsprechende Erfüllungsverpflichtungen haben. Wenn wir Uberspace.de tatsächlich einstellen müssten, würden wir ankündigen, dass wir keine weiteren Verlängerungen mehr vornehmen werden. Auch über uns registrierte Domains müssen wir natürlich ordentlich abgeben usw.

Einen Totalausfall können wir natürlich auch nicht vollständig ausschließen. Wir betreiben unsere Server in einem Failover-Modus, der die meisten Ausfälle vermeiden hilft. Gegen Ereignisse der Kategorie „Güterzug mit Benzin kracht ins Rechenzentrum“ können wir uns aber auch nicht wappnen - das ist einer der Gründe, warum wir immer ein zweites Backup empfehlen, das außerhalb der von uns betriebenen Infrastruktur unter deiner eigenen Kontrolle liegt.

Im Regelfall ist diese Frage eher ein Ausdruck der Sorge, dass unser Geschäftsmodell mit der freien Preiswahl doch nicht aufgehen könne und man sich dann in Kürze doch wieder einen neuen Provider suchen müsste. Dazu:

Funktioniert euer Geschäftsmodell?

Ja. Wesentlich besser als erwartet sogar - wir hatten Uberspace.de eigentlich als kleines, zusätzliches Standbein neben unserem Servergeschäft angedacht; im Lauf von nicht einmal drei Jahren ist es so stark gewachsen, dass es inzwischen rund 50% 70% unseres Gesamtumsatzes ausmacht und die damit erzielten Einnahmen bessere Server und mehr Personal finanzieren können. Wir sehen derzeit keinen Anlass, dass sich an dieser Entwicklung grundlegend etwas ändern sollte.

Arbeitet Ihr auch am Wochenende?

Unser Monitoring arbeitet Tag und Nacht an allen Tagen im Jahr und informiert uns über Störungen, auf die wir dann auch reagieren. An Wochenenden schauen wir nur nach dringenden Supportanfragen. Manchmal erledigen wir dabei auch ein paar nicht dringliche Anfragen, aber das garantieren wir nicht.

Wenn Du auf eine nicht dringliche Anfrage am Wochenende eine Antwort erhältst, freu Dich und schweige darüber wie eine Lady / wie ein Gentleman. ;-)

Arbeitet Ihr auch an Feiertagen?

Unser Monitoring arbeitet Tag und Nacht an allen Tagen im Jahr und informiert uns über Störungen, auf die wir dann auch reagieren. Ansonsten werden wir an Feiertagen nicht aktiv.

Wenn Du an einem Feiertag eine Antwort erhältst, freu Dich und schweige darüber wie eine Lady / wie ein Gentleman. ;-)

Wie lange muss ich bei Supportanfragen auf Antwort warten?

Das hängt von der Komplexität Deiner Anfrage ab und davon, wie viel bei uns gerade los ist. Die absolute Mehrheit der Tickets beantworten wir innerhalb eines Tages, meistens sogar innerhalb von Minuten oder wenigen Stunden. Wenn es länger dauert, melden wir uns nach etwa einem Tag und teilen Dir das mit.

Wir schauen tagsüber regelmäßig über die Liste der Supportanfragen, ob dringende Sachen dabei sein könnten. (Stichworte wie „dringend“ helfen hier aber eher wenig, das versuchen zu viele, konkrete Fehlerbeschreibungen wie „Webseite bekommt heute zu viele Besuche, nicht mehr erreichbar“ bringen mehr.) Dann arbeiten wir zunächst Tickets ab die sich schnell beantworten lassen, bevor all die Anfragen dran kommen für deren Bearbeitung wir länger brauchen werden. Innerhalb dieser groben Sortierung arbeiten wir die Listen jeweils von unten ab, d.h. wer schon am längsten wartet, kommt als erster dran.

Wir haben flexible Arbeitszeiten und arbeiten auch tatsächlich zu sehr unterschiedlichen Zeiten – dadurch decken wir meistens den gesamten Tag und sogar Teile der Nacht ab, aber wir garantieren es eben nicht.

Muss ich bei Supportanfragen irgendwas beachten?

Eigentlich nicht. Fragen kostet nichts, wir verlangen nicht, dass Du diese FAQ vorher studiert hast oder dergleichen.

Aber da bestimmte Dinge immer wieder mal vergessen werden:

  • Erwähne Deinen Usernamen.
  • Erklär uns was Du machen wolltest, wie das Deinem Verständnis nach hätte ablaufen sollen, was statt dessen passiert ist und ggf. wie wir das reproduzieren können. Kopier uns auch ruhig Fehlermeldungen von der Shell in die Mail.
  • Schick bitte – in Deinem eigenen Interesse – in unverschlüsselten Mails keine Passwörter, Private Keys (zu Zertifikaten oder für SSH) oder sonstigen vertraulichen Daten oder Dateien die solche Daten enthalten.
  • Mach konkrete Angaben nicht ohne Not abstrakt. Es hilft uns wenig, wenn du z.B. Pfadangaben, Mailuser oder Ähnliches in lustige Platzhalter umwandelst: Das macht erstens dir nur Arbeit, und zweitens hält es uns davon ab, einfach dein konkretes Problem zu betrachten und zwingt uns zu theoretischem „Könnte dies sein, könnte jenes sein“-Geschwafel.

Und weil so etwas hin und wieder vorkommt:

  • Schick uns bitte wenn möglich keine unkomprimierten, gigantischen Screenshots (also keine TIFF- oder BMP-Dateien oder dergleichen, JPG- und PNG-Dateien sind absolut in Ordnung)
  • Text kannst Du einfach in eine Mail kopieren, es ist nicht nötig den in PDFs oder Word-Prozessor-Dateien zu verpacken.
  • Niemand von uns arbeitet mit einem Betriebssystem auf dem Microsoft Office oder Word läuft. Wenn Du musst, schick uns ODT- oder RTF-Dateien, mit DOC- oder DOCX-Dateien können wir nicht viel anfangen.
  • Für extra Punkte in der B-Note, schreib keine TOFU-Mails. ;-)

Könnt ihr mir einen Port öffnen?

Kann ich mal eben das root-Passwort haben, ich brauch das auch nur kurz um … zu installieren?

Netter Versuch. ^_^

Also das root-Passwort können wir wirklich nicht herausgeben, auch nicht nur kurz. Damit könntest Du allerhand Unfug treiben und wir könnten das nicht mehr überprüfen, vor allem könntest Du massiv in die Privatsphäre anderer User eingreifen. Es gibt noch viel mehr Gründe, aber im Grunde reicht das doch schon.

Wenn Du eine Software hast die Du anders nicht installieren kannst, wende Dich vertrauensvoll per Mail an uns, vielleicht finden wir einen Weg.

Kann ich … per sudo ausführen?

Nein. Aus den gleichen Gründen aus denen wir Dir auch das root-Passwort nicht geben können.

Kann ich einen weiteren Zugang haben für … ?

SFTP

Das geht leider nicht, dafür müssten wir mehrere Systemuser anlegen. Innerhalb gewisser Grenzen kannst Du das eventuell mit SSH-Pubkeys lösen.

MySQL

Das geht leider auch nicht, aber Du kannst mehr als eine Datenbank haben.

git+ssh

Ja - das geht mit gitolite.

Kann ich mir … installieren?

Probier es aus, z.B. mit toast oder kompiliere von Hand mit einem --prefix=, das klappt erstaunlich oft.

Oder wenn es um Module für eine Programmiersprache geht: Schau mal in die Artikel der jeweiligen Programmiersprachen, oft haben wir dafür schon eine Lösung.

Könnt ihr … für mich installieren?

Manchmal können wir eine Software für Dich aus der Paketverwaltung von CentOS installieren. Manchmal lohnt es sich auch sie für alle User auf allen Servern bereitzustellen. Manchmal fehlen Build Dependencies von einer Software die Du Dir vielleicht bauen willst:

Frag uns.

Wo stehen eure Server?

In Frankfurt am Main bei …

Details zur jeweiligen Netzanbindung findest du unter anderem beim BGP Toolkit:

Laufen eure Server mit Ökostrom?

Ja, an allen drei Standorten.

In welchem Rechenzentrum steht der Server, auf dem mein Uberspace liegt?

Schau auf deine IPv4-Adresse (einfach deinen Hostnamen anpingen oder im Datenblatt nachschauen)

  • Liegt sie im Netzbereich 82.98.82.0/24 oder 82.98.87.0/24, befindest du dich bei Plus.line
  • liegt sie im Netzbereich 95.143.172.0/24, befindest du dich bei rh-tec
  • liegt sie im Netzbereich 185.26.156.0/25, befindest du dich bei uvensys

Habt Ihr ein offizielles Forum?

Nein. Davon halten wir aus Gründen nicht viel.

Bietet Ihr auch Support per IRC, Jabber / XMPP, Mumble, … ?

Nein. Von Jabber haben wir uns inzwischen verabschiedet. So verwenden wir für unsere Teamkommunikation seit einem Jahr Slack. Wir beschränken uns weiterhin darauf, unseren Support ausschliesslich per Mail anzubieten, weil wir auf unsere Reaktionszeiten stolz sind und weil wir Support-Anfragen auch mal kurzerhand an einen Kollegen delegieren können, der sich besser damit auskennt. Das ist bei Instant Messaging so nicht gegeben, ganz unabhängig vom Client.

Mumble verwenden wir ebenfalls nicht. Wir erfüllen zwar grundsätzlich nicht das Klischee des telefonscheuen Nerds, aber wir halten Telefonie für keinen sinnvollen Support-Kanal und bieten demnach keinen Telefonsupport an, ganz gleich über welches Protokoll.

Über Ausfälle informieren wir zu jeder Tages- und Nachtzeit via Twitter und soweit das im Rahmen von 140 Zeichen möglich ist, gibt es da auch kurz und schmerzlos die eine oder andere Antwort auf kleine Support-Anfragen. Wenn du Twitter nutzt, raten wir dir, uns zu folgen. 😎

Kann ich bei euch ein Praktikum machen?

Nein, Praktika bieten wir prinzipiell nicht an. Wir arbeiten alle jeweils von daheim aus, und es wäre doch ein wenig merkwürdig und, äh, privat, wenn du wochenlang jeden Tag bei einem von uns daheim aufschlagen würdest - das wäre vermutlich weder in deinem noch in unserem Sinne.

Kann ich bei euch arbeiten?

Wenn wir aktiv jemand Neues suchen, veröffentlichen wir das auf https://uberspace.de/job.

Könnt ihr ein Buch über Linux empfehlen?

Eher nein. Der Grund ist, dass wir selbst uns das alle anders angeeignet haben und eben gerade nicht aus Büchern, was aber nicht heißen soll, das wir Bücher nicht für eine gute Idee halten. Wir können nur eben keines empfehlen, dass wir selbst gelesen hätten. Behandle die folgenden Empfehlungen also mit Vorsicht:

Ein guter Anfang ist vermutlich das Linux-Praxisbuch. Das sollte Dich in jedem Fall soweit bringen, dass Du auch selber besser einschätzen kannst, welche Bücher Dir weiterhelfen könnten (wenn sie dann überhaupt noch nötig sind).

Wenn es dann gedruckte Bücher sein sollen, dann würden wir Dir zunächst den Besuch einer Fachbuchhandlung ans Herz legen. Wir haben gehört, Linux - Das umfassende Handbuch soll gut sein, und auch über Linux 2013 haben wir Gutes gehört. Ansonsten gibt es da noch so einen Verlag der Bilder von schönen Kupferstichen mit Tier-Motiven auf den meisten seiner Bücher hat, der in dem Ruf steht gute technische Bücher herauszugeben und von dem wir einige Titel in unseren Bücherregalen haben (wenn auch keine Titel über Linux allgemein).

Könnt ihr uns einen Uberspace sponsern?

Wir haben bereits ein Preismodell, bei dem Sponsoring gewissermaßen schon integriert ist, nämlich über die freie Preiswahl. Es steht dir hierbei frei, im Zweifelsfall nur den (symbolischen und nicht kostendeckenden) Mindest-Euro im Monat zu bezahlen und dich ansonsten durch User, die einen höheren Preis zahlen, querfinanzieren zu lassen. Das ist an keinerlei Bedingungen oder gar Nachweise geknüpft, sondern lediglich an die Bitte, von diesem Angebot nur Gebrauch zu machen, wenn es angemessen ist. Das kann also beispielsweise auch für Firmen gelten, die z.B. gerade erst gegründet worden sind und praktisch kein Kapital haben, oder die aus welchen Gründen auch immer in wirtschaftliche Bedrängnis geraten. Wir vertrauen darauf, dass die gleichen Menschen und Firmen in wirtschaftlich erfolgreicheren Zeiten durch einen dann entsprechend höheren Wunschpreis ihren Teil dazu beitragen, dass unser Modell auch künftig tragfähig bleibt. Auf den symbolischen Mindest-Euro verzichten wir allerdings prinzipiell nicht; das ist einfach auch eine Sache der Wertschätzung des Umstands, dass hier echte Menschen für euch arbeiten, die davon ihren Lebensunterhalt bestreiten.

Könnt ihr unser Projekt oder unsere Veranstaltung sponsern?

Wir beteiligen uns prinzipiell nicht an Werbemaßnahmen jedweder Art - wenn wir ein Projekt oder eine Veranstaltung unterstützen wollen, dann tun wir das einfach und reden nicht darüber. Aufmerksamkeit zu kaufen ist nicht unser Ding.

Könnt ihr meinen Uberspace resetten?

Eine Möglichkeit zum Reset - dem Zurücksetzen auf „Auslieferungszustand“ - gibt es nicht. Am einfachsten ist es, wenn du dir einen neuen Uberspace klickst, eventuelles Guthaben überträgst und den alten einfach versanden lässt oder die Löschung beauftragst. Das hat gleich eine Reihe von Vorteilen für dich (und uns):

  • Du kommst auf das neueste System mit ordentlich RAM, CPU, wenig Nutzern, etc.
  • Wir werden nach und nach mal unsere Rechner mit CentOS 5 los.
  • Weniger Fragmentierung macht es für uns einfacher, die Systeme zu warten und uns neue coole Sachen für alle zu überlegen, die dann auch auf allen Maschinen laufen.

Der einzige Nachteil, der uns da einfällt: dein Username geht verloren. Aber seien wir mal ehrlich: gefühlt 90% schalten eh eine eigene Domain auf, da ist der Username dann letztendlich völlig egal.

Häufige Probleme

Ich kann keine Mails versenden!

Bitte hier entlang, das bekommen wir schon hin =)

Meine Weiterleitung zu GMail funktioniert nicht…

(Das dürfte eine der mit Abstand häufigsten Fragen sein.)

Falls Du das testest, indem Du Dir selbst Testmails schickst: Doch, sie funktioniert. GMail blendet aber Mails die von Dir selbst stammen im Posteingang aus.

„Wenn Sie E-Mails an eine abonnierte Mailingliste senden, werden diese Nachrichten nur in Gesendet angezeigt. Dies geschieht auch dann, wenn Nachrichten an eine E-Mail-Adresse gesendet werden, die diese automatisch an Ihre Gmail-Adresse zurücksendet.“ Quelle (Diesem Link folgen und auf „eine eingehende Nachricht ist nicht angekommen“ klicken.)

Ich finde die .my.cnf Datei nicht!

Sie ist aber höchstwahrscheinlich da, wenn Du sie nicht gelöscht hast. Die meisten Programme blenden Dateien und Ordner deren Name mit einem Punkt beginnt erstmal aus, so als wären sie versteckt. Die Dateien und Ordner sind aber trotzdem da. Bei ls z.B. können sie mit dem Parameter -a oder -A sichtbar gemacht werden:

[mareike@neon ~]$ ls -A
.bash_history  cgi-bin   lib             .pki               .ssh
.bash_logout   .emacs    logs            .qmail             .uberspace
.bash_profile  etc       Maildir         .qmail-abuse       .zshrc
.bashrc        fcgi-bin  .my.cnf         .qmail-hostmaster
bin            html      .mysql_history  .qmail-postmaster

Und wo wir schon mal dabei sind: Über folgenden Befehl kannst du dir das Passwort anzeigen lassen:

[mareike@neon ~]$ grep password ~/.my.cnf 
password=xxxxxxxxxxxx # NICHT ÄNDERN, ohne den obigen Text zu lesen!

Ich baue viele SSH-Verbindungen auf und komm plötzlich nicht mehr rein

Das kann gleich zwei Ursachen haben:

fail2ban

Wir setzen auf unseren Servern fail2ban ein, um Bruteforce-Angriffe auf bestimmte Dienste abzufangen. Wenn das bei dir also folgendermaßen aussieht…

[julia@amnesia ~]$ ssh julia@amnesia.uberspace.de
ssh: connect to host amnesia.uberspace.de port 22: No route to host

…, der Server aber beispielsweise auf ping-Anfragen antwortet, dann bist du vermutlich in die fail2ban-Sperre gelaufen.

Keine Sorge, die nehmen wir nach 10 Minuten automatisch wieder raus.

SSH-Rate-Limiting

Dann bist Du wahrscheinlich mit unserem SSH-Rate-Limiting aneinandergeraten, das nach 10 neuen SSH-Verbindungen in einer Minute anfängt abzuriegeln. Der Grund warum wir das machen ist etwas obskur und vielen Leuten unbekannt (können wir auch niemandem vorwerfen):

Bei einer SSH-Verbindung bauen Dein Client und der Server zunächst über sogenannte Asymmetrische Kryptographie eine vertrauliche Verbindung zwischen einander auf. Anschließend wird auf Symmetrische Kryptographie gewechselt – und dabei wird für jede einzelne Verbindung ein neuer, temporärer Schlüssel generiert, der nach dem Ende der Verbindung weggeworfen wird. Das ist eine Vorsichtsmaßnahme zur Schadensbegrenzung für den Fall, dass einer der primäre Schlüssel des Servers (gehört zum Zertifikat) in falsche Hände gerät. Es soll sicherstellen, dass jemand der einen Schlüssel erbeutet später nicht in der Lage ist jedwede Kommunikation die Du in der Vergangenheit mal mit dem Server hattest zu entschlüsseln.

Das ist soweit auch sehr gut und eines der Dinge die wir an SSH schätzen. Es hat aber einen Schwachpunkt: Für den Server ist es anstrengend temporäre Schlüssel zu generieren (spezifisch: er benötigt dafür Entropie und die zu generieren ist für Computer anstrengend, weil sie meist keine Hardware-Entropiequelle haben) und diese Schwäche kann sogar soweit ausgenutzt werden, dass eine DoS erreicht werden kann. (Du merkst das auch daran, dass der Server immer ein paar Sekunden braucht um eine SSH-Verbindung aufzubauen – das ist zum großen Teil die Zeit die er zum Generieren des temporären Schlüssels braucht.) Deswegen versuchen wir durch das Rate Limiting zu vermeiden, dass die Brute-Force-Attacken gegen SSH, die permanent auf unsere Server einprasseln, diese unter extremen Streß setzen können. Dass davon auch User betroffen sind, ist eher nicht beabsichtig, hat sich aber auch schon ausgezahlt. Wir hatten auch schon Fälle wo absichtlich oder unabsichtlich von einzelnen Usern in kurzer Zeit hunderte von SSH-Verbindungen aufgebaut wurden.

Du kannst dem begegnen indem Du entweder nicht ganz so viele SSH-Verbindungen in kurzer Zeit aufbaust oder – noch viel eleganter – indem Du SSH-Multiplexing nutzt. Gerade was den Verbindungsaufbau angeht, ist das quasi der Turbo-Schalter für SSH. Dabei wird einfach die erste SSH-Verbindung zu einem Server die Du aufbaust offen gehalten (ggf. auch im Hintergrund) und kann für weitere Verbindungen wiederverwendet werden. Die Auswirkungen auf die Sicherheit halten sich dabei in Grenzen, da SSH auch diesen einen temporären Schlüssel der dann noch verwendet wird bei lang offen gehaltenen Verbindungen regelmäßig gegen einen neuen austauscht.

Bei OpenSSH findest Du diese Funktion unter dem Stichwort „ControlMaster“ in der Dokumentation. Du könntest in Deine ssh_config z.B. folgendes eintragen:

ControlMaster auto
ControlPath ~/.ssh/master-%r@%h:%p
ControlPersist 1h

Das sagt dem OpenSSH Client, dass er für jede neue Verbindung zu einem Host einen Socket anlegen soll und diese Verbindung auch wenn sie nicht mehr genutzt wird bis zu einer Stunde offen halten soll. Sollen weitere Verbindungen zum selben Server aufgebaut werden, sieht der OpenSSH Client den Socket und verwendet ihn und spart sich so einen Großteil des Verbindungsaufbaus.

Meine Google OpenID geht nicht mehr

Google hat seinen OpenID-Support leider zum April 2015 eingestellt. Wie du wieder Zugriff auf's Dashboard erhältst und warum wir derzeit kein OpenID Connect implementieren, erfährst du bei uns im Blog.

Ich konnte Euch keine PGP-signierte oder -verschlüsselte Mail schicken

Du hast eine Mail mit diesem Inhalt bekommen:

You sent us a message that we cannot handle due to corrupted GnuPG signature or encrypted block. we get the following error(s):

Das ist eine Fehlermeldung unseres Ticketsystems Request Tracker. In den meisten Fällen versucht es Dir damit zu sagen, dass es Deinen Public Key auf keinem Keyserver finden konnte und daher Deine Signatur nicht prüfen konnte – in diesen Fällen erhalten wir die Mail zwar, aber mit einer Fehlermeldung wegen des fehlenden Public Keys. Wir können sie in diesen Fällen aber durchaus lesen und werden antworten.

Aber ich hab den Key doch extra angehängt

Ja, das sehen wir auch im Request Tracker, aber leider kann der RT damit nichts anfangen. RT setzt voraus, dass Public Keys von Keyservern runtergeladen werden können, es kann keine angehängten Keys extrahieren.

Das Anhängen von Keys ist erst vor ein paar Jahren aufgekommen und es gibt nach wie vor Programme die damit nicht umgehen können, entweder weil sie noch niemand umprogrammiert hat, oder weil die Entwickler es nicht umprogrammieren wollen (etwa weil sie darauf bestehen, dass PGP nunmal anders gedacht war).

Ich konnte Euch keine S/MIME-verschlüsselte Mail schicken

Wir unterstützen S/MIME nicht.

Kann ich bei Euch SPF zur Spamabwehr nutzen?

Wenn Du DNS selbst machst oder unser Managed DNS nutzt: ja. In letzterem Fall teile uns einfach mit, welche RRs wir für Dich anlegen sollen.

Aber wenn Du fragst, ob SPF sinnvoll ist, … Wir verweisen da gerne auf diese Folien eines Vortrags von Peer Heinlein. Quintessenz: Richtig gemacht schadet SPF nicht, es bringt aber auch nicht viel, weil es nicht als hartes Kriterium für den SpamFilter taugt.

Kann ich bei Euch DKIM zur Spamamwehr nutzen?

Wenn Du Mails die bereits DKIM-Signaturen haben bei uns einlieferst: ja.

Unsere Server-Software kann allerdings keine DKIM-Signaturen für Dich erstellen.

Wir verweisen auch bei dieser Frage gerne auf diese Folien eines Vortrags von Peer Heinlein. Quintessenz: Richtig gemacht schadet DKIM nicht, es bringt aber nur in Kombination mit geeigneten Filtern etwas.

Ich kann keine großen Dateien hochladen

Das kann verschiedene Ursachen haben. Die erste Software die hier ein Limit setzt ist mod_fcgid in unserem Webserver, dort haben wir eine Begrenzung der maximalen Länge, die ein einzelner HTTP-Request haben kann auf 300 MB:

FcgidMaxRequestLen 314572800

Höher können wir hier auch wirklich nicht gehen, die Requests dauern sonst zu lange und belegen zu viel RAM.

Falls Du noch nichtmal 300 MB große Dateien hochladen kannst, stößt Du an ein anderes Limit, nämlich eines der Programmiersprache in der Deine Applikation geschrieben ist. Wie Du das lösen kannst, hängt von der Programmiersprache ab. Bei PHP z.B. kannst Du Dir eine eigene php.ini anlegen und dort das Limit von PHP ändern, z.B. so:

upload_max_filesize = 290M
post_max_size = 300M

(Warum der eine Wert leicht kleiner ist als der andere? – Damit da auch noch Datei-Header rein passen.)

In anderen Programmiersprachen kann das natürlich anders aussehen. Schau in die Dokumentation für die jeweilige Programmiersprache und wenn Du auch damit nicht weiterkommst: Frag uns.

Was macht ihr eigentlich, wenn ein Programm zu viele Resourcen frisst?

RAM

Wir haben auf allen Servern einen Prozesskiller laufen, der sich alle Prozesse in regelmäßigen Abständen anschaut. Bei viel zu hohem RAM-Verbrauch gibt's eine Mail und wir schießen den Prozess ab. Wenn du so eine Mail bekommst: Keine Panik, kein Problem. Wir tracken nicht, wie oft das passiert und führen keine Strichlisten, die Mails sind wirklich nur zu deiner eigenen Information.

imapsync

Besonders oft ist uns aufgefallen, dass imapsync in unsere Speicherlimits läuft und daher automatisiert abgeschossen wird. Die einfachste Lösung des Problems: imapsync einfach immer wieder auszuführen. Je weniger es bei jedem folgenden Sync zu tun hat, desto kleiner wird der RAM-Verbrauch, d.h. „immer fest draufhalten“ und das Problem verschwindet lässt sich somit umschiffen.

... alles andere

(Oft verbunden mit der Frage, ob dann ein Rausschmiss folgt oder wir eine 3-Strikes-Regelung haben.)

Um einen Begriff aus der amerikanischen Diplomatie anzubringen: Es gibt dann einen strongly worded letter. Eigentlich nicht mal den. In den allermeisten Fällen melden wir uns einfach, erklären die Situation, bitten darum das Problem abzustellen und fragen, ob wir irgendwie helfen können. Schärfer formuliert wird wenn überhaupt nur wenn wir keine Rückmeldung erhalten oder der jeweilige Fall etwas dreist war (z.B. bei Bitcoin Mining). Aber selbst dann gilt: Wir reißen niemandem den Kopf ab. Wir greifen wenn nötig ein, oft ist das aber nichtmal nötig und es genügt schon, wenn wir mit den Usern Kontakt aufnehmen.

Kann ich etwas auf Euren Servern so verschlüsseln, dass auch ihr nicht mehr ran kommt?

(Oder die Behörden, oder die NSA, oder SIE…)

Mit geeigneter Software könntest Du sicherlich Ordner und Dateien auf unseren Servern verschlüsseln – aber machen wir uns nichts vor:

  • Wir haben Root-Zugriff auf das Betriebssystem, d.h. wir können jeden Bereich des Speichers auslesen und natürlich auch in die Prozesse genau reingucken. Irgendwo müsste so eine Verschlüsselung ja ihre Keys ablegen und sie müsste auch den Prozessor benutzen. Wenn wir wollten könnten wir also jede Verschlüsselung bei der der Key in unseren Hoheitsbereich kommt aushebeln (was nicht heißt, das wir schon genau wissen wie das geht, aber das lässt sich natürlich erlernen). Wir wollen das natürlich nicht und würden es nicht tun, aber wenn BKA/Staatsschutz/Verfassungsschutz/BND mit entsprechenden Anordnungen und Experten bei uns vor der Tür steht – was könnten wir da schon tun? Wir können da auch nur den Anwalt anrufen und den Vorgang auf Rechtmäßigkeit prüfen lassen – und im Zweifelsfall wird sich schon irgendein Agrarausschuss eines Parlaments finden, der die legalen Grundlagen schafft – und dann müssen wir das hinnehmen und dürfen Dir nichts sagen.
  • Außerdem haben wir Zugriff auf die Hardware und den könnten sich auch Dienste verschaffen. Damit kann jede Verschlüsselung ausgehebelt werden. (Selbst wenn die Hardware ausgeschaltet wird. Es wurde bereits demonstriert, dass in solchen Fällen der RAM noch einige Sekunden seinen Speicherinhalt hält und das genügt um ihn mit flüssigem Stickstoff einzufrieren, woraufhin er den Speicherinhalt viele Minuten ohne Strom halten kann und das genügt um ihn in ein Lesegerät einzusetzen.)

Wenn Du möchtest, dass weder wir noch irgendjemand sonst Deine Verschlüsselung aufheben können, dann schick uns nicht die Keys, sondern leg nur die bereits vorher verschlüsselten Daten bei uns ab. Also verschlüssele Deine Dateien zu Hause mit Tools wie gnupg oder openssl und leg nur die verschlüsselten Dateien bei uns ab, nicht die Keys. Und dann pass gut auf Deine Keys auf.

Ich hab Probleme mit der Feedupdate-Funktion von Fever

Fever scheint leider nicht sonderlich skalierbar, was die Verarbeitung von *vielen* Feeds angeht: Soweit wir das überblicken, fragt es bei jedem Refresh alle Feeds ab, und zwar sequentiell, so dass auch ein einzelner blockierender Feed (weil die betreffende Site z.B. gerade schlecht erreichbar ist) den gesamten Prozess aufhält. Dazu kommt, dass der Fever-Cronjob kein eigenständiges Script ist, was im Prinzip auch eine Stunde lang laufen könnte (dann wäre obiges Problem nämlich weniger tragisch), sondern via URL aufgerufen wird und damit den Limits des Webservers unterliegt, der sehr lange laufende Scripts (wo wir also nicht mehr von Sekunden oder wenigen Minuten, sondern von 10-20 Minuten reden) irgendwann schlicht abbricht, weil ein Webserver für die Beantwortung interaktiver Requests da ist, nicht zur Bearbeitung lang dauernder Hintergrundprozesse

Generell gibt's da leider wenig, was wir tun könnten. Der Webserver bricht den Prozess ab, wenn er zu lange dauert. Solange der Prozess gelegentlich aber auch noch durchläuft, damit all Deine Feeds aktualisiert werden, ist das im Prinzip unkritisch. Das Refresh-Konzept von Fever skaliert aber eben (im Gegensatz z.B. zu dem von TinyTinyRSS) nicht für viele Feeds, so dass das Problem mit steigender Nutzung leider eher größer als kleiner wird. Tut uns leid, aber das sind aus unserer Sicht grundlegende Designschwächen in Fever. :-(

Mein OS X-Terminal wirft beim Login komische Perl-Warnungen

Konkret diese hier:

perl: warning: Setting locale failed.
perl: warning: Please check that your locale settings:
LANGUAGE = (unset),
LC_ALL = (unset),
LC_CTYPE = "UTF-8",
LANG = (unset)
    are supported and installed on your system.
perl: warning: Falling back to the standard locale ("C").

Die Ursache dafür ist, dass das OS X-Terminal beim Login versucht, die Locale-Einstellungen deines lokalen Systems auch auf deinem Uberspace zu setzen, was fehlschlägt. Du kannst dieses Verhalten aber simpel abstellen, wie an zig Stellen im Netz beschrieben, zum Beispiel in diesem Blogpost von Remi Bergsma: Relevant ist die unterste Checkbox im Screenshot, Set locale environment variables on startup, die du ausschalten musst.

Es stimmt natürlich, was auch in den Kommentaren steht: Das Problem könnte auch serverseitig gelöst werden, nämlich in dem man dort eben global abschaltet, dass vom Client übermittelte Locale-Variablen ausgewertet werden. Allerdings ist diese Funktionalität an sich durchaus ganz hübsch, zumal unsere Hosts auch durchaus verschiedene Locales verstehen, wovon viele User, die lokal auch Linux verwenden, profitieren. Nur die vom OS X-Terminal übermittelten Werte werden eben serverseitig nicht verstanden; deshalb solltest du hier dieses Verhalten in deinem eigenen Client unterbinden.

Meine Firma sperrt den SSH-Port 22, könntet ihr..?

… den SSH-Server auf einem anderen Port erreichbar machen? Hmja, rein technisch gesehen könnten wir das wohl. Wir halten das aber für falsch.

Portsperrungen sind letztlich immer der technische Ausdruck einer Policy; in diesem Fall einer Policy, die besagt: Wir wollen nicht, dass du per SSH nach draußen gehst. Einem ganz normalen DSL-Provider sollte niemand etwas Derartiges durchgehen lassen, sondern auf vollwertigem Internet bestehen. Dein Arbeitgeber ist aber eben nun nicht dein ISP, und er ist nicht dazu verpflichtet, dir einen vollwertigen Internetzugang bereitzustellen.

Wenn jener Arbeitgeber nun eben SSH-Verbindungen auf Port 22 explizit unterbindet, hast du das insofern erstmal hinzunehmen. Wenn du nun anfängst, über Workarounds nachzudenken, wie du dich an dieser Sperre vorbeischleichen kannst, bedeutet das im Klartext: Du verletzt aktiv und bewusst die Policy, die dein Arbeitgeber in Bezug auf deinen Internetzugang aufgestellt hat. Im günstigsten Fall kann das in einer Abmahnung resultieren; es ist aber auch vorstellbar, dass hier direkt schwerere Geschütze aufgefahren werden, weil man durchaus argumentieren könnte, dass du die Sicherheit des Netzwerks deines Arbeitgebers kompromittierst, in dem du absichtlich Löcher in die „Absicherung“ bohrst. (Wir sagen nicht, dass das passieren wird. Wir sagen nur, dass du dich auf dünnes Eis begibst.)

Es gibt exakt einen sauberen Workaround dafür: Geh zu deinem Netzwerkadmin, erläutere die Situation und bitte darum, eine Ausnahmeregelung für dich zu schaffen, oder idealerweise den Ansatz, ausgehende SSH-Verbindungen zu sperren, als Ganzes als unsinnig aufzugeben.

BitBucket bastelt da was mit SSH über Port 443 ...

Das mag ja sein, aber das ist wirklich ganz, ganz gruselig. Der Port 443 ist ja nun bei uns bereits durch den HTTPS-Webserver belegt, und gerade an einer so neuralgischen (und häufig attackierten) Stelle möchte man nun wirklich nur ganz wenig Programmcode haben, der intensiv auditiert wurde und mit minimalen Rechten läuft. Gerade an dieser Stelle ein Stück Software ins Netz zu exponieren, das HTTPS und SSH sprechen kann und dann je nachdem die Verbindungen an den einen oder den anderen Serverdienst weiterleitet oder sie gar selbst bedient: Da müssten wir anschließend wirklich sehr, sehr lange duschen, wenn wir einen derart schmutzigen Hack implementieren würden.

Stimmt. FollowSymLinks ist gefährlich und ermöglicht, dass User sich mit Hilfe des Apache unter Umständen Dateien anderer User ausliefern lassen können; deshalb ist dies gesperrt (und All damit auch, weil das FollowSymLinks mit umfasst). Aber es gibt eine viel schönere Lösung mit der gleichen Funktionalität.

Ich bekomme alle 15 Minuten eine Mail, dass meine .htaccess-Datei nicht in Ordnung ist

Offenbar schreibt das Drupal-Modul Boost (was sich um Caching kümmert) regelmäßig eine .htaccess-Datei mit FollowSymLinks drin, was dann zu laufenden Warnungen führt. ABER: in den Einstellungen des Moduls kann man das ganz sauber auf SymLinksIfOwnerMatch umstellen.

Umlaute in Usernamen oder Passwörtern

Lass es einfach.

Wir haben da durchaus schon einiges selbst getestet und von Usern viel zu gehört. Es kann durchaus passieren, dass Du auf Anhieb mit Umlauten in Usernamen oder Passwörtern Glück hast, weil alle Programme die Du verwendest es so encoden, wie die Software die auf unseren Servern läuft es versteht. (Und wer weiß, ob beide es auch richtig™ machen, oder nur beide auf die gleiche Art und Weise falsch.) Sowas kann aber bei Updates kaputt gehen und sowas passiert selbstverständlich genau an dem Tag vor dem wichtigen Termin an dem Du alles im Kopf hast, aber nicht dass es am Umlaut liegen könnte.

So traurig das klingt, aber UTF-8 ist von 1993, wenn Programmierer das heute noch nicht hinkriegen mit Zeichen die nicht aus 7-Bit-ASCII stammen, dann wird das wohl nichts mehr. Dir wachsen weniger graue Haare, wenn Du gleich drauf verzichtest.

MySQL beschwert sich über utf8mb4 als Zeichensatz

Das ist richtig; dieser Zeichensatz wurde erst mit MySQL 5.5 eingeführt, und das von uns auf den aktuellen Hosts eingesetzte CentOS 6 liefert nur MySQL 5.1 aus. Die nächste Host-Generation auf Basis von CentOS 7 wird MariaDB 10.0 als zu MySQL 5.5 kompatible Alternative enthalten. Wenn du nicht warten kannst oder willst, haben wir eine Übergangslösung für dich; alternativ kannst du eine eigene MariaDB-Installation in deinem Uberspace vornehmen, die wir aber unsererseits nicht supporten können.

Bezahlungsmöglichkeiten

Überweisungen

Ja.

Abbuchungen

Nein. In erster Linie deswegen nicht, weil wir uns dann ein Mahn- und Inkassowesen zulegen müssten. Frisst Geld und Lebenszeit, letzteres ist uns dafür zu schade.

PayPal

Kreditkarte

Sofortüberweisung

Nein! Mit solchem Geschäftsgebaren wollen wir nichts zu tun haben.

Paysafecard

Softwareversionen

Wie finde ich raus mit welcher CentOS Version der Server von meinem Uberspace läuft?

cat /etc/redhat-release

Die Version von … ist auf Eurem Server so alt, könnt ihr da was machen?

Das ist etwas kompliziert.

  • Wenn es um eine Software geht die von unserem Betriebssystem CentOS bereitgestellt wird, dann können und wollen wir da nicht viel machen. CentOS ist eine Linux-Distribution die bewusst auf langfristige Stabilität angelegt ist. Genau genommen kommt das von der Distribution auf der CentOS basiert: RHEL. RedHat betreibt intensives Backporting, um Bug- und Security-Fixes aus neueren Versionen auch für ältere Versionen bereitzustellen, dabei aber eben Updates bei denen sich die Funktionsweise der Software verändert zu vermeiden. Dadurch wird sichergestellt, dass Setups mit RHEL oder eben CentOS nicht durch Updates kaputt gehen. Das ist uns vom Ansatz her deutlich lieber als die Alternative, die nämlich oft darauf hinausläuft, dass man Updates eher vermeidet aus Angst sie könnten das Setup kaputt machen.
  • Bei bestimmten Softwares ist dieser Ansatz aber nicht praktikabel, weil sie sich zu schnell verändert. Das ist z.B. bei PHP und Ruby der Fall. Mit Minor Releases von CentOS kommen hier in der Regel dann auch Updates bei denen sich die Funktionsweise einer Software ändert – was für uns eher ungünstig ist. Gleichzeitig lohnt es sich bei solcher Software außerdem mehrere Versionen davon anzubieten. In solchen Fällen ist die Nachfrage groß genug, dass wir uns die extra Arbeit machen können diese Software selbst aus den Sourcen zu übersetzen und unter /package/host/localhost/ bereitzustellen, statt die Pakete von CentOS zu verwenden.
  • Du kannst versuchen, eine neuere Version der Software nur für deinen Uberspace zu installieren, die dann eine höhere Priorität hat, als die system-weit installierte. Inwieweit sich diese erfolgreich installieren lässt, hängt vom Zustand des Source-Codes der Applikation ab. Du kannst es aber gerne mit toast versuchen und dich im Fall eines Fehlers an uns wenden.

Python

Wir bieten schon mehrere Versionen an. Sollte eine neue Version gerade erschienen sein und diese keine kritische Sicherheitslücke schließen, dann lass uns ein paar Tage Zeit, sonst meld Dich ruhig.

Ruby

Wir bieten schon mehrere Versionen an. Sollte eine neue Version gerade erschienen sein und diese keine kritische Sicherheitslücke schließen, dann lass uns ein paar Tage Zeit, sonst meld Dich ruhig.

PHP

Wir bieten schon mehrere Versionen an. Sollte eine neue Version gerade erschienen sein und diese keine kritische Sicherheitslücke schließen, dann lass uns ein paar Tage Zeit, sonst meld Dich ruhig.

node.js

Wir bieten schon mehrere Versionen an. Sollte eine neue Version gerade erschienen sein und diese keine kritische Sicherheitslücke schließen, dann lass uns ein paar Tage Zeit, sonst meld Dich ruhig.

phpMyAdmin

Die aktuelle Release-Serie 4.4 benötigt mindestens MySQL 5.5; CentOS 5 liefert aber nur MySQL 5.0 und CentOS 6 liefert nur MySQL 5.1 - damit ist das aktuelle Release nicht mehr kompatibel. Wir setzen daher die Release-Serie 4.0 ein, die langfristigen Support für die hier eingesetzten Versionen bietet und noch bis April 2017 supportet wird.

Unsere künftige Host-Generation auf Basis von CentOS 7 wird MariaDB 10.1 als MySQL-5.5-kompatiblen Ersatz beinhalten; hier werden wir dann aller Voraussicht nach auch wieder auf aktuelle phpMyAdmin-Versionen aufschließen können.

Werdet Ihr CentOS 5 Server irgendwann auf CentOS 6 upgraden?

Nein. Das CentOS-Projekt selbst sieht für solche Upgrades keinen Pfad vor und es wird auch softwareseitig nicht explizit unterstützt. Die offizielle Empfehlung für diesen Fall lautet: neuen Server aufsetzen und alles von Hand migrieren.

CentOS ist eine Linux-Distribution die bewusst auf langfristige Stabilität angelegt ist (siehe auch oben). CentOS 5 stammt in seiner ersten Version aus dem Jahr 2007 und wird noch bis 2017 mit Bugfixes und Securityupdates versorgt.

Bisher haben wir noch keinen konkreten Plan für das Jahr 2017, allerdings denken wir darüber nach den dann noch verbleibenden CentOS-5-Usern ab 2016 eine Migration zu empfehlen und sie dabei zu unterstützen.

Du kannst natürlich jederzeit selbst Deine Sachen von einem CentOS 5 auf einen CentOS 6 Host umziehen. Wenn Du Dir einen neuen Account bei uns klickst, wird der automatisch auf einem CentOS 6 Host angelegt und der erste Monat ist wie immer kostenlos…

Wir arbeiten bereits an einer Übersichtsseite, die allgemein eine Uberspace-zu-Uberspace-Migration beschreibt und auf viele vorhersehbare Stolperfallen eingeht. Stay tuned.

Wann..?

Völlig egal, wie die Frage weitergeht: Bei uns gilt das Prinzip, dass wir Dinge dann anbieten, wenn wir sie für fertig und funktionierend halten, und nicht vorher. Termindruck hilft da in aller Regel nicht, sondern führt nur dazu, dass dann Dinge zwar vielleicht termingerecht, aber dafür schlampiger implementiert werden, als es sein könnte, nicht zuletzt, weil bei den wenigsten Dingen vorher absehbar ist, wieviele Arbeitsstunden man genau da nun reinstecken muss, um ein gewünschtes Ergebnis zu erzielen. Unterwegs ergeben sich Umwege; Anderes kommt dazwischen, was wichtiger ist; vielleicht stellt man an einem Punkt fest, dass das gewünschte Ergebnis mit dem eingeschlagenen Weg gar nicht zu erreichen ist - und manchmal macht auch schon ein Versionsupdate einer 1.x auf eine 2.x unvorhergesehene Schwierigkeiten. Insofern: Frag gerne, ob wir schon an dieser oder jener Sache arbeiten, aber erwarte bitte keine zeitliche Festlegung von uns. Fertig ist's, wenn's fertig ist.

Ab wann werdet Ihr neue Hosts mit CentOS 7 betreiben?

Wenn wir es ausgiebig getestet, unsere Skripte und Setups daran angepasst haben und eventuelle Umstellungen die mit CentOS 7 auf uns zukommen oder sich bei dieser Gelegenheit anbieten vorbereitet und getestet sind.

Funktioniert … bei Uberspace?

mosh

mosh läuft bei uns. Damit du dich auch von außen verbinden kannst, musst du dir nur einen Port in der Firewall öffnen. Diesen kannst du dann clientseitig mit dem –port=-Parameter angeben.

Ghost

Es sind einige User-Dokus im Wiki verlinkt, die sich aber noch auf die Preview beziehen und nicht notwendigerweise auch mit dem öffentlichen Release funktionieren. Wir haben zwischenzeitlich unsere eigene Ghost-Dokumentation veröffentlicht.

Owncloud

dropbox

Ja.

TeX / LaTeX / XeTeX

Mit den bei einem Server ohne graphische Benutzeroberfläche zu erwartenden Einschränkungen, aber: ja.

CentOS 5 und CentOS 6 bieten aber beide keine brandaktuelle TeX-Suite, sondern jeweils nur Toolchains die zu dem Zeitpunkt als die jeweilige CentOS-Version herauskamen aktuell waren. Damit lassen sich durchaus viele Dinge machen, nur die allerneusten Features aus der TeX-Szene sind eben noch nicht dabei. Such am besten mit yum search nach den verfügbaren TeX-Paketen und melde Dich dann bei uns mit der Liste derer die Du benötigst und bitte uns die zu installieren (vergiss dabei nicht zu erwähnen, um welchen Useraccount es geht). In den allermeisten Fällen können wir diese Pakete durchaus installieren. (Wir installieren sie aber bisher nicht vor, noch wurde zu selten danach gefragt und die Pakete sind insgesamt nicht gerade klein).

beliebige proprietäre Software

Wenn Du sie selbst installieren, betreiben und warten kannst: Probier es aus.

Propietäre Software können und wollen wir aber aus grundsätzlichen Gründen nicht einsetzen und leisten daher auch keinen Support dazu. (Einer der Hauptgründe warum wir propietäre Software selbst nicht einsetzen und anbieten ist der, dass wir hier de facto daran gehindert werden Support auf dem hohen Niveau zu leisten, das wir anstreben.)

Wir können Dir allenfalls helfen, wenn die von Dir gewählte Software Probleme hat sich in unserer Betriebssystemumgebung zurechtzufinden. Aber bei der Software selbst können wir eben nichts tun.

Bitcoin

Theoretisch ja, aber…

Kann ich bei Uberspace Bitcoin/Litecoin/Dogecoin minen?

Nein! Das frißt einfach viel zu viele Ressourcen. (Ganz davon abgesehen, dass wir keine GPUs mit ausreichend Leistung für sinnvolles Mining in unseren Servern verbaut haben.)

Minecraft

Theoretisch ja, aber…

Kann ich bei Uberspace einen Minecraft Server betreiben?

Ja - mit Cuberite. Einer unserer User hat dazu eine entsprechende Anleitung verfasst. Aktuell ist uns da leider kein Weg bekannt.

Teamspeak

Kann man bei Uberspace Teamspeak Server betreiben?

Wenn Du eine Lizenz dafür hast: ja. Binde Deine Teamspeak-Instanz an einen hohen Port und öffne ihn auf der Firewall.

Bedenke aber bitte: Wir können bei propietärer Software nicht wirklich Support leisten.

Meine Teamspeak Instanz will nicht starten, angeblich läuft auf dem Server schon eine Teamspeak-Instanz. Könnt Ihr da was machen?

Nein. Es gibt offenbar eine kostenlose Version von Teamspeak, die eine Datei unter /dev/shm ablegt. Diese Datei kann es pro Server nur einmal geben, ergo kann es pro Server nur eine Instanz dieser kostenlosen Version von Teamspeak geben. Das ist von den Teamspeak-Entwicklern offenbar so gewollt, wir können da nichts tun.

In einem Forum habe ich gelesen, dass man ein tmpfs nach /dev/shm mounten soll, damit Teamspeak funktioniert. Könnt Ihr das tun?

Nein. Erstens ist auf neueren System an dieser Stelle schon ein tmpfs gemountet, zweitens ändert das nichts an der oben beschriebenen Problematik.

Fever

Im Prinzip ja, aber.

Java

Jein. Nur mit großen Einschränkungen und nicht out of the box.

mod_wsgi

Confluence

Theoretisch, wenn du dir selbst eine JRE installierst. In der Praxis ist aber der Ressourcenbedarf von Confluence - viel - zu hoch: Die Minimum hardware requirements sehen schon allein mindestens eine 2GHz-CPU vor (während du wie bei Shared Hosting üblich nur einen Teil der Gesamt-CPU-Leistung des jeweiligen Servers nutzen kannst) sowie mindestens 512 MB RAM (was für Shared Hosting utopisch viel ist), und selbst das wird schon mit dem Hinweis „ Also please note that these are a guide only, and your configuration may require more“ versehen. In der Praxis solltest du Confluence insofern nur auf einem eigenen Server einsetzen, der dir die nötigen Ressourcen garantiert bereitstellt.

Jira

Theoretisch, wenn du dir selbst eine JRE installierst. In der Praxis ist aber der Ressourcenbedarf von Jira - viel - zu hoch. Die Minimum hardware requirements geben an: „For a small number of projects […] a recent server (multicore CPU) with 2 GB of available RAM and a reasonably fast hard drive (7200rpm or faster) should cater for your needs“ - was für Shared Hosting utopisch viel ist; unser Prozess-Killer riegelt Prozesse bereits bei 500 MB RAM hart ab. In der Praxis solltest du Jira insofern nur auf einem eigenen Server einsetzen, der dir die nötigen Ressourcen garantiert bereitstellt.

FUSE (sshfs, curlftpfs, ...)

Nein. Wir fänden eine entsprechende Möglichkeit zwar auch selbst interessant und ausgesprochen praktisch, aber bei einem Tool mit dieser Sicherheitshistorie …

  • „fusermount in FUSE before 2.7.5, and 2.8.x before 2.8.2, allows local users to unmount an arbitrary FUSE filesystem share via a symlink attack on a mountpoint“ (CVE-2010-0789)
  • „FUSE, possibly 2.8.5 and earlier, allows local users to create mtab entries with arbitrary pathnames, and consequently unmount any filesystem, via a symlink attack on the parent directory of the mountpoint of a FUSE filesystem, a different vulnerability than CVE-2010-0789“ (CVE-2010-3879)
  • „Buffer overflow in the fuse_do_ioctl function in fs/fuse/file.c in the Linux kernel before 2.6.37 allows local users to cause a denial of service or possibly have unspecified other impact by leveraging the ability to operate a CUSE server“ (CVE-2010-4650)
  • „fuse 2.8.5 and earlier does not properly handle when /etc/mtab cannot be updated, which allows local users to unmount arbitrary directories via a symlink attack“ (CVE-2011-0541)
  • „fusermount in fuse 2.8.5 and earlier does not perform a chdir to / before performing a mount or umount, which allows local users to unmount arbitrary directories via unspecified vectors“ (CVE-2011-0542)
  • „Certain legacy functionality in fusermount in fuse 2.8.5 and earlier, when util-linux does not support the –no-canonicalize option, allows local users to bypass intended access restrictions and unmount arbitrary directories via a symlink attack“ (CVE-2011-0543)

… sind wir zugegebenermaßen nicht übermäßig geneigt, uns die mit einer Bereitstellung von FUSE verbundenen Risiken ans Bein zu binden.

Tor

Rein technisch, ja, aber: Bitte betreibe keinesfalls einen Exitnode bei uns. Der Betrieb von Exitnodes kann etliche negative Folgen nach sich ziehen:

  • Andere Hostingprovider blacklisten gerne mal IPs, die als Tor-Exitnode auffallen, mit der Folge, dass der Host dann z.B. keine Mails mehr mit jenen Hosts austauschen kann.
  • Andere Zugangsprovider blacklisten gerne mal IPs, die als Tor-Exitnode auffallen, mit der Folge, dass deren Kunden dann auf keine einzige auf diesem Host untergebrachte Website zugreifen können.
  • Die Haftungsfrage ist mitnichten so ganz klar. Natürlich kennen auch wir §8 TMG, aber du weißt so gut wie wir, dass Recht haben und Recht bekommen zwei Paar Schuhe sind, und das TMG hält niemanden davon ab, es nicht einfach erstmal zu versuchen, die juristische Keule zu schwingen, die dann erstmal uns als Inhaber des IP-Ranges träfe. Und wie auch schon das Ubuntu-Users-Wiki so schön sagt: „[…] Es wurde auch noch nie ein Betreiber einer Exit-Node verurteilt. Jedoch sollte man im Zweifelsfall unbedingt einen Anwalt hinzuziehen; auf den dadurch entstehenden Kosten wird man vermutlich sitzen bleiben, wenn man keine Rechtsschutzversicherung hat.“ (In unserem Nachbarland Österreich wurde übrigens gerade der Betreiber eines Exitnodes verurteilt, nur so nebenbei.)
  • Egal wie eine entsprechende Klage ausginge: Würde hier erstmal eine Hausdurchsuchung über uns ergehen, bei der am Ende noch die Serverhardware mitgenommen würde, auf der der Exitnode lief - was schon real vorkam - wären wir ziemlich ruiniert.
  • Außerdem fühlen wir uns als das Internet nutzende Menschen und Admins schon mehr als genug von der NSA bespitzelt, wir möchten nicht wegen TOR-Exitnodes noch mehr Privatsphäre einbüßen.

Ein wichtiges Problem ist, dass du dir bei Shared Hosting wie bei uns eben nicht nur die Ressourcen, sondern auch die IPv4-IP des Hosts mit allen anderen Usern des Hosts teilst. Jedwede technische und juristische Unbill, die sich gegen deinen Exitnode richtet, träfe also alle User des Hosts, die du damit quasi in Geiselhaft nähmst. Das können wir im Interesse der anderen User nicht erlauben - sowas müsstest du wenn dann auf eigener Hardware mit eigener IP machen und dann entsprechend die Unwägbarkeiten auch selbst tragen.

Was du bei uns laufen lassen kannst, ist ein Middlenode; das hat einer unserer User auch Schritt für Schritt dokumentiert. Insbesondere der Traffic-Hinweis ist sehr wichtig; andernfalls wirst du schon in wenigen Stunden eine weniger entspannte Mail von uns erhalten, weil du das Trafficlimit deines Uberspace massiv überschreiten wirst. :-)

wkhtmltopdf

Gibt's bei CentOS 5 und 6 nicht in den Paketen, du kannst dir das aber mit einem kleinen Kniff selbst auf deinem Account installieren:

$ mkdir ~/tmp ; cd ~/tmp
$ wget http://download.gna.org/wkhtmltopdf/0.12/0.12.2.1/wkhtmltox-0.12.2.1_linux-centos6-amd64.rpm
$ rpm2cpio wkhtmltox-0.12.2.1_linux-centos6-amd64.rpm | cpio -idmv
$ cp ~/tmp/usr/local/bin/* ~/bin/

Docker

Docker können wir bisher nicht anbieten, weil das Sicherheitskonzept von Docker vorsieht, dass User zu einer privilegierten Gruppe gehören müssen, um ihre Docker-Container zu verwalten. Diese privilegierte Gruppe erlaubt es aber jedem User, root zu werden. Daher ist Docker bis auf weiteres nicht mit unserem Shared Hosting-Konzept vereinbar.

Bietet ihr auch…

Umzugsservice / Auftragsarbeiten?

Nein. Dein Vertrauen schmeichelt uns, aber soetwas läuft immer auf hohen Aufwand hinaus und würde uns viel Zeit (und Dich viel Geld) kosten und davon abhalten Uberspace weiterzuentwickeln und für Uberspace Support zu leisten.

Auch nicht für €€€?

Nein.

Anti-Viren-Lösungen?

Nein.

Wir halten nichts von Anti-Viren-Software und setzen selbst keine ein (ernsthaft, wir betreiben auch unsere privaten Computer nicht mit sowas):

  • Rein konzeptionell sind Anti-Viren-Programme in unseren Augen eine schlechte Lösung. Sie schützen nur vor bekannten Viren (und das auch noch schlecht und lückenhaft!), aber nicht vor dem was Viren tun und daher sinnvoller wäre.
  • Die Software ist oft selbst eher schlecht programmiert, läuft aber mit sehr hohen Rechten auf dem System, so dass sie selbst ein äußerst attraktives Einfallstor darstellt.
  • Anti-Viren-Software ist immer wieder dadurch aufgefallen, dass sie das Arbeiten auf einem Computer zum Teil massiv behindert, sei es durch hohe Last oder durch das blockieren völlig legitimer ausgehender Verbindungen wie etwa SSH oder ähnliches, oder sogar zeitweilig unmöglich macht, indem sie etwa den Rechner durch fehlerhafte Updates einfach mal vom Internet abklemmt. Mal davon abgesehen, dass wir das bei einer Software für die auch noch bezahlt wird schon ein starkes Stück finden, drängt sich hier der Gedanke auf: Wer solche Programme auf seinem Rechner einsetzt, braucht keinen Virenbefall mehr.
  • Hersteller von Anti-Viren-Software sind schon häufiger dabei erwischt worden, die eigene IT-Security nicht im Griff zu haben und das Niveau der Fehler war erschreckend niedrig. Wie u.a. ein bekannter deutscher Blogger gerne sagt: „Die Besten, der Besten, der Besten, Sir!“
  • Die schlechte Erkennungsrate rechtfertigt in unseren Augen den Aufwand kaum.
  • Generell scheint Anti-Viren-Software ein falsches Gefühl von Sicherheit zu vermitteln, was dazu führt, dass User hochgradig leichtsinniges Verhalten nicht ändern und deutlich zeigt dass das eigentliche Problem in 99% der Fälle nicht in den Webseiten, USB-Sticks, eMails und Computern steckt, sondern davor sitzt:
    • mit Useraccounts die Admin-Rechte haben im Internet surfen oder eMail-Anhänge öffnen oder fremde Datenträger einlesen
    • eMail-Anhänge von unbekannten Absendern unbesehen öffnen
    • auf Links in ungefragt zugesandten eMails klicken
    • auf Webseiten sensible Daten preisgeben, insbesondere um billig und einfach an Medikamente, Pornographie, plastische Chirurgie (WTF?) zu kommen oder unerwartete Erbschaften von bisher unbekannten, aber entfernt verwandten, südamerikanischen Shogunen die in Nigeria verunfallt sind zu erschleichen

Unserer Meinung nach helfen gegen Sicherheitslücken nur aufgeklärtes, medienkompetentes, vorsichtiges Nutzerverhalten, freie, quelloffene Software und Updates, Updates, Updates.

ein Webinterface für's DNS?

DynDNS?

Sorry, aber nein.

Dedizierte Uberspace-Server?

Nein, dedizierte Server, die „wie Uberspace-Hosts“ aufgesetzt sind, aber exklusiv einem einzelnen Kunden zur Verfügung stehen, bieten wir nicht an und haben wir auch nicht in Planung. Unsere Hosts sind weitestgehend automatisiert deployed und eng mit unserem Webinterface (von dem wir auch keine Whitelabel-Version anbieten oder planen) sowie unseren Backupservern, Updateprozessen und unserem Monitoring verknüpft; das wäre nicht so trivial, da einzelne Hosts kundenbezogen herauszulösen. Davon abgesehen sehen wir aber Reselling ohnehin kritisch.

Xen-/KVM-VMs? Dedizierte Server? Housing?

Nein, nein und nein. Sorry. Uberspace.de ist ein reines Shared-Hosting-Produkt; wir machen da lieber eine Sache richtig als mehrere nur so halbherzig. Es gibt derzeit keine Pläne, unser Angebot auf andere Formen des Hostings auszuweiten.

Limitierungen

Plattenplatz -- Könnt ihr mir nicht doch mehr als 10 GB geben?

Leider nein.

Wirklich nicht.

So leid es uns tut.

Unser Fokus liegt wirklich woanders als auf dem Anbieten von viel Speicherplatz, das können andere besser und billiger.

Es hängt aber auch damit zusammen, wie bei uns der Storage aufgebaut ist: Auf der untersten Ebene liegt bei uns ein RAID-10 über vier große Festplatten, hier könnte man zwar größere Festplatten einzeln nachrüsten und das RAID wachsen lassen, aber das ist kühn und macht einmalig ordentlich Last auf dem RAID. Auf dem RAID liegt dann die Partitionstabelle des Wirtsystems, die kann man in der Tat online vergrößern. In einer sehr großen Partition liegt dann ein Physical Volume von LVM, das kann auch online vergrößert werden, genauso wie die Volume Group und das/die Logical Volume(s) darin. Soweit so gut. Dann kommt eine Software für Verteilt-Replizierte Block Devices zum Einsatz mit der wir das Logical Volume einer Virtuellen Maschine auf einen Failover-Partner mit identischem Storage-Setup replizieren. Jede VM hat also ein eigenes Verteilt-Repliziertes Block Device über zwei Wirte, das auf jedem Wirt eben in einem LV liegt, das auf dem RAID liegt. Bei der Replikation liegt der Hund begraben, denn bisher hatten wir im Test mit einem Vergrößern dieses Layers kein Glück (milde ausgedrückt, wir hatten massiven Datenverlust, glücklicherweise nur im Test). Und um die Liste vollständig zu machen: Im Verteilt-Replizierten Block Device einer VM liegt dann deren Partitionstabelle und in den Partitionen deren Dateisysteme (derzeit: ext3 oder ext4) – auch hier gibt es Grenzen wie weit diese sich online vergrößern lassen.

Alles in allem: Ein einfaches Vergrößern scheitert schon bei der Replikation (da suchen wir aber noch nach einer Lösung), aber auch an anderen Stellen wäre ein Vergrößern nicht unbedingt einfach. Derzeit verbauen wir wie gesagt vier 2 TB Festplatten in einem RAID-10. Viel Luft ist da nicht mehr. Es gibt noch 3 TB Platten, dann kommen so allmählich 4 TB Platten auf den Markt, dann ist wohl so langsam bei der magnetischen Dichte die physikalische Grenze erreicht. Die Wirte haben aber nur vier Einschübe für Festplatten. Und SSDs im Festplattenformat sind noch laaange nicht in dem Größenbereich von 4 TB angekommen und ohnehin noch prohibitiv teuer. Wie man sich auch dreht und wendet: wirklich viel Storage ist nur aufwendig (= teuer) zu realisieren. Wir sehen unser Hauptaufgabenfeld woanders.

Fragen kostet aber nichts: Wenn Du uns schilderst wo Dir der Platz ausgeht, können wir Dir vielleicht ein paar Ideen geben, wie Du das lösen könntest. Manche Sachen lassen sich ganz gut auf externen Speicher auslagern.

Auch nicht für €€€?

Die Festplatten sind da eisern, wenn wir denen Geld anbieten, werden die leider nicht von alleine größer.

Von Euch verwendete Software

Womit bearbeitet Ihr Supportanfragen?

Mit Request Tracker oder kurz: RT.

Wir betreiben mehrere RT-Installationen für Kunden von uns und seit einigen Jahren eben auch eine eigene.

Kleinere Installationen sind sogar bei Uberspace möglich.

Welche Virtualisierungs-Technologie verwendet Ihr?

Früher Xen, worauf auch noch einige Systeme laufen, heute KVM.

Womit repliziert ihr Blockdevices?

Würden wir an dieser Stelle wirklich gerne sagen und lobend erwähnen und verlinken. Ehre wem Ehre gebührt, wir schätzen diese Software. Aber der Hersteller möchte leider nicht, dass wir den Namen seines tollen Produktes erwähnen, ohne an einem Partnerprogramm teilzunehmen (oder sehr ausführlich auf seine Markenrechte hinzuweisen, mit $name® wäre es leider nicht getan). Es ist eine Software die Verteilt-Replizierte Block Devices ermöglicht, deren englischer Name ein Akronym aus vier Buchstaben ist.

Kann ich Roundcube mit Plugins versehen?

Insofern sich die Frage auf unser zentral bereitgestelltes Roundcube bezieht: Hier besteht diese Möglichkeit prinzipiell nicht. Diese Roundcube-Installation wird ja von allen Usern genutzt, und Plugins haben weitreichende Möglichkeiten, sich an jede beliebige Stelle in den Ablauf einzuklinken. Würden wir Usern ermöglichen, hier Plugins zu installieren, so wäre es trivial möglich, ein Plugin zu schreiben, das z.B. die übermittelten Zugangsdaten und/oder Mailinhalte mitschneidet - das ginge insofern keinesfalls.

Bliebe noch die theoretische Möglichkeit, dass wir Plugins installieren, die wir geprüft und für gut befunden haben. Hier gibt es allerdings immer das Problem: Was ist, wenn ein Plugin-Autor sein Plugin dann irgendwann aufgibt und es mit neueren Roundcube-Versionen nicht mehr kompatibel ist? Wir hätten dann lediglich die Möglichkeit, entweder auf einer älteren Roundcube-Version zu bleiben (was unschön wäre), oder dann auf das Plugin zu verzichten, was den User damit eine bereits liebgewonnene Funktion wegnehmen würde (was ebenfalls unschön wäre). Aus diesem Grund betreiben wir das zentrale Roundcube ausschließlich „nackt“, ohne den Einsatz von Dritt-Plugins, was auf absehbare Sicht auch so bleiben wird.

Es steht dir aber selbstverständlich frei, innerhalb deines eigenen Uberspaces eine eigene Roundcube-Installation vorzunehmen, die du nach Belieben mit Plugins und Themes versehen kannst. Roundcube ist ein reiner IMAP-Client; er braucht insofern keinerlei spezielle Rechte - faktisch läuft auch unser Roundcube auf einem ganz normalen Uberspace (mit dem reservierten Namen webmail, den es einmal pro Host gibt).

Sonstiges

Warum gibt es keine Uberspace App für …?

Wir haben bisher andere Prioritäten, stehen einer künftigen Entwicklung einer App aber auch nicht negativ gegenüber. Falls User eine App für Uberspace bauen wollen, freuen wir uns natürlich sehr und stehen für Fragen (innerhalb eines gewissen Rahmens) gerne hilfreich zur Verfügung.

Ich bin mir nicht ganz sicher, was meine Frage ist.

Knifflig, aber auch darauf haben wir natürlich eine Antwort: 42. LOL

faq.txt · Zuletzt geändert: 2017/03/28 18:42 von uber