LiveConfig v1.7.5 freigegeben

    Ab sofort steht LiveConfig 1.7.5 (r3127) für den produktiven Einsatz bereit.
    Schwerpunkt dieses Updates ist die SSL-Konfiguration der von LiveConfig verwalteten Dienste - konkret die Abschaltung von SSLv3 aufgrund der kürzlich bekannt gewordenen "Poodle"-Angriffsmöglichkeit.


    Die Änderungen sind:

    • Konfiguration eines Standard-SSL-Zertifikats für SNI-Konfigurationen mit Apache httpd
    • automatischer Verbindungsaufbau zur MySQL-Datenbank nach Neustart des LiveConfig Server-Prozesses
    • OpenSSL von 1.0.1i auf 1.0.1j aktualisiert
    • SSLv3 für HTTPS/LCCP-Schnittstellen von LiveConfig deaktiviert
    • SSLv3 aufgrund der POODLE-Attacke für alle konfigurierten Dienste deaktiviert (Apache, NGINX, Postfix, Dovecot, ProFTPd, vsftpd)
    • Übersetzungen aktualisiert
    • Unterzeichnung von Zertifikatsanfragen (CSR) und selbstsignierten Zertifikaten mit SHA256; Anzeige des SHA256-Fingerabdrucks von SSL-Zertifikaten


    Was die SNI-Konfiguration von nginx betrifft: hier wird es in Kürze noch ein separates Update geben.


    Um die Konfigurationen der von LiveConfig verwalteten Dienste zu aktualisieren, gehen Sie bitte wie folgt vor:

    • Apache/nginx: irgendeine IP-Gruppe bearbeiten (z.B. an den Namen irgendein Zeichen anfügen) & speichern
    • FTP: Button "neu konfigurieren" klicken
    • Postfix: Button "bearbeiten..." klicken und dort direkt auf "speichern"
    • Dovecot: Button "bearbeiten..." klicken und dort direkt auf "speichern"


    Das Update lässt sich wie immer reibungslos über die Repositories einspielen.


    Viele Grüße


    -Klaus Keppler

    Moin Herr Keppler,


    danke für das Update/Freigabe der letzten Version.
    Beim Standard-SSL-Zertifikats für SNI wir jetzt Ordnungsgemäß die Fehlerseite ausgegeben mit der Meldung
    " Die Domain ... ist nicht verfügbar "
    Kann ich diesen Text dieser Seite ändern? Es müsste doch lauten "Die Domain ... ist nicht über https verfügbar"


    Gruß
    Andreas

    Zitat von andreas

    Es müsste doch lauten "Die Domain ... ist nicht über https verfügbar"


    Hmm, stimmt... Dafür müssen wir aber in die SSL-vHost-Konfiguration noch eine andere ErrorDocument-Anweisung aufnehmen.
    Wird gleich erledigt, kommt kurzfristig im nächsten Update.


    Zitat

    Bei mir schreibt LC nichts ins Logfile beim Updaten des Dovecot, FTP usw., beim Apache schon. ist das normal?


    Ja, ist (noch) normal. Es werden derzeit noch nicht für alle Dienste die Programm-Ausgaben vom Neustart protokolliert (wird derzeit schrittweise ausgebaut).

    Nachtrag: hab' ich ganz vergessen: ab Version 1.7.5 unterzeichnet LiveConfig alle erzeugten Zertifikatsanfragen (CSRs) sowie selbst unterschriebene SSL-Zertifikate mit SHA2 (SHA256). Zudem wird bei SSL-Zertifikaten nun auch der SHA256-Fingerabdruck angezeigt. Der Ruf von SHA1 ist ja auch schon etwas angekratzt... ;)

    Zitat von kk


    Um die Konfigurationen der von LiveConfig verwalteten Dienste zu aktualisieren, gehen Sie bitte wie folgt vor:


    Könnte man da nicht eine Kommandozeilen-Option dafür anbieten?
    Etwas wie 'liveconfig --reconf apache,ftp,postfix' oder 'liveconfig --reconf apache && liveconfig --reconf postfix && ...'
    Das würde bei solchen updates eine Automatisierung erleichtern bzw. ermöglichen.

    Zitat von kk

    Hmm, stimmt... Dafür müssen wir aber in die SSL-vHost-Konfiguration noch eine andere ErrorDocument-Anweisung aufnehmen.
    Wird gleich erledigt, kommt kurzfristig im nächsten Update.


    Hallo,
    wann kann ich mit einem Update dies bzgl. Rechnen? Dachte es sollte schnellstens behoben werden...

    Ist seit v1.7.5-r3135 in unserer Entwicklungsversion drin, also im kommenden Update enthalten.
    Die Preview (v1.8) wird freigegeben sobald der Umbau der HTML/CSS-Ausgabe fertig ist (bis dahin ist die GUI kaum nutzbar) - wir sind damit aber noch mindestens bis Ende dieser Woche beschäftigt.


    Viele Grüße


    -Klaus Keppler

    Zitat von kk

    Hmm, stimmt... Dafür müssen wir aber in die SSL-vHost-Konfiguration noch eine andere ErrorDocument-Anweisung aufnehmen.
    Wird gleich erledigt, kommt kurzfristig im nächsten Update.


    Ja, ist (noch) normal. Es werden derzeit noch nicht für alle Dienste die Programm-Ausgaben vom Neustart protokolliert (wird derzeit schrittweise ausgebaut).


    Hallo Herr Keppler,
    ich habe eben auf die letzte Version 1.8.0-r3363 aktualisiert. Leider besteht das o.g. Problem weiterhin bzw. wird die Meldung nicht ordentlich ausgegeben.
    Es müsste doch lauten "Die Domain ... ist nicht über https verfügbar"

    Vermutlich haben Sie noch eine "alte" default-vHost-Konfiguration (/etc/apache2/sites-available/default).
    Wenn Sie über "Server" -> "Web" z.B. den Namen einer IP-Gruppe ändern und auf "speichern" klicken, sollte diese aktualisiert werden und dann auch die richtige Fehlerseite bringen.

    Zitat von kk

    Vermutlich haben Sie noch eine "alte" default-vHost-Konfiguration (/etc/apache2/sites-available/default).
    Wenn Sie über "Server" -> "Web" z.B. den Namen einer IP-Gruppe ändern und auf "speichern" klicken, sollte diese aktualisiert werden und dann auch die richtige Fehlerseite bringen.


    Ja, das war es gewesen, vielen Dank für den Tip!

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden