PREVIEW: LiveConfig v2.5.0

  • Hallo,


    ab sofort steht eine erste Preview-Version von LiveConfig v2.5.0 bereit.


    Eine leider recht zeitraubende Änderung hat komplett "unter der Haube" stattgefunden: die verwendete OpenSSL-Bibliothek wurde von v1.0.2 auf v1.1.0 aktualisiert. Auch wenn das nicht nach viel Arbeit klingt, durch viele inkomplatible und häufig undokumentierte API-Änderungen benötigte das viel Zeit.


    Aber nun zu den neuen Features:

    • für SSL-Zertifikate wird neben RSA nun auch ECDSA unterstützt (natürlich auch mit Let's Encrypt). Wir haben lange überlegt, ob eine Dual-Konfiguration sinnvoll und notwendig ist, und uns am Ende aufgrund der ziemlich komplexen Konfiguration und noch schwierigeren Fehlersuche im Problemfall dagegen entschieden. Moderne Browser kommen mit ECDSA bestens zurecht (Cloudflare verwendet inzwischen fast ausschließlich ECDSA).
    • in der Schnellsuche (Eingabefeld ganz oben rechts) kann nun in der Ergebnisliste über ein per "hover"-Effekt sichtbares Icon direkt eine Session in den entsprechenden Kundenvertrag gestartet werden (spart mind. zwei Mausklicks)
    • bei eigenen DNS-Einträgen können nun auch die zunehmend an Bedeutung gewinnenden CAA-Records angelegt werden. Das klappt auch mit "alten" BIND-Servern (ist abwärtskompatibel). Allerdings macht LiveConfig derzeit noch keine Syntaxprüfung für diesen Record, bis zum Release von v2.5.0 kommt das noch.
    • wenn eine LiveConfig-Installation aktualisiert wird, dann wird gleichzeitig der neue GPG-Schlüssel für das LiveConfig-Repository installiert (der aktuelle GPG-Schlüssel läuft zum 05.11.2017 ab, wir planen ab dem 01.11. die Repositories und alle Pakete mit dem neuen Schlüssel zu signieren und bereiten deshalb mit diesem Update den Key-Rollover vor)
    • Single Sign-On für phpMyAdmin
      Unter https://github.com/LiveConfig/pma-sso stellen wir ein Script bereit, das in eine phpMyAdmin-Installation kopiert werden kann und damit ab LiveConfig v2.5.0 ein Single Sign-On aus LiveConfig heraus erlaubt.
      Im Prinzip ist auf der GitHub-Seite alles im Detail dokumentiert. Wichtig ist, dass in diesem Fall die MySQL-Passwörter dauerhaft in LiveConfig gespeichert bleiben müssen (natürlich verschlüsselt), und dass die Passwörter nicht über den Browser an phpMyAdmin übermitelt werden (das macht unser "Plug-In").


    Weitere Features befinden sich gerade noch im Test, Updates folgen also noch.


    Viele Grüße


    -Klaus Keppler

  • Dachte ich auch zuerst, aber es ist jessie ausgewählt und es passiert auf allen Servern.
    Vor dem update der Listen ist die Abhängigkeit libicu52 und nach dem Update libicu55.



  • Ok, so wie es aussieht war im Test-Repo zwischenzeitlich das PHP-7.0-Paket für Stretch in das Jessie-Verzeichnis gerutscht. APT aktualisiert die Abhängigkeiten aber nicht so lange sich die Versionsnummer nicht ändert.
    Damit das Test-Repo wieder korrekt funktioniert, haben wir das PHP-Paket für Jessie "aktualisiert" (auf 7.0.23-2+jessie1). Es hat sich aber effektiv nur die Versionsnummer geändert, sonst nichts.

  • Das Problem besteht anscheinend auch noch bei Debian Wheezy.
    Hier zeigt mir APT als aktuelle Version 7.0.23-1+wheez an und die Abhängigkeiten sind hier auch wieder nicht auflösbar.



    Bei Debian Stretch scheint auch ein fehlerhaftes Paket hinterlegt zu sein.
    Hier zeigt er als aktuelle Version 7.0.23-1+xenia an.


    Kann es sein, dass die Pakete noch irgendwo auf einem Quell Server in einem Cache sind?
    Den Stretch Server habe ich gerade eben neu als virtuellen Server aufgesetzt. Der dürfte noch keinen eigenen Cache gehabt haben.

  • Die Preview wurde eben auf v2.5.0-r4690 aktualisiert.
    Darin sind die mit der letzten Preview gemeldeten Fehler behoben, sowie folgende neue Funktionen dazu gekommen:

    • Unterstützung von HTTP/2 mit Apache 2.4.17+ und NGINX 1.9.5+
      (kann also ab Debian 9 und Ubuntu 16 genutzt werden)
    • verbesserte OCSP-Konfiguration mit Apache 2.3.3+
      (die bisherige Konfiguration war in vielen Fällen wirkungslos, außer man hatte ein Default-SSL-Zertifikat mit gültiger OCSP-URL eingerichtet)


    Die Korrektur an den OCSP-Einstellungen wird während des Upgrades automatisch an /etc/apache2/sites-available/000-default.conf vorgenommen.


    Um HTTP/2 verwenden zu können muss bei Apache erst das Modul "mod_http2" aktiviert werden (Befehl: "a2enmod http2"). Das aktualisierte LiveConfig-Meta-Paket macht das künftig bei Neuinstallationen automatisch. Wenn mod_http2 zwar vorhanden, aber nicht installiert ist, wird das in der Liste der Apache-Module (Serververwaltung -> Web) entsprechend angezeigt.
    HTTP/2 muss zudem separat für die gewünschten IP-Gruppen aktiviert werden (also einfach IP-Gruppe bearbeiten und Checkbox anhaken). SSL und HTTP/2 sind künftig für neue IP-Gruppen standardmäßig aktiviert.
    Mit dem Speichern der IP-Gruppen werden alle betroffenen Apache vHosts automatisch aktualisiert - nach spätestens 60 Sekunden kann man das also testen, z.B. unter https://tools.keycdn.com/http2-test


    Viele Grüße


    -Klaus Keppler

  • Die Preview wurde eben auf Version v2.5.0-r4692 aktualisiert. Damit wird die NGINX-Konfiguration verbessert:

    • falls NGINX durch LiveConfig verwaltet wird, dann wird während des Upgrades eine Datei namens /etc/nginx/conf.d/resolver.conf angelegt. Diese enthält die DNS-Resolver (aus /etc/resolv.conf).
      NGINX löst ansonsten alle Hostnamen (z.B. für Reverse-Proxy URLs) nur einmalig (beim Start/Reload) auf - auf den System-Resolver kann NGINX aus Architekturgründen nicht zurückgreifen...
    • die Konfiguration von Reverse-Proxy vHosts wurde verbessert (da gab es unter Umständen Probleme)


    Viele Grüße


    -Klaus Keppler

  • Vielen Dank :) HTTP/2 klappt super!
    zur Info: ich habe letzte Woche einen neuen Testserver (Debian Stretch) mit der liveconfig-meta aufgebaut. Ich hatte Probleme mit lcsam und lcpolicyd.


    Code
    Sep 28 18:20:28 srvnet postfix/smtps/smtpd[5505]: warning: connect to Milter service unix:/var/run/lcsam.sock: No such file or direc
    tory
    Sep 28 18:20:28 srvnet postfix/smtps/smtpd[5505]: warning: connect to private/lcpolicyd: No such file or directory


    Das Problem wurde folgendermaßen behoben:

    Code
    systemctl unmask lcpolicyd
    systemctl enable lcpolicyd
    systemctl restart lcpolicyd
    
    
    systemctl unmask lcsam
    systemctl enable lcsam
    systemctl restart lcsam
  • Hallo Hr. Keppler,


    mit v2.5.0-r4692 tritt bei mir bei Verwendung von Apache über einen NGINX Reverse Proxy der Fehler auf, dass die gewählte PHP Version nicht verwendet wird. Statt dessen wird die Systemweite PHP7 Version verwendet.


    Sobald ich den Webspace von Apache/NGINX Reverse Proxy auf NGINX ohne Reverse Proxy umschalte, wird wieder die gewählte PHP Versipon verwendet.

  • Die Preview wurde eben auf Version v2.5.0-r4692 aktualisiert. Damit wird die NGINX-Konfiguration verbessert:

    • falls NGINX durch LiveConfig verwaltet wird, dann wird während des Upgrades eine Datei namens /etc/nginx/conf.d/resolver.conf angelegt. Diese enthält die DNS-Resolver (aus /etc/resolv.conf).
      NGINX löst ansonsten alle Hostnamen (z.B. für Reverse-Proxy URLs) nur einmalig (beim Start/Reload) auf - auf den System-Resolver kann NGINX aus Architekturgründen nicht zurückgreifen...


    Hallo Herr Keppler,


    anscheinend wird die resolver.conf Datei falsch angelegt.
    Beim starten des NGINX wird folgender fehler geworfen:


    Die von LiveConfig erzeugte resolv.conf ist wie folgt aufgebaut:

    Code
    resolver 213.133.98.98 213.133.99.99 213.133.100.100 2a01:4f8:0:a0a1::add:1010 2a01:4f8:0:a102::add:9999 2a01:4f8:0:a111::add:9898;


    Laut der (an dieser Stelle etwas verwirrenden) NGINX Doku müssen aber die IPv6 Adressen geklammert werden:

    Zitat


    Configures name servers used to resolve names of upstream servers into addresses, for example:
    resolver 127.0.0.1 [::1]:5353;


    Danach startet NGINX wieder ohne Probleme.


  • HTTP/2 muss zudem separat für die gewünschten IP-Gruppen aktiviert werden (also einfach IP-Gruppe bearbeiten und Checkbox anhaken).


    heißt für alle mit vielen Servern wieder selbst in der sqlite rumbasteln um das überall zu aktivieren?
    Manchmal hab ich echt das Gefühl LC wird primär/nur für Gelegenheits-Admins mit 5-10 Servern ausgelegt...

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!