LiveConfig v2.8.0

Das LiveConfig-Team freut sich, Version 2.8.0 freigeben zu dürfen.

Die wichtigsten Änderungen sind:

1.) Völlig überarbeitete SSL/TLS-Integration
Die SSL/TLS-Bestellung wurde komplett überarbeitet und größtenteils neu implementiert. Ziel war es, die Bestellung von Zertifikaten vollständig zu automatisieren und den Workflow drastisch abzukürzen.
Ab sofort genügt es, beim Anlegen einer neuen Domain eine Checkbox zu aktivieren, um gleich automatisch ein SSL-Zertifikat mit zu bestellen:
forum.liveconfig.com/cms/attachment/17/Der Zwischenschritt über die SSL-Verwaltung zu gehen und dort ein Zertifikat anzulegen entfällt somit komplett. LiveConfig prüft zudem automatisch im DNS, ob die Domain konnektiert ist und stößt die eigentliche Bestellung erst dann an, wenn alles passt. Die DNS-Prüfung findet alle 15 Minuten statt.
Die Domainvalidierung für SSL/TLS-Zertifikate erfordert zudem keinen Server-Reload mehr, was die Last auf den Server bei großen Zertifikatsbeständen reduziert und die Bestellung drastisch beschleunigt (dauert nur noch ca. 20 Sekunden).
Die Kommunikation mit Let's Encrypt erfolgt zudem nun über die ACMEv2-API (die alte API (ACMEv1) wird schrittweise deaktiviert).

2.) vereinfachte Domainkonfiguration
Beim Bearbeiten von (Sub-)Domain-Einstellungen gibt es nun eine Standard-Ansicht und eine Experten-Ansicht. Die bisherige Eingabemaske entspricht der Experten-Ansicht, neu ist also die Standard-Ansicht:
forum.liveconfig.com/cms/attachment/18/Die verfügbaren Konfigurationsoptionen werden jeweils auf das Ziel (Webspace/Weiterleitung/Anwendung/...) gefiltert. Zwischen SSL und Nicht-SSL wird nicht mehr unterschieden (wer das unbedingt braucht kann das noch in der Experten-Ansicht machen).
In der Liste der Domains/Subdomains werden die WWW- und Nicht-WWW-Subdomains dann auch entsprechend zu einer Domain (mit dem Vermerk ("(+www.)") zusammengefasst, was die Liste bei größeren Domainbeständen wesentlich übersichtlicher macht.
Während des Updates auf v2.8 aktiviert LiveConfig bei entsprechend konfigurierten Subdomains automatisch die Standard-Ansicht. Dieser Vorgang wird mit den nächsten Updates weiter ausgebaut (um möglichst viele bestehende Konfigurationen zu vereinfachen, ohne dabei die Einstellungen zu ändern).

3.) Zwei-Faktor-Authentifizierung via FIDO2/WebAuthn
Alle großen Browser (außer Safari und iOS) unterstützen seit kurzem den WebAuthn-Standard zur Zwei-Faktor-Authentifizierung. Die bisherige FIDO/U2F-Schnittstelle wurde an FIDO2 angepasst, so dass nun auch ohne Browserplugin ein sicheres Token zur Anmeldung hinterlegt werden kann. Bereits registrierte U2F-Tokens bleiben weiterhin gültig.
Eine vollständig passwortlose Anmeldung via FIDO2 planen wir derzeit nicht (wir sehen das Token lieber als zweiten Faktor), sind jedoch gerne für eine Diskussion hierzu offen.

4.) viele Detailverbesserungen - unter anderem:

• beim Löschen von Domains können bestehende Postfächer nun automatisch mit gelöscht oder "geparkt" werden (um diese z.B. einer anderen Domain zuzuordnen)
• Verbesserungen und Vereinfachungen bei der Verwaltung von Mailadressen (Weiterleitungen werden nun in großen Textfeldern verwaltet, für den Spamfilter können Adressen in Blacklists/Whitelists aufgenommen werden, u.v.m.)
• die .htaccess-Anweisung "SetHandler" kann ab sofort wieder verwendet werden - LiveConfig kümmert sich nun anderweitig um die notwendige Sicherheit. Insbesondere Drupal kann nun also wieder einfacher genutzt werden.

Eine vollständige Liste aller Änderungen finden Sie wie immer im Changelog.
Wir freuen uns auf's Feedback.

Während des Upgrades werden alle VirtualHost-Konfigurationsdateien aktualisiert. Bei Multi-Server-Installationen spielt es keine Rolle, ob zuerst der LiveConfig-Server oder die Clients aktualisiert werden. Damit die SSL-Bestellung aber reibungslos funktioniert, sollten sowohl Clients als auch der Server jeweils mit v2.8 laufen. SSL-Bestellungen mit "alten" Clients (<2.8) werden voraussichtlich nicht mehr funktionieren.

Die nächste Preview-Version steht auch schon in den Startlöchern - wir arbeiten mit Hochdruck an der Verwaltung des Backup-Prozesses und weiteren spannenden Features.

Viele Grüße

-Klaus Keppler

Last but not least möchte ich allen Testern danken, die freiwillig (oder in einem Fall auch versehentlich die Preview-Versionen installiert und durch ihr Feedback zur Vermeidung einiger Fehler beigetragen haben.

DANKE!

Zitat von Feuernatter

Gibt es auch Neuigkeiten bzgl. der Konfiguration des NGINX-Proxy (ggf. über die Web-Oberfläche)?

NGINX-Optionen können mit v2.8 über Lua konfiguriert werden (die Doku hierfür wird derzeit erstellt).
Legen Sie eine Datei namens /etc/liveconfig/lua.d/nginx.lua an, mit z.B. folgendem Inhalt:

nginx.PROXY_PARAMS = {
    ['proxy_redirect'] = "off",
    ['proxy_set_header'] = {
      "Host $host",
      "X-Real-IP $remote_addr",
      "X-Forwarded-For $proxy_add_x_forwarded_for",
      "X-Forwarded-Proto $scheme"
    },
    ['proxy_pass_header'] = {
      "Set-Cookie"
    },
    ['client_max_body_size'] = "64m",
    ['client_body_buffer_size'] = "128k",
    ['client_body_temp_path'] = "/var/cache/nginx/tmp"
  }

(um genau so sein sind das die Standardeinstellungen - siehe /usr/lib/liveconfig/lua/nginx.lua)

Werte ggf. anpassen, danach LiveConfig neu starten (damit die .lua-Datei eingelesen wird) und anschließend betroffenen Webspace-Vertrag neu speichern (damit die vHost-Konfiguration aktualisiert wird).

Zitat von bravesurfer

Wie bereits im Preview Thread angesprochen läuft unter Debian 9.9 Spamassassin mit den Rechten des Nutzers debian-spamd.

Genau da liegt der Hund begraben. Wenn SpamAssassin durch LiveConfig aktiviert wird, dann läuft der unter dem User "spamd" (auf die Verzeichnisse des Besitzers "debian-spamd" kann er ja trotzdem lesend zugreifen).
Was liefert der Befehl "ps aux | grep spamd"? Das sollte unter Debian 9 etwa so aussehen:

root     28739  0.0  4.2 160100 87356 ?        Ss   Aug19   0:15 /usr/bin/perl -T -w /usr/sbin/spamd -d --pidfile=/var/run/spamd.pid -m 5 -H --socketpath=/var/run/spamd.sock --socketowner=root --socketgroup=spamd --socketmode=0660 -x --virtual-config-dir=/var/lib/spamassassin/%u/ -u spamd
spamd    28745  0.0  4.3 223752 88160 ?        S    Aug19   0:00 spamd child
spamd    28760  0.0  4.3 223752 88104 ?        S    Aug19   0:00 spamd child
nobody   28789  0.0  0.0 237796   132 ?        Sl   Aug19   0:00 /usr/lib/liveconfig/lcsam -g spamd -U postfix

Wenn man SpamAssassin mal komplett vom Server löscht ("purge") und anschließend neu installiert, dann kann es sein dass die User-Anpassungen weg sind.

Es muss NICHTS angepasst werden! Lassen Sie die Dateibereichtigungen in /var/lib/spamassassin bitte unverändert auf "debian-spamd".

Das hat schon alles so seinen Sinn. Da SpamAssassin als "spamd" läuft, hat er keinerlei Schreibrechte irgendwo im System, kann aber auf die Regeln zugreifen (die "debian-spamd" gehören).

Wir testen die von LiveConfig erzeugte SpamAssassin-Konfiguration automatisiert auf allen unterstützten Plattformen (u.a. eben auch Debian 8/9/10) - das läuft reibungslos.
Im vorliegenden Fall wurde SpamAssassin nach der Aktivierung im LiveConfig nachträglich nochmal deinstalliert und neu installiert - dadurch gehen die Anpassungen natürlich verloren.

Wenn sich SpamAssassin zwischendurch "spontan" beendet, dann deutet das in vielen Fällen auf den sog. "OOM-Killer" hin (der schlägt bei SA gerne an, da der Prozess viele Ressourcen benötigt). Das hat aber weder etwas mit LiveConfig noch mit der SpamAssassin-Konfiguration zu tun. Ein Administrator kann der Ursache anhand der Logs auf den Grund gehen.

Automatische SSL/TLS-Zertifikate für Subdomains (per einfacher Checkbox) kommen mit dem nächsten Update (v2.8.1).
Auch das wird also einfacher werden als bisher.