Debian Trixie
-
-
Ja, hier im Forum war's ziemlich genau 7 Werktage lang etwas ruhiger weil ich persönlich kurz im Urlaub war, meine Kollegen hier haben aber weiter Issues abgearbeitet.
Alle größeren Problem sollten soweit behoben sein. Die aktuell bearbeiteten Probleme - z.B. beim Verlängern von Let's-Encrypt-Zertifikaten - hängen mit "speziellen" Konstellationen zusammen die sehr aufwendig zu testen sind (in dem einen Fall z.B. dass es eine Hierarchie von Resellern und Endkunden mit jeweils eigenem Let's-Encrypt-Account gibt). Wir sind da aber dran.
Was uns in den letzten Tagen unglaublich viel Arbeit, Zeit und Nerven gekostet hatte war aber ein massiver DDoS-Angriff auf mehrere Webserver - in einer Dimension die ich so bislang noch nie erlebt habe. Wir reden hier von >10.000 Requests pro IP pro Minute, und das von >4.000 verschiedenen IPs.
Letztendlich profitiert LiveConfig aber auch davon, weil wir entsprechende Abwehrmechanismen da mit einbauen werden.
-
danke für die Rückmeldung und den Sachstand, hoffe Sie hatten einen erholsamen, wenn auch kurzen, Urlaub. Wann ist den mit einer Veröffentlichung der nächsten Version zu rechnen bei der bekannte Fehler bereinigt wurden?
-
Die 3.0.4 und 2.18.7 werden voraussichtlich am Montag, 22.09. erscheinen - falls wir schneller fertig werden als geplant vielleicht auch schon am Freitag.
-
Danke für die Info
-
Hallo
auch von mir danke für die Info.
Mit freundlichen Grüßen
Martin Krüger
-
Falls ihr DNSSEC und BIND in LC verwendet könnte es besser sein, bei Debian 12 und LC2 zu bleiben oder umfangreich zu testen, ob es nach dem Upgrade wirklich funktioniert.
Domains, die mit DNSSEC und LC3 API auf Debian 12 angelegt wurden machen (spätestens) nach Upgrade auf Debian 13 Schwierigkeiten. Vielleicht ist es nur davor nicht aufgefallen.
Debian 13.1 / BIND 9.20.11 / LiveConfig 3.0.8
Bei einigen Domains ist DNSSEC in LC aktiviert. Dynamische Updates werden protokolliert (https://www.liveconfig.com/de/kb/bind-logging/ )
Die Zonen hängen faktisch, da
"could not get zone keys for secure dynamic update"
"RSIG/NSEC/NSEC3 update failed: not found".
Zwischendurch Zone neu Schreiben (Umstellen auf extern - eigene Domain) ändert nichts.
Die Meldungen bleiben selbst beim Deaktivieren von DNSSEC für die betreffende Domain.
Mit KSK löschen, DNSSEC deaktivieren, Zone extern, intern, BIND restart bekommt man es irgendwie in den Griff.
Key rollover, also auch Wechsel des Algo, sei ein offenes Thema.
Zitat von KK, per Ticketpro Zone darf bis auf Weiteres nur ein KSK aktiv sein. Das Problem ist, dass ein KSK-Rollover mit dnssec-policy relativ kompliziert ist (vor allem wenn sich der Algorithmus ändert).
[...] Bis das umgesetzt ist wurde daher das KSK-Limit auf "1" gesetzt.
Domains mit DNSSEC in LC3 löschen hinterlässt Dateien /var/lib/bind/keys/K<domain>... mit Schlüsseln. Diese zieht BIND9 heran wenn die Domain mit DNSSEC neu angelegt wird. LC3 hat davon keine Kenntnis mehr und zeigt Daten eines KSK an, der teilweise gar nicht verwendet wird. Hinterlegt man diese Daten beim NIC stimmen DS-Record dort mit der Zone nicht überein und die Domain sollte unerreichbar werden weil DNSSEC fehlschlägt.
BIND ist nicht exotisch konfiguriert.
-
Beim weiteren Testen mit Debian 13 ist mir aufgefallen, dass der Name des Symlinks nun standardmäßig .dovecot.sieve ist. In der von LiveConfig erstellten passwd-Datei ist der volle Pfad nicht als Dotfile.
Daher ist noch eine zusätzliche Anpassung via dovecot.local.conf notwendig, damit Filterregeln funktionieren.
sieve_script personal {
type = personal
path = ~/sieve
active_path = ~/dovecot.sieve
}
Oder übersehe ich etwas? -
Hier gab es tatsächlich (leider) auch eine inkompatible Änderung mit Dovecot 2.4. Vielen Dank für den Hinweis!
Mit LiveConfig 2.18.8 wird die Konfiguration entsprechend aktualisiert.
Jetzt mitmachen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!