Beiträge von kk

Wird die betroffene IPv6-Adresse über einen eigenen "iface"-Eintrag konfiguriert, oder via "ip addr add"?
Siehe dieser Beitrag auf serverfault.com. Ggf legen Sie diese Adresse also mal mit einem eigenen iface-Eintrag an.

Viele Grüße

-Klaus Keppler

Ab v1.7.3-r2849 wird nun die empfohlene Liste von Mozilla's OpSec verwendet. Außerdem kann man künftig in einer custom.lua durch Ersetzen der Variable LC.liveconfig.DEFAULT_SSL_CIPHERS auch eine abweichende Cipher-Liste pflegen.
Die v1.7.3-Preview dürfte in den nächsten 2-3 Tagen fertig sein.

Viele Grüße

-Klaus Keppler

Ich habe eben mal auf einer unserer Debian7-Server nachgesehen (via Xen 4, mit Standard-Debian-Kernel). ipv6 ist inzwischen statisch im Kernel enthalten, der Eintrag in /etc/modules würde also nichts (mehr) bringen.

Prüfen Sie bitte, ob bei Ihnen evtl. IPv6 als Modul geladen wird (via lsmod). Ansonsten kann ich mir auch vorstellen, dass die IPv6-Autokonfiguration da eventuell Probleme macht. Hierzu am besten eine Datei /etc/sysctl.d/ipv6.conf einrichten und mittels "net.ipv6.conf.default.autoconf=0" etc. die Auto-Konfiguration (autoconf) und Router-Advertisements (accept_ra) deaktivieren.

Hallo,

im App-Repository ist bereits die korrigierte Version vom Roundcube-Installer enthalten. LiveConfig aktualisiert das Repo alle 24 Stunden; ggf. starten Sie LiveConfig einfach mal neu, dann haben Sie nach ca. 30 Sekunden das Update drin.

Zitat von bash

Joar wie ich vermutet hab..

Listen [2a01:4f8:191:8483::2]:443
NameVirtualHost [2a01:4f8:191:8483::2]:443

das is indem Falle der Fehler..

Was soll daran der Fehler sein?

Wenn ich das Bootprotokoll richtig lese, kann Apache2 um 02:47:40 nicht an die IP-Adresse 2a01:4f8:191:8483::2 binden, während NTP etwa vier Sekunden später um 02:47:44 an dieser Adresse einen UDP-Port aufmachen kann.
Das deutet auf ein bekanntes Problem mit einer "ungünstigen" (=schlechten) Serverkonfiguration hin: die ersten Dienste werden gestartet bevor die IP-Adressen fertig konfiguriert sind.

In diesem Fall lautet die Frage also: wie wird die o.g. IPv6-Adresse auf dem Server konfiguriert? Statisch, per Router-Advertisement oder gar per DHCPv6?
Andere, seltenere Möglichkeit ist, dass das IPv6-Kernelmodul erst relativ spät geladen wird; in diesem Fall nehmen Sie "ipv6" in die /etc/modules auf und aktualisieren das Boot-Image (update-initramfs).

Viele Grüße

-Klaus Keppler

Zitat von Sven_67

An sich hatte ich mir vorgenommen, ned zu meggern oder mich über LC zu beschweren.
Allerdings habe ich seit dem Update auf 1.7.2.-r2825 Probleme mit dem MYSQL-Server.

Tut mir leid, aber LiveConfig hat mit MySQL rein gar nichts zu tun - zum Verwalten von Datenbanken meldet sich LiveConfig nur wie ein ganz normaler Client an MySQL an.

Zitat

Server / LC mehrfach neu gestartet - trotzdem werden einige Datenbanken als koruppt bezeichnet

Häufigste Ursache für korrupte Datenbanken ist das unkontrollierte Herunterfahren ("Reset") eines Servers - gab es vielleicht irgendwann einen unerwarteten Neustart?

Wenn "normale" ISAM-Tabellen korrupt sind, können die z.B. mit dem Tool "myisamcheck" repapiert werden, oder noch viel einfacher direkt über die MySQL-root-Konsole:

mysql -u root -p
(Passwort eingeben)
USE DATABASE web123db45;
REPAIR TABLE korrupte_tabelle;

Das lässt sich nur verhindern, indem Kunden mit SSL eine eigene (am besten exklusive) IP-Adresse zugewiesen bekommen.

Es gibt bei SSL keine "Standard-Seite" - der Server muss nunmal irgendein Server-Zertifikat präsentieren, Apache nimmt da das erstbeste.
Sie können das ggf. abfangen, indem Sie einen Default-Webspace ("000default") einrichten und mit einem eigenen SSL-Zertifikat versehen. Dann würde Apache diese Seite ggf. als Standardseite ausliefern.

Gibt es Meldungen in /var/log/liveconfig/liveconfig.log?
Häufige Ursache ist, dass LiveConfig nicht mehr an MySQL heran kommt (z.B. wenn das MySQL-root-Passwort geändert wurde)

Zitat von neduc

Habe dann das ganze Handbuch durchforstet und jeden Punkt abgearbeitet und bin dann auf den Punkt mit der Lizenznummer gestoßen. Und hier lag der Fehler. Das Update hat die alte Lizenznummer nicht mehr anerkannt.

Das hat mit dem Update nichts zu tun. U.a. beim Neustart von LiveConfig wird geprüft, ob die vorliegende Lizenz (/etc/liveconfig/liveconfig.key) noch gültig ist, falls nicht wird diese automatisch verlängert.

Zitat von neduc

Also bei mir hats einiges zerschossen. Was kann ich nun machen, damit Live Config wieder rund läuft?

Das Problem ist meistens, dass wenn LiveConfig zusammen mit vielen anderen Paketen aktualisiert wird, LiveConfig zu einem "ungünstigen" Zeitpunkt neu gestartet wird während die anderen Pakete (Postfix, Dovecot usw.) gerade aktualisiert und somit nicht durch LiveConfig erkannt werden.

Starten Sie LiveConfig einfach noch mal neu, dann sollten wieder alle Dienste da sein.

Hier ist ein kleiner Workaround, um den Massen-Austausch von Zertifikaten etwas zu vereinfachen:

Mit folgendem SQL-Befehl (in der LiveConfig-Datenbank) kann man sich alle Verträge anzeigen lassen, in welchen SSL erlaubt ist:

SELECT HC_NAME
FROM HOSTINGCONTRACTS LEFT JOIN HOSTINGPLANS ON (HC_PLANID=HP_ID)
WHERE HC_SSL > 0 OR HP_SSL > 0

Mit folgendem SQL werden all diese Verträge "markiert", so dass diese beim nächsten Neustart von LiveConfig automatisch neu konfiguriert werden (soll heißen: die vHost-Konfigurationen dieser Verträge werden neu geschrieben):

UPDATE HOSTINGCONTRACTS SET HC_REFRESHCFG=2824
WHERE HC_ID IN (
  SELECT HC_ID FROM HOSTINGCONTRACTS LEFT JOIN HOSTINGPLANS ON (HC_PLANID=HP_ID) WHERE HC_SSL > 0 OR HP_SSL > 0
)

Anschließend muss LiveConfig neu gestartet werden; nach wenigen Sekunden sind die entsprechenden vHost-Configs aktualisiert. Bei Multi-Server-Installationen reicht ein Neustart des LiveConfig-Servers (man muss also nicht alle lcclients neu starten).

Mit dem nächsten Update wird es einfacher, ein aktualisiertes Zertifikat auch zu übernehmen (sowohl für mit SSL konfigurierte Dienste als auch in Hostingverträgen).

Viele Grüße & ein schönes Wochenende

-Klaus Keppler

Prüfen Sie bitte diesen Hinweis - vielleicht wurde IPv6 aktiviert?

http://www.liveconfig.com/de/f…-problem-auf-Ubuntu-12-04

Die Log-Meldung ist leider etwas zu kurz - da müsste noch mehr stehen (nach dem "Server configuration problem;").

Da LiveConfig nichts an der Postfix-/Postgrey-Konfiguration ändert, steht dies wohl auch nicht in einem direktem Zusammenhang mit dem LiveConfig-Update. Vielleicht lief nur einfach der Postgrey-Dienst nicht?

Diese Frage kann ich Ihnen leider nicht beantworten - aber wenn Sie LiveConfig aktualisieren, hat das absolut keinen Einfluss auf Apache. Es wird nichts an der Konfiguration geändert, Apache wird nicht einmal neu gestartet.

Das hat nichts mit LiveConfig zu tun, sondern ausschließlich mit Apache/mod_fcgid.

http://lmgtfy.com/?q=mod_fcgid…ndle_request_ipc+function

Diese Daten werden mit dem (Neu-)Start von LiveConfig aktualisiert.
Was wird denn mit "liveconfig --diag" im Abschnitt "MEMORY:" angezeigt?

Bitte führen Sie ggf. noch das Update auf v1.7.2-r2825 aus (in der vorhin freigegebenen r2824 gab es teilweise noch Fehler während des Upgrades, so dass der Lua-Teil nicht startete)

Kurzer Nachtrag: v1.7.2-r2825 wurde eben bereitgestellt. Bei r2824 kam es bei manchen Servern während dem Upgrade zu einem Fehler (im LiveConfig-Log erschien dann die Meldung "LC.liveconfig.updateSysconfig() failed ...").
Wer bereits r2824 eingespielt hatte, sollte am besten das Update auf 2825 auch noch durchführen.

Ab sofort steht LiveConfig v1.7.2 (r2824) zum Download bereit.

Neben einigen neuen Funktionen und Fehlerbeseitigungen wurde vor allem die in LiveConfig integrierte OpenSSL-Bibliothek von v1.0.1f auf v1.0.1g aktualisiert.
Hintergrund ist die am 07.04.2014 bekannt gewordene Sicherheitslücke in OpenSSL (CVE-2014-0160, derzeit unter dem Namen "Heartbleed" bekannt).

Wir empfehlen daher allen Nutzern von LiveConfig, ihre Server schnellstmöglich zu aktualisieren.

Wenn Sie LiveConfig mit einem automatisch erstellten, selbst-signierten Zertifikat genutzt haben, löschen Sie dieses bitte (/etc/liveconfig/sslcert.pem) und starten LiveConfig anschließend neu - es erzeugt dann automatisch ein neues Zertifikat, welches Sie in Ihrem Browser erneut akzeptieren müssen.

Hintergrundinformation zu dem OpenSSL-Fehler:
Die entdeckte Schwachstelle erlaubt es, beim Aufbau einer TCP-Verbindung zu einer von dem Fehler betroffenen Software, aus deren Arbeitsspeicherbereichen bis zu 64kB Daten auszulesen. Dieser "Datenabruf" kann beliebig oft wiederholt werden, ist serverseitig praktisch nicht zu erkennen und ermöglicht es so, Teile des Anwendungsspeichers auszulesen. Dort sind insbesondere die für die Nutzung von SSL notwendigen privaten Schlüssel (Private Keys) unverschlüsselt abgelegt (diese werden ja für die Kommunikation benötigt).
Aus diesem Grund ist davon auszugehen, dass bislang mit OpenSSL 1.0.1 verwendete private Schlüssel nicht mehr sicher sind. Alle Zertifikate, für welche ein solcher Schlüssel verwendet wurde, sollten daher durch die ausgebende Zertifizierungsstelle (CA) zurückgerufen ("revoke") und neu ausgestellt ("re-issue") werden!
Die privaten Schlüssel können ansonsten dazu verwendet werden, abgegriffenen Datenverkehr zu decodieren (auch wenn OpenSSL nun zwischenzeitlich aktualisiert wurde).

Ob oder in welchem Umfang tatsächlich private SSL-Schlüssel aufgrund dieses Softwarefehlers ausgelesen werden konnten ist derzeit noch unklar.

Weitere Informationen zu dem Fehler finden Sie u.a. in einem Beitrag auf Heise Online:
Der GAU für Verschlüsselung im Web: Horror-Bug in OpenSSL

Eine neue Version wurde bereits compiliert, läuft eben durch die letzten Tests und geht in den nächsten Minuten online. Alle Kunden werden zudem per Rundmail informiert.