Beiträge von kk

Zitat von hchristo

Hallo Herr Keppler, bei dem Changelog "Zonendateien wurden manchmal beim Löschen einer Zone nicht entfernt" werden die Gelöschten Zonen nachträglich entfernt nach dem Update?

Es geht lediglich um die Dateien mit den Zonendaten (/var/lib/bind/...). Aus der BIND-Konfiguration (/etc/bind/zones.liveconfig) wurden Zonen immer korrekt gelöscht.
Ein nachträgliches selektives Löschen inaktiver Zonendateien ist nicht ganz einfach (LiveConfig kennt die gelöschten Zonen ja nicht mehr), auf den Betrieb des BIND hat das aber auch keinen Einfluss.

Zitat

Gilt das gleiche auch nachträglich für "gecachte DNS-Zonen-Datei beim Löschen einer Zone auch von Secondary-DNS löschen"

Ja, das hatte die selbe Ursache - bei Slaves liegen die gecachten Daten in /var/cache/bind/. Auch da "stören" inaktive Zonen nicht. Notfalls kann man da aber alle Daten aus /var/cache/bind/ löschen und BIND neu starten, dann müssen aber beim Start alle Zonen neu vom Primary abgerufen werden (kann etwas dauern).

Zitat von bfal

Bezüglich

Code

neue DNS-Zonen erhalten notify no; (zur Reduktion von NOTIFY-Nachrichten)

kann man das auch wieder deaktivieren? Ich nutze ein Hidden Primary Setup ohne Liveconfig auf den eigentlichen Nameservern und ohne Notify würden da die Updates nicht mehr zeitnah passieren.

Das ist nur etwas unglücklich formuliert (werden wir ändern). Das "notify no;" wird nur bei Slave-Servern eingetragen. Der Master versendet selbstverständlich weiterhin ein Notify bei Änderungen.

Zitat von Jim

[2022/02/13 16:00:01.559982] [702313|702318] Prepared statements invalidated - trying to recover...
[2022/02/13 16:00:13.572035] [702313|702318] (last message repeated 6 times)
[2022/02/13 16:00:13.572086] [702313|702318] Error while updating database: Re-preparation of MySQL statement failed (7 attempts, waited 63 seconds)

Diese Fehlermeldung bedeutet, dass LiveConfig bei der Ausführung eines SQL-Befehls den Fehlercode 1615 von MySQL/MariaDB erhalten hat. Normalerweise™ tritt dieser Fehler nur dann auf, wenn zwischenzeitlich die Verbindung zum MySQL-Server unterbrochen wurde und deshalb die Prepared Statements nicht mehr in dessen Cache sind. Allerdings kommen da zwei weitere Bugs ins Spiel (#41119, #42041), weshalb LiveConfig sicherheitshalber mehrfach versucht, die Statements neu anzulegen. Nach sieben erfolglosen Versuchen gibt LiveConfig (bzw. dessen Datenbanktreiber) dann auf.

Aus den Kommentaren zum MySQL-Bug #42041 kann man entnehmen, dass das wohl häufiger mal auftreten kann wenn der Server unter sehr hoher Last steht, oder die User-Tabellen gesperrt sind. Da eine "manuelle" Änderung über die MySQL-Konsole aber offenbar klappt, kann man das vermutlich ausschließen.

Laut einer Antwort bei StackOverflow könnte es helfen, den table_definition_cache zu vergrößern. Versuchen Sie das bitte einmal.

Viele Grüße

-Klaus Keppler

[Nachtrag]
Im selben StackOverflow-Beitrag findet sich weiter unten ein Hinweis, dass Prepared Statements mit Views Probleme machen könnten. Die neueren MySQL/MariaDB-Versionen setzen bei der Benutzerverwaltung nun auch auf View, da könnte es also einen Zusammenhang geben.
Wir werden mal prüfen, ob wir Passwortänderungen ohne Prepared Statement an die Datenbank übergeben können (wenngleich das ein Sicherheitsrisiko ist...).

Zitat von taenzerme

Muss etwas beim Update mit eigener MySQL-Datenbank berücksichtigt werden oder passieren die Migrationen automatisch?

Das erfolgt selbstverständlich alles automatisch. Ein Kunde hat aber schon festgestellt, dass das Update einige Minuten dauern kann und somit der systemd ein Timeout auslöst. Wird mit dem kommenden Update (v2.14.0-dev20220215.x) behoben sein.

Zitat

Gibt es eine Übersicht der Änderungen? Wir greifen aus externen Tools mangels vernünftiger API direkt auf die Datenbank lesend zu. Müssen wir da irgendetwas wissen?

Bei Read-Only-Zugriffen ändert sich nichts. Es wurden teils einige ohnehin ungenutzte Spalten entfernt, somit sollte das keinen Einfluss haben. Bitte nach wie vor nicht schreibend direkt auf die Datenbank zugreifen. Ein falscher DELETE kann nun dazu führen, dass alle Daten gelöscht werden.

Hallo,

ab sofort steht die erste Preview für LiveConfig 2.14.0 bereit.

Mit diesem Update gibt es umfangreiche Änderungen am LiveConfig-Datenbankschema. Unsere internen Tests zeigten bislang keine Probleme, wir empfehlen aber insbesondere bei MySQL-Datenbanken vor dem Upgrade ein Backup (mysqldump) zu erstellen.

Die Änderungen stellen u.a. auch die Grundlage für LiveConfig 3 dar - das Datenbankschema von v2.14.x und 3.x ist ab sofort bis auf weiteres identisch. Damit sind in Kürze dann auch Testinstallation mit LiveConfig 3 und bestehenden "eigenen" Datenbanken möglich.

Viele Grüße

-Klaus Keppler

Die Informationsseite zu LiveConfig 3 ist online.
Diese Seite wird regelmäßig aktualisiert, sobald es Updates gibt.

https://www.liveconfig.com/v3

Unsere nächsten Schritte sind:
- Online-Demo bereitstellen
- Downloads der beta1 bereitstellen (zum Test auf eigenen Servern)

Habt bitte etwas Nachsicht beim Video - wir sind keine Youtuber, sondern Softwareentwickler.

Viele Grüße

-Klaus Keppler

Der Expat-Hotfix hat leider für etwas Verzögerung gesorgt.
Der Tag ist aber noch jung.

Hallo,

ab sofort steht LiveConfig 2.13.1 zum Download bereit.

Es handelt sich hierbei um ein Sicherheitsupdate - die XML-Parser-Bibliothek Expat wurde auf Version 2.4.4 aktualisiert.

Die Sicherheitslücke CVE-2022-23852 wird mit einem CVSS-Score von 9.8 als kritisch eingestuft (kann ohne Authentifizierung remote ausgenutzt werden). Eine Remote Code Execution ist prinzipiell möglich, allerdings ziemlich anspruchsvoll (LiveConfig hat Sicherheitsmechanismen wie ALSR, Stack Protection etc. aktiviert). Der Prozess, in dem LiveConfig die Expat-Bibliothek nutzt, läuft als Benutzer "liveconfig" (also nicht als root).

Wir empfehlen daher allen Anwendern das Update bei nächster Gelegenheit einzuspielen.

Viele Grüße

-Klaus Keppler

In der XML-Parser-Bibliothek "Expat" ist eine äußerst kritische Lücke bekannt geworden (CVE-2022-23852, CVSS-Score 9.8 von 10).

Derzeit steht noch kein Update von Expat zur Verfügung (daran wird mit Hochdruck gearbeitet). Auch LiveConfig setzt Expat ein, nach unserem aktuellen Kenntnisstand aber nicht in Prozessen die mit root-Rechten laufen.
Sobald Expat 2.4.4 verfügbar ist, werden wir sehr kurzfristig ein Sicherheitsupdate von LiveConfig (v2.13.1) bereitstellen.

Ein umfangreiches Update der Preview-Version (2.14) wird unabhängig davon erfolgen.

Viele Grüße

-Klaus Keppler

Zitat von hchristo

Hallo Herr Keppler, steht der 31.01.2022 für die erste Beta von Liveconfig 3 immer noch?!

Ja, ist nach wie vor für nächsten Montag geplant.
Aber: diese erste Beta-Version wird (ganz grob) nur ca. 10% des geplanten Funktionsumfang "fertig" haben - diese Version dient somit primär dazu, die neue Oberfläche, Architektur und vor allem die neue API kennenzulernen.

Details sowie (wenn alles klappt) ein kleines Video dazu dann ab Montag...

Wir können das leider nicht reproduzieren (Debian 11, MariaDB 10.5.12-MariaDB-0+deb11u1)

LiveConfig prüft bei der Passwortänderung lediglich, ob die MySQL/MariaDB-Version <= 5.7.6 ist.
Wenn nicht, dann wird zur Änderung der Befehl "SET PASSWORD FOR 'user'@'localhost' = PASSWORD('StReNgGeHeIm');" ausgeführt.

Die Versionsnummer wird wiederum aus dem Befehl "SHOW VARIABLES" ausgelesen (Variable "version"). Standardmäßig geht LiveConfig aber davon aus, dass MySQL/MariaDB > 5.7.6 läuft.

Die nächsten Schritte wären daher:
- führen Sie mal manuell (als root-Benutzer in MariaDB) den o.g. "SET PASSWORD FOR..."-Befehl aus
- haben Sie im LiveConfig externen Datenbankzugriff konfiguriert? (Serververwaltung -> Datenbanken) Wenn ja, dann prüfen Sie bitte mal ob auch folgender SQL ausgeführt werden kann: SELECT Password FROM user WHERE User='user' AND Host='localhost'

Starten Sie LiveConfig bitte mal neu. Melden Sie sich dann als "admin" an und gehen auf "Serververwaltung" -> "Datenbanken". Wird dort "Status: verbunden" angezeigt?

Ist evtl. beim Upgrade irgendwas schief gelaufen? Führen Sie ggf. mal das Programm "mysql_upgrade" aus (als root)

Welche Datenbank *genau* verwenden Sie? Die bei Debian 11 mitgelieferte MariaDB 10.5.x?
Werden bei einer (erfolglosen) Passwortänderung über LiveConfig irgendwelche Meldungen in /var/log/liveconfig/liveconfig.log protokolliert?

Zitat von Mathias_Thielen

Nur so ein Gedanke: Die angenehmste Lösung wäre natürlich, dass die Hashes bei erfolgreicher Passworteingabe automatisch aktualisisiert werden.

Sehe ich persönlich auch so, wird aber leider nicht klappen.
LiveConfig bekommt nichts davon mit, wenn sich ein virtueller FTP-Benutzer anmeldet - das läuft komplett im pam_userdb ab. Das greift wiederum nur lesend auf die passwd-Datenbank zu.
LiveConfig kennt die Passwörter auch nicht im Klartext (um die pauschal neu zu setzen): nach dem Anlegen/Aktualisieren des Hashes wird das Klartext-Passwort im LC gelöscht.

Also, der Hintergrund dürfte nun klar sein.
Alte pam_userdb-Versionen haben ausschließlich nur DES-Passwörter unterstützt. Besonders schlimm sind da immer alte CentOS-Versionen betroffen, da es dort keinen bequemen Upgrade-Pfad wie bei Debian/Ubuntu gibt.
Da CentOS 6 ja nun langsam aber sicher ausstirbt, und wir Ubuntu 14 LTS auch nicht mehr offiziell unterstützen (das würde noch bis April 2024 dauern!), sollte eine Umstellung keine Auswirkungen haben.

Die interne Ursache (warum das auf manchen Systemen klappt und auf anderen nicht) liegt eventuell in der zugrundeliegenden Crypto-Bibliothek. Modernene OpenSSL-Builds enthalten gar kein DES mehr, wie das mit GNU-Crypto aussieht weiß ich ehrlich gesagt gar nicht.

Viele Grüße

-Klaus Keppler

Ich habe das eben mal geprüft: LiveConfig ruft bei "LC.crypt.crypt()" eine crypt-Variante von OpenSSL auf. Bislang war diese offenbar immer identisch mit der (nicht-portablen) POSIX crypt()-Funktion, welche pam_userdb für den Passwortvergleich nutzt.
(wir testen das ja automatisiert durch - auf jeder unterstützten Distibution wird u.a. auch ein virtueller FTP-User angelegt und ein Login mit diesem durchgeführt)

Wir planen nun, LC.crypt.crypt() auf die POSIX-Variante umzustellen, müssen aber prüfen dass das bei alten Systemen keine Probleme macht. Parallel prüfen wir, ob sich die alten Hashes übergangsweise weiter nutzen lassen - alternativ werden dokumentieren wir man auslesen kann, welche Accounts betroffen sind.

Update folgt in Kürze...

Ein anderer Kunde hatte uns auch schonmal von diesem Problem berichtet - allerdings können wir das leider nicht reproduzieren.

Je nach Systemkonfiguration kann es sein, dass nach dem Upgrade keine "alten" crypt()-Hashes mehr für die Passwortprüfung beim proftpd funktionieren (um genau zu sein: im Modul pam_userdb.so).

Ändern Sie testweise mal in der Datei /usr/lib/liveconfig/lua/vsftpd.lua die Zeile 675 ab, und ersetzen darin "crypt(...)" durch "crypt_md5(...)":

pwd = LC.crypt.crypt_md5(pwd)

Anschließend bitte LiveConfig neu starten, dann das Passwort eines virtuellen FTP-Accounts noch einmal ändern und damit dann die Anmeldung versuchen.

Wir prüfen aktuell ob es möglich ist, dass pam_userdb.so auch die "alten" Hashes weiterhin akzeptiert. Laut man-Page zu pam_userdb sollte mit der PAM-Option "crypt=crypt" ja eben ein "crypt()"-Passwort akzeptiert werden - tut es aber nicht.

Zitat von isphttp.de

Ein Login ist jedenfalls per SSH über web6 nicht möglich, er sagt immer "Falsches Passwort". PW für Hauptbenutzer geändert, keine Änderung.

• im Vertrag (bzw. im Angebot) muss "SSH-Zugriff" erlaubt sein (mit der Einstellung "ja (Shell)")
• für SSH gilt das Passwort des FTP-Hauptbenutzers (nicht das LiveConfig-Passwort)

Viele Grüße

-Klaus Keppler

Die Arbeiten kommen gut voran:

• Im Backend ist der technische Unterbau der REST-API komplett fertig (Authentisierung, Prüfung der Berechtigungen, Prüfung der Eingabedaten, Fehlerbehandlung).
  Die Fehlermeldungen werden sogar lokalisiert ausgegeben.
  
  
  Code

  $ curl -k -H "Accept: application/json" \
  -H "X-API-Key: xxxxx" \
  -H "Content-Type: application/json" \
  -X POST -d '{"id":"localhost"}' \
  "https://127.0.0.1:8443/api/v1/servers"
  {"detail":{"id":[B]"Name bereits in Verwendung"[/B]},"status":400,"success":false,"title":"Bad Request"}
  
  
  $ curl -k -H "Accept: application/json" \
  -H "X-API-Key: xxxxx" \
  -H "Content-Type: application/json" \
  -H "[B]Accept-Language: en[/B]" \
  -X POST -d '{"id":"localhost"}' \
  "https://127.0.0.1:8443/api/v1/servers"
  {"detail":{"id":[B]"Name already in use"[/B]},"status":400,"success":false,"title":"Bad Request"}

  Alles anzeigen

  
  

• Auch im Frontend geht's voran. Die neue Oberfläche basiert übrigens auf dem "Material Design":
  forum.liveconfig.com/cms/attachment/21/
  Komponenten, Kommunikation und Fehlerbehandlung sind auch zum größten Teil abgeschlossen.
• Das Datenbankschema wurde verbessert - u.a. sind nun fast alle Tabellen über "referenzielle Integrität" miteinander verknüpft. Die Änderungen werden auch in LiveConfig 2.14 "zurück" fließen, um die Schemata wie versprochen konsistent zu halten.
• Eine der größten technischen Änderungen - die Kommunikation zwischen Client und Server - ist zu etwa 80% abgeschlossen. Der Download von großen Dateien (z.B. Backups) von einem "separaten" Client klappt stabil und mit maximaler Geschwindigkeit.
• LiveConfig und alle verwendeten Bibliotheken nutzen ab sofort OpenSSL 3.0 (und zwar die "neue", sicherere API)
• .deb- und .rpm-Pakete werden erfolgreich gebaut

Die folgenden APIs sind bereits fertig:

• Serververwaltung: Abruf der Serverliste, Anlegen neuer Server, Löschen von Servern
  (neu: "force"-Option: Server auch löschen, wenn noch Objekte darauf liegen)
• Kunden: Abruf der Kundenliste
• Domains: Abruf aller Domain/Subdomains inkl. Einstellungen

Wir planen weiterhin am 31.01.2022 die erste Beta-Version bereitzustellen, die dann parallel zu einer bestehenden LiveConfig 2.x-Installation getestet werden kann.

Da jede einzelne Eingabemaske und jede einzelne API-Funktion angepasst werden müssen, und wir im Zuge des Umbaus auch unzählige Detailverbesserungen vornehmen, wird die "Beta-1" im Funktionsumfang natürlich noch recht beschränkt sein. Aber ich kann jetzt schon sagen: die Arbeit lohnt sich.

Viele Grüße

-Klaus Keppler

oder die gewünschte PHP-Version vor den Standard-Suchpfad stellen:

PATH="/opt/php-7.4/bin:$PATH" php /var/www/admin/priv/roundcubemail-1.5.1/bin/installto.sh /var/www/admin/apps/webmail/