Beiträge von kk

Zitat von Nolz

Mails funktionieren jetzt wieder. Mir scheint als wurde der Installationsprozess hier nicht komplett zu Ende ausgeführt. Das Log gibt dazu leider nichts her.

Da sind wir ja auch noch eine Info schuldig: bei einem Upgrade von LC 2 auf 3 wird technisch betrachtet LiveConfig 2 entfernt (remove) und anschließend LiveConfig 3 installiert. Die Scripte, die hierbei in den einzelnen Schritten vom Paketmanager ausgeführt werden (u.a. postrm) werden zum Teil automatisch erzeugt (dpkg-helper). Und genau hier gab es einen fiesen Fehler: nach unseren Update-Tests gab es offenbar nochmal eine Änderung am postrm, welche bei der Deinstallation des Pakets liveconfig auch die Service-Unit-Files gelöscht hat (was hier eigentlich nur bei einem purge erfolgen soll). Das ist nun korrigiert, so dass Upgrades zwischen diesen Paketen nun eigentlich völlig reibungslos ablaufen sollten.

Zitat von Nolz

Ist das auch der Grund dafür, dass KSKs mit Algo 13/14 gar nicht erst gepublished werden?

Ja, für einen Algorithmus-Rollover genügt es nicht, einfach "nur" einen anderen Key zu erzeugen. Wir werden die DNSSEC-Maske in dieser Hinsicht noch etwas anpassen - künftig wird man wohl keinen konkreten Key erzeugen, sondern einen Algorithmus auswählen (um den Rest kümmern sich LC und BIND dann im Hintergrund). Zudem muss für einen Algorithmus-Rollover dann auch angezeigt werden, wann man die DS-Records der alten Keys bei der Registry entfernen kann.

Wir haben eben auch ein Upgrade von 2.8.2 auf 3.0.1 durchgeführt, die /etc/liveconfig/lclogparse.conf blieb dabei erhalten, ebenso waren alle Dienste korrekt "unmasked".

lcbackup ist in LiveConfig 3 ein vollständig neues System, der Dienst wird da erst aktiviert wenn man diesen unter Serververwaltung -> Datensicherung aktiviert und mindestens ein Storage-Ziel definiert. (Doku wird gerade entsprechend erweitert).

Hatten Sie während des Upgrades irgendwelche Fehler/Warnungen?

Mit 2.18.1 wurde der Fehler mit der DNSSEC-Migration von 4096-Bit RSA-Keys behoben (wer kein DNSSEC oder keine so großen Keys verwendet hat, den betrifft das also nicht).

Und in etwa einer Stunde werden wir 2.18.2 veröffentlichen, mit der das Upgrade auf LiveConfig 3 reibungsloser läuft (das betrifft die erwähnte Maskierung von Diensten während des Upgrades).

Manuelle Nacharbeiten sind eigentlich nicht erforderlich. Falls Dienste deaktiviert/maskiert wurden, korrigieren die Updates das automatisch.

Das Changelog wird im Laufe des Nachmittags auch entsprechend aktualisiert.

Zu Dovecot 2.4: die "breaking changes" sind uns bekannt, Debian 13 soll diesen Samstag (09.08.) erscheinen und wird mit Dovecot 2.4 ausgeliefert. Wir passen derzeit die entsprechenden Lua-Scripte an um das bereits zu berücksichtigen - hierfür wird es entsprechend noch mal ein LiveConfig-Update geben (sowohl für 2.18 als auch 3.0).

Das Problem mit den maskierten Services wird aktuell untersucht, wir haben bereits eine Vermutung.

Zitat von mjk

Wir haben eben einen neuen Server installiert, wie gewohnt mit dem Installer-Script was wir eigentlich immer für LiveConfig 2 verwenden:

Code

wget -O- https://install.liveconfig.com | sh

Auf dem Server befindet sich jetzt allerdings LiveConfig 3.

Dann muss da noch mal irgendetwas anderes passiert sein. LiveConfig 2.x und 3.x sind separate Pakete mit unterschiedlichen Namen; das o.g. Script kann nur LiveConfig 2.x installieren.
Auf welcher Distribution (&-Version) haben Sie das ausgeführt? Dann testen wir das gerne mal durch.

Zitat von Nobbi

Durch die fehlerhafte dnssec-policy wurden offenbar neue KSKs erzeugt, was dazu führte, dass unsere Domain plötzlich nicht mehr auflösbar war – insbesondere bei deutschen DNS-Providern heute schon wieder, jetzt dauert es wieder mehrere Stunden bis die DNS Änderungen bei den Kunden ankommen, es ist zum Mäusemelken. Es tritt im übrigen nur bei .de domains bei mir auf die .at /.ch waren nicht betroffen das machte die Sache noch schwerer zu verstehen also musste es irgendwas mit der DENIC zu tun haben

Das tut mir sehr leid, ich verstehe Ihren Ärger. Mir einem Provider haben wir die Nacht durch durchgearbeitet, um die Ursache zu lokalisieren und zu beheben (der Chatverlauf zwischen einem Techniker dort und einem Entwickler von uns endete heute früh um 05:02).

Mit der TLD dürfte das aber nichts zu tun gehabt haben. Ich denke wir haben das inzwischen ganz gut nachvollzogen und werden eine ausführliche Beschreibung im Laufe des Tages veröffentlichen. Das Verhalten von BIND mit der dnssec-policy ist Fluch und Segen zugleich.

Aktuell entwickeln wir noch ein Tool, um die fälschlicherweise erzeugten KSKs, die in Form von DNSKEYs noch in manchen Zonen hängen, sauber zu entfernen. Die Domains sollten soweit operativ funktionieren, aber es gibt in manchen Fällen sehr viele Log-Meldungen bei BIND die nun behoben werden müssen.

Bei der DNSSEC-Migration gab es leider einen Fehler: bei DNS-Zonen, welche einen 4096-Bit RSA-Schlüssel als KSK haben, und bei denen wiederum der ZSK-Key-Tag einen kleineren Wert als der KSK-Key-Tag hat, bei denen wurde eine falsche DNSSEC-Policy in die Zonenliste geschrieben (für 2048-Bit statt 4096-Bit-KSKs). Das führte wiederum dazu, dass BIND die KSKs nicht übernommen sondern Neue erzeugt hat. :-/

(das ist leider eine seeehr hässliche Nebenwirkung der "wir-kümmern-uns-ab-sofort-um-alles"-Philosophie bei dnssec-policy.

Der Migrationsfehler wurde eben behoben, wir entwickeln eben noch ein Routine zur Korrektur aller betroffenen Domains (bei bereits migrierten Systemen), wird dann gleich in Form der v2.18.1 bereitstehen.

Zitat von bravesurfer

[EMERG] getaddrinfo() failed: Der Name oder der Dienst ist nicht bekannt

An dieser Stelle (also "so früh" beim Start) werden die lokalen Sockets für HTTP(S) und ggf. LCCP geöffnet.

Was genau steht in der /etc/liveconfig/liveconfig.conf bei http_socket, http_ssl_socket und lccp_socket?

(falls das sensible Daten sind, einfach an support@liveconfig.com schicken oder über's Kontaktformular mitteilen)

Zitat von Marco

"liveconfig --diag" erkennt ja die IP, also kann es nicht an Rechten liegen. Habt ihr irgendwo einen Filter, der das ältere eth0 nicht mag und eno1 erwartet?

[...]

Im Dump der liveconfig.db ist der Bereich bei "INTERFACES" leer. Der Befehl "CREATE" existiert, aber kein nachfolgendes "INSERT".

Nein, der Name der Interfaces spielt keine Rolle. Wenn INTERFACES leer ist, dann ist das tatsächlich kein Frontend-Problem, sondern irgendetwas im Backend. Es handelt sich hier um eine Neu-Installation, oder? (also kein Upgrade einer bestehenden Installation)

Die Erkennung der IPs und Schnittstellen läuft exakt so wie in LiveConfig 2, und das was bei --diag ausgegeben wird sollte so eigentlich auch in der Datenbank landen.

Wenn es eine "leere" Installation ist, könnten wir uns das ggf mal direkt auf dem Server (via SSH) anschauen - wenn das für Sie ok ist, melden Sie sich bitte kurz unter support@liveconfig.com, damit wir das weitere Vorgehen besprechen. Parallel prüfen wir hier mal den Code, wie diese Tabelle normalerweise gefüttert wird.

Zitat von Nolz

Also mir hat's DNSSEC komplett zerlegt 🙃

Autsch.

Können Sie das etwas näher beschreiben? Wurden die Keys von /etc/bind/keys/ nach /var/lib/bind/keys/ verschoben?

Wurde während des Upgrades etwas in /var/log/liveconfig/liveconfig.log protokolliert?

Bei einem normalen (erfolgreichen) Update sollte das etwa so aussehen:

[<timestamp>] [<pid>|<tid>] Switching to dnssec-policy configuration on server 'xyz.example.org'
[<timestamp>] [<pid>|<tid>] dnssec-policy enabled on DNS server
[<timestamp>] [<pid>|<tid>] - updated ### zones on primary DNS

Zitat von Marco

Aktuell ist LiveConfig 3 gar nicht nutzbar, da keine IP Adressen erkannt werden. Bei "Server - Web - konfigurieren" erscheint in der Auswahl nur 127.0.0.1. Aber selbst bei der Auswahl dieser IP meldet die Übersicht "Keine IP-Adressen ausgewählt."

Bitte prüfen Sie, ob in /var/log/liveconfig/liveconfig.log irgendetwas protokolliert wird, wenn Sie die Webserver-Konfiguration öffnen. Ich kann mir aktuell nur vorstellen, dass beim Abruf der IP-Adressen ein Fehler auftritt und deshalb die Liste in der GUI leer ist.

(das könnten fehlende oder falsche Berechtigungen sein, oder eine defekte Datenbankstruktur)

Ab sofort sind die Pakete liveconfig3 bzw. lcclient3 in den Repositories verfügbar.

Das Wichtigste vorab: wir verwenden bewusst separate Paketnamen (mit der "3" am Ende), damit niemand versehentlich auf LiveConfig 3.0 aktualisiert. Zu einem späteren Zeitpunkt (wenn LiveConfig 2 abgekündigt wird) werden wir das aber wieder umstellen.

Neu-Installationen mit LiveConfig 3.0 führt man am allereinfachsten mit dem nagelneuen Installationsscript durch:

wget -O- https://install.liveconfig.com/lc3 | sh

Das bisherige Paket liveconfig-meta (zur Installation der für die jeweiligen Dienste benötigten Pakete) wird eingestellt, das erfolgt nun komfortabel über das o.g. Script. Zudem kann damit auch gesteuert werden, ob man Web-, Mail-, DB- oder DNS-Pakete installieren möchte.

Das Upgrade von LiveConfig 2 auf 3 erfordert, dass man vorher (mindestens) auf LiveConfig 2.18.0 aktualisiert hat. In dem Fall genügt dann ein einfaches apt install liveconfig3

Für den Fall, dass irgendetwas gewaltig schief geht oder eine dringend benötigte Funktion fehlt, kann man genauso einfach auch wieder downgrade (apt install liveconfig).

Wer als "Early Adaptor" früh auf LiveConfig 3 aktualisiert, den möchten wir höflich bitten, unter Einstellungen -> LiveConfig die Übertragung von Crash-Reports und Serverstatistiken zu aktivieren. In den dort verlinkten Datenschutzhinweisen ist ausführlich und ehrlich beschrieben, welche (minimalen) Daten da an uns übermittelt werden.

In den nächsten Tagen stellen wir das Handbuch auf v3 um und erstellen einen ausführlichen Update-Leitfaden (sollte bis Dienstag 05.08. soweit fertig sein).

Viele Grüße

-Klaus Keppler

Wir haben eben die Version 2.18.0 veröffentlicht (die ist Voraussetzung für ein Update auf 3.0).

Die Pakete für v3.0.0 werden aktuell zusammengestellt (dauert noch ein paar Stunden) und stehen ab dem Abend bereit.

Hallo,

wir haben soeben LiveConfig 2.18.0 freigegeben.

Alle Änderungen sind wie immer im Changelog zu finden. Auf zwei besonders wichtige Themen möchten wir hier aber noch mal ausdrücklich hinweisen:

1. Wenn LiveConfig mit einem selbst-signierten TLS-Zertifikat mit einem 1024 Bit RSA-Schlüssel genutzt wurde, dann ersetzt LiveConfig 2.18 dieses beim ersten Start durch ein neues, ebenfalls selbst-signiertes Zertifikat mit 2048 Bit. Das hat den Hintergrund, dass manche Clients keine Zugriffe mehr auf Server mit 1024-Bit-Schlüsseln zulassen.
   Also nicht wundern, wenn es nach dem Update in diesen Fällen eine Warnung bezüglich eines unbekannten Zertifikats gibt.
2. Wer LiveConfig zur DNS-Verwaltung nutzt und hierbei DNSSEC aktiviert hat: die BIND-Konfiguration wird während des Updates auf ein anderes Schema umgestellt (von "auto-dnssec" auf "dnssec-policy"). Alle Details hierzu sind ausführlich in der Wissensdatenbank beschrieben: DNSSEC-Migration
   Am besten prüfen Sie in diesem Fall nach der Migration, ob das Verzeichnis /etc/bind/keys/ leer ist bzw. nur noch veraltete/manuelle Schlüssel enthält.

Sollten Fragen oder Probleme auftauchen, geben Sie uns bitte Bescheid.

Die Version 2.18 ist übrigens Mindestvoraussetzung für ein künftiges Update auf LiveConfig 3.0. Ein Update von früheren Versionen auf 3.0 wird vom Paketmanager geprüft und ggf. abgebrochen.

Viele Grüße

-Klaus Keppler

Die Version 2.18.0 wird auch morgen mit veröffentlicht (und ja, alle Änderungen darin sind in 3.0 auch schon enthalten).

Die Versionen 2.18.0 und 3.0.0 sind "datenbank-kompatibel", d.h. zwischen diesen kann bei Bedarf jederzeit umgestellt werden.

Alle Details dazu werden in einer entsprechenden Upgrade-Anleitung zusammengefasst.

Die Versionen 2.18.x und 3.x werden noch eine Zeit lang (mindestens bis Ende 2025) parallel weiter gepflegt, um einen reibungslosen Umstieg ohne Zeitdruck zu ermöglichen.

Zitat von TCRserver

Oder vielleicht reicht es ja auch aus einen Business Server als C&C zu nutzen und dann wird die Funktion auf die Standard Server vererbt.
So wie beim Let's Encrypt Feature.

Let's Encrypt wird künftig in allen Lizenzen verfügbar sein.

LAC benötigt auf jedem Server, auf dem es genutzt wird, eine Business-Lizenz.

Aber: für Bestandskunden haben wir als Dankeschön für die Geduld und die Unterstützung ein spezielles "Weihnachtsgeschenk" - mehr dazu in Kürze.

Ja, und hier fühlt sich's auch so an wie am Tag vor Weihnachten

Dann vermute ich mal, dass das in den php.ini-Einstellungen so eingetragen ist:

Das Problem ist: wenn "Änderbar" auf "Account" steht, dann wird die Einstellung bei PHP-FPM mit php_admin_value erzeugt - und die kann dann nicht durch's Script (Roundcube) geändert werden. Stellen Sie das auf "Benutzer" um, dann kann sowohl der Benutzer in seinen php.ini-Einstellungen das ändern, als auch das Script.

Von LiveConfig kommt diese Einstellung übrigens nicht, zudem ist die schon stark beschränkend (PEAR-Erweiterungen etc. werden da nicht gefunden).

Prüfen Sie bitte mal, ob in der /etc/php/8.3/fpm/pool.d/<Vertrag>.conf (bzw. /etc/php-fpm/php83-fpm.d/<Vertrag>.conf) eine include_path-Anweisung steckt.

(LiveConfig trägt standardmäßig keine ein, könnte aber evtl. in der php.ini-Verwaltung hinzugefügt worden sein)

Roundcube 1.6.7 sollte übrigens aktualisiert werden, da gibt es kritische Bugfixes.