Beiträge von antondollmaier

Welche Probleme soll es da geben?

"wp" wird mit den Rechten des SSH-Benutzers ausgeführt, hat also das gleiche Sicherheitspotential wie jedes andere non-root-Binary (wget, curl, ...).

Wo ist das Problem?

wget $URL -O/usr/local/bin/wp; chmod 0755 /usr/local/bin/wp;

Doch, der Fehler besteht immer noch, wenn als Admin ein Kunde mit einem "Wiederverkäufer-Vertrag" aufgerufen wird.

Tipp: "[code](...)[/code ]" erhöht die Lesbarkeit

Zitat

Was noch auffällt ist das hier beim aptitude update:
------------------------------------------------------------------
Treffer http://repo.liveconfig.com jessie InRelease
Treffer http://repo.liveconfig.com jessie/php amd64 Packages
Ign http://repo.liveconfig.com jessie/php Translation-en
Die Einträge sind in der Reihenfolge richtig, alle anderen habe ich jetzt nicht mit kopiert.

Da fehlt offenbar das LiveConfig-Repository, da das nur das mit den PHP-Paketen ist.

Ist das Repository von LiveConfig überhaupt noch eingebunden?

Zitat von hchristo

Hat sich erledigt... hab nen altes Backup mit debian 8 eingespielt... mein system läuft wieder unter 8 statt 9.

Was stand denn zu den Mails in den Logs?

Zitat

er hat PHP7 automatisch mit installiert...

das ist normal. Debian Stretch hat kein PHP5 mehr dabei.

Zitat von ñull

Manuell geht das schon aber ich würde gerne wissen wie man es automatisiert.

- LiveConfig mit Self-Signed betreiben
- gewünschte Domain regulär anlegen
- Zertifikat dafür holen
- ReverseProxy für HTTP
- sonstige Dienste (FTP, SMTP, IMAP) mit Zertifikat ausstatten

... oder mit dehydrated nativ.

Mein Fehler. Durch "[quote" statt "[code" habe ich den Zeilenumbruch nicht gesehen.

Was steht denn da im Mailserver-Log? Das ist letztendlich das relevante. Mail hinschicken, Log verfolgen, Zeilen posten, falls Fragen offen sind.

der ClamAV-Daemon läuft nicht.

Ergänzung:

Die SSL-Server-Chiffren müssen auf "kompatibel" stehen. Mit "PCI-konform" klappt's nicht!

kk: bitte in die Doku, soweit die existiert

Zitat von RB-Media-Group

doch ich meine Sie bei den Angeboten/Verträge gesehen zu haben. Beim SMTP Server muss man es allerdings vorher aktivieren.

Da ist nichts zu finden, nur die Checkbox in der Serververwaltung.

kk: ist das überhaupt schon (fertig) implementiert?

Zitat von RB-Media-Group

nur die Protokolle aktiviert, und in confs übernommen.

a2enmod http2
# cat /etc/apache2/conf-enabled/http2.conf
Protocols h2 http/1.1


H2Push          on
H2PushPriority  *                       after
H2PushPriority  text/css                before
H2PushPriority  image/jpeg              after   32
H2PushPriority  image/png               after   32
H2PushPriority  application/javascript  interleaved

Ergibt dann weiterhin HTTP/1.1, da eben blacklisted Cipher mit drinnen sind.

Was sagt der Qualys SSL-Test bei euch genau?

Bei uns:

Android 7.0 	Server negotiated HTTP/2 with blacklisted suite
RSA 4096 (SHA256)   |  TLS 1.2 > h2    |  TLS_RSA_WITH_AES_256_GCM_SHA384 
Chrome 51 / Win 7  R		Server negotiated HTTP/2 with blacklisted suite
RSA 4096 (SHA256)   |  TLS 1.2 > h2    |  TLS_RSA_WITH_AES_256_GCM_SHA384
Firefox 47 / Win 7  R		Server negotiated HTTP/2 with blacklisted suite
RSA 4096 (SHA256)   |  TLS 1.2 > h2    |  TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA  |  ECDH secp256r1
Firefox 49 / XP SP3 	RSA 4096 (SHA256)   	TLS 1.2 > h2   	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384   ECDH secp256r1  FS
Firefox 49 / Win 7  R		RSA 4096 (SHA256)   	TLS 1.2 > h2   	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384   ECDH secp256r1  FS

Das sieht für mich nicht nach "geht" aus.

Was habt ihr da genau geändert?

- über Protocols aktiviert, klar
- dann müssen aber die Cipher angepasst werden: PCI-kompatible Cipher sind teilweise für HTTP/2 blacklisted.
- mit den empfohlenen Ciphern werden aber einige ältere Clients auch von HTTPS abgehalten.

Oder hab ich da was falsch getestet?

"php-cgi" nicht installiert, sondern noch php5-cgi?

WUHU! Danke!

Zitat von DasBill

gibt es hierzu etwas neues? - der Debian 9 Release naht bereits
Im Repo finde ich nach wie vor nur Jessie und Squeeze.

LiveConfig wird über Codename "main" installiert. Funktioniert mit Stretch wunderbar.

(ja, die PHP-Pakete fehlen. IMHO ist das allerdings seitens Keppler IT ein "zusätzlicher Service", kein Teil des Produktes LiveConfig.)

Oder einen Daemon-Prozess gesondert anlegen und mit mod_rewrite die Anfragen auf die wsgi.py umleiten.

Zitat von kroerig

Ja, bei denen klappt es auch, aber halt nicht bei "spezial"-Hostings, die nur über HTTPS genutzt werden sollen.

HTTP-Redirect rein und fertig.

Zitat

Ist TLS-SNI-02 schon verfügbar, oder kommt das noch? Genauso die DNS-Validierung, die wäre mir eigentlich am liebsten.

Ist in LiveConfig aktuell nicht drinnen.

Zitat von kroerig

Ich habe alle Webhostings so eingerichtet, dass HTTP auf HTTPS umgeleitet wird.

Da klappt die HTTP-Validierung problemlos. Haben wir nirgends anders.

Achtung: HTTP-Zugriff muss aktiv sein, und wenn es nur ein 301-Redirect ist.