Per "find -type f | xargs grep sock | grep tmp"
Besser:
> grep -HR sock /etc/liveconfig /usr/lib/liveconfig
ZitatWeiß jemand, wie man LC von diesem Verhalten, den Socket an der falschen Stelle in /tmp statt an der passenden Stelle unter /var/run/mysqld/ zu suchen, abbringt?
Umstellen auf "db_host=127.0.0.1", dann verwendet LiveConfig nicht den Unix-Socket, sondern die TCP-Verbindung.
LiveConfig-Logmeldungen aus der Zeit vor/nach Bootvorgang (/var/log/liveconfig/liveconfig.log)?
Spaß beiseite: sobald der Eintrag in die passwd erfolgreich geschrieben wurde, löscht LC das (nur temporär gespeicherte) Passwort aus seiner Datenbank (nach dem Prinzip: sobald wir das Passwort nicht mehr brauchen, wollen wir es da auch nirgendwo mehr gespeichert haben).
ah!
ZitatSo lange das Krypto-Konzept dafür aber nicht abgeschlossen ist, speichern wir keine ungehashten Passwörter.
Wer speichert denn schon Plaintext-Passwörter ... (außer Plesk)
Zitatrsync betrifft nur den Kopiervorgang - so oder so muss trotzdem aus der alten und der neuen /etc/dovecot/passwd das Quell- bzw. das Zielverzeichnis herausgesucht werden.
Ja, ist mir bewusst. War auch nur eine allgemeine Ergänzung 
Zum Schluß noch den Passwort-Hash aus der "alten" dovecot/passwd in die neue dovecot/passwd kopieren - fertig.
LC speichert das Postfach-Passwort nicht in der (My)SQL-Datenbank, sondern nur in der passwd-Datei? Wie kommt das Passwort denn aus der GUI raus und da rein? ..
Rsync dürfte übrigens die deutlich einfachste Methode sein, die Mails zu übertragen. Da braucht es kein IMAP-Passwort.
Tipp: nimm mod_wsgi. Options +ExecCGI und über eine app.wsgi aufrufen. Klappt angenehmer als mod_python, erlaubte mehrere Anwendungen und vor allem läuft die Anwendung dann nicht mit www-data.
aktuell ist das eine ordentliche Klickerei und skaliert überhaupt nicht...
Dito. *10z*
RewriteEngine On
RewriteRule ^(.*)\.html$ /$1.php
oder einfach umschreiben und doch .php verwenden... (Code to be verified!)
3. Apache 2.2 bleibt (vorerst) anfällig (Debian 6 LTS, Ubuntu 12.04 LTS, CentOS 5)
In der Liste fehlt Debian Wheezy
ZitatWir haben daher beschlossen, künftig durch LiveConfig in einem Hintergrundprozess etwa alle zwei Wochen neue DH-Parameter für alle Services zu generieren;
Cool!
Zitatwenn diese "fertig" (berechnet) sind, ersetzt LiveConfig die dann selbständig im jeweiligen Dienst und startet den neu (Dovecot 2 macht das übrigens auch so).
Gibt es dann für jeden Dienst eigene DH-Parameter oder werden die für jeden Host berechnet und dann bei allen Services deployed?
Letzteres fände ich interessanter.
ZitatUnser Ziel ist es also, dass LiveConfig sich völlig selbständig darum kümmert, dass für alle Dienste regelmäßig neuer Krypto-Input generiert (und aktiviert) wird - ohne dass der Admin da nun alle paar Wochen irgendwelche Dateien austauschen muss.
Kriegen wir in dem Zusammenhang dann auch automatische Updates der von LC verwalteten Config-Dateien hin? In der Vergangenheit gab es ja einige Verwirrungen, beispielsweise bei aktualisierten Ciphern, geänderten SSL-Zertifikaten oder Änderungen, die in einer neuen LC-Version mitgebracht wurden.
ZitatFazit
Die Sache ist ernst zu nehmen, aber bei weitem sind die Server deshalb nun nicht "offen". Die Export-Ciphers sind durch LiveConfig abgeschalten, einziger Angriff ist also mit erheblichem Aufwand über stark verbreitete DH-Parameter denkbar.
Danke für die Prüfung und die Einschätzung!
Mit 1024 stehen wir gar nicht so schlecht da, ich glaube herausgelesen zu haben, dass hier der Entschlüsselungsaufwand aktuell sehr hoch ist.
Das Problem ist die "geteilte" Prim-Zahl, die bei 1024 Bit verwendet wird. Es wäre also nötig, diese Prim-Zahl als Teil der DH-Parameter selbst zu generieren - was aber mit Apache2.2 nicht möglich ist.
Es würde zwar gehen, solchen "openssl dhparam"-Output an die Zertifikate anzuhängen - aber ob das wirklich verwendet wird, wage ich zu bezweifeln. Bleibt also nur, die genannte Funktion aus dem Apache 2.4 zu verwenden.
ZitatVielleicht sollten wir ein paar Tage abwarten und schauen, ob es da auch bei Debian evt einen Backport geben wird und irgendwann steht das Update auf Debian8 ja eh an.
Sehe ich auch so.
in der Anleitung werden/wurden ändernungen an der vhost der jeweiligen Domain vorgenommen, und die werden von LiveConfig ja überschrieben.
Die Cipher-Suites? Ja, allerdings ist LiveConfig da eh schon soweit auf der sicheren Seite, dass keine Änderung mehr notwendig ist.
Gravierender ist die Tatsache, dass der Apache die unsichere Primzahl für DH verwendet. Und dafür reicht die Zeile mit "SSLOpenSSLConfCmd" in die conf.d/*.conf. Der Parameter ist aber erst ab 2.4 verfügbar, für 2.2 gibt es keine (sinnvolle) Möglichkeit, die DH-Parameter >1024 Bit zu erzwingen.
Oder habe ich da erneut was übersehen?
nur leider werden die gesetzten Einstellungen von LiveConfig wieder überschrieben.
Wo werden die überschrieben?
Es gibt für Postfix die custom.lua, für Dovecot /etc/dovecot/dovecot.local.conf, für ProFTPd /etc/proftpd/conf.d/*.conf und für MySQL die /etc/mysql/conf.d/*.cnf.
Habe ich was übersehen?
Allgemein:
https://weakdh.org/sysadmin.html
Speziell:
- Apache 2.4 verwenden, bei Debian: Update auf Debian Jessie
- Rest siehe obige Page (ProFTPd, Dovecot)
- Postfix ist bereits safe (passende Cipher, DH-Parameter mit 2048Bit)
- Dovecot erzeugt bereits jetzt die DH-Parameter 1x / Woche neu. Jessie bringt Dovecot 2.2 mit, da kann dann der DH-Parameter auch festgelegt werden (vgl. Wiki)
- ProFTPd hat TLSDHParamFile. Einbinden via conf.d und manuell erzeugen.
Ich schätze mal, dass Herr Keppler obige Schritte mit dem nächsten LC-Update berücksichtigt und sich LC dann automatisch darum kümmert.
- Vorsicht: es gibt noch Clients, die u.U. keine DH-Parameter mit mehr als 1024 Bit vertragen.
(writeable by group).
Umstellen auf FastCGI und weg mit suPHP, welches es mit Jessie sowieso nicht mehr gibt.
Da gibt es größere Probleme.
Mein neuer Liebling:
Das Grundproblem bei so Alias-Mailinglisten-Gefrickel: sobald irgend jemand an die Mailadresse schreibt (Spam...), geht der Kram an alle Recipients raus.
Wenn ich fragen darf: Welche Optimierung ist gemeint? Einfach nur von SQLite auf MySQL oder wurde mit 1.8.3 noch mehr geändert?
> postalias /etc/aliases
Was zum Henker ist "sm-mta"? Sendmail? Der hat doch auf dem Server gar nichts verloren und wird von LiveConfig nicht mal unterstützt.
ab version 1.9 können eigene app-repositories definiert werden (https://www.liveconfig.com/dev/issues/185). Beispielcode wird gerade vorbereitet und steht in kürze bei github bereit (https://github.com/liveconfig).
yes! 
Sollte somit auch in der 1.8.3 auftauchen.
Entweder hab ich mich zu doof angestellt - oder der Permission-Bug ist immer noch vorhanden.
Neu angelegter Webspace-Vertrag war für den zweiten LC-Benutzer nicht sichtbar, trotz aktiver "Angebotsverwaltung".
Da läuft vermutlich ClamAV-Freshclam nicht.
Oder einfach den ClamAV-Milter neu starten. Wenn der nicht aktiv ist, gibt es besagte 45x-Fehler.
