Beiträge von antondollmaier

RewriteEngine On
RewriteRule ^(.*)\.html$ /$1.php

oder einfach umschreiben und doch .php verwenden... (Code to be verified!)

Zitat von kk

3. Apache 2.2 bleibt (vorerst) anfällig (Debian 6 LTS, Ubuntu 12.04 LTS, CentOS 5)

In der Liste fehlt Debian Wheezy

Zitat

Wir haben daher beschlossen, künftig durch LiveConfig in einem Hintergrundprozess etwa alle zwei Wochen neue DH-Parameter für alle Services zu generieren;

Cool!

Zitat

wenn diese "fertig" (berechnet) sind, ersetzt LiveConfig die dann selbständig im jeweiligen Dienst und startet den neu (Dovecot 2 macht das übrigens auch so).

Gibt es dann für jeden Dienst eigene DH-Parameter oder werden die für jeden Host berechnet und dann bei allen Services deployed?

Letzteres fände ich interessanter.

Zitat

Unser Ziel ist es also, dass LiveConfig sich völlig selbständig darum kümmert, dass für alle Dienste regelmäßig neuer Krypto-Input generiert (und aktiviert) wird - ohne dass der Admin da nun alle paar Wochen irgendwelche Dateien austauschen muss.

Kriegen wir in dem Zusammenhang dann auch automatische Updates der von LC verwalteten Config-Dateien hin? In der Vergangenheit gab es ja einige Verwirrungen, beispielsweise bei aktualisierten Ciphern, geänderten SSL-Zertifikaten oder Änderungen, die in einer neuen LC-Version mitgebracht wurden.

Zitat

Fazit
Die Sache ist ernst zu nehmen, aber bei weitem sind die Server deshalb nun nicht "offen". Die Export-Ciphers sind durch LiveConfig abgeschalten, einziger Angriff ist also mit erheblichem Aufwand über stark verbreitete DH-Parameter denkbar.

Danke für die Prüfung und die Einschätzung!

Zitat von aho546745

Mit 1024 stehen wir gar nicht so schlecht da, ich glaube herausgelesen zu haben, dass hier der Entschlüsselungsaufwand aktuell sehr hoch ist.

Das Problem ist die "geteilte" Prim-Zahl, die bei 1024 Bit verwendet wird. Es wäre also nötig, diese Prim-Zahl als Teil der DH-Parameter selbst zu generieren - was aber mit Apache2.2 nicht möglich ist.

Es würde zwar gehen, solchen "openssl dhparam"-Output an die Zertifikate anzuhängen - aber ob das wirklich verwendet wird, wage ich zu bezweifeln. Bleibt also nur, die genannte Funktion aus dem Apache 2.4 zu verwenden.

Zitat

Vielleicht sollten wir ein paar Tage abwarten und schauen, ob es da auch bei Debian evt einen Backport geben wird und irgendwann steht das Update auf Debian8 ja eh an.

Sehe ich auch so.

Zitat von RB-Media-Group

in der Anleitung werden/wurden ändernungen an der vhost der jeweiligen Domain vorgenommen, und die werden von LiveConfig ja überschrieben.

Die Cipher-Suites? Ja, allerdings ist LiveConfig da eh schon soweit auf der sicheren Seite, dass keine Änderung mehr notwendig ist.

Gravierender ist die Tatsache, dass der Apache die unsichere Primzahl für DH verwendet. Und dafür reicht die Zeile mit "SSLOpenSSLConfCmd" in die conf.d/*.conf. Der Parameter ist aber erst ab 2.4 verfügbar, für 2.2 gibt es keine (sinnvolle) Möglichkeit, die DH-Parameter >1024 Bit zu erzwingen.

Oder habe ich da erneut was übersehen?

Zitat von RB-Media-Group

nur leider werden die gesetzten Einstellungen von LiveConfig wieder überschrieben.

Wo werden die überschrieben?

Es gibt für Postfix die custom.lua, für Dovecot /etc/dovecot/dovecot.local.conf, für ProFTPd /etc/proftpd/conf.d/*.conf und für MySQL die /etc/mysql/conf.d/*.cnf.

Habe ich was übersehen?

Allgemein:

https://weakdh.org/sysadmin.html

Speziell:

- Apache 2.4 verwenden, bei Debian: Update auf Debian Jessie
- Rest siehe obige Page (ProFTPd, Dovecot)
- Postfix ist bereits safe (passende Cipher, DH-Parameter mit 2048Bit)
- Dovecot erzeugt bereits jetzt die DH-Parameter 1x / Woche neu. Jessie bringt Dovecot 2.2 mit, da kann dann der DH-Parameter auch festgelegt werden (vgl. Wiki)
- ProFTPd hat TLSDHParamFile. Einbinden via conf.d und manuell erzeugen.

Ich schätze mal, dass Herr Keppler obige Schritte mit dem nächsten LC-Update berücksichtigt und sich LC dann automatisch darum kümmert.
- Vorsicht: es gibt noch Clients, die u.U. keine DH-Parameter mit mehr als 1024 Bit vertragen.

Zitat von WebService4U

(writeable by group).

Umstellen auf FastCGI und weg mit suPHP, welches es mit Jessie sowieso nicht mehr gibt.

Da gibt es größere Probleme.

Mein neuer Liebling:

https://sendy.co/

Das Grundproblem bei so Alias-Mailinglisten-Gefrickel: sobald irgend jemand an die Mailadresse schreibt (Spam...), geht der Kram an alle Recipients raus.

Wenn ich fragen darf: Welche Optimierung ist gemeint? Einfach nur von SQLite auf MySQL oder wurde mit 1.8.3 noch mehr geändert?

> postalias /etc/aliases

Was zum Henker ist "sm-mta"? Sendmail? Der hat doch auf dem Server gar nichts verloren und wird von LiveConfig nicht mal unterstützt.

Zitat von kk

ab version 1.9 können eigene app-repositories definiert werden (https://www.liveconfig.com/dev/issues/185). Beispielcode wird gerade vorbereitet und steht in kürze bei github bereit (https://github.com/liveconfig).

yes!

Zitat von kk

Sollte somit auch in der 1.8.3 auftauchen.

Entweder hab ich mich zu doof angestellt - oder der Permission-Bug ist immer noch vorhanden.

Neu angelegter Webspace-Vertrag war für den zweiten LC-Benutzer nicht sichtbar, trotz aktiver "Angebotsverwaltung".

Da läuft vermutlich ClamAV-Freshclam nicht.

Oder einfach den ClamAV-Milter neu starten. Wenn der nicht aktiv ist, gibt es besagte 45x-Fehler.

Da steht definitiv was.

Welche Distribution? Debian? SuSE? CentOS? Ubuntu?

> grep "451 " $LOGFILE

$LOGFILE z.B. /var/log/mail.log

Zitat von Chrizzo

Zudem habe ich das Protokoll täglich im blick!

Bei wie vielen Servern, die du betreust, hast du das Protokoll tatsächlich täglich im Blick? Wird nämlich ab einer gewissen Anzahl an Systemen schwierig bis unmöglich

(Dafür gibt es centralized Logging mit Alerting - Push von Events statt Pull ...)

Grundsätzlich kann ich mir einen "Expire" durchaus vorstellen - aber dann so, dass das ganze einen Audit übersteht. Dazu gehört zu 99,99% auch, dass das Protokoll Read-Only ist, gerade für Admins.

/var/www/$vertrag/.httpd.conf mit gewünschtem Inhalt anlegen, eine der Seiten in LC neu speichern.

Ansonsten muss vermutlich eine der LUA-Dateien gepatched werden. Ob das persistent bleibt, ist aber fraglich

Zitat von luitpold

- Joomla/Wordpress sind nun wirklich DAU-installierbar
- Magento - wo es verm. EUR 10.000 aufwärts beginnt,
glaubt da wirklich jemand, eine Agentur installiert das
über LC?
- Wer nennt mir eine Anwendung, die nach einer 1Click-Installation
ohne Folge-KnowHow praxisreif ist?

Zustimmung - ja.

Mit einer Ergänzung/Anmerkung: der Benutzer spart sich den Download des Paketes, das Auspacken sowie das Hochladen der Dateien an die richtige Stelle.

Gerade für Wordpress, Joomla oder die "einfacheren" Online-Shops (Prestashop, Veyton, Shopware), an denen sich gerade die Einsteiger versuchen, ist das eine gravierende Vereinfachung.

Zitat

<vorurteilsmode>
...und nicht vergessen: wer über eine 1Click-Installation eine Anwendung
laufen hat und diese nicht per 1Click updaten kann, wird es auch nicht per Hand
updaten (weil: nicht können oder wollen) - Ausnahme: z.T. WordPress
</vorurteilsmode>

Auch Joomla hat inzwischen den Updater integriert. Aber grundsätzlich stimmt es natürlich.

Und Prestashop.

DKIM? Cool. Sehr cool, dass es auch mit externen Nameservern klappt.

Wie siehts mit Bugfixes aus? Stichwort LC Basic, Hosting-Permissions