Beiträge von antondollmaier

Zitat

Unterstützung von negativen Zahlen in php.ini
[r3635] Anzeigen und Bearbeiten des Pfads von zusätzlichen FTP-Accounts
Unterstützung eigener Application-Installer-Repositories

yeah!

Wie schaut's aus mit dem Permission-Bug für Admins?

Zitat von aziegler

sicher, dass das unter Debian Jessie funktioniert?
Laut weakdh.org benötigt man openssl >= 1.0.2, bei Jessie ist derzeit 1.0.1k-3 dabei und der Changelog lässt keinen Backport erkennen...

Point taken. Gerade getestet, der Apache 2.4.8 kennt nicht mal den SSLOpenSSLConfCmd.

We're doomed.

Zitat von aho546745

Per "find -type f | xargs grep sock | grep tmp"

Besser:

> grep -HR sock /etc/liveconfig /usr/lib/liveconfig

Zitat

Weiß jemand, wie man LC von diesem Verhalten, den Socket an der falschen Stelle in /tmp statt an der passenden Stelle unter /var/run/mysqld/ zu suchen, abbringt?

Umstellen auf "db_host=127.0.0.1", dann verwendet LiveConfig nicht den Unix-Socket, sondern die TCP-Verbindung.

LiveConfig-Logmeldungen aus der Zeit vor/nach Bootvorgang (/var/log/liveconfig/liveconfig.log)?

Zitat von kk

Spaß beiseite: sobald der Eintrag in die passwd erfolgreich geschrieben wurde, löscht LC das (nur temporär gespeicherte) Passwort aus seiner Datenbank (nach dem Prinzip: sobald wir das Passwort nicht mehr brauchen, wollen wir es da auch nirgendwo mehr gespeichert haben).

ah!

Zitat

So lange das Krypto-Konzept dafür aber nicht abgeschlossen ist, speichern wir keine ungehashten Passwörter.

Wer speichert denn schon Plaintext-Passwörter ... (außer Plesk)

Zitat

rsync betrifft nur den Kopiervorgang - so oder so muss trotzdem aus der alten und der neuen /etc/dovecot/passwd das Quell- bzw. das Zielverzeichnis herausgesucht werden.

Ja, ist mir bewusst. War auch nur eine allgemeine Ergänzung

Zitat von kk

Zum Schluß noch den Passwort-Hash aus der "alten" dovecot/passwd in die neue dovecot/passwd kopieren - fertig.

LC speichert das Postfach-Passwort nicht in der (My)SQL-Datenbank, sondern nur in der passwd-Datei? Wie kommt das Passwort denn aus der GUI raus und da rein? ..

Rsync dürfte übrigens die deutlich einfachste Methode sein, die Mails zu übertragen. Da braucht es kein IMAP-Passwort.

Tipp: nimm mod_wsgi. Options +ExecCGI und über eine app.wsgi aufrufen. Klappt angenehmer als mod_python, erlaubte mehrere Anwendungen und vor allem läuft die Anwendung dann nicht mit www-data.

Zitat von aziegler

aktuell ist das eine ordentliche Klickerei und skaliert überhaupt nicht...

Dito. *10z*

RewriteEngine On
RewriteRule ^(.*)\.html$ /$1.php

oder einfach umschreiben und doch .php verwenden... (Code to be verified!)

Zitat von kk

3. Apache 2.2 bleibt (vorerst) anfällig (Debian 6 LTS, Ubuntu 12.04 LTS, CentOS 5)

In der Liste fehlt Debian Wheezy

Zitat

Wir haben daher beschlossen, künftig durch LiveConfig in einem Hintergrundprozess etwa alle zwei Wochen neue DH-Parameter für alle Services zu generieren;

Cool!

Zitat

wenn diese "fertig" (berechnet) sind, ersetzt LiveConfig die dann selbständig im jeweiligen Dienst und startet den neu (Dovecot 2 macht das übrigens auch so).

Gibt es dann für jeden Dienst eigene DH-Parameter oder werden die für jeden Host berechnet und dann bei allen Services deployed?

Letzteres fände ich interessanter.

Zitat

Unser Ziel ist es also, dass LiveConfig sich völlig selbständig darum kümmert, dass für alle Dienste regelmäßig neuer Krypto-Input generiert (und aktiviert) wird - ohne dass der Admin da nun alle paar Wochen irgendwelche Dateien austauschen muss.

Kriegen wir in dem Zusammenhang dann auch automatische Updates der von LC verwalteten Config-Dateien hin? In der Vergangenheit gab es ja einige Verwirrungen, beispielsweise bei aktualisierten Ciphern, geänderten SSL-Zertifikaten oder Änderungen, die in einer neuen LC-Version mitgebracht wurden.

Zitat

Fazit
Die Sache ist ernst zu nehmen, aber bei weitem sind die Server deshalb nun nicht "offen". Die Export-Ciphers sind durch LiveConfig abgeschalten, einziger Angriff ist also mit erheblichem Aufwand über stark verbreitete DH-Parameter denkbar.

Danke für die Prüfung und die Einschätzung!

Zitat von aho546745

Mit 1024 stehen wir gar nicht so schlecht da, ich glaube herausgelesen zu haben, dass hier der Entschlüsselungsaufwand aktuell sehr hoch ist.

Das Problem ist die "geteilte" Prim-Zahl, die bei 1024 Bit verwendet wird. Es wäre also nötig, diese Prim-Zahl als Teil der DH-Parameter selbst zu generieren - was aber mit Apache2.2 nicht möglich ist.

Es würde zwar gehen, solchen "openssl dhparam"-Output an die Zertifikate anzuhängen - aber ob das wirklich verwendet wird, wage ich zu bezweifeln. Bleibt also nur, die genannte Funktion aus dem Apache 2.4 zu verwenden.

Zitat

Vielleicht sollten wir ein paar Tage abwarten und schauen, ob es da auch bei Debian evt einen Backport geben wird und irgendwann steht das Update auf Debian8 ja eh an.

Sehe ich auch so.

Zitat von RB-Media-Group

in der Anleitung werden/wurden ändernungen an der vhost der jeweiligen Domain vorgenommen, und die werden von LiveConfig ja überschrieben.

Die Cipher-Suites? Ja, allerdings ist LiveConfig da eh schon soweit auf der sicheren Seite, dass keine Änderung mehr notwendig ist.

Gravierender ist die Tatsache, dass der Apache die unsichere Primzahl für DH verwendet. Und dafür reicht die Zeile mit "SSLOpenSSLConfCmd" in die conf.d/*.conf. Der Parameter ist aber erst ab 2.4 verfügbar, für 2.2 gibt es keine (sinnvolle) Möglichkeit, die DH-Parameter >1024 Bit zu erzwingen.

Oder habe ich da erneut was übersehen?

Zitat von RB-Media-Group

nur leider werden die gesetzten Einstellungen von LiveConfig wieder überschrieben.

Wo werden die überschrieben?

Es gibt für Postfix die custom.lua, für Dovecot /etc/dovecot/dovecot.local.conf, für ProFTPd /etc/proftpd/conf.d/*.conf und für MySQL die /etc/mysql/conf.d/*.cnf.

Habe ich was übersehen?

Allgemein:

https://weakdh.org/sysadmin.html

Speziell:

- Apache 2.4 verwenden, bei Debian: Update auf Debian Jessie
- Rest siehe obige Page (ProFTPd, Dovecot)
- Postfix ist bereits safe (passende Cipher, DH-Parameter mit 2048Bit)
- Dovecot erzeugt bereits jetzt die DH-Parameter 1x / Woche neu. Jessie bringt Dovecot 2.2 mit, da kann dann der DH-Parameter auch festgelegt werden (vgl. Wiki)
- ProFTPd hat TLSDHParamFile. Einbinden via conf.d und manuell erzeugen.

Ich schätze mal, dass Herr Keppler obige Schritte mit dem nächsten LC-Update berücksichtigt und sich LC dann automatisch darum kümmert.
- Vorsicht: es gibt noch Clients, die u.U. keine DH-Parameter mit mehr als 1024 Bit vertragen.

Zitat von WebService4U

(writeable by group).

Umstellen auf FastCGI und weg mit suPHP, welches es mit Jessie sowieso nicht mehr gibt.

Da gibt es größere Probleme.

Mein neuer Liebling:

https://sendy.co/

Das Grundproblem bei so Alias-Mailinglisten-Gefrickel: sobald irgend jemand an die Mailadresse schreibt (Spam...), geht der Kram an alle Recipients raus.

Wenn ich fragen darf: Welche Optimierung ist gemeint? Einfach nur von SQLite auf MySQL oder wurde mit 1.8.3 noch mehr geändert?

> postalias /etc/aliases

Was zum Henker ist "sm-mta"? Sendmail? Der hat doch auf dem Server gar nichts verloren und wird von LiveConfig nicht mal unterstützt.

Zitat von kk

ab version 1.9 können eigene app-repositories definiert werden (https://www.liveconfig.com/dev/issues/185). Beispielcode wird gerade vorbereitet und steht in kürze bei github bereit (https://github.com/liveconfig).

yes!

Zitat von kk

Sollte somit auch in der 1.8.3 auftauchen.

Entweder hab ich mich zu doof angestellt - oder der Permission-Bug ist immer noch vorhanden.

Neu angelegter Webspace-Vertrag war für den zweiten LC-Benutzer nicht sichtbar, trotz aktiver "Angebotsverwaltung".