so könnte man schonmal Standard werte wie: TXT und _DMARC Infos Automatisch hinzufügen
SPF-Record ist bereits via Servereinstellungen möglich.
Zu DMARC: CloudFlare hat da einen richtig coolen Wizard gebaut: https://blog.cloudflare.com/tackling-email-spoofing/
# /etc/systemd/system/clamav-daemon.service.d/clamav_restart.conf
[Service]
Restart=always
Danach ein "systemctl daemon-reload; systemctl restart clamav-daemon" und clamav wird automatisch neu gestartet.
Logs (SSH sowie LiveConfig) prüfen, sowie die /etc/shadow vor und nach der PW-Änderung vergleichen, ggf. auszugsweise hier posten.
Guten morgen Herr Keppler, Es scheint alles abzurauchen:
- DynDNS Updates funktionieren nicht mehr
- Lets Encrypt Updates gehen nicht mehr
- FTP Passwort änderungen gehen nicht mehr
- Apache/nginx Änderungen gehen nicht mehr
dann hängt wohl LiveConfig.
ZitatAlle Child prozesse rauchen vollkommen ab. Im Log sehe ich auch dass Liveconfig Meldet "Sending crash report to https://update.liveconfig.com/"
ggf. die kompletten Logs mit dem Backtrace als Ticket versenden.
ZitatWenn ich Liveconfig Stoppe meldet Liveconfig dass er nicht beendet werden konnte und sich selber abgeschossen hat.
Es läuft erst alles wieder wenn ich den Kompletten Server reboote.
Ein kompletter Reboot ist in 99% der Fälle nicht nötig.
Neustart von LiveConfig ggf in mehreren Schritten:
- "systemctl stop liveconfig"
- "systemctl status liveconfig": prüfen, ob noch ein Prozess "hängt". Diesen ggf. manuell via "kill -9" beenden.
- "systemctl start liveconfig"
- nun nochmals via "status" prüfen, ob LiveConfig sauber läuft.
In der Vergangenheit gab es Crashs, wodurch der Prozess die Memory-Segmente nicht aufräumen konnte.
Daher hier also manuell eingreifen und die Segmente löschen.
Anleitung: https://www.liveconfig.com/dow…onfig-Handbuch-2.10.0.pdf - Seite 162 ("ipcs").
Das von der Distribution mitgelieferte PHP ist ohne FPM und ohne Ioncube Loader konfiguriert.
"php-fpm" nachinstallieren. Für ioncube kannst du die .so aus /opt/php-7.4 sowie die ioncube.ini auch nach /etc/php übernehmen.
Was sich mir hier aber nicht erschließt ist die Tatsache dass für die Distribution eigentlich das Liveconfig PHP Paket in der Version 7.4.3 zur Verfügung steht aber nur 7.4.24 installiert wird.
Ubuntu hat 7.4.3: https://packages.ubuntu.com/focal/php7.4-fpm
LiveConfig selbst hat eine andere Version: https://www.liveconfig.com/de/…an-mehrere-php-versionen/
Das Paket von LiveConfig ist also neuer (die dritte Zahl gibt das Patchlevel an: Ubuntu hat Patch-Level 3, LiveConfig bringt 24).
ich hatte jetzt den Fall, dass das Zertifikat korrekt verlängert wurde (stimmt alles in der DB), aber die Zertifikats-Datei auf dem System wurde nicht neu geschrieben.
Das sollte nur der Fall sein, wenn das Zertifikat nicht bei "Domains" konfiguriert ist - ggf. gibt es mehrere.
ZitatKann man das irgendwie händisch anstoßen?
Eine (Sub-)Domain aus dem Vertrag öffnen, irgendwas kurz ändern, so dass der Speichern-Knopf grün wird, dann Speichern. Nun wird der VirtualHost mit den dazugehörigen SSL-Zertifikaten neu geschrieben.
Theoretisch dürften 2 php7.4 Versionen doch garnicht auf dem System parallel existieren dürfen;
Doch, natürlich können zwei PHP 7.4 parallel existieren: einmal in /usr/bin/php von Ubuntu/Debian selbst, und einmal in /opt/php-7.4/bin/php mit den PHP-Paketen von LiveConfig.
Hier gibt es keinen Widerspruch, die Pakete sind auch komplett voneinander unabhängig.
Spannend wird es dann beim Upgrade von Debian/Ubuntu: hier wird aus der "PHP" in /usr/bin/php aus dem PHP 7.4 dann irgendwann PHP 8.0 - die zusätzliche Version in /opt/php-7.4 bleibt aber unverändert bestehen.
Logs prüfen... "journalctl -u liveconfig", bzw /var/log/liveconfig.
Da steht genau, wenn was schief läuft.
Wir haben zusätzlich alle Server im Debug-Mode laufen (log_level=debug), weil dann wirklich alle Logmeldungen aufgezeichnet werden. Nachteile habe ich jedoch noch nicht bemerkt.
Hier werden IPs über Jahre(!!) gespeichert
Signed. Hier sollte Anonymisierung möglich sein, insbesondere im Einklang mit der Datenschutzerklärung. Kontakt-Cleanup wäre in dem Zusammenhang auch sinnvoll zu nennen.
ZitatEs interessiert sicher niemanden mehr, wann diese z.B. 2013 irgend eine Änderung auf dem Server vorgenommen haben. GGf. macht es sinn, alle Einträge, die z.B. älter als ein Jahr sind zu löschen.
Hier muss ich widersprechen: wir haben Kunden, die sich zuletzt 2018 eingeloggt haben, sich aber dennoch über "plötzlich falsche Passwörter" wundern.
An den paar MB an Logs solls ja letztendlich nicht scheitern.
Danke für's Teilen! 
Um nicht wie im XKCD-Comic zu enden: was war's denn?
Signed. Standard-Wert nach Typ, oder gar ganz global via LCDEFAULTS, wäre super.
ZitatUm das noch einmal klar zu stellen: ein reines Renewal ändert NICHTS an der Liste der Zwischenzertifikate. Weder mit LiveConfig, noch mit irgendeinem anderen ACME-Client.
naja, hier doch.
Validierungs-Fehler in CURL/OpenSSL treten ja auf, weil LiveConfig die CA-Chain in die *-ca.crt gelegt hat. Das wäre so kein Problem, gäbe es nicht die abgelaufenen oder ähnliche veraltete Zertifikate. Löse ich nun einen Renew dieser alten Zertifikate aus, ist das abgelaufene CA-Zertifikat auch weg und somit funktioniert die Validierung wieder.
Danke für das Update und die umfangreichen Infos!
Die Direkte Änderung durch Entfernen von einer IP oder DNSSEC läuft nur darauf hinaus dass Liveconfig dauerhaft als Status dann Anzeigt "Status:Konfiguration ok, warte auf Service-Neustart"
LetsEncrypt Zertifikate werden auch nicht Aktualisiert, Status 3er Domains: pending
Eine wirkliche Abhilfe bring nur nen Kompletter System Neustart des Servers
Das liegt eher an LiveConfig als an BIND - bitte die Logs von LiveConfig selbst durchgehen, vermutlich stirbt einer der Child-Prozesse.
Logs sammeln und per Ticket raus senden 
Kann ich so bestätigen: in LiveConfig gibt's dahingehend keine Probleme, die letzten Renews haben allesamt das neue Root dabei.
Probleme gibt es nur, wenn das alte CA-Zertifikat gecached wird. Kann bei dehydrated/certbot passieren.
CatchAll-Mailadressen sind ein Problem und eigentlich unnötig:
- entweder ein Haupt-Postfach verwenden und die benötigten(!) Mailadressen als Alias dazu definieren
- oder auf den "Recipient Delimiter" und die Extension zugreifen:
info+shop1@example.com
info+support@example.com
info+vr@example.com
info+amazon@example.com
Diese müssen nicht explizit angemeldet werden.
Bisher ist mir DHL untergekommen, deren Mailsystem das "+" nicht akzeptiert. Alle anderen verwenden das problemlos ("info+bahn@example.com").
Absender-Mailadressen lassen sich bequem über die Blacklists sperren - Empfänger-Mailadressen bisher nicht.
Größtes Lob eines Deutschen? "Kann nicht meckern"
Scherz bei Seite: stimme dir auch zu. LiveConfig erfüllt unsere Anforderungen ebenfalls perfekt.
Und was aktuell noch nicht glänzt, wird ja durchaus poliert.
Kann man Liveconfig beibringen. das über die Api eines Resellers zu machen, der auch Nameserver anbietet, z.B. United Domains?
Wäre das für andere auch ein nützliches Feature?
Persönliche Meinung: nachdem quasi jeder Provider seine eigene API hat, wäre der Integrationsaufwand schlichtweg immens. Im Gegensatz zu Let's Encrypt, wo es mit dem ACME-Standard tatsächlich einen Standard gibt und so ZeroSSL etc auch einfach integriert werden könnten.
Was spricht dagegen, bei Multi-Server-Installationen zwei VMs mit LiveConfig auszustatten und so eigene Nameserver zu betreiben?
Oder, bei Single-Server-Setups, BIND als Primary zu installieren und die Secondaries des Domain-Providers zu nutzen?
wofür brauch ich dann system.d?
Weil das so nun der Legacy/"Kompatibilitätsmodus" ist und nicht natives Systemd.
Auch "service" ist nur ein Alias/Wrapper zu systemctl.
