Beiträge von lebenszeit

Zitat von hchristo

Ungetestet (!!!) Aber hier wäre ein von ChatGPT vorgeschlagenes Script

Bis Zeile 8 scheint in Ordnung, danach sieht es für mich gruselig aus.

Ich würde empfehlen, mit dem Wechsel auf LC3 zurückhaltend zu sein. Eines der nächsten Releases soll einige Bugs beheben die zur Zeit viel Supportaufwand und Arbeit verursachen.

Geändert 5.11.:

Einige Bugs wurden mit 3.1.0 behoben

Aus Erfahrung empfehle ich eine Sicherung ALLER Datenbanken vor dem Upgrade von LC2 auf LC3! Nolz schreibt auf Github

Zitat

During the app migration from LC 2 to 3 there was a bug which resulted in all apps (PHPMyAdmin, Roundcube) being in state error and deleted databases.

Ich würde empfehlen, mit dem Wechsel auf LC3 noch etwas zu warten. Eines der nächsten Releases soll einige Bugs beheben die zur Zeit viel Supportaufwand und Arbeit verursachen.

Falls ihr DNSSEC und BIND in LC verwendet könnte es besser sein, bei Debian 12 und LC2 zu bleiben oder umfangreich zu testen, ob es nach dem Upgrade wirklich funktioniert.

Domains, die mit DNSSEC und LC3 API auf Debian 12 angelegt wurden machen (spätestens) nach Upgrade auf Debian 13 Schwierigkeiten. Vielleicht ist es nur davor nicht aufgefallen.

Debian 13.1 / BIND 9.20.11 / LiveConfig 3.0.8

Bei einigen Domains ist DNSSEC in LC aktiviert. Dynamische Updates werden protokolliert (https://www.liveconfig.com/de/kb/bind-logging/ )

Die Zonen hängen faktisch, da

"could not get zone keys for secure dynamic update"

"RSIG/NSEC/NSEC3 update failed: not found".

Zwischendurch Zone neu Schreiben (Umstellen auf extern - eigene Domain) ändert nichts.

Die Meldungen bleiben selbst beim Deaktivieren von DNSSEC für die betreffende Domain.

Mit KSK löschen, DNSSEC deaktivieren, Zone extern, intern, BIND restart bekommt man es irgendwie in den Griff.

Key rollover, also auch Wechsel des Algo, sei ein offenes Thema.

Zitat von KK, per Ticket

pro Zone darf bis auf Weiteres nur ein KSK aktiv sein. Das Problem ist, dass ein KSK-Rollover mit dnssec-policy relativ kompliziert ist (vor allem wenn sich der Algorithmus ändert).

[...] Bis das umgesetzt ist wurde daher das KSK-Limit auf "1" gesetzt.

Domains mit DNSSEC in LC3 löschen hinterlässt Dateien /var/lib/bind/keys/K<domain>... mit Schlüsseln. Diese zieht BIND9 heran wenn die Domain mit DNSSEC neu angelegt wird. LC3 hat davon keine Kenntnis mehr und zeigt Daten eines KSK an, der teilweise gar nicht verwendet wird. Hinterlegt man diese Daten beim NIC stimmen DS-Record dort mit der Zone nicht überein und die Domain sollte unerreichbar werden weil DNSSEC fehlschlägt.

BIND ist nicht exotisch konfiguriert.

Nomflow: Proxy: Mit Apache geht es. Mit nginx noch nicht.

Debian 12

/var/log/liveconfig/liveconfig.log

dnssec-policy enabled on DNS server
- updated 47 zones on primary DNS
Error while deleting/updating NSEC3PARAM (host '', zone 'example.com'): DNS update failed

Letzte Zeile 26x

Load nach Update deutlich erhöht.

In /var/log/named/messages Endlosschleife mit

zone example.com/IN: reconfiguring zone keys
zone example.com/IN: Updating DNSKEY TTL from 86400 to 3600
dns_dnssec_keylistfromrdataset: error reading /var/lib/bind/keys/Kexample.com.+007+99999.private: file not found
zone example.com/IN: zone_rekey:zone_verifykeys failed: some key files are missing

In /etc/bind/keys/ blieen nur zwei Dateien übrig:

Kexample.com.+007+99999.private und deren .key

Bei dieser Domain wurde vor Monaten mittels GUI neuer Schlüssel erstellt (und der alte nach Änderung beim NIC gelöscht.)

DNSviz zeigt für diese Domain keine Fehler, außer den veralteten Algo.

Nach service bind9 restart keine Einträge mehr, Load normalisiert.

In nächster Zeit sei nicht davon auszugehen hieß es vor wenigen Wochen.

Ich meine dass Domain leider nur in Verbindung mit zugewiesenem Webspace verwendbar ist, also mindestens 1 MB.

Erhalte self signed Zertifikatsfehler für demo-v3.

Vielleichst suchst du DSN. Das kann lokale Informationen leaken und ist mit Bedacht zu verwenden.

Ich habe Einblick in SevDesk bekommen. Es kann UStE und Buchungen erfassen ist viel Geklicke. Für kleine Buchhaltung und Übergaben an StB brauchbar - imho aber nichts für Profis.

Sofern es um Let's encrypt geht, es steht deutlich dabei, dass es in Basic nicht enthalten ist:

https://www.liveconfig.com/de/#preise

Die Positionen sind bekannt, es gibt an anderer Stelle m.E. genug "offizielle Antwort".

Welche Lösung habt ihr gefunden?

Deaktivieren des opcache.file_cache hat nichts gebracht.

Does submitting just one type of record leave the other (old) one remain untouched? I'd expect that submitting only one would delete the other one.

kk: Steht dieses Feature auf der Wuschliste?

+ 1

Hier ist 15:29, der Beitrag darüber kommt aus der Zukunft: "Heute, 15:55 "

Sollte nicht auch
opcache.lockfile_path (Absolute path used to store shared lockfiles (for *nix only))
angepasst werden?

1. Wie lässt sich greylisting für alle bestehenden Mailadressen aktivieren?
Es ist installiert und für den Server freigegeben. Bei Mailbox bearbeiten erscheint im Reiter Spam-Filter "Greylisting: Greylisting aktivieren".
"| mail.greylisting.enabled | 1" betrifft nur neue Adressen.

2. GUI verlinkt im Hilfe-Menü übrigens nach .../liveconfig/derefer?http://www.liveconfig.com/de/h…utorial.mail.spamanalysis => 404

3. greylisting ist für adresse@foo.bar.example.com aktiviert. Der Mailserver lautet auf bar.example.com
Dennoch erscheint in den Logs
"postfix/trivial-rewrite[...]: warning: do not list domain foo.bar.example.com in BOTH virtual_mailbox_domains and relay_domains"

Wie lässt sich greylisting nachträglich für alle bestehenden Mailadressen aktivieren?

GUI verlinkt im Hilfe-Menü übrigens nach .../liveconfig/derefer?http://www.liveconfig.com/de/h…utorial.mail.spamanalysis => 404