Hallo Community,
aufgrund der vielen aktuell gefunden Sicherheitslücken und updates, steigt auch bei uns der Aufwand die Server zu pflegen und zu aktualisieren.
Deswegen muss so ganz langsam eine "Automatisierte" Serververwaltung bei uns einziehen.
Wie sind eure Erfahrungen mit solchen Tools wie Puppet, Fabric, chef, cfengine, etc.,
hinsichtlich Kosten, Einrichtungsaufwand, Resourcenbedarf, usw?
Wichtig wäre für uns auch eine effektive SSH-Key Verwaltung, wie sind da die Tools aufgestellt?
Hallo Herr Keppler,
in Ihrer Anleitung KB#23 sind zwei kleine Fehler enthalten:
Im Prüfstring ist ein kleiner Typo enthalten:
ZitatAlles anzeigenCode$ [B]LC[/B]_PRELOAD=./bash_ld_preload.so bash -c "echo Test"
[QUOTE]
Richtig:
Code$ [B]LD[/B]_PRELOAD=./bash_ld_preload.so bash -c "echo Test"
[QUOTE]
Wenn dagegen alles passt, dann verschieben Sie das Binary nach /usr/lib:Code$ mv bash_ld_preload.so /usr/bin
Da sollte der Code Teil geändert werden in:
$ mv bash_ld_preload.so /usr/libDanke für das bereitstellen der fertig compilierten Pakete und den Sicherheitshinweis an die Community!
Die folgenden Pakete haben unerfüllte Abhängigkeiten:
php-5.6-opt : Hängt ab von: libmysqlclient16 ist aber nicht installierbar
Hängt ab von: libssl0.9.8 ist aber nicht installierbar
E: Probleme können nicht korrigiert werden, Sie haben zurückgehaltene defekte Pakete.
Was hat ein fehlendes Debian Paket, mit LiveConfig und Support von Keppler-IT zu tun?
Ist wohl eher ein fauler Admin am Werk.
Das zweite Ergebniss könnte helfen:
http://www.igfd.org/?q=debian+wheezy+php+5.6+libssl0.9.3
+1 für schnelle Umsetzung!
Gibt es eine Möglichkeit beim anlegen eines Webhosting Vertrags ein Skeleton zu verwenden um Dateien wie z.B. eine .bashrc automatisch zu erstellen.
Alternativ wäre es Wünschenswert, wenn die LC-API ein Signal bereitstellen würde welches beim erstellen eines Users gesendet wird. Damit liese sich dann auch über die API solch ein Prozess erledigen.
Looking for TLS extensions on https://panel.xxxxxxxxxx.de:8443
ext 65281 (renegotiation info, length=1)
ext 00035 (session ticket, length=0)
ext 00015 (heartbeat, length=1) <-- Your server supports heartbeat. Bug is possible when linking against OpenSSL 1.0.1f or older. Let me check.
Actively checking if CVE-2014-0160 works: Your server appears to be patched against this bug.
Perfekt, Danke!
Hallo Zusammen,
LiveConfig scheint auch mit einer vom "Heartbleed Bug" betroffenen Variante der OpenSSL Bibliothek verlinkt zu sein. Zumindest reicht es nicht aus, die Systemeigene OpenSSL Bibliothek zu aktualisieren.
Looking for TLS extensions on https://panel.xxxxxxxxxx.de:8443
ext 65281 (renegotiation info, length=1)
ext 00011 (EC point formats, length=4)
ext 00035 (session ticket, length=0)
ext 00015 (heartbeat, length=1) <-- Your server supports heartbeat. Bug is possible when linking against OpenSSL 1.0.1f or older. Let me check.
Actively checking if CVE-2014-0160 works: Server is vulnerable, please upgrade software ASAP.@ Herr Keppler:
Können Sie das bestätigen oder muss noch was beachtet werden nach dem Update der OpenSSL Bibliothek und dem durchstarten aller Dienste?
mod_python ist deprecated!
Ich verwende auf fast allen Servern (mit LiveConfig) Python mit NGINX und uwsgi.
Erfordert am Anfang etwas Aufwand bis es sauber konfiguriert ist aber läuft danach sehr stabil und recht komfortabel zu administrieren.
Nur habe ich leider noch keine Admin Oberfläche die sich ins LiveConfig integrieren lässt.
+1
Zum einen wäre eine bessere Übersicht der einzelnen Webs / Zuordnung zum Reseller / Zuordnung zum Kunden wünschenswert.
Aber noch viel wichtiger fände ich eine Möglichkeit ein Freitextfeld (ähnlich wie bei den Datenbanken) zu jedem Web und jedem Reseller zu haben in dem einen Beschreibung, eine externe Kundennummer oder was auch immer eingefügt werden kann.
Hallo Herr Keppler,
hier besteht noch immer ein Bug!
Obwohl in LC unter Mailserver "erfordere SSL zur Benutzeranmeldung" die Option deaktiviert ist
erscheint in der main.cf weiterhin:
Zitatsmtpd_tls_auth_only = yes
Aufgefallen ist es nachdem ich die Blacklist überarbeitet hab und sich dann Kunden mit Outlook 2003 beschwert haben, dass Sie keine Mails mehr senden können. Erst nach längerer Suche ist mir aufgefallen, dass es an TLS liegt.
Server Debian Squeeze, LiveConfig 1.6.4-r2509
Nein es ist kein Virtualisiertes System sondern einer unserer etwas älteren Test-Server mit einer Debian 6 Installation.
Inzwischen ist das Problem gelöst, allerdings weiss ich nicht genau warum.
Nach einem apt-get update/upgrade und einem Server Reboot scheint das Problem behoben zu sein.
Guten Morgen,
auf einem frisch installiertem Testsystem mit LiveConfig-meta und LiveConfig 1.6.1-r2142 erhalte ich beim Mail-Login Versuch folgende Fehlermeldung:
mail.err
Mar 3 06:29:59 xx dovecot: pop3-login: Fatal: opendir(.) failed when trying to get list of authentication servers: Too many open files
Mar 3 06:29:59 xx dovecot: imap-login: Fatal: opendir(.) failed when trying to get list of authentication servers: Too many open filesZudem scheint es so als würde die Dovecot Konfiguration nicht erstellt bzw. geändert, obwohl ich einige male die Konfiguration geändert habe.
Dovecot
Version: 1.2.15 (1:1.2.15-7)
Konfiguration: /etc/dovecot/dovecot.conf
SSL/TLS: Ja autodiscover.testing1.de
Status: Konfiguration ok.
Konfiguration: Konfigurations-Version: 0
Aktive Konfiguration: 1/etc/dovecot/dovecot.conf und /etc/dovecot/liveconfig.status haben ältere Zeitstempel bzw. werden nicht angepasst.
netstat gibt aus, dass Dovecot läuft und auf den richtigen Ports lauscht.