LiveConfig v2.8.1

  • Hallo,


    ab sofort steht LiveConfig v2.8.1 zur Installation bereit.


    Die wichtigsten Änderungen sind:

    • Verbesserungen beim DNS-Check für SSL-Bestellungen (Timeout von 5 Sekunden für DNS-Anfragen, Caching von DNS-Daten für nur noch 60 Sekunden)
    • Wenn keine DNS-Abfragen "nach außen" erlaubt sind (Firewall), dann erkennt LiveConfig das nun automatisch und nutzt in diesem Fall die in /etc/resolv.conf hinterlegten Resolver. In diesem Fall sollten die Resolver aber DNSSEC-Validierung unterstützen!
    • Wird eine IP-Gruppe auf "starke" SSL-Chiffren konfiguriert, dann wird für diese IP-Gruppe automatisch auch TLSv1 und TLSv1.1 deaktiviert. Die SSL-Protokolle lassen sich (bei Bedarf) auch über Lua-Variablen ändern.


    Alle Änderungen sind wie immer im Änderungsverlauf zu finden.


    Viele Grüße


    -Klaus Keppler

  • Hallo Klaus,


    bei mir wird mit der 2.8.1 in der Server Verwaltung der Dovecot Server nicht mehr angezeigt.
    Ein "lcclient --diag" findet den Dovecot aber zuverlässig. Daher tippe ich jetzt einfach mal auf ein Problem mit der anzeige.


    Zitat


    Checking for POP/IMAP server software:
    - Found 'dovecot' POP/IMAP server
    Version: '2.2.27'
    Package version: '1:2.2.27-3+deb9u5'


    Bei mir ist es auf vielen Servern reproduzierbar.
    Ein Neustart des Clients bringt nicht immer eine Lösung.


    Getestete OS: Debian 9.9 und 10


  • [*]Wenn keine DNS-Abfragen "nach außen" erlaubt sind (Firewall), dann erkennt LiveConfig das nun automatisch und nutzt in diesem Fall die in /etc/resolv.conf hinterlegten Resolver. In diesem Fall sollten die Resolver aber DNSSEC-Validierung unterstützen!


    und welche werden sonst benutzt??

  • bei mir wird mit der 2.8.1 in der Server Verwaltung der Dovecot Server nicht mehr angezeigt.
    Ein "lcclient --diag" findet den Dovecot aber zuverlässig. Daher tippe ich jetzt einfach mal auf ein Problem mit der anzeige.


    Hmm, das ist merkwürdig. LiveConfig macht beim Start nichts anderes als das was "--diag" auch macht (es führt eben die Paketsuche aus). Daher kann es eigentlich nicht sein, dass es manchmal klappt und manchmal nicht - dann müsste nämlich auch der Aufruf mit "--diag" manchmal kein Ergebnis bringen.


    Wurde LiveConfig eventuell neu gestartet während noch Pakete installiert wurden? (dann könnte der gleichzeitige Zugriff auf die APT-Datenbank einen Konflikt verursacht haben)


    Zitat

    Ein Neustart des Clients bringt nicht immer eine Lösung.


    Gibt es Server, bei denen der Client-Restart reproduzierbar nichts bringt?

  • Keine. LiveConfig nutzt mit "libunbound" einen integrierten, validierenden DNS-Resolver - die jeweiligen Nameserver werden dann also direkt kontaktiert. Für Diagnosezwecke ist man damit flexibler als mit einem externen Resolver.


    aber der Betreiber und das OS hat dann weniger Kontrolle über die DNS-Tätigkeiten die vom System ausgehen ;)

  • aber der Betreiber und das OS hat dann weniger Kontrolle über die DNS-Tätigkeiten die vom System ausgehen ;)


    Ja, es hat eben alles Vor- und Nachteile. Wenn direkte DNS-Zugriffe möglich sind, dann nutzt LiveConfig diese um den TTL von DNS-Daten ignorieren zu können - wird ein externer Resolver verwendet, dann erhält LiveConfig ggf. Antworten aus dessen Cache (was im Normalbetrieb ja erwünscht ist, für Diagnosezwecke aber ungünstig ist).


    Bei Multi-Server-Setups genügt es, wenn der LiveConfig-Hauptserver DNS-Zugriff hat (die LiveConfig-Clients lösen keine DNS-Anfragen aus). Und wenn die DNS-Zugriffe lokal (iptables) gefiltert werden, kann man mittels "owner"-Modul einzelne Benutzer freischalten - wie z.B. den Benutzer "liveconfig". ;)

  • Ja, es hat eben alles Vor- und Nachteile. Wenn direkte DNS-Zugriffe möglich sind, dann nutzt LiveConfig diese um den TTL von DNS-Daten ignorieren zu können - wird ein externer Resolver verwendet, dann erhält LiveConfig ggf. Antworten aus dessen Cache (was im Normalbetrieb ja erwünscht ist, für Diagnosezwecke aber ungünstig ist).


    Bei Multi-Server-Setups genügt es, wenn der LiveConfig-Hauptserver DNS-Zugriff hat (die LiveConfig-Clients lösen keine DNS-Anfragen aus). Und wenn die DNS-Zugriffe lokal (iptables) gefiltert werden, kann man mittels "owner"-Modul einzelne Benutzer freischalten - wie z.B. den Benutzer "liveconfig". ;)


    Natürlich, alles kein Drama.
    Es fällt nur in die Kategorie "immer mehr Anwendungen machen DNS selbst", siehe auch Browser


    An anderer Stelle erschwert das Debugging, insbesondere wenn man nicht davon weiß oder nicht daran denkt, dass nicht alles über den lokalen Resolver geht.

  • Wurde LiveConfig eventuell neu gestartet während noch Pakete installiert wurden? (dann könnte der gleichzeitige Zugriff auf die APT-Datenbank einen Konflikt verursacht haben)


    Das ist möglich, ja.


    Fehler trat hier auch auf:


    Code
    Aug 28 16:45:22 s1 LiveConfig[24307]: [24307|24308] [LUA] POP/IMAP server 'dovecot' not found
    Aug 28 16:45:22 s1 LiveConfig[24307]: [24307|24308] LC.popimap.editMailbox(xxx) failed: POP/IMAP server 'dovecot' not found


    Allerdings nicht reproduzierbar.

  • Unter CentOS 7 mit MariaDB (5.5.60) als LiveConfig-Backend können wir dieses Verhalten reproduzieren. Wir kümmern uns gerade darum, der Fix wird noch mit in v2.8.1 einfließen.
    (mit SQLite als Backend, sowie auf anderen Distributionen mit anderen MySQL/MariaDB-Versionen klappt es interessanterweise...)


    Das Problem mit der SSL-Bestellung besteht leider noch weiterhin auch mit der Version 2.8.1 :(



    CentOS Linux release 7.6.1810
    LiveConfig 2.8.1-r5602

  • Ein Neustart von LC während Pakete installert wurden kann ich nicht ganz ausschließen.
    Gestern Abend habe ich den Dovecot Patch und LC 2.8.1 in einem Rutsch installiert.


    Teilweise wurde die Konfiguration von Dovecot erst einige Minuten nach dem Restart wieder angezeigt.


    Inzwischen habe ich alle Clients nochmals neu gestartet und die Konfiguration wird bei allen Servern korrekt angezeigt. Ich kann es aktuell auch nicht mehr reproduzieren.

  • hi!


    Ich habe nun etliche Kunden, bei denen die Validierung von LE nicht mehr geht, da /.well-known/ mittels .htaccess umgeleitet wird... das war früher meine ich immer von LC verwaltet, oder irre ich mich?


    Gleiche CentOS und LiveConfig Version :)


    VG

  • Hmm, interessant - sollte eigentlich nicht möglich sein.
    Könnten Sie uns mal schicken was genau in den RewriteRules der .htaccess drin steht? Dann testen wir das mal durch.
    Ziel seitens LiveConfig ist es immer, den Kunden "vor sich selbst" zu schützen. ;)

  • So kannte ich es eigentlich auch :D


    Also ich habe zwei Sachen - ein Kunde ohne .htaccess, der einfach einen 404er generiert...


    Eine .htaccess sieht z.B. so aus:


  • Eine .htaccess sieht z.B. so aus:


    Ich habe es mit exakt dieser .htaccess getestet, und der Zugriff auf /.well-known/ wird korrekt auf die Validierungsdatei geroutet...


    Prüfen Sie bitte mal die vHost-Konfiguration (/etc/httpd/vhosts.d/<Vertrag>.conf), ob dort folgender Abschnitt drin steht:

    Apache Configuration
    <IfModule mod_rewrite.c>
            RewriteEngine On
    
    
            RewriteMap  "lc" "int:tolower"
            RewriteCond %{REQUEST_URI} ^/\.well-known/(.*/)?([^/]*)$
            RewriteCond /var/www/web1/htdocs/.well-known/%1%2 !-f
            RewriteCond /var/www/.well-known/htdocs/%1${lc:%{HTTP_HOST}}.%2 -f
            RewriteRule / /var/www/.well-known/htdocs/%1${lc:%{HTTP_HOST}}.%2 [T=text/plain,L]
        </IfModule>


    Der sorgt dafür, dass Zugriffe auf http://<domain>/.well-known/<datei> umgeleitet werden auf /var/www/.well-known/htdocs/<domain>.<datei>


    Testweise können Sie einfach mal eine Datei mit dem Namen /var/www/.well-known/htdocs/acme-challenge/<domain>.test.txt anlegen - die müsste dann unter http://<domain>/.well-known/acme-challenge/test.txt abrufbar sein.


    Zudem müsste in /etc/httpd/vhosts.d/00_default_vhost.conf auch folgendes zu finden sein:


    Damit routet LiveConfig die Zugriffe auf .well-known für Domains, die deaktiviert oder noch nicht vollständig konfiguriert sind.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!