Server-Update am 12.11.09

[tox]

3dfx und ich werden nächste Woche wie beim Stammtisch besprochen versuchen, das Betriebssystem des Community-Servers zu updaten. Wir haben uns auf den Tag noch nicht festgelegt, wird aber wahrscheinlich Donnerstag sein. Da wir zu dem Zweck den Server herunterfahren und vorher ein Backup machen möchten, ist es notwendig, dass es am Nachmittag geschieht, so dass es in diesem Zeitraum Einschränkungen beim Zugriff auf Portal, Board, Wiki und die Werkzeuge geben wird.



Edit 3dfxatwork: Wir werden an diesem Donnerstag um 10 Uhr beginnen den Server zu aktualisieren. Ich hoffe wir sind bis ca 12 Uhr fertig. In dieser Zeit werden keine Dienste erreichbar sein: Portal, Wiki, Forum, Karte, Topologie und VPN werden solange abgeschaltet sein.

[Tommy]

...könntet Ihr dabei diese https - Zertifikat - Warnung Sache in Angriff nehmen? Erstbesucher kriegen einen ziemlichen Schreck bei der Firefox Warnung.

[3dfxatwork]

Nein, das kostet Gled, was wir nicht haben. Wenn du einen kostenlosen Zertifikatanbieter kennst, dann gerne.

[Tommy]

Nein, das kostet Gled, was wir nicht haben. Wenn du einen kostenlosen Zertifikatanbieter kennst, dann gerne.

Das weiß ich - ich dachte eher die Ersetzung von https durch http in Bereichen wie Wiki oder Forum. IMO macht es keinen Sinn ein öffentliches Forum/Wiki verschlüsselt zu übertragen (abgesehen von den Zugangsdaten)

[3dfxatwork]

ok wir werden versuchen erst beim login auf https umzustellen

[3dfxatwork]

Ich habe mal geschaut, für das Wiki geht das, beim Forum konnte ich bisher nix finden.

PS: ich habe den 1. Post aktualisiert.

mfg Matthias

[tox]

So. Update (mehr oder weniger) abgeschlossen. Hat länger gedauert als erwartet, OpenVZ wollte nicht so wie wir wollten . Falls unerwarteterweise Probleme auftreten, bitte posten.

[3dfxatwork]

Bei der Umstellung kam es zu Problemen mit dem Startmanagement von Ubuntu 9.10 und Openvz. Openvz unterstützt das neue Startmanagemant "Upstart" noch nicht, deshalb hatten wir Probleme den Server anzubekommen und das Netzwerk richtig hochzufahren (die Dantenbankprobleme waren eigentlich nur Netzwerkprobleme). Wir haben gestern manuell alles gestartet. Ich werde am Wochenende probieren das Startmanagement wieder auf "System V Init" umzustellen, sodass man den Virtuellen-Server auch wieder normal booten kann ohne weitere Einstellungen vorzunehmen, falls der Hardware-Server mal neugestartet werden sollte.


MFG Matthias

[sneumann]

Bei der Umstellung kam es zu Problemen mit dem Startmanagement von Ubuntu 9.10 und Openvz.

Helfen die Informationen hier drin ?

http://blog.bodhizazen.net/linux/downlo ... templates/

Gruss,
Steffen

[3dfxatwork]

Nachdem wir gestern festgestellt haben, dass Email nicht geht, und ich gerade 3 Stunden gebraucht habe um herauszufinden, warum es nicht geht, hier eine kurze Beschreibung:
Wir benutzen postfix welches als authentifizierungsdienst saslauth verwendet, dieses verwendet wiederum pam, wobei wir spetiell pam mit postgresql verwenden, also pam-pgsql. Und genau hier lag der Fehler, was aber gar nicht so einfach war herauszufinden, da debugging mit dem Teil einfach mal nicht möglich ist, es kann entweder nichts loggen, oder einem sagen, das es nicht ging, aber toll das weiß man ja schon.
Nachdem ich Stundenlang an der Konfiguration gebastelt habe, und es trotzdem nicht wollte, habe ich es mit anderen Versionen probiert.
Die aus Ubuntu 9.10 also karmic funktioniert nicht (0.7.0-1), eine Version vom Nachfolger (lucid) (0.7.0-3) funktioniert genauso nicht, nur die von jaunty (0.6.3-2build1)

PS Zum startmanagement bin ich noch nicht gekommen.

MFg Matthias

[3dfxatwork]

Ich hab das wiki mal umgestellt, erst beim Einloggen, oder neuen benutzer anlegen, wird man auf https weitergeleitet.

Code: Alles auswählen

RewriteEngine On
    RewriteCond %{REQUEST_URI} ^/index.php$
    RewriteCond %{QUERY_STRING} ^title=Spezial:Anmelden
    RewriteCond %{REQUEST_METHOD} ^GET$
    RewriteRule ^(.*)$ https://%{SERVER_NAME}/$1 [R]

mfg Matthias

[tmk]

Ich hab das wiki mal umgestellt, erst beim Einloggen, oder neuen benutzer anlegen, wird man auf https weitergeleitet.

Code: Alles auswählen

RewriteEngine On
    RewriteCond %{REQUEST_URI} ^/index.php$
    RewriteCond %{QUERY_STRING} ^title=Spezial:Anmelden
    RewriteCond %{REQUEST_METHOD} ^GET$
    RewriteRule ^(.*)$ https://%{SERVER_NAME}/$1 [R]

mfg Matthias

Danke!

[webmaik]

blöde frage?
die POST-methode zeigt ja wirklich alles in der browserleiste an-selbst bei linux-servern?
das dachte ich bisher nicht...

da muss ich echt noch dazulernen... mit dem php im linux!

[3dfxatwork]

Was meinst du mit damit, ich versteh die Frage nicht?

[tox]

@webmaik

Das wo Dinge in der Adressleiste stehen, ist GET. Das ist die Standardeinstellung. Das ist unabhängig vom Betriebssystem. Dies ist kein Sicherheitsproblem, da auch diese Informationen genauso per SSL gesichert werden wie POST-Inhalte. Das Framework der Sprache auf Serverseite und die Fähigkeiten der Web-Server-Anwendung bestimmen die verwendbaren HTTP-Methoden.

Ich möchte wirklich nicht contra erscheinen, aber deine Posts sind in letzter Zeit irgendwie so impulsiv und zusammenhangslos.

[PapaBaer]

Dies ist kein Sicherheitsproblem, da auch diese Informationen genauso per SSL gesichert werden wie POST-Inhalte.

Das ist aber doch ein Sicherheitsproblem. Zum einen stehen die Infos im Klartext in der Browserzeile, damit auch in der History des Browsers. Wenn ich den Spaß z.B. in nem Internetcaffee abfahre, kann jeder nach mir mein Passwort lesen. Auch CSS-Angriffe aus anderen Browser-Tabs kommen unter Umständen da ran. Zum Zweiten steht diese Info auch in den Log-Files des Servers. In der Datenbank sind die Passwörter mit einem Hash gesichert, in den Logfiles nicht. Sollten die Logfiles leaken, sind die Passwörter alles User geleakt.

Es ist wie immer, Sicherheit besteht aus vielen Aspekten, und ein bischen Sicherheit ist eben noch lange nicht sicher. Anmeldedaten gehören in POST-Requests, genau so wie alles andere, was Daten auf dem Server ändert.

Stefan

[tox]

Das ist doch völlig klar, dass Passwörter per POST übertragen gehören, und das wird auch so gemacht bei unserem Board und Wiki. Ich bezog mich mit der Aussage, dass es sich nicht um ein Sicherheitsproblem handle, auf die tatsächlich vom Board per GET übertragenen Daten.

[3dfxatwork]

Hallo

Danke sneumann für den Link, dort steht auf folgender Link. Das hab ich jetzt mal geschafft bei mir zuhause auszuprobieren, und es klappt. Ich hab das auch auf dem FF VServer installiert, ich werde zum testen mal am Dienstag mit Sandro den Server neustarten, um zu probieren, ob alles funktioniert.

mfg Matthias

[3dfxatwork]

So wir haben das getestet, habe noch einen fehler im olsr startskript behoben, wenn jemand den server neustartet werden dann also alle dienste mitgeladen.