Beiträge von Daniel Bradler

Sie Session ist an eine IP-Adresse gebunden. Aendert sich die vielleicht im Lauf der Sitzung?

Es kann der Hostname einer Blacklist hinterlegt werden. Die Konfiguration mehrerer Listen ist bislang nicht umgesetzt.

Das Skript mysql_privileges.pl war noch nicht fuer MySQL 8 angepasst. Jetzt sollte es passen. Ich konnte es allerding noch nicht testen.

Zitat von WebTeufel

ist A+ auch mit letsencrypt Zertifikaten möglich?

Ja, das ist moeglich, z.B. mit:

SSLCipherSuite ECDH+AESGCM:ECDH+AES256:ECDH+AES128:ECDH+3DES:RSA+AES:RSA+3DES:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!ADH:!AECDH:!MD5:!DSS:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

Zusaetzlich muss HSTS aktiviert werden.

https://httpd.apache.org/security/vulnerabilities_24.html:

"A crafted URI sent to httpd configured as a forward proxy (ProxyRequests on) can cause a crash (NULL pointer dereference) or, for configurations mixing forward and reverse proxy declarations, can allow for requests to be directed to a declared Unix Domain Socket endpoint (Server Side Request Forgery)."

CVE-2021-44224 duerfte pd-admin daher nicht betreffen. Wir sehen es uns aber noch genauer an.

Neben Elasticsearch ist bei unseren Kunden auch SOLR recht beliebt.

pd-admin selbst verwendet aber, wie schon ausgefuehrt, kein Java und ist von dem Problem daher nicht betroffen.

Die Frage ist eher, warum es das Feld auf dem Quellserver gibt. Durch pd-admin wurde es nicht angelegt.

Die Funktion befindet sich noch in der Entwicklung. Daher sind Aenderungen moeglich, die eine Kompatiblitaet zwischen den Versionen verhindern. Mittelfristig wird die Schnittstelle sicherlich stabiler. Ich sehe aber auch aktuell keinen Grund, der ein Update von pd-admin verhindern wuerde.

Zur Fehlerursache: Es gibt auf dem Quellserver anscheinend ein Datenbankfeld account_locked, das auf dem Zielserver nicht existiert. Daher scheitert der Import.

Zitat von WebTeufel

versionen von quell und ziel server waren unterschiedlich

quelle zu viel:

v4.85 zu 4,88

pd-admin sollte auf beiden Servern auf dem neuesten Stand sein, sonst sind Probleme zu erwarten.

Dieses Skript sollte helfen:

#!/bin/bash
mv /usr/local/pd-admin2/lib/libargon2.so.1 /usr/local/pd-admin2/lib/libargon2.so.1~
cp -a /usr/local/pd-admin2.2021-10-1[23]*/lib/libargon2.so.1 /usr/local/pd-admin2/lib/libargon2.so.1
svc -d /service/FPM-*
sleep 1;
svc -u /service/FPM-*

Als Workaround reicht es, libargon2.so.1 aus SE 0.389 zu uebernehmen. Eine Sicherung finden Sie unter /usr/local/pd-admin2.$TIMESTAMP

Wir koennen den Fehler bestaetigen. Aktuell hilft leider nur ein Downgrade der Serverumgebung auf 0.389.

Nach etwas mehr als einem Jahr moechte ich gerne Bilanz ziehen. Umgesetzt wurden die folgenden hier genannten Wuensche:

• Kundenmigration
• Verbessertes Update von Reihe 4 auf neuere Reihen (http://download.pd-admin.de/mysql_upgrade.sh)
• Probleme bei der Installation behoben
• Let's Encrypt-Zertifikate auch fuer die Serverdienste
• Automatische Mail-Konfiguration fuer Thunderbird

Offen ist noch die IPv6-Unterstuetzung, die voraussichtlich in 2022 folgen wird.

Ich wuerde mit strace untersuchen, wo es genau haengt.

Zitat von tbc233

Replizieren Sie da die vadmin Tabellen mit?

Ja, wobei die IP-Adresse in der Tabelle domains eine virtuelle IP-Adresse ist, die z.B. per keepalived zwischen den Servern hin- und hergeschaltet wird.

Zitat von Stefan3411

ich würde gerne meine pdadmin-Installation inkl. aller Webseiten und Daten der Webseiten auf einem zweiten Server spiegeln

Das ist durchaus moeglich. Wir verwenden fuer solche Setups lsyncd zur Dateisynchronisation und MySQL-Replikation.

2.4.48 ist - wie hier schon ausgefuehrt - nicht betroffen. In der kommenden Version werden wir 2.4.50 ausliefern.

"Verbesserung: Migration von Kunden bei Verwendung von Reihe 9" heisst, dass die Migration jetzt auch bei Verwendung von Reihe 9 grundsaetzlich funktioniert. Im Detail kann es bei allen Reihen noch Probleme geben. Sollten Fehler auftreten, melden Sie sie bitte im "Bug-Report"-Forum.

wheezy ist seit 3 Jahren end-of-life. Es ist aber trivial, lz4 selbst zu kompilieren:

/usr/local/pd-admin2/bin/curl -LO https://github.com/lz4/lz4/archive/refs/heads/dev.zip
unzip dev
cd lz4-dev/
make
mv lz4 /usr/local/bin/

Zitat von Twilo

warum auf lz4 statt auf dem altbewährtem gzip

Erheblich bessere Performance bei guter Kompressionsrate. Der Aufwand fuer die Installation ist zudem sehr ueberschaubar, da lz4 bei allen mir bekannten Distributionen als Binaerpaket verfuegbar ist.