Beiträge von Daniel Bradler

Welche Ausgabe liefert domainkey?

export SPLIT=5000
/var/qmail/bin/domainkey -p $domain

Zitat von jprusch

Also das Skript "mysql_upgrade.sh" funktioniert nicht, man kann anschliessend den Webserver wegwerfen.

Das Skript mysql_upgrade.sh funktioniert problemlos, ist allerdings fuer den Wechsel von MySQL 5.5 auf MySQL 5.7 ausgelegt.

Wenn Sie von MySQL 5.7 auf MySQL 8 wechseln moechten, reicht ein simples Upgrade der Serverumgebung auf Reihe 8 ("se-upgrade.sh -s 8")

Finden sich im ErrorLog weitere Hinweise, etwa welches Zertifikat das Problem verursacht?

Es gibt einen Thread zum Upgrade von MySQL 5.5 auf MySQL 5.7, dabei muessen die Datenbanken per Dump gesichert und wieder eingespielt werden. Die Vorgehensweise ist hier identisch.

MariaDB 10.2 ist nicht kompatibel zu OpenSSL 3 und zudem EOL. Sie sollten auf MariaDB 10.5 wechseln.

/service/qmail-smtpSd/run erzeugt fuer Port 465 eine stunnel-Konfigurationsdatei. Da sollten sich TLSv1.0 und TLSv1.1 wie folgt deaktivieren lassen:

options = NO_SSLv2
options = NO_SSLv3
options = NO_TLSv1
options = NO_TLSv1.1

Aktuelle Versionen der Server-Umgebung mit OpenSSL 3 bieten diese alten Versionen allerdings auch gar nicht mehr an.

Es geht wie folgt:

echo 1 > /var/qmail/control/no_sslv2v3
echo 1 > /var/qmail/control/no_tlsv1
echo 1 > /var/qmail/control/no_tlsv11

Ich bin da leider kein Experte. Zu dem Thema kann ich nur sagen, dass einige unserer Kunden Gunicorn (https://gunicorn.org/) als Dienst in Zusammenspiel mit der HTTP-Proxy-Funktion von pd-admin verwenden.

Wir haben eine neue Version der Update-Routine veroeffentlicht. Bitte testen Sie, ob das Problem damit noch auftritt.

Zitat von tbc233

In allen Fällen war es der AVAST Virenscanner

Das Problem tritt bei uns seit einiger Zeit auch häufiger auf. Es gibt inzwischen eine Beta-Version, die den Fehler behebt:

https://forum.avast.com/index.php?topic=320722.0
Eine stabile Version soll in der kommenden Woche folgen.

Ursaechlich ist vermutlich die in pd-admin v4.96 eingefuehrte Anzeige des belegten Speicherplatzes im Endkunden-Dashboard. Das Problem wurde mit v4.07 behoben.

Nach "in BL zen.spamhaus.org" sollte eigentlich abgebrochen werden. Das ist aber nicht (immer) der Fall. Wir korrigieren den Fehler in der kommenden Version.

Sie Session ist an eine IP-Adresse gebunden. Aendert sich die vielleicht im Lauf der Sitzung?

Es kann der Hostname einer Blacklist hinterlegt werden. Die Konfiguration mehrerer Listen ist bislang nicht umgesetzt.

Das Skript mysql_privileges.pl war noch nicht fuer MySQL 8 angepasst. Jetzt sollte es passen. Ich konnte es allerding noch nicht testen.

Zitat von WebTeufel

ist A+ auch mit letsencrypt Zertifikaten möglich?

Ja, das ist moeglich, z.B. mit:

SSLCipherSuite ECDH+AESGCM:ECDH+AES256:ECDH+AES128:ECDH+3DES:RSA+AES:RSA+3DES:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!ADH:!AECDH:!MD5:!DSS:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

Zusaetzlich muss HSTS aktiviert werden.

https://httpd.apache.org/security/vulnerabilities_24.html:

"A crafted URI sent to httpd configured as a forward proxy (ProxyRequests on) can cause a crash (NULL pointer dereference) or, for configurations mixing forward and reverse proxy declarations, can allow for requests to be directed to a declared Unix Domain Socket endpoint (Server Side Request Forgery)."

CVE-2021-44224 duerfte pd-admin daher nicht betreffen. Wir sehen es uns aber noch genauer an.

Neben Elasticsearch ist bei unseren Kunden auch SOLR recht beliebt.

pd-admin selbst verwendet aber, wie schon ausgefuehrt, kein Java und ist von dem Problem daher nicht betroffen.

Die Frage ist eher, warum es das Feld auf dem Quellserver gibt. Durch pd-admin wurde es nicht angelegt.

Die Funktion befindet sich noch in der Entwicklung. Daher sind Aenderungen moeglich, die eine Kompatiblitaet zwischen den Versionen verhindern. Mittelfristig wird die Schnittstelle sicherlich stabiler. Ich sehe aber auch aktuell keinen Grund, der ein Update von pd-admin verhindern wuerde.

Zur Fehlerursache: Es gibt auf dem Quellserver anscheinend ein Datenbankfeld account_locked, das auf dem Zielserver nicht existiert. Daher scheitert der Import.