Geplante Wartungsarbeiten am 15.12.2019

Beta-User · 19 Dezember 2019, 10:39:11

Wenn ich das von Nestor richtig verstehe, hängt es daran, dass zum einen OpenSSL aktuell ist und zum anderen die Perl-lib Net::SSLeay neu initialisiert.

Was jeweils für OpenSSL und libnet-ssleay-perl ausgeliefert wird, kann man ja über die Suche bei Debian (zumindest in etwa) in Erfahrung bringen: https://packages.debian.org/search?searchon=names&keywords=openssl

Für einen schnellen Test sollte es also so gehen (wheezy wird ja nicht aktueller sein, und funktioniert noch...):

Code Auswählen

sudo apt-get install --reinstall openssl libnet-ssleay-perl
@Otto123: Vielleicht testest du das auf deiner "Testmurmel" mal aus (du hattest doch ein betroffenes System, oder?)?

Ansonsten sollte man (in Anfängerbereich oder bei Linux-Server?) dazu einen neuen Thread aufmachen, das ist hier ein reichlich exotischer Platz für solche Diskussionen...

Otto123 · 19 Dezember 2019, 10:55:45

Zitat@Otto123: Vielleicht testest du das auf deiner "Testmurmel" mal aus (du hattest doch ein betroffenes System, oder?)?

Jaaa gerne, aber wie? Der update Server frisst ja jetzt wieder meine Testmurmel (ist im übrigen mein aktuelles aktives Haupt FHEM) 🙈

ich hatte ja "einfach" gedacht, wenn einer der Admins eine subdomain neussl.fhem.de (oder von mir aus auf irgendeiner Testmurmel) nach neuem Schema schaltet kann ich mit

Code Auswählen

update check https://neussl.fhem.de/fhemupdate/controls_fhem.txteinen Test machen.

Ich habe leider keinen Plan wie ich das intern bei mir bewerkstelligen könnte und dann wäre ich auch wieder der einzige 😂

Beta-User · 19 Dezember 2019, 10:59:57

Argh... Mal wieder zu kurz gedacht

.

Na ja, lassen wir das...

cs-online · 19 Dezember 2019, 12:41:07

Zitat von: rudolfkoenig am 18 Dezember 2019, 18:47:51
Habe gerade TLS1 und TLS1.1 auf dem Server wieder aktiviert.

Weiterhin habe ich die -noSSL Option zu update hinzugefuegt.

Ähm, hilf mir bitte mal eben auf die Sprünge, wo wird das denn eingestellt ? Ich finde kein "update"-Device mit "list update"

Grüße Christian

Beta-User · 19 Dezember 2019, 12:44:50

...versuch's mal mit "help update"...
Oder sieh dir die commandref dazu an (was fast auf dasselbe rausläuft).

Vorerst wird dir -noSSL wohl keinen großen Vorteil bringen, weil im Moment noch (ziemlich alle?) "alte" Anfragen durchkommen bzw. deine "update" das noch gar nicht kann...

rudolfkoenig · 19 Dezember 2019, 13:00:33

Subdomain ist nicht so einfach: da erst die SSL Verbindung aufgebaut wird, und dann die Domaene per HTTP Header uebermittelt wird, brauche ich eine weitere IP-Adresse, fuer IPv4 muesste ich es dazukaufen. Und ich bin noch nicht so fest im Apache-Konfigurieren, dass ich die separate SSL-Einstellung ohne Stoerung der Produktion versrpechen kann.

Nach etwas experimentieren (kurzzeitiges aendern der Konfiguration): das Problem bei mir wird nicht durch "SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1" ausgeloest, sondern durch SSLCipherSuite, die im Problemfall deutlich kuerzer ist:

Code Auswählen

% nmap --script ssl-enum-ciphers -p 443 fhem.de

Starting Nmap 6.47 ( http://nmap.org ) at 2019-12-19 12:54 CET
Nmap scan report for fhem.de (88.99.31.202)
Host is up (0.013s latency).
PORT    STATE SERVICE
443/tcp open  https
| ssl-enum-ciphers: 
|   SSLv3: No supported ciphers found
|   TLSv1.0: No supported ciphers found
|   TLSv1.1: No supported ciphers found
|   TLSv1.2: 
|     ciphers: 
|       TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 - strong
|       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 - strong
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - strong
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 - strong
|     compressors: 
|       NULL
|_  least strength: strong

Nmap done: 1 IP address (1 host up) scanned in 2.55 seconds

Ich habe jetzt wieder die grosse Cipher-Liste aktiviert.

Nachtrag: wenn man eine beliebige Webseite (xxx.org) mit der gleichen kurzen Cipher-Liste findet, dann muesste in FHEM "update https://xxx.org/" den gewuenschten Fehler erzeugen.

Wernieman · 19 Dezember 2019, 13:04:28

@rudolfkoenig

Wie schon mal gesagt: Wenn Du apache-Hilfe brauchst, sag Bescheid. Auch wenn ich jetzt nicht mehr soo fitt (in nder Firma sind wir zu 90% auf NGINX umgeschwenkt) mach ich es (fast) beruflich ...

cs-online · 19 Dezember 2019, 14:52:11

Zitat von: Beta-User am 19 Dezember 2019, 12:44:50
...versuch's mal mit "help update"...
Oder sieh dir die commandref dazu an (was fast auf dasselbe rausläuft).

Vorerst wird dir -noSSL wohl keinen großen Vorteil bringen, weil im Moment noch (ziemlich alle?) "alte" Anfragen durchkommen bzw. deine "update" das noch gar nicht kann...

Danke dir

rakete123 · 21 Dezember 2019, 19:39:57

Zitat von: rudolfkoenig am 19 Dezember 2019, 13:00:33
Nachtrag: wenn man eine beliebige Webseite (xxx.org) mit der gleichen kurzen Cipher-Liste findet, dann muesste in FHEM "update https://xxx.org/" den gewuenschten Fehler erzeugen.

Meine website https://resize2fs.de hat die "TLS Intermediate compatibility" nach Mozilla: https://ssl-config.mozilla.org/#server=apache&server-version=2.4.39&config=intermediate

Auf Client Seite muss allerdings auch SNI supported sein: https://metacpan.org/pod/IO::Socket::SSL#SNI-Support

cs-online · 22 Dezember 2019, 13:13:36

Ähm, ggf. etwas off Topic, aber nachdem ich nun (ist ja kein Aufwand für einen Linux-Freak.... leider bin ich keiner) knapp zig Stunden gebraucht habe, einem RPI 2B Buster beizubringen (das war noch recht simpel) und dann mein FHEM da wieder drauf zu bügeln (das war dann schon tricky, weil zig Sachen nachinstalliert werden mussten, von denen ich gar nicht mehr auf dem Schirm hatte, dass ich die mal irgendwann in den letzten Jahren installiert habe...) kommt mir die Frage auf, ob es einen "simplen" Weg gibt, ein mittels "backup" erstelltes Archiv wieder so herzustellen, dass es auch läuft ? Als relativ unbefleckter Linux-Blinder hab ich das Archiv auf dem Ziel-RPI nämlich nicht aufbekommen (war evtl. zu gross) und musste daher auf meinem NAS entpackt und dann häppchenweise wieder zurück kopiert werden und weil Linux so nette Dinge wie "...keine Berechtigung" bereit hält................................. Einfach restore (was ja zu backup passen würde) stellt ja keine ganzen Archive wieder her oder ?

Grüße

Christian

Otto123 · 22 Dezember 2019, 17:31:33

Hallo Christian,

FHEM backup erzeugt ein tar Archiv im backup Pfad. Das kannst Du so wieder auspacken wie ich es hier u.a. beschrieben habe:
https://heinz-otto.blogspot.com/2019/07/neues-linux-system-nacharbeit.html
Der restore Befehl von FHEM stellt Dateien aus einem speziellen restore Pfad wieder her. Das ist eher gedacht: gestern beim update ging was schief -> schnell restore auf den Stand von gestern.

Gruß Otto

cs-online · 22 Dezember 2019, 20:14:15

Hallo Otto,

das mit dem Restore hatte ich genau so verstanden, habe ich auch schon mal nutzen müssen... Die Info, wie ich das Archiv wieder zurück bekomme ist sicher beim nächsten Versuch Gold wert, danke dafür ! Richtig geil wäre das natürlich schon, wenn man das mal in den Restore-Befehl mit integrieren könnte

Soweit alles gut, läuft jetzt erstmal auf dem Testsystem, wenn der Weihnachtsmann den RPI4 bringen sollte, wird weiter getestet

Grüße

Christian

cs-online · 24 Dezember 2019, 11:33:54

hmmm... seit gestern etwas merkwürdig, wenn ich "update noSSL" starte, kommt "nothing to do", wenn ich nur "update" starte, dann macht er das update...

Otto123 · 24 Dezember 2019, 11:45:05

update -noSSL ?

Bei update noSSL macht er was anderes

und hat nichts zu tun

cs-online · 24 Dezember 2019, 14:20:41

hmmm... hat aber bis vorgestern noch funktioniert, da bin ich mir ziemlich sicher... und mit dem Minus davor hat das bei mir (links in der Leiste eingebunden) immer einen Fehler ausgegeben, weshalb ich das dann ohne probiert habe. Aber gut zu wissen... Ist aber auch nur noch kurze Zeit relevant, möglicherweise kommt hier bald ein RPI4 zum Einsatz und dann ist sozusagen Buster