Jump to content
Froxlor Forum

df8oe

Members
  • Posts

    124
  • Joined

  • Last visited

  • Days Won

    1

Everything posted by df8oe

  1. I mean it is simpler to fire one mysql command for modifying all domains than fiddling through individual settings of 79 domains
  2. I see database is already prepared has a field for this value. I will modify this in database.
  3. I am stepping forward. Because my server is running the newest software (Arch based) it now uses the strongest ciphers. One thing is remaining: I must use two weak ciphers to not kick off older OS/X and WindowsPhone devices. Now I want to set "SSLHonorCipherOrder on" "SSLSessionTickets off" and I did so in apache SSL mod settings. But Froxlor does not use this: "SSLHonorCipherOrder" is always set to "off" and "SSLSessionTickets" is ignored completely. How can I tell Froxlor to activate "SSLHonorCipherOrder" for all domains?
  4. Thank you - thats what I was looking for...
  5. Hi to all, I have checked my sites with https://www.ssllabs.com/ssltest/ to check http2 functionaliy. Everything is working fine - except there are many weak ciphers detected. I already have edited apache ssl config - it only contains the following ciphers: SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256 But this has no effect - weak ciphers are staying exactly as before. I checked that froxlor generated configs also include a list of ciphers. Does this list override the default settings? Where can I edit the ciphers froxlor uses for building the configs? I never have focused on that before...
  6. Ergänzung: der Cronjob von acme läuft um 00:07... Damit ist die Sache mit der Wahrscheinlichkeit wieder obsolet. Vielmehr sieht es jetzt so aus als wenn acme die in der conf vorhandene Einstellung für Le_API mit zerossl überschreibt. Vielleicht hilft ja das Log von dem Cron-Lauf bei dem die Config neu (falsch) geschrieben wurde: [Sa 14. Mai 00:07:06 CEST 2022] di='/root/.acme.sh/domain.xyz/' [Sa 14. Mai 00:07:06 CEST 2022] d='domain.xyz' [Sa 14. Mai 00:07:06 CEST 2022] Using config home:/root/.acme.sh [Sa 14. Mai 00:07:06 CEST 2022] ACME_DIRECTORY='https://acme.zerossl.com/v2/DV90' [Sa 14. Mai 00:07:06 CEST 2022] DOMAIN_PATH='/root/.acme.sh/domain.xyz' [Sa 14. Mai 00:07:06 CEST 2022] Renew: 'domain.xyz' [Sa 14. Mai 00:07:06 CEST 2022] Le_API='https://acme-v02.api.letsencrypt.org/directory' [Sa 14. Mai 00:07:06 CEST 2022] Using config home:/root/.acme.sh [Sa 14. Mai 00:07:06 CEST 2022] ACME_DIRECTORY='https://acme.zerossl.com/v2/DV90' [Sa 14. Mai 00:07:06 CEST 2022] _main_domain='domain.xyz' [Sa 14. Mai 00:07:06 CEST 2022] _alt_domains='www.domain.xyz' [Sa 14. Mai 00:07:06 CEST 2022] Le_NextRenewTime='1652396849' [Sa 14. Mai 00:07:06 CEST 2022] Using ACME_DIRECTORY: https://acme.zerossl.com/v2/DV90 [Sa 14. Mai 00:07:06 CEST 2022] _init api for server: https://acme.zerossl.com/v2/DV90 [Sa 14. Mai 00:07:06 CEST 2022] GET [Sa 14. Mai 00:07:06 CEST 2022] url='https://acme.zerossl.com/v2/DV90' [Sa 14. Mai 00:07:06 CEST 2022] timeout= [Sa 14. Mai 00:07:06 CEST 2022] _CURL='curl --silent --dump-header /root/.acme.sh/http.header -L ' [Sa 14. Mai 00:07:10 CEST 2022] ret='0' [Sa 14. Mai 00:07:10 CEST 2022] ACME_KEY_CHANGE='https://acme.zerossl.com/v2/DV90/keyChange' [Sa 14. Mai 00:07:10 CEST 2022] ACME_NEW_AUTHZ [Sa 14. Mai 00:07:10 CEST 2022] ACME_NEW_ORDER='https://acme.zerossl.com/v2/DV90/newOrder' [Sa 14. Mai 00:07:10 CEST 2022] ACME_NEW_ACCOUNT='https://acme.zerossl.com/v2/DV90/newAccount' [Sa 14. Mai 00:07:10 CEST 2022] ACME_REVOKE_CERT='https://acme.zerossl.com/v2/DV90/revokeCert' [Sa 14. Mai 00:07:10 CEST 2022] ACME_AGREEMENT='https://secure.trust-provider.com/repository/docs/Legacy/20201020_Certificate_Subscriber_Agreement_v_2_4_click.pdf' [Sa 14. Mai 00:07:10 CEST 2022] ACME_NEW_NONCE='https://acme.zerossl.com/v2/DV90/newNonce' [Sa 14. Mai 00:07:11 CEST 2022] Using CA: https://acme.zerossl.com/v2/DV90 [Sa 14. Mai 00:07:11 CEST 2022] _on_before_issue [Sa 14. Mai 00:07:11 CEST 2022] _chk_main_domain='domain.xyz' [Sa 14. Mai 00:07:11 CEST 2022] _chk_alt_domains='www.domain.xyz' [Sa 14. Mai 00:07:11 CEST 2022] Le_LocalAddress [Sa 14. Mai 00:07:11 CEST 2022] d='domain.xyz' [Sa 14. Mai 00:07:11 CEST 2022] Check for domain='domain.xyz' [Sa 14. Mai 00:07:11 CEST 2022] _currentRoot='/var/www/froxlor' [Sa 14. Mai 00:07:11 CEST 2022] d='www.domain.xyz' [Sa 14. Mai 00:07:11 CEST 2022] Check for domain='www.domain.xyz' [Sa 14. Mai 00:07:11 CEST 2022] _currentRoot='/var/www/froxlor' [Sa 14. Mai 00:07:11 CEST 2022] d [Sa 14. Mai 00:07:11 CEST 2022] config file is empty, can not read CA_KEY_HASH [Sa 14. Mai 00:07:11 CEST 2022] Using config home:/root/.acme.sh [Sa 14. Mai 00:07:11 CEST 2022] ACME_DIRECTORY='https://acme.zerossl.com/v2/DV90' [Sa 14. Mai 00:07:11 CEST 2022] _init api for server: https://acme.zerossl.com/v2/DV90 [Sa 14. Mai 00:07:11 CEST 2022] RSA key [Sa 14. Mai 00:07:11 CEST 2022] config file is empty, can not read CA_EAB_KEY_ID [Sa 14. Mai 00:07:11 CEST 2022] config file is empty, can not read CA_EAB_HMAC_KEY [Sa 14. Mai 00:07:11 CEST 2022] config file is empty, can not read CA_EMAIL [Sa 14. Mai 00:07:11 CEST 2022] No EAB credentials found for ZeroSSL, let's get one [Sa 14. Mai 00:07:11 CEST 2022] acme.sh is using ZeroSSL as default CA now. [Sa 14. Mai 00:07:11 CEST 2022] Please update your account with an email address first. [Sa 14. Mai 00:07:11 CEST 2022] acme.sh --register-account -m my@example.com [Sa 14. Mai 00:07:11 CEST 2022] See: https://github.com/acmesh-official/acme.sh/wiki/ZeroSSL.com-CA [Sa 14. Mai 00:07:11 CEST 2022] _on_issue_err [Sa 14. Mai 00:07:11 CEST 2022] Please check log file for more details: /root/.acme.sh/acme.sh.log [Sa 14. Mai 00:07:11 CEST 2022] Return code: 1 [Sa 14. Mai 00:07:11 CEST 2022] Error renew domain.xyz.
  7. Aber vielleicht triggert er das Schreiben? Ich finde die Tatsache dass das Modifikationsdatum der conf-Dateien exakt mit dem Werfen der Cron-Mail 24 Stunden später übereinstimmt eigenartig.
  8. Ich bin mir inzwischen nicht mehr sicher ob der Fehler wirklich bei acme liegt. Ich habe auf meinen Servern nach dem letzten Problem geschaut ob in irgendeiner conf noch zerossl steht: nein, da stand überall letsencrypt - und das seit dem 5.Mai. Heute morgen bekomme ich wieder mit dass nun bei sieben Domains wieder zerossl drinsteht und der renew fehlschlägt... Die confs wurde gestern morgen um 00:07 neu geschrieben - dabei ist es passiert. Die Meldung vom Froxlor-Cronjob dass das Renew fehlgeschlagen ist datiert von heute 00:07. Ist es ein Zufall dass die Änderungen an den confs beim Froxlor-cron-Lauf um 00:07 gestern geschahen - und exakt um die gleiche Zeit am nächsten Tag können deswegen keine Zertifikate erneuert werden? Für mich ist die Wahrscheinlichkeit hoch dass Froxlor selbst bei seinem cron-Lauf gestern die confs neu geschrieben hat - und dabei ist be denen wo die Zertifikate erneuert werden sollen zerossl reingekommen. Bei allen anderen confs (bei denen die Zertifikate noch länger gültig sind) ist nichts böses passiert.
  9. Danke - der Anker führt mich weiter! Ich schaue mir mal die certificate-configs an.
  10. hmmmm.... Die Einstellungen sind nach wie vor alle korrekt. Ich ging bislang davon aus dass das zwei verschiedene Mechanismen sind: 1) acme pflegt die Zertifikate autark in /root/.acme.sh/ mit Hilfe des cron-Jobs von root. 2) Froxlor kopiert eventuell neu geholte Zertifikate um Ich habe in der Crontab von root geschaut - da steht ein Standardaufruf von acme.sh drin. Woher weiß dieser Standardaufruf dass er nicht zerossl benutzen soll? Oder ist der root-acme-Cronjob obsolet/kontraproduktiv und Froxlor kaskadiert einen selbst initialisierten acme-Lauf mit seinem Teil der Zertifikatsübernahme?
  11. Weitere Ergebnisse: Es waren 5 Domains verteilt auf die zwei Server betroffen. Die letzten erfolgreichen Zertifikatserneuerungen waren am 30.04. Ich habe die 5 Domains jetzt mit acme.sh --renew -d mydomain1.xxx --server letsencrypt acme.sh --renew -d mydomain2.xxx --server letsencrypt ... erneuert: das lief ohne Fehler durch. Woher bekommt acme die Information dass es letsencrypt benutzen soll? Denn daran scheint es zu haken.
  12. Das hatte ich auch so gesehen. Sollte es aber ein Problem von acme sein dürften ja mehr User von Froxlor betroffen sein und hier könnten weitere Reports aufschlagen. Die betreffenden Zertifikate laufen noch 1 Monat - ich werde das erstmal weiter beobachten.
  13. /root/.acme.sh/acme.sh --version zeigt bei mir: /root/.acme.sh/acme.sh --version https://github.com/acmesh-official/acme.sh v3.0.3 Die Fehlermeldung wegen der nicht erneuerten Zertifikate habe ich schon seit ein paar Tagen (länger als das letzte Update von acme). Ich habe mir die ersten drei Tage nichts daraus gemacht - ab und an hakt etwas wegen Netzwerkproblemen und Timeouts - kein Grund zur Sorge. Diesmal ist ie Ursache aber definitiv kein Timeout.
  14. Bis dato gab es nie Probleme mit Letsencrypt und Froxlor. Ich habe zwei Server mit Froxlor laufen, es werden praktisch ständig Zertifikate erneuert. Die Ursache des Problems kann also nicht Monate alt sein. Symptom: In den Froxlor Logs taucht auf [Do 5. Mai 00:07:10 CEST 2022] Please add '--debug' or '--log' to check more details. [Do 5. Mai 00:07:10 CEST 2022] See: https://github.com/acmesh-official/acme.sh/wiki/How-to-debug-acme.sh [Do 5. Mai 00:07:10 CEST 2022] Error renew mydomain1.xxx. [Do 5. Mai 00:07:15 CEST 2022] Please add '--debug' or '--log' to check more details. [Do 5. Mai 00:07:15 CEST 2022] See: https://github.com/acmesh-official/acme.sh/wiki/How-to-debug-acme.sh [Do 5. Mai 00:07:15 CEST 2022] Error renew mydomain2.xxx. Also habe ich mal geschaut was der manuelle acme-Lauf ergibt und finde da folgendes: ... [Do 5. Mai 06:59:35 CEST 2022] Using CA: https://acme.zerossl.com/v2/DV90 [Do 5. Mai 06:59:35 CEST 2022] No EAB credentials found for ZeroSSL, let's get one [Do 5. Mai 06:59:35 CEST 2022] acme.sh is using ZeroSSL as default CA now. [Do 5. Mai 06:59:35 CEST 2022] Please update your account with an email address first. [Do 5. Mai 06:59:35 CEST 2022] acme.sh --register-account -m my@example.com [Do 5. Mai 06:59:35 CEST 2022] See: https://github.com/acmesh-official/acme.sh/wiki/ZeroSSL.com-CA [Do 5. Mai 06:59:35 CEST 2022] Please add '--debug' or '--log' to check more details. [Do 5. Mai 06:59:35 CEST 2022] See: https://github.com/acmesh-official/acme.sh/wiki/How-to-debug-acme.sh [Do 5. Mai 06:59:35 CEST 2022] Error renew mydomain1.xxx. ... Mit --debug sieht das so aus: ... [Do 5. Mai 08:08:35 CEST 2022] config file is empty, can not read CA_KEY_HASH [Do 5. Mai 08:08:35 CEST 2022] Using config home:/root/.acme.sh [Do 5. Mai 08:08:35 CEST 2022] ACME_DIRECTORY='https://acme.zerossl.com/v2/DV90' [Do 5. Mai 08:08:35 CEST 2022] _init api for server: https://acme.zerossl.com/v2/DV90 [Do 5. Mai 08:08:35 CEST 2022] RSA key [Do 5. Mai 08:08:35 CEST 2022] config file is empty, can not read CA_EAB_KEY_ID [Do 5. Mai 08:08:35 CEST 2022] config file is empty, can not read CA_EAB_HMAC_KEY [Do 5. Mai 08:08:35 CEST 2022] config file is empty, can not read CA_EMAIL [Do 5. Mai 08:08:35 CEST 2022] No EAB credentials found for ZeroSSL, let's get one ... Gibt es da was neues? Muss ich mich bei Letsencrypt irgendwie neu legitimieren? Das taucht wie gesagt bei zwei unabhängigen Servern auf...
  15. Hi, I do have a running fork of Froxlor which perfectly runs DKIM support. I have done all programming about three years ago and have made a pull request. Because php is not my familar programming language (I am programming in C e.g. firmware of mikrocontrollers) d00p wants some changes - which I cannot provide. I have always pulled my fork to the recent Froxlor version until now. I think it is very easy for someone who is familar with php to do the wanted changes so that DKIM can step into the official release. You can find my fork here: https://github.com/df8oe/Froxlor .I have integrated DKIM with amavisd. Is there anybody who can finish my work and renew the pull request? Feel free if you do have any questions of implementing. I have swapped from Debian based server to Arch Linux based server 2 years ago (because of newer software and the "rolling release concept" and everything is working with Arch Linux, too.
  16. Danke, der Tipp ist auch sehr gut. Ich habe den Cron-Script seit meinem Post hier gepatched und dadurch pro Tag etliche Megabyte weniger Errorlogs. Klar dass die Last auch entsprechend gesunken ist. LG
  17. Danke - ich teste mal aus ob das irgendeinen positiven Einfluss auf die Systemlast hat
  18. Hallo an alle, es kommt ja tausende Male am Tag vor dass irgendein Robot oder Hacker versucht, z.B. wp-login.php zu öffnen - was es aber gar nicht auf der betreffenden Domain gibt. Die Möglichkeiten solcher "Hackversuche" sind unerschöpflich. Abstellen kann man sie nicht - aber man kann verhindern, dass Aufrufe von nicht existierenden php-Scripten überhaupt bis zum php-fpm durchkommen. Das geht indem man in der jeweiligen Apache-Domain-conf die Zeile SetHandler "proxy:unix:/var/lib....fpm.socket|fcgi://localhost" ersetzt durch <If "-f %{SCRIPT_FILENAME}"> SetHandler "proxy:unix:/var/lib/...fpm.socket|fcgi://localhost" </If> Dann ist wenigstens ein Dienst weniger mit diesem Müll beschäftigt Kann man Froxlor irgendwie sagen dass es den php-fpm-Aufruf in so ein if-Statement einbettet?
  19. Vielen Dank für die schnelle Reaktion. Ist wie immer absolute Spitze! Leider übersteigt das was sich seit meiner Implementierung von DKIM getan hat meine php-Fähigkeiten massiv so dass ich nichts mehr beitragen kann (außer Issue-Reports). Wenn meine Implementierung irgendwann mal auseinanderfliegt bin ich nicht in der Lage zu verstehen warum. Es bleibt nur zu hoffen dass es noch lange gut geht
  20. 597 und 598 sind ja eigentlich eine Befehlszeile (in meiner admin_domains.php sind das eben 611 und 612). Wenn ich diese Zeile ausdokumentiere sind die Fehlermeldungen weg. In beiden Fällen sieht es auf den ersten Blick so aus als wenn alles funktioniert. Zumindest sind alle Domaineigenschaften aufgeführt und mit sinnvollen Daten / Häkchen gefüllt.
  21. Keine Ahnung mehr warum ich auf die Zeilennummern gekommen bin... Es sind die Zeilen 597 und 598 (ich hänge sicherheitshalber einen Screenshot an).
  22. Ich habe eben ein Update von der 10.26 auf die 10.27 gemacht. Nach dem ersten Einloggen migriert, Froxlor ist dann auch aufrufbar. Beim Aufruf von Domains im Domainpanel zum Bearbeiten erhalte ich bei allen Domains die folgenden Fehlermeldungen im Browser oberhalb der Domaineinstellungen: PHP warning/error #2 Trying to access array offset on value of type null admin_domains.php:612 PHP warning/error #2 Undefined variable $customer admin_domains.php:612 PHP warning/error #2 Trying to access array offset on value of type null admin_domains.php:612 PHP warning/error #2 Undefined array key "customername" admin_domains.php:611 Wie kann ich der Ursache auf die Spur kommen? LG df8oe EDIT: Da ich seit Jahren die "dkim-Version" von meinem GitHub nutze (https://github.com/df8oe/Froxlor) sind die Zeilennummern in der Datei gegenüber der aus dem Original-Froxlor-GitHub verschoben. Die korrespondierenden Zeilennummern sind 508 und 507.
  23. I presumed that.... 😁 OK - I step on manually. Testing is only with 2...4 domains - so not bothering. But interesting project. WKD/WKS is very interesting in my eyes and it is not as complicated to integrate in Froxlor. DKIM is already working perfectly (using the fork from my GitHub) and email security is a very important part of a server today. I am using pgp since 1998 (on all my Linux machines) - but now since M$ outlook supports WKD/WKS it becomes more important...
  24. Hi to all, I am just working on implementing WKS setup which is done by froxlor. WKD is already working properly and now I am stepping in theory of WKS. There must be an email-address key-submission@example.org for every domain which is forwarded to a local mailbox (e.g. the one of the local user "webkey") At the moment I am trying this manually in Froxlor: - creating email-address key-submission@example.org ...and then I tried to set a forward address webkey@localhost but this is failing. So I set the address to webkey@localhost.de and corrected the address in mysql to webkey@localhost . Everything is working as expected: mails to key-submission@example.org are at the local mailbox of webkey. Of course later this will be set by php - but for now I want to know if it is possible to set forwarding to an address @localhost without puddling in mysql database?
  25. Dummer eigener Fehler. composer.lock wurde nicht kopiert. Sorry für die Unruhe - läuft wie vorher.
×
×
  • Create New...