tag:forum.selfhtml.org,2005:/self Let's Encrypt, certbot, Firewall - welche IPs erlauben? – SELFHTML-Forum 2020-04-16T10:08:42Z https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768258#m1768258 Raketenbrandmauerlehrling 2020-04-02T12:58:07Z 2020-04-02T12:58:07Z Let's Encrypt, certbot, Firewall - welche IPs erlauben? <p><strong>Problem:</strong></p> <p>Mit diesem Skript (und einem Crotab-Eintrag) erneuere ich meine Let's Encrypt-Zertifikate.</p> <p>Das funktioniert auch. Aber dem Leser wird auffallen, dass da zwei Kommentare drin stehen:</p> <pre><code class="block"># GGF: Aufhebung der Sperren in der Firewall ## Das müssen Sie selbst tun. /usr/bin/certbot renew 1> "${outfile}" 2>&1; # GGF: Wiederherstellung der Sperren in der Firewall ## Das müssen Sie selbst tun. </code></pre> <p>Ich habe via Firewall eine nette Anzahl ganzer IP-Adressbereiche von großen Hostern und Cloudanbietern (Amazon, Tencent, Cloudflare, ...) gesperrt, weil von dort Kontaktversuche via ssh und „merkwürdige HTTP-Requests" kamen mit denen im besten Fall lediglich versucht wurde, mir neues Wissen über SQL zu vermitteln.</p> <p>Worauf hin dann das Erneuern der Zertifikate sehr zuverlässig nicht mehr gelang.</p> <p>Let's Encrypt hält sich was die Veröffentlichung der bei Renew-Prozess genutzen IP-Adressen betrifft, leider sehr stark zurück, <a href="https://community.letsencrypt.org/t/https-authentication-behind-a-firewall/94894/9" rel="nofollow noopener noreferrer">die einzige halbwegs brauchbar ercheinende von mir gefundene Quelle</a> ist leider nicht besonders zukunftsversprechend, weshalb ich gegenwärtig die Firewall für abermillionen IP-Adressen öffnen (und dann wieder schließen) muss.</p> <p><strong>Frage:</strong></p> <p>Hat jemand eine Ahnung oder eine offizielle und aktualisierte Quelle für die beim Erneuern der Zertifikate genutzten Server?</p> https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768260#m1768260 Raketenergänzungsverantwortlicher 2020-04-02T13:01:19Z 2020-04-02T13:01:19Z Let's Encrypt, certbot, Firewall - welche IPs erlauben? <blockquote> <p>Mit diesem Skript (und einem Crotab-Eintrag) erneuere ich meine Let's Encrypt-Zertifikate.</p> </blockquote> <p>Klar. Da fehlt was:</p> <p><a href="https://code.fastix.org/showFile.php?file=Projekte/Linux%3ALetsEncrypt%20und%20certbot%3AZertifikate%20auf%20sinnvolle%20Weise%20mit%20Bash-Skript%20und%20Crontab%20erneuern/certbot_renew.sh" rel="nofollow noopener noreferrer">Mit diesem Skript (und einem Crotab-Eintrag) erneuere ich meine Let's Encrypt-Zertifikate</a>.</p> https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768264#m1768264 Mitleser 2020-04-02T13:32:21Z 2020-04-02T13:38:21Z Let's Encrypt, certbot, Firewall - welche IPs erlauben? <p>Ich kann Dir bei Deiner konkreten Frage nach den IPs nicht weiterhelfen. Aber da wir da davon ausgehen können, dass wir in dem Kontext mit ROOT-Rechten arbeiten: warum machst Du das Renewal nicht einfach via HTTP stumpf alle 7 Tage? Der Certbot sagt Dir dann schon, dass Du dich bitte noch was gedulden sollst und hast mehr als genug Luft, nicht gesperrt zu werden.</p> <p>letsencrypt-auto certonly --standalone --rsa-key-size 4096 -d example.org -d www.example.org --non-interactive --agree-tos --email info@example.org --http-01-port=8888</p> <p>Im Apache dann halt via mod_proxy den Request auf den temporären Certbot Webserver offenhalten und gut ists.</p> <p>Ich fahre dieses Setup jetzt schon seit Jahren - geräuchlos.</p> <p>Ja, ist auch Aufwand, aber erscheint mir stimmiger als ständig an der Firewall rumzufummeln.</p> <p>[EDIT]: Sorry, du hast HTTP-Requests ja auch als geblockt erwähnt. My bad. Dann vergiss meine Ausführungen. Aber: ich habe mit einer Menge Server mit ordentlich Traffic zu tun. HTTP-Blocks kommen vor, sind aber selten nötig - und bei Bedarf selektiv völlig ausreichend.</p> https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768297#m1768297 TS ts-self@online.de https://bitworks.de 2020-04-03T04:58:29Z 2020-04-03T04:58:29Z Let's Encrypt, certbot, Firewall - welche IPs erlauben? <p>Hello,</p> <p>bitte entschuldige meine Unkenntnis, oder besser: beseitige sie bitte.<br> Warum muss man für die Aktualisierung eines Zertifikats die Firewallregeln (temporär) aufheben?</p> <p>Ich verwende für LetsEncrypt die Scripte von GetSSL, und da ist mir bisher nichts bekannt von einem Zugriff auf die Firewallregeln. Habe ich da etwas übersehen und etwa schon den Devil im System?</p> <p>Glück Auf<br> Tom vom Berg</p> <div class="signature">-- <br> Es gibt nichts Gutes, außer man tut es!<br> Das Leben selbst ist der Sinn. </div> https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768354#m1768354 Raketenbrandmauerlehrling 2020-04-03T15:49:33Z 2020-04-03T15:49:33Z Danke an alle <p>Ich werde also meine Firewall etwas feintunen und die Regeln und chains so gestalten, dass ich Cloudflares IP-Adressbereichen temporär ein paar Zugriffe geben kann.</p> https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768266#m1768266 Raketenbrandmauerlehrling 2020-04-02T14:13:38Z 2020-04-02T14:13:38Z Let's Encrypt, certbot, Firewall - welche IPs erlauben? <blockquote> <p>Warum machst Du das Renewal nicht einfach via HTTP stumpf alle 7 Tage? Der Certbot sagt Dir dann schon, dass Du dich bitte noch was gedulden sollst</p> </blockquote> <p>Also zumindest früher mal kam die Antwort, dass das renew verfrüht sei, vom Server. Den will ich, auch weil es nichts kostet, nicht mit sinnlosen Anfragen belasten und vor allem nicht die Firewall grundlos aufmachen. Hat sich das geändert?</p> https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768271#m1768271 Mitleser 2020-04-02T16:07:33Z 2020-04-02T16:07:33Z Let's Encrypt, certbot, Firewall - welche IPs erlauben? <blockquote> <blockquote> <p>Warum machst Du das Renewal nicht einfach via HTTP stumpf alle 7 Tage? Der Certbot sagt Dir dann schon, dass Du dich bitte noch was gedulden sollst</p> </blockquote> <p>Also zumindest früher mal kam die Antwort, dass das renew verfrüht sei, vom Server. Den will ich, auch weil es nichts kostet, nicht mit sinnlosen Anfragen belasten</p> </blockquote> <p>Ganz ehrlich: keine Ahnung. Aber ganz ehrlich der Roundtrip bei "unnötiger Verlängerungsanfrage" mit Antwort "Ey, hab mal Geduld" alle 7 Tage dauert ca. 1 Sekunde. So what?</p> <p>Ich kann mir nur schwer vorstellen, dass deren Server dadurch mehr Last erfährt, als zu fragen: "darf ich schon?".</p> <blockquote> <p>und vor allem nicht die Firewall grundlos aufmachen. Hat sich das geändert?</p> </blockquote> <p>Ja, okay. Das ist bei Deinem Setup ein Argument. Wie gesagt, IMHO ist dieses Vorgehen drüber. Bei SSH via fail2ban, ok. Aber bei HTTP? Wenn ich da wirklich ein Problem hätte, würde ich mich ebenfalls einem fail2ban ähnlichen Menchanismus bemühen wollen. Wenn mir irgendein Script-Kiddie mal irgendwelche SQLs unterjubeln will? So what?</p> https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768278#m1768278 Raketenbrandmauerlehrling 2020-04-02T17:26:06Z 2020-04-02T17:26:06Z Let's Encrypt, certbot, Firewall - welche IPs erlauben? <blockquote> <p>Ganz ehrlich: keine Ahnung. Aber ganz ehrlich der Roundtrip bei "unnötiger Verlängerungsanfrage" mit Antwort "Ey, hab mal Geduld" alle 7 Tage dauert ca. 1 Sekunde. So what?</p> </blockquote> <p>Da gehts nicht um mich, sondern um die Server von Let's Encrypt und mittlerweile um wohl um ein paar Millionen Zertifikate ...</p> <blockquote> <p>Wenn mir irgendein Script-Kiddie mal irgendwelche SQLs unterjubeln will? So what?</p> </blockquote> <p>Könnte man sagen. Trotzdem muss man die Kinder ja nicht alles spielen lassen. Ich hab schon Gründe, die beizeiten und sehr gründlich in die Schranken zu weisen. Immerhin hat eines meiner speziellen Skriptkiddies aus Plowdiv einst in Nürnberg studiert und ist, wie seine deutschen Bosse auch, sehr wütend…</p> https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768280#m1768280 Mitleser 2020-04-02T17:41:21Z 2020-04-02T17:42:32Z Let's Encrypt, certbot, Firewall - welche IPs erlauben? <blockquote> <blockquote> <p>Ganz ehrlich: keine Ahnung. Aber ganz ehrlich der Roundtrip bei "unnötiger Verlängerungsanfrage" mit Antwort "Ey, hab mal Geduld" alle 7 Tage dauert ca. 1 Sekunde. So what?</p> </blockquote> <p>Da gehts nicht um mich, sondern um die Server von Let's Encrypt und mittlerweile um wohl um ein paar Millionen Zertifikate ...</p> </blockquote> <p>Yoh, schon klar. Aber nochmal: glaubst Du ernsthaft, dass die Frage "Darf ich" mehr Last erzeugt als die Aufforderung "Tu mal bitte" mit entsprechender Antwort. Erscheint mir extrem unwahrscheinlich. Oder wie würdest Du das implementieren?</p> https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768284#m1768284 Raketenbrandmauerlehrling 2020-04-02T17:52:26Z 2020-04-02T17:52:26Z Let's Encrypt, certbot, Firewall - welche IPs erlauben? <blockquote> <p>Oder wie würdest Du das implementieren?</p> </blockquote> <p><a href="https://code.fastix.org/showFile.php?file=Projekte/Linux%3ALetsEncrypt%20und%20certbot%3AZertifikate%20auf%20sinnvolle%20Weise%20mit%20Bash-Skript%20und%20Crontab%20erneuern/certbot_renew.sh" rel="nofollow noopener noreferrer">So wie ich das getan und beschrieben habe</a>. Lokale Ermittlung der Zeitstempel und lokale Entscheidung ob der renew-Prozess (und also die Anfrage an die Server von Let's Encrypt) überhaupt gestartet wird.</p> <p><strong>Zurück zu meinem Problem:</strong></p> <p>Gibt eine von mir nicht gesehene Liste mit IPs oder Hostnamen der am renew-Prozess beteiligten Server von Let's Encrypt?</p> https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768302#m1768302 Christian Kruse https://wwwtech.de/ 2020-04-03T07:04:08Z 2020-04-03T07:04:08Z Let's Encrypt, certbot, Firewall - welche IPs erlauben? <p>Hallo Raketenbrandmauerlehrling,</p> <blockquote> <p>Gibt eine von mir nicht gesehene Liste mit IPs oder Hostnamen der am renew-Prozess beteiligten Server von Let's Encrypt?</p> </blockquote> <p>Nein. Wird es wahrscheinlich auch nicht geben. Let's Encrypt nutzt Cloudflare. Cloudflare wechselt die IPs wie andere ihre Unterhosen.</p> <p>Freundliche Grüße,<br> Christian Kruse</p> <div class="signature">-- <br> <a href="https://wwwtech.de/about" rel="noopener noreferrer">https://wwwtech.de/about</a> </div> https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768382#m1768382 Mitleser 2020-04-04T09:45:04Z 2020-04-04T09:46:02Z Let's Encrypt, certbot, Firewall - welche IPs erlauben? <blockquote> <blockquote> <p>Oder wie würdest Du das implementieren?</p> </blockquote> <p><a href="https://code.fastix.org/showFile.php?file=Projekte/Linux%3ALetsEncrypt%20und%20certbot%3AZertifikate%20auf%20sinnvolle%20Weise%20mit%20Bash-Skript%20und%20Crontab%20erneuern/certbot_renew.sh" rel="nofollow noopener noreferrer">So wie ich das getan und beschrieben habe</a>.</p> </blockquote> <p>Mir ging es eigentlich darum, wie Let's Encrypt mit "überflüssigen" renewal-Anfragen umgeht ;-)</p> <p>Ich sehe da in meinen Messungen einen Gesamtroundrip von ca. 1 Sekunde. Das halte ich alle 7 Tage für tragbar und sogar vernünftig. Letztens war doch irgendein Security-Dinges mit den Zertifikaten, was ein vorzeitiges Renewal sinnvoll machte. Als ich davon las, hatte mein "versuchs einfach mal alle 7 Tage" das Thema schon erledigt gehabt.</p> <p>Aber zu Deinem Script:</p> <pre><code class="block">days=$(certbot certificates 2> /dev/null | grep "VALID:" | sed -e "s/^.*VALID: //" -e 's/ day.*$//'); if [ ${maxDays} -lt ${days} ]; then errMsg="Das Zertifikat ist noch ${days} Tage gültig: Exit"; logger -t "zertifikat_erneuern" "${errMsg}"; echo "${errMsg}"; exit 1; fi </code></pre> <p>Das erscheint mir unnötig kompliziert und fehleranfällig. Außerdem sehe ich da keinen Neustart des Webservers?! Warum nicht einfach so etwas alle 7 Tage in die Crontab:</p> <pre><code class="block">cd /etc/letsencrypt/ && ./certbot-auto renew --force-renew && /etc/init.d/apache2 restart </code></pre> <p>Oder lass das "--force-renew" halt weg, wenn Du den vermeintlich unnötigen Traffic vermeiden willst.</p> https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768299#m1768299 Mitleser 2020-04-03T06:35:24Z 2020-04-03T06:35:24Z Let's Encrypt, certbot, Firewall - welche IPs erlauben? <blockquote> <p>Warum muss man für die Aktualisierung eines Zertifikats die Firewallregeln (temporär) aufheben?</p> </blockquote> <p>Man muss das nicht. Jörg muss, weil:</p> <p><a href="https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768258#m1768258" rel="noopener noreferrer">Ich habe via Firewall eine nette Anzahl ganzer IP-Adressbereiche von großen Hostern und Cloudanbietern Amazon, Tencent, Cloudflare, ... gesperrt, weil von dort Kontaktversuche via ssh und „merkwürdige HTTP-Requests" kamen mit denen im besten Fall lediglich versucht wurde, mir neues Wissen über SQL zu vermitteln. Worauf hin dann das Erneuern der Zertifikate sehr zuverlässig nicht mehr gelang.</a></p> https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768300#m1768300 Tabellenkalk 2020-04-03T06:56:32Z 2020-04-03T06:56:32Z Let's Encrypt, certbot, Firewall - welche IPs erlauben? <p>Hallo,</p> <p>Infern glaubst du, dass das Verlinken des OP mit Hilfe eines verschwurbelten OZ die gestellte Frage beantworten täte?</p> <p>Gruß<br> Kalk</p> https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768303#m1768303 Christian Kruse https://wwwtech.de/ 2020-04-03T07:05:22Z 2020-04-03T07:05:22Z Let's Encrypt, certbot, Firewall - welche IPs erlauben? <p>Hallo Tabellenkalk,</p> <blockquote> <p>Infern glaubst du, dass das Verlinken des OP mit Hilfe eines verschwurbelten OZ die gestellte Frage beantworten täte?</p> </blockquote> <p>Sie beantwortet Toms Frage „warum muss man?“ mit einem präzisen „muss man nicht, muss nur Jörg, weil…“</p> <p>Freundliche Grüße,<br> Christian Kruse</p> <div class="signature">-- <br> <a href="https://wwwtech.de/about" rel="noopener noreferrer">https://wwwtech.de/about</a> </div> https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768304#m1768304 kai345 2020-04-03T07:08:12Z 2020-04-03T07:08:12Z Let's Encrypt, certbot, Firewall - welche IPs erlauben? <blockquote> <p>Nein. Wird es wahrscheinlich auch nicht geben. Let's Encrypt nutzt Cloudflare. Cloudflare wechselt die IPs wie andere ihre Unterhosen.</p> </blockquote> <p>halbjährlich? </p> <div class="signature">-- <br> Stur lächeln und winken, Männer! </div> https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768305#m1768305 Der Martin 2020-04-03T07:09:19Z 2020-04-03T07:09:19Z Let's Encrypt, certbot, Firewall - welche IPs erlauben? <p>Hallo miteinander,</p> <blockquote> <p>Cloudflare wechselt die IPs wie andere ihre Unterhosen.</p> </blockquote> <p>alter Kommiss-Witz:<br> "Die Unterwäsche ist täglich zu wechseln. Und zwar reihum!"</p> <p>Live long and <s>pros</s> healthy,<br>  Martin</p> <div class="signature">-- <br> Ich stamme aus Ironien, einem Land am sarkastischen Ozean. </div> https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768330#m1768330 TS ts-self@online.de https://bitworks.de 2020-04-03T10:07:13Z 2020-04-03T10:07:13Z Let's Encrypt, certbot, Firewall - welche IPs erlauben? <p>Hello,</p> <blockquote> <p>Hallo Raketenbrandmauerlehrling,</p> <blockquote> <p>Gibt eine von mir nicht gesehene Liste mit IPs oder Hostnamen der am renew-Prozess beteiligten Server von Let's Encrypt?</p> </blockquote> <p>Nein. Wird es wahrscheinlich auch nicht geben. Let's Encrypt nutzt Cloudflare. Cloudflare wechselt die IPs wie andere ihre Unterhosen.</p> </blockquote> <p>Um im Bild zu bleiben:<br> Das ist eine mehr als beschissene Aussage!</p> <p>Welche IP-Bereiche stehen denn Cloudflare zur Verfügung? Und wer tummelt sich außer LetsEncrypt sonst noch darauf? Gestatten die über ihre IPs Angriffe auf Andere? Ist der Bereich eher eingrenzbar oder unüberschaubar?</p> <p>Bissschen mehr freiwillige Depth vom Profi wäre lobemswert!</p> <p>Glück Auf<br> Tom vom Berg</p> <div class="signature">-- <br> Es gibt nichts Gutes, außer man tut es!<br> Das Leben selbst ist der Sinn. </div> https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768352#m1768352 Raketenbrandmauerlehrling 2020-04-03T15:43:03Z 2020-04-03T15:43:03Z Let's Encrypt, certbot, Firewall - welche IPs erlauben? <blockquote> <p>Let's Encrypt nutzt Cloudflare. Cloudflare wechselt die IPs wie andere ihre Unterhosen.</p> </blockquote> <p>Ja. Eine schlechte Nachricht ist, wie die Deine gerade zeigt, manchmal auch eine gute Antwort.</p> https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768308#m1768308 TS ts-self@online.de https://bitworks.de 2020-04-03T07:19:54Z 2020-04-03T07:19:54Z Let's Encrypt, certbot, Firewall - welche IPs erlauben? <p>Hello @all,</p> <blockquote> <blockquote> <p>Infern glaubst du, dass das Verlinken des OP mit Hilfe eines verschwurbelten OZ die gestellte Frage beantworten täte?</p> </blockquote> <p>Sie beantwortet Toms Frage „warum muss man?“ mit einem präzisen „muss man nicht, muss nur Jörg, weil…“</p> </blockquote> <p>Das beantwortet meine Frage überhaupt nicht!</p> <p><strong>Und diese ewigen Spitzfindigkeiten bei der Auslegung von Fragen gehen mir langsam auf den Senkel</strong></p> <p>Könnt Ihr nicht endlich mal zurückkehren zur "Google-Methode" "meinten Sie?", wenn die Frage nicht für Jedermanns Kontext exakt genug formuliert war?</p> <h4>Firewall temporär abschalten?</h4><p>Auch ich klammere ganze Blöcke aus. Bisher habe ich aber mit LetsEncrypt <em>deshalb</em> noch keine Probleme gehabt. Lediglich, weil ich vergessen hatte, das Protokoll in den bereits vorhandenen GetSSL-Conf-Scripten auch auf Version 02 umzustellen gab es ein paar Warnungen.</p> <p>Glück Auf<br> Tom vom Berg</p> <div class="signature">-- <br> Es gibt nichts Gutes, außer man tut es!<br> Das Leben selbst ist der Sinn. </div> https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768306#m1768306 Christian Kruse https://wwwtech.de/ 2020-04-03T07:12:34Z 2020-04-03T07:12:34Z Let's Encrypt, certbot, Firewall - welche IPs erlauben? <p>Hallo kai345,</p> <blockquote> <blockquote> <p>Nein. Wird es wahrscheinlich auch nicht geben. Let's Encrypt nutzt Cloudflare. Cloudflare wechselt die IPs wie andere ihre Unterhosen.</p> </blockquote> <p>halbjährlich? </p> </blockquote> <p>Wasserverschwender! </p> <p>Freundliche Grüße,<br> Christian Kruse</p> <div class="signature">-- <br> <a href="https://wwwtech.de/about" rel="noopener noreferrer">https://wwwtech.de/about</a> </div> https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768318#m1768318 MudGuard http://www.andreas-waechter.de/ 2020-04-03T08:24:31Z 2020-04-03T08:24:31Z Let's Encrypt, certbot, Firewall - welche IPs erlauben? <p>Hi,</p> <blockquote> <blockquote> <blockquote> <p>Nein. Wird es wahrscheinlich auch nicht geben. Let's Encrypt nutzt Cloudflare. Cloudflare wechselt die IPs wie andere ihre Unterhosen.</p> </blockquote> <p>halbjährlich? </p> </blockquote> <p>Wasserverschwender! </p> </blockquote> <p>Wieso? Von Waschen war doch keine Rede ;-)</p> <p>cu,<br> Andreas a/k/a MudGuard</p> https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768309#m1768309 Christian Kruse https://wwwtech.de/ 2020-04-03T07:22:55Z 2020-04-03T07:22:55Z Let's Encrypt, certbot, Firewall - welche IPs erlauben? <p>Hör auf auf mich zu antworten. Ich kommuniziere nicht mit dir. Du weisst, warum.</p> <div class="signature">-- <br> <a href="https://wwwtech.de/about" rel="noopener noreferrer">https://wwwtech.de/about</a> </div> https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768311#m1768311 Mitleser 2020-04-03T07:30:30Z 2020-04-03T07:30:30Z Let's Encrypt, certbot, Firewall - welche IPs erlauben? <blockquote> <p>Auch ich klammere ganze Blöcke aus. Bisher habe ich aber mit LetsEncrypt <em>deshalb</em> noch keine Probleme gehabt.</p> </blockquote> <p>Dann frag doch einfach mal Jörg nach seinem Regelwerk und schon hast Du das Problem auch.</p> https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768312#m1768312 Matthias Apsel matthias.apsel@selfhtml.org https://brückentage.info 2020-04-03T07:33:19Z 2020-04-03T07:33:19Z Let's Encrypt, certbot, Firewall - welche IPs erlauben? <p>Hallo TS,</p> <blockquote> <blockquote> <blockquote> <p>Infern glaubst du, dass das Verlinken des OP mit Hilfe eines verschwurbelten OZ die gestellte Frage beantworten täte?</p> </blockquote> <p>Sie beantwortet Toms Frage „warum muss man?“ mit einem präzisen „muss man nicht, muss nur Jörg, weil…“</p> </blockquote> <p>Das beantwortet meine Frage überhaupt nicht!</p> <p><strong>Und diese ewigen Spitzfindigkeiten bei der Auslegung von Fragen gehen mir langsam auf den Senkel</strong></p> </blockquote> <p>Ich möchte dich bitten, mit Hervorhebungen sparsamer umzugehen. Du weißt, dass das im Allgemeinen als Schreien gedeutet wird.</p> <p>Deine Frage war:</p> <blockquote> <blockquote> <blockquote> <p>Warum muss man für die Aktualisierung eines Zertifikats die Firewallregeln (temporär) aufheben?</p> </blockquote> </blockquote> </blockquote> <p>Die Antwort:</p> <blockquote> <blockquote> <p>Muss man nicht.</p> </blockquote> </blockquote> <p>Ich denke schon, dass das eine Antwort auf deine Frage ist.</p> <p>Bis demnächst<br> Matthias</p> <div class="signature">-- <br> Du kannst das Projekt SELFHTML unterstützen,<br> indem du bei Amazon-Einkäufen <a href="https://smile.amazon.de/ch/314-570-45498" rel="nofollow noopener noreferrer">Amazon smile</a> (<a href="https://www.amazon.de/gp/help/customer/display.html?ie=UTF8&nodeId=202035970%5D" rel="nofollow noopener noreferrer">Was ist das?</a>) nutzt. </div> https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768350#m1768350 Raketenbrandmauerlehrling 2020-04-03T15:36:20Z 2020-04-03T15:36:20Z Let's Encrypt, certbot, Firewall - welche IPs erlauben? <blockquote> <p>Könnt Ihr nicht endlich mal zurückkehren zur "Google-Methode" "meinten Sie?", wenn die Frage nicht für Jedermanns Kontext exakt genug formuliert war?</p> </blockquote> <blockquote> <h4>Firewall temporär abschalten?</h4></blockquote> <p>Ja, das muss „nur ich“ oder halt jeder, der die IPs von Cloudflare gesperrt hat.</p> <p>(Genauer genommen muss ich nicht die „Firewall temporär abschalten“ sondern eine mir ganz und gar nicht gefallende Vielzahl von Regeln temporär aufheben.)</p> <p>Das ist, was ich getan habe, und Cloudflare hat es auch nicht leicht. Die vermieten Server oder Serverplatz und sind nicht wirklich verantwortlich dafür, was die Nutzer dann so treiben. Und da kann es eben passieren, dass Bösewichter neben Harmlosen und die neben Harmlosen mit geknackter Software im selben Subnetz residieren. Und dieses Problem hat nicht nur Cloudflare sondern jeder Anbieter von Serverressourcen.</p> <p>Hehe. Ich hoffe, das nicht „verschwurbelt“, sondern in „einfacher Sprache“.</p> https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768310#m1768310 TS ts-self@online.de https://bitworks.de 2020-04-03T07:26:22Z 2020-04-03T07:31:20Z Let's Encrypt, certbot, Firewall - welche IPs erlauben? <p>Hello,</p> <blockquote> <p>Hör auf auf mich zu antworten. Ich kommuniziere nicht mit dir. Du weisst, warum.</p> </blockquote> <p>Ja, weil Du (arr|ign)orant bist<br> oder, weil Du gar nicht existierst?.</p> <p>Aber dann hätte ich ja einen Post von einem Nichts erhalten. Das geht doch gar nicht!?</p> <p>Glück Auf<br> Tom vom Berg</p> <div class="signature">-- <br> Es gibt nichts Gutes, außer man tut es!<br> Das Leben selbst ist der Sinn. </div> https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768313#m1768313 TS ts-self@online.de https://bitworks.de 2020-04-03T07:34:04Z 2020-04-03T07:34:04Z Let's Encrypt, certbot, Firewall - welche IPs erlauben? <p>Hello,</p> <blockquote> <blockquote> <p>Auch ich klammere ganze Blöcke aus. Bisher habe ich aber mit LetsEncrypt <em>deshalb</em> noch keine Probleme gehabt.</p> </blockquote> <p>Dann frag doch einfach mal Jörg nach seinem Regelwerk und schon hast Du das Problem auch.</p> </blockquote> <p>Das finde ich jetzt doof von Dir. Wenn Du schon weißt, warum Jörg das Problem hat, dann kannst Du mir das doch gleich jetzt beantworten. Vielleicht verstehe ich es dann sogar?</p> <p>Glück Auf<br> Tom vom Berg</p> <div class="signature">-- <br> Es gibt nichts Gutes, außer man tut es!<br> Das Leben selbst ist der Sinn. </div> https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768351#m1768351 Raketenbrandmauerlehrling 2020-04-03T15:40:38Z 2020-04-03T15:40:38Z Let's Encrypt, certbot, Firewall - welche IPs erlauben? <blockquote> <p>Dann frag doch einfach mal Jörg nach seinem Regelwerk und schon hast Du das Problem auch.</p> </blockquote> <p>Das ist, äh, zutreffend.</p> <p>Ich sollte da wohl „was“ überarbeiten. Dazu werde ich mein Wissen über die Ketten vervollständigen müssen, denn es scheint ja zu reichen, Cloudflares IP-Bereich temporär die Ports 80 und 443 TCP zu erlauben.</p> https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768314#m1768314 TS ts-self@online.de https://bitworks.de 2020-04-03T07:36:27Z 2020-04-03T07:36:27Z Let's Encrypt, certbot, Firewall - welche IPs erlauben? <p>Hello,</p> <blockquote> <p>Hallo TS,</p> <blockquote> <blockquote> <blockquote> <p>Infern glaubst du, dass das Verlinken des OP mit Hilfe eines verschwurbelten OZ die gestellte Frage beantworten täte?</p> </blockquote> <p>Sie beantwortet Toms Frage „warum muss man?“ mit einem präzisen „muss man nicht, muss nur Jörg, weil…“</p> </blockquote> <p>Das beantwortet meine Frage überhaupt nicht!</p> <p><strong>Und diese ewigen Spitzfindigkeiten bei der Auslegung von Fragen gehen mir langsam auf den Senkel</strong></p> </blockquote> <p>Ich möchte dich bitten, mit Hervorhebungen sparsamer umzugehen. Du weißt, dass das im Allgemeinen als Schreien gedeutet wird.</p> </blockquote> <p>WAS HAST DU GESAGT? ;-P</p> <p>Glück Auf<br> Tom vom Berg</p> <div class="signature">-- <br> Es gibt nichts Gutes, außer man tut es!<br> Das Leben selbst ist der Sinn. </div> https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768317#m1768317 Mitleser 2020-04-03T08:15:46Z 2020-04-03T08:15:46Z Let's Encrypt, certbot, Firewall - welche IPs erlauben? <blockquote> <p>Wenn Du schon weißt, warum Jörg das Problem hat, dann kannst Du mir das doch gleich jetzt beantworten.</p> </blockquote> <p>Ich dachte, das hätte ich bereits. Alle nötigen Informationen dazu stehen in Jörgs OP.</p> <p>Aber ich bereite es Dir gerne noch einmal auf: Jörg blockt IP-Bereiche, die auch von Let's Encrypt genutzt werden. Das ist Jörgs Problem.</p> <p>Du scheinst keine IP-Bereiche zu blocken, die von Let's Encrypt genutzt werden. Du hast das Problem nicht.</p> https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768319#m1768319 TS ts-self@online.de https://bitworks.de 2020-04-03T09:23:51Z 2020-04-03T09:23:51Z Let's Encrypt, certbot, Firewall - welche IPs erlauben? <p>Hello,</p> <blockquote> <blockquote> <p>Wenn Du schon weißt, warum Jörg das Problem hat, dann kannst Du mir das doch gleich jetzt beantworten.</p> </blockquote> <p>Ich dachte, das hätte ich bereits. Alle nötigen Informationen dazu stehen in Jörgs OP.</p> <p>Aber ich bereite es Dir gerne noch einmal auf: Jörg blockt IP-Bereiche, die auch von Let's Encrypt genutzt werden. Das ist Jörgs Problem.</p> <p>Du scheinst keine IP-Bereiche zu blocken, die von Let's Encrypt genutzt werden. Du hast das Problem nicht.</p> </blockquote> <p>So weit konnte ich das in meiner Network-Inkontinenz schon verfolgen.<br> Aber nun die Frage nach dem Warum, oder dem "wie besser selektieren"?</p> <p>Wie ist denn da der Algorithmus von LetsEncrypt? Wenn ich von einer IP einen Request für ein neues Zertifikat auslöse an eine ZielIP, von welcher RequestIP kommt denn dann der Kontrollaufruf auf meinen dazu hinterlegten Einmalkey?</p> <p>.</p> <p>Glück Auf<br> Tom vom Berg</p> <div class="signature">-- <br> Es gibt nichts Gutes, außer man tut es!<br> Das Leben selbst ist der Sinn. </div> https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768320#m1768320 Mitleser 2020-04-03T09:26:18Z 2020-04-03T09:26:18Z Let's Encrypt, certbot, Firewall - welche IPs erlauben? <blockquote> <p>So weit konnte ich das in meiner Network-Inkontinenz schon verfolgen.<br> Aber nun die Frage nach dem Warum, oder dem "wie besser selektieren"?</p> <p>Wie ist denn da der Algorithmus von LetsEncrypt? Wenn ich von einer IP einen Request für ein neues Zertifikat auslöse an eine ZielIP, von welcher RequestIP kommt denn dann der Kontrollaufruf auf meinen dazu hinterlegten Einmalkey?</p> </blockquote> <p>Auch das steht bereits im Thread:</p> <p><a href="https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768302#m1768302" rel="noopener noreferrer">Probably nobody knows for sure</a>.</p> https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768331#m1768331 Mitleser 2020-04-03T10:30:54Z 2020-04-03T10:30:54Z Let's Encrypt, certbot, Firewall - welche IPs erlauben? <blockquote> <p>Um im Bild zu bleiben:<br> Das ist eine mehr als beschissene Aussage!</p> </blockquote> <p>WTF?! Sonst geht es Dir gut?</p> <blockquote> <p>Welche IP-Bereiche stehen denn Cloudflare zur Verfügung?</p> </blockquote> <p><a href="https://www.cloudflare.com/ips/" rel="nofollow noopener noreferrer">https://www.cloudflare.com/ips/</a></p> <blockquote> <p>Und wer tummelt sich außer LetsEncrypt sonst noch darauf?</p> </blockquote> <p>Sehr viele. <a href="https://www.cloudflare.com/casestudies/" rel="nofollow noopener noreferrer">Beispiele</a>.</p> <blockquote> <p>Gestatten die über ihre IPs Angriffe auf Andere?</p> </blockquote> <p>WTF?!</p> <blockquote> <p>Ist der Bereich eher eingrenzbar oder unüberschaubar?</p> </blockquote> <p><a href="https://www.cloudflare.com/ips/" rel="nofollow noopener noreferrer">https://www.cloudflare.com/ips/</a></p> <blockquote> <p>Bissschen mehr freiwillige Depth vom Profi wäre lobemswert!</p> </blockquote> <p>Bisschen weniger Rumgedisse von Dir wäre lobenswert!</p> https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768449#m1768449 Raketenbrandmauerlehrling 2020-04-05T10:31:50Z 2020-04-05T10:31:50Z Let's Encrypt, certbot, Firewall - welche IPs erlauben? <blockquote> <p>Außerdem sehe ich da keinen Neustart des Webservers?</p> </blockquote> <p>Das macht certbot wohl selbst. Jedenfalls werden die Webseiten sofort mit dem neuen Zertifikat ausgeliefert. (Man kann sich in der Frage übrigens täuschen, so lange das Zeug aus dem Cache kommt.)</p> <pre><code class="block language-sh">/usr/bin/certbot renew <span class="token operator"><span class="token file-descriptor important">1</span>></span> <span class="token string">"<span class="token variable">${outfile}</span>"</span> <span class="token operator"><span class="token file-descriptor important">2</span>></span><span class="token file-descriptor important">&1</span><span class="token punctuation">;</span> </code></pre> <p>reicht also. Dein</p> <blockquote> <pre><code class="block language-sh">/etc/init.d/apache2 restart </code></pre> </blockquote> <p>ist (bei Verwendung von certbot!) also „hyperliquide“. Außerdem sollte man auf <code>$modernen_Systemen</code> entweder <code>systemctl</code> oder aber <code>apache2ctl</code> benutzen. Etliche Dienste haben (je nach Distribution natürlich) die Skripte für das gute, aber vor allem alte <code>System V-Init</code> schon gar nicht mehr. Und die existierenden sind dann nur noch „wrapper-scripte“ für systemd, also <code>systemctl</code>.</p> https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768458#m1768458 Mitleser 2020-04-05T11:35:16Z 2020-04-05T11:35:16Z Let's Encrypt, certbot, Firewall - welche IPs erlauben? <blockquote> <blockquote> <p>Außerdem sehe ich da keinen Neustart des Webservers?</p> </blockquote> <p>Das macht certbot wohl selbst.</p> </blockquote> <p>Daran möchte ich ernsthafte Zweifel anmelden, weil der certbot überhaupt nicht wissen kann, ob er einen NGINX, Apache, HAProxy oder was auch immer neustarten muss. Mission Impossible.</p> https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768459#m1768459 Mitleser 2020-04-05T11:42:26Z 2020-04-05T11:49:52Z Let's Encrypt, certbot, Firewall - welche IPs erlauben? <blockquote> <p>Außerdem sollte man auf <code>$modernen_Systemen</code> entweder <code>systemctl</code> oder aber <code>apache2ctl</code> benutzen.</p> </blockquote> <p>Stimmt. Ein weiteres Argument, warum Dein Script als allgemeingültige Vorlage ungeeignet ist.</p> <p>Letztlich bleibt dann nur als Vorgabe: Cerbot Renewel und etwaiger Neustart des Webservers/Loadbalancers/WasAuchImmer.</p> https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768466#m1768466 Christian Kruse https://wwwtech.de/ 2020-04-05T12:38:21Z 2020-04-05T12:38:21Z Let's Encrypt, certbot, Firewall - welche IPs erlauben? <p>Hallo Mitleser,</p> <blockquote> <blockquote> <blockquote> <p>Außerdem sehe ich da keinen Neustart des Webservers?</p> </blockquote> <p>Das macht certbot wohl selbst.</p> </blockquote> <p>Daran möchte ich ernsthafte Zweifel anmelden, weil der certbot überhaupt nicht wissen kann, ob er einen NGINX, Apache, HAProxy oder was auch immer neustarten muss. Mission Impossible.</p> </blockquote> <p>Certbot rät da recht erfolgreich. Und weiss es ja auch anhand der Einrichtung beim ersten Start.</p> <p>Freundliche Grüße,<br> Christian Kruse</p> <div class="signature">-- <br> <a href="https://wwwtech.de/about" rel="noopener noreferrer">https://wwwtech.de/about</a> </div> https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1769035#m1769035 TS ts-self@online.de https://bitworks.de 2020-04-16T06:45:05Z 2020-04-16T06:45:05Z Let's Encrypt, certbot, Firewall - welche IPs erlauben? <p>Hello,</p> <blockquote> <blockquote> <blockquote> <p>Außerdem sehe ich da keinen Neustart des Webservers?</p> </blockquote> <p>Das macht certbot wohl selbst.</p> </blockquote> <p>Daran möchte ich ernsthafte Zweifel anmelden, weil der certbot überhaupt nicht wissen kann, ob er einen NGINX, Apache, HAProxy oder was auch immer neustarten muss. Mission Impossible.</p> </blockquote> <p>Ich nutze die GetSSL-Scripte für LetsEncrypt und VirtHosts.</p> <p>Da muss man das Restart-Kommando bei der Grundeinrichtung eintragen.<br> BTW: Am Anfang hatte ich dort den Servicebefehl eingetragen und es hat funktioniert. Irgenwann dann nicht mehr. Jetzt steht jedenfalls der Pfad zur /etd/initd/apache2 drin. Und es funktioniert auch wieder.</p> <p>Der Certbot wird doch auch nur per Request involviert. Die lokale Arbeit machen die jeweiligen Scripte. Oder?</p> <p>Glück Auf<br> Tom vom Berg</p> <div class="signature">-- <br> Es gibt nichts Gutes, außer man tut es!<br> Das Leben selbst ist der Sinn. </div> https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768481#m1768481 Raketenbrandmauerlehrling 2020-04-05T15:06:37Z 2020-04-05T15:06:37Z Let's Encrypt, certbot, Firewall - welche IPs erlauben? <blockquote> <blockquote> <p>Außerdem sollte man auf <code>$modernen_Systemen</code> entweder <code>systemctl</code> oder aber <code>apache2ctl</code> benutzen.</p> </blockquote> <p>Stimmt. Ein weiteres Argument, warum Dein Script als allgemeingültige Vorlage ungeeignet ist.</p> </blockquote> <p>Bitte erkläre mir den Zusammenhang. Was hat obiges mit meiner Erklärung zu tun, dass und warum <code>/etc/init.d/apache2</code> (welches Du propagiert hast) nicht mehr benutzt werden sollte? Und wieso wird mein Script "als allgemeine Vorlage" ungeeignet? Weil ich weder das alte noch das neue benutze? Nochmal: Das erledigt, falls überhaupt notwendig, certbot bereits. Noch einen Neustart brauchts nicht.</p> <p>Und mache - für alles übrige - mal ein</p> <pre><code class="block">ls -l /etc/letsencrypt/ </code></pre> <p>und überlege, was es wohl bedeutet, dass da bei mir etwas wie</p> <pre><code class="block">-rw-r----- 1 root root 1614 Feb 26 14:56 options-ssl-apache.conf </code></pre> <p>aufscheint. Ich bezweifle ja nicht, dass Du ein Netzwerk verwaltest. Ich bezweifle mangels eines fassbaren Grundes auch nicht, dass Du das erfolgreich tust. Aber ich verlange von Dir den gleichen Respekt - denn ich bin auch kein Dummer. <strong>Und sowas wie oben gefällt mir deshalb gar nicht.</strong></p> https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768467#m1768467 Mitleser 2020-04-05T12:49:28Z 2020-04-05T12:50:07Z Let's Encrypt, certbot, Firewall - welche IPs erlauben? <blockquote> <blockquote> <p>Daran möchte ich ernsthafte Zweifel anmelden, weil der certbot überhaupt nicht wissen kann, ob er einen NGINX, Apache, HAProxy oder was auch immer neustarten muss. Mission Impossible.</p> </blockquote> <p>Certbot rät da recht erfolgreich. Und weiss es ja auch anhand der Einrichtung beim ersten Start.</p> </blockquote> <p>Hmm. Ok. Vielleicht bin ich das auch zu exotisch unterwegs, aber ich habe dem Certbot nie mitgeteilt, für welchen Dienst er die Zerfikate erstellen soll. Da hätte er höchstens via Portscan 80/443 schauen können, was evtl. einen Restart braucht. Der Apache war es in meinem Fall jedenfalls nicht ;-)</p> https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768468#m1768468 Christian Kruse https://wwwtech.de/ 2020-04-05T13:11:39Z 2020-04-05T13:11:39Z Let's Encrypt, certbot, Firewall - welche IPs erlauben? <p>Hallo Mitleser,</p> <blockquote> <p>Hmm. Ok. Vielleicht bin ich das auch zu exotisch unterwegs, aber ich habe dem Certbot nie mitgeteilt, für welchen Dienst er die Zerfikate erstellen soll. Da hätte er höchstens via Portscan 80/443 schauen können, was evtl. einen Restart braucht. Der Apache war es in meinem Fall jedenfalls nicht ;-)</p> </blockquote> <p>Ich nutze Certbot nur für eine Wordpress-Installation von einem Bekannten. Dort hat es mich beim ersten Start gefragt, ob es ein Cert für diese Apache-Konfiguration erstellen soll. Ich habe ja gesagt, und dann ging das halt.</p> <p>Ansonsten nutze ich auch eher <a href="https://github.com/dehydrated-io/dehydrated" rel="noopener noreferrer">dehydrated</a>; da muss man dann den Dienst auch selber neu starten </p> <p>Freundliche Grüße,<br> Christian Kruse</p> <div class="signature">-- <br> <a href="https://wwwtech.de/about" rel="noopener noreferrer">https://wwwtech.de/about</a> </div> https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768513#m1768513 Raketenwissenschaftler 2020-04-05T23:38:44Z 2020-04-05T23:38:44Z Let's Encrypt, certbot, Firewall - welche IPs erlauben? <blockquote> <p>Vielleicht bin ich das auch zu exotisch unterwegs, aber ich habe dem Certbot nie mitgeteilt, für welchen Dienst er die Zerfikate erstellen soll.</p> </blockquote> <p>Ich betone, dass ich Dich erneut absolut korrekt zitiert habe.</p> <p><a href="https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768468#m1768468" rel="noopener noreferrer">Da der certbot beim Setup danach fragt</a> wäre das, falls es denn zutreffen sollte, ein typischer „Level-8-Fehler“.</p> <p>Der einzige Punkt, an dem mein Skript "fehleranfällig" ist, könnte nur das Heraussuchen der Restgültigkeit in Tagen sein.</p> <pre><code class="block">days=$(certbot certificates 2> /dev/null | grep "VALID:" | sed -e "s/^.*VALID: //" -e 's/ day.*$//'); </code></pre> <p>Ob das „kompliziert“ ist, liegt wohl im Auge des Betrachters. Ich fand es zumindest wert, es vorzustellen. Aber sowas ist „mein täglich Brot“.</p> <p>Leider habe ich auch keine andere Möglichkeit - das Manual des certbot habe ich jedenfalls gelesen und es gibt keine Option, wo er nur die verbleibende Gültigkeitsdauer ausgibt.</p> <p>Demnach sind <code>grep</code> und <code>sed</code> keine „unnötig komplizierten“ Methoden. Fehler treten nur auf, wenn der Ausgabetext verändert wird. Da „ich“ das so mache, muss „ich“ damit klarkommen. Und hier haben wir Deinen nächsten Fehltritt: Wenn ich schreibe „Ich stelle deswegen hier vor, wie ich das mache." dann behaupte ich nicht - wie Du also objektiv unrichtig unterstellst - irgendeine Allgemeingültigkeit des vorgestellten Skriptes.</p> <p>Ich bin gerade in diesem Zusammenhang absolut nicht damit einverstanden, dass Du mir unterstellst, ich würde Dich "nach meinem eigenen Gusto" zitieren. Damit hast Du <a href="https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768512#m1768512" rel="noopener noreferrer">Deinen Unrichtigkeiten</a> und der auf meinen sachlichen Hinweis auf aktuelle Restartmethoden folgenden Respektlosigkeit die Krone aufgesetzt.</p> <p>Mach das einfach nie wieder.</p> https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768469#m1768469 Mitleser 2020-04-05T13:16:29Z 2020-04-05T13:16:29Z Let's Encrypt, certbot, Firewall - welche IPs erlauben? <blockquote> <p>Ich habe ja gesagt, und dann ging das halt.</p> </blockquote> <p>Elfmeter! LOL ;-)</p> https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768512#m1768512 Raketenquelltextzeiger 2020-04-05T23:05:42Z 2020-04-05T23:05:42Z Let's Encrypt, certbot, Firewall - welche IPs erlauben? <p>certbot ist, wie inzwischen „das halbe Linux“ in Python geschrieben. Was certbot benutzt um den Apache neu zu starten findest Du in folgenden Dateien:</p> <pre><code class="block">/usr/lib/python3/dist-packages/certbot_apache/overide_*.py </code></pre> <p>Hier mal ein Auszug aus der Debian-Variante:</p> <pre><code class="block language-python"> OS_DEFAULTS <span class="token operator">=</span> <span class="token builtin">dict</span><span class="token punctuation">(</span> server_root<span class="token operator">=</span><span class="token string">"/etc/apache2"</span><span class="token punctuation">,</span> vhost_root<span class="token operator">=</span><span class="token string">"/etc/apache2/sites-available"</span><span class="token punctuation">,</span> vhost_files<span class="token operator">=</span><span class="token string">"*"</span><span class="token punctuation">,</span> logs_root<span class="token operator">=</span><span class="token string">"/var/log/apache2"</span><span class="token punctuation">,</span> ctl<span class="token operator">=</span><span class="token string">"apache2ctl"</span><span class="token punctuation">,</span> version_cmd<span class="token operator">=</span><span class="token punctuation">[</span><span class="token string">'apache2ctl'</span><span class="token punctuation">,</span> <span class="token string">'-v'</span><span class="token punctuation">]</span><span class="token punctuation">,</span> restart_cmd<span class="token operator">=</span><span class="token punctuation">[</span><span class="token string">'apache2ctl'</span><span class="token punctuation">,</span> <span class="token string">'graceful'</span><span class="token punctuation">]</span><span class="token punctuation">,</span> conftest_cmd<span class="token operator">=</span><span class="token punctuation">[</span><span class="token string">'apache2ctl'</span><span class="token punctuation">,</span> <span class="token string">'configtest'</span><span class="token punctuation">]</span><span class="token punctuation">,</span> enmod<span class="token operator">=</span><span class="token string">"a2enmod"</span><span class="token punctuation">,</span> dismod<span class="token operator">=</span><span class="token string">"a2dismod"</span><span class="token punctuation">,</span> le_vhost_ext<span class="token operator">=</span><span class="token string">"-le-ssl.conf"</span><span class="token punctuation">,</span> handle_modules<span class="token operator">=</span><span class="token boolean">True</span><span class="token punctuation">,</span> handle_sites<span class="token operator">=</span><span class="token boolean">True</span><span class="token punctuation">,</span> challenge_location<span class="token operator">=</span><span class="token string">"/etc/apache2"</span><span class="token punctuation">,</span> MOD_SSL_CONF_SRC<span class="token operator">=</span>pkg_resources<span class="token punctuation">.</span>resource_filename<span class="token punctuation">(</span> <span class="token string">"certbot_apache"</span><span class="token punctuation">,</span> <span class="token string">"options-ssl-apache.conf"</span><span class="token punctuation">)</span> <span class="token punctuation">)</span> </code></pre> <p><a href="https://httpd.apache.org/docs/2.4/de/stopping.html" rel="nofollow noopener noreferrer">Dukumentation für „graseful restart“</a>:</p> <blockquote> <p>Das USR1- oder graceful-Signal veranlasst den Elternprozess, die Kinder anzuweisen, sich nach Abschluß ihrer momentanen bearbeiteten Anfrage zu beenden (oder sich sofort zu beenden, wenn sie gerade keine Anfrage bedienen). Der Elternprozess liest seine Konfigurationsdateien erneut ein und öffnet seine Logdateien neu. Wenn ein Kindprozess stirbt, ersetzt der Elternprozess ihn durch ein Kind der neuen Konfigurations-Generation. Dieses beginnt sofort damit, neue Anfragen zu bedienen.</p> </blockquote> <p><a href="https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768382#m1768382" rel="noopener noreferrer">Du hattest also</a> mit</p> <blockquote> <blockquote> <blockquote> <pre><code class="block">/etc/init.d/apache2 restart </code></pre> </blockquote> </blockquote> </blockquote> <p>nicht nur den Hilfswrapper für veraltete Skripte vorgeschlagen, sondern auch den kompletten Restart des Elternprozesses - der offensichtlich unnötig ist.</p> <p>Und bitte behaupte nicht nochmals unwahr, ich würde Dich falsch zitieren. Und sei stolz auf die positiven Bewertungen. Die entbehren zwar jeder fachlichen und sachlichen Grundlage, belegen aber immerhin, dass Deine Rants, insbesondere wenn mit „WTF“ geschmückt, bei manchen gut ankommen.</p> <p>Und zwar bei denen, die das Forum kaputt machen.</p> https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1769041#m1769041 Raketenwissenschaftler 2020-04-16T10:08:42Z 2020-04-16T10:08:42Z Let's Encrypt, certbot, Firewall - welche IPs erlauben? <blockquote> <blockquote> <blockquote> <p>Das macht certbot wohl selbst.</p> </blockquote> <p>Daran möchte ich ernsthafte Zweifel anmelden, weil der certbot überhaupt nicht wissen kann, ob er einen NGINX, Apache, HAProxy oder was auch immer neustarten muss. Mission Impossible.</p> </blockquote> <p>Ich nutze die GetSSL-Scripte für LetsEncrypt und VirtHosts.</p> </blockquote> <p>Die Sache ist auf eine ganz einfache Formel herunterzubrechen:</p> <ul> <li><code>certbot</code> ist <code>certbot</code> ist <code>certbot</code>, geschrieben in Python3, und bewirkt (bei korrekter Installation) den Reload selbst.</li> <li><code>Andere Programme</code> sind <code>andere Programme</code> sind <code>andere Programme</code> und tun (äh:hoffentlich), was deren Programmierer vorgesehen hat.</li> <li>Ich benutze <code>certbot</code>, der <a href="https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768299#m1768299" rel="noopener noreferrer">Mitleser benutzt nach seiner eigenen Angabe <code>certbot-auto</code></a> - <a href="https://github.com/certbot/certbot/blob/master/certbot-auto" rel="noopener noreferrer">das ist ein Unix-Shellskript, also was anderes als certbot</a>, Du benutzt „GetSSL-Scripte“.</li> </ul> <p>Warum glaubt ihr also, dass man mir mit Erfahrungen, die für <code>$arrAndereSkripte</code> gelten, von mir mehrfach überprüfte und insoweit qualifizierte Aussagen über die Funktion von <code>certbot</code> widerlegen - oder auch nur in Frage stellen kann?</p> <blockquote> <p>Da muss man das Restart-Kommando bei der Grundeinrichtung eintragen.<br> BTW: Am Anfang hatte ich dort den Servicebefehl eingetragen und es hat funktioniert. Irgenwann dann nicht mehr. Jetzt steht jedenfalls der Pfad zur /etd/initd/apache2 drin. Und es funktioniert auch wieder.</p> </blockquote> <p>Das bedeutet nichts: Erinnerungen (auch meine eigenen) sind, gelinde gesagt, „Scheiße“. Grund dafür ist auch, dass man zeitlich nur punktuell nach „Schroedingers Katze“ sehen und deren Zustand wahrnehmen kann. Die Logfiles in der Kiste indes kennen die Wahrheit mit Zeitstempel.</p> <p>Es <em>kann</em> z.B.(sic!) ein Typo vorgelegen haben und der Neustart des Apache erfolgte nach dem Update und vor dem Nachschauen, ob die neuen Zertifikate benutzt werden, zufällig, z.B. implizit durch ein Update des Apache oder PHP oder zufällig willkürlich nach einer manuellen Konfigurationsänderung und dem folgendem explizitem Reload oder Restart.</p> <p>Ich kann auch aus einem weiteren Grund nichts aus Deiner Aussage entnehmen: <code>$Servicebefehl</code> kann etwas wie</p> <ul> <li><code>/bin/systemctl restart apache2</code> oder</li> <li><code>/usr/sbin/service apache2 reload</code> oder</li> <li><code>/usr/sbin/apache2ctl reload</code> oder</li> <li><code>/usr/sbin/apache2 -k graceful</code></li> </ul> <p>gewesen sein. Die Pfade gelten für $meinModernesSystem und können sich sogar von Linuxdistribution zu Linuxdistribution unterscheiden. Und ich weiß nicht, ob Deine Skripte sich selbst updaten und was die dann aus dem <code>$Servicebefehl</code> machen.</p> <p>Wie schon dargestellt würde ich unter Linux (Es soll noch BSD-Varianten geben, die systemd ablehnen) nichts neues mehr mit einem Verweis auf <code>/etc/init.d/$irgendwas</code> einrichten. Denn falls da noch ein Skript für die Steuerung eines Dienstes ist, dann ist es nur „noch“ dort und soll dafür sorgen, dass andere Skripte <a href="https://www.spiegel.de/netzwelt/web/corona-krise-die-cobol-cowboys-reiten-wieder-a-2a5d23c0-83dd-4e64-ac2c-38d5fea4ca3a" rel="nofollow noopener noreferrer">der Firma Asbach</a> noch funktionieren.</p> <p>Im speziellen Falle ist also der Eintrag von <code>/usr/sbin/apache2ctl</code> (außer vielleicht unter Red-Hat-Derivaten - die kochen da ein eigenes Süppchen und nennen den Apache, wohl ebenso wie manche BSDs, gerne <code>/httpd2{0,1}/i</code> ), stets richtig.</p> <blockquote> <p>Der Certbot wird doch auch nur per Request involviert. Die lokale Arbeit machen die jeweiligen Scripte. Oder?</p> </blockquote> <p>[Y] Oder <a href="https://forum.selfhtml.org/self/2020/apr/02/lets-encrypt-certbot-firewall-welche-ips-erlauben/1768512#m1768512" rel="noopener noreferrer">der <code>certbot</code> ist ein (übrigens im Original-Setup per Cronjob gestartetes) Phyton-Skript, welches nach dem Erneuern der Zertifikate den Reload des Apache auslöst</a>. <strong>Was soll ich eigentlich noch machen, wenn mir selbst nach dem Hinweis auf den Quelltext, also wieder jeder Vernunft, widersprochen wird?</strong></p>