Sicherheitsupdates der Versionen 6.x

Liebe Freunde und Anwender von linuxmuster.net,

bald ist April, und im April läuft der Support der von uns verwendeten Ubuntu Server Version 12.04 durch Canonical aus.
Das überrascht uns nicht, da Ubuntu das vorbildlich kommuniziert (LTS = 5 Jahre Support).

Nun hätten wir uns natürlich gewünscht, dass wir die lmn 7.0 vor April 2017 fertig bekommen: doch das war nicht zu schaffen. Zu groß sind die Anpassungen für Samba 4. Wir haben in der 7 halt keinen “normalen” Domänencontroller mehr, sondern einen vorllwertigen Activ Directory Controller: und das ist ein ganz anderes Brett.
Und wir wollten es gleich richtig und Gründlich machen: also wurde Geld in die Hand genommen, um die Firma Sernet zu engagieren unseren Entwicklern bei der Struckturierung der Activ Directory unter die Arme zu greifen.

Bei der Arbeitstagung in Essen im Herbst wurde das Problem dann auch besprochen.
Es wurden auch Szenarien durchgespielt, dass man eine 6.3 heraus bringt, die auf Ubuntu Server 2014 basiert: doch das hätte nciht viel geholfen, da auch 14.04 samba 4 mit bringt und nciht mehr samba 3: die Anpassungen wären auch nicht unerheblich gewesen.

Jetzt die Entwicklung der lmn 7 zu Beschleunigen, damit sie zum April 2017 fertig ist wäre in zweierlei Hinsicht wenig Hilfreich gewesen:

  1. man sollte bei so einer Sache nicht hetzten: die Qualität leidet, und das wollen wir unbedingt vermeiden.
  2. selbst wenn die lmn 7 bis April fertig gewesen wäre, so würden doch nicht mal 30% der Schulen in den Sommerferien 2017 auf die 7 umsteigen.
    Die Erfahrung zeigt, dass selbst jetzt noch viele 6.1 oder sogar 5.1 verwenden: ein Jahr nach Veröffentlichung der 6.2.
    Vor allem der zweite Punkt machte uns Bewußt, dass wir etwas nachhaltiges tun müssen: für unsere Anwender.

Also haben wir einen Debianentwickler engagiert, der uns die Security Patches von 14.04 auf 12.04 zurückportet.
Er nimmt nächsten Monat seine Arbeit auf.
Die von ihm erstellten Ports werden dann in unser linuxmsuter.net Repo wandern: ihr bekommt sie also automatisch: ihr braucht nichts zu tun, ausser
apt-get update
apt-get dist-upgrade

Ihr solltet aber auf die 6.2 updaten, bevor die 7 raus kommt, weil die 6.2 das neue linbo 2.3.x mit bringt und wir das extra schon in die 6.2 gepackt haben, damit beim Umstieg auf die 7 wenigstens ein Corefeature gleich bleibt. Dann habt ihr linbo 2.3 mit euren Clients schon im Griff, wenn die 7 kommt.
Unter der 6.2 könnt ihr euch auch, wenn ihr wollt, die “Neue Schulkonsole” anschauen (bisher nur die für den Administrator).

Ich hoffe, dass wir mit diesem Verfahren die Wünsche unserer Anwender erfüllen und uns so auf sichere Art und Weise eine Fristverlängerung erkauft haben.

Viele Grüße

Holger

Lieber Holger,

vielen Dank für deine Ausführungen.
Interessant wäre jetzt noch folgende Frage: Was soll man mit dem Chillispot machen? Der basiert ja ebenfalls noch auf Ubuntu 12.04 Server.

Viele Grüße
Alex

Hallo Alexander,

vielen Dank für deine Ausführungen.
Interessant wäre jetzt noch folgende Frage: Was soll man mit dem
Chillispot machen? Der basiert ja ebenfalls noch auf Ubuntu 12.04 Server.

Gute Frage.
Ich denke, bei dem müssen wir uns keine großen Sorgen machen: er ist
weder aus dem Schulnetz noch aus dem Internet zu erreichen.
Einziger Angriffspunkt ist das WLAN.
Dafür benötigt man erst mal den WPA key: den kennen viele, also sollte
man das als „offen“ ansehen.
Also gibt es Angriffspunkte.

Man sollte also darauf achten, dass vom WLAN aus keine DIenste außer dem
Apache für den Chilli erreichbar sind.

Desweiteren werde ich testen, sobald es erste Patches gibt, ob man dem
Chilli nicht einfach das Repo des Servers geben kann: dann bekommt er
auch die Patches … nein, das geht nicht, weil der Server 64bit und der
Chilli 32 bit ist …

OK: dann müssen wir doch eine Gefährlichkeitsanalyse machen.
Was kann man erreichen, wenn man den Chilli kompromitiert: man kann alle
Passwörter und Anmeldenamen mitschneiden … das ist schlimm.
Da müssen wir was machen.

Viele Grüße

Holger

HAllo Alex,

den Chillispot kann man auch mit Ubuntu 14.04 aufsetzen - die Anleitung
steht im Wiki.

Viele Grüße

Jörg

Hast du einen Link? Ich finde die Anleitung nicht, bzw. an der Stelle an der ich sie vermute werde ich nach Anmeldedaten gefragt??

Gruß, Alex

Hier:

https://www.linuxmuster.net/wiki/dokumentation:handbuch:addons:chillispot.installation

Allerdings wurde ich tatsächlich nach meinem Passwort gefragt - das ist
neu, keine Ahnung, woran das liegt.

Viele Grüße

Jörg

Same here -->

Zugang verweigert (trotz Anmeldung!)

Sie haben nicht die erforderliche Berechtigung, um diese Aktion durchzuführen. 
Eventuell sind Sie nicht am Wiki angemeldet?

Hallo,

Hier:

dokumentation:handbuch:addons:chillispot.installation [CommunityWiki]

Allerdings wurde ich tatsächlich nach meinem Passwort gefragt - das ist
neu, keine Ahnung, woran das liegt.

… das kann ich erklären: uns ist am Wochenende bei der Sitzung
aufgefallen, dass es suboptimal ist, wenn wir mehrere Dokumentationen
rumliegen haben: der eine richtet sich nach der und der andere nach der.
Also haben wir die „alte“ Doku in den Schrank gelegt :slight_smile:

Zur Sache: es ist erfreulich, dass es auch mit 14.04 funktioniert: jetzt
muss sich nur jemand finden, der ein UPdate macht und herausfindet, ob
es auch danach noch geht :slight_smile:

Viele Grüße

Holger

Hallo Michael,

Same here →

|Zugang verweigert (trotz Anmeldung!) Sie haben nicht die erforderliche
Berechtigung, um diese Aktion durchzuführen. Eventuell sind Sie nicht am
Wiki angemeldet?|

ich bin mir ziemlich sicher, dass die Anleitung identisch zu der 12.04
Anleitung ist…

Ich hab sie unten angehängt.

LG

Holger

Installation des Hotspot-Servers
Voraussetzungen

Bevor die Installation begonnen werden kann, muss Ubuntu-Server

12.04.1 32bit auf dem späteren Captive-Portal-Server installiert werden.
Als einziges Zusatzpaket sollte bei der Softwareauswahl „ssh-server“
gewählt werden.
Achtung: Mit der 64bit Version funktioniert das Setup wahrscheinlich
nicht.
Mit Ubuntu-Server 14.04.4 32bit funktionierte die Installation -
bisher ohne erkennbare Probleme.
Für das Captive Portal wird ein PC oder eine virtuelle Maschine mit
2 Netzwerkkarten benötigt:
eth0 muss die Netzwerkkarte sein, die mit dem Internet verbunden
ist, je nach Einsatzszenario also z.B. grünem oder blauem Interface. Bei
Virtualisierung empfiehlt sich die Einrichtung einer virtuellen
Netzwerkbrücke, die man an keinen physikalischen Port binden muss (→
IPFire).
eth1 wird nicht konfiguriert und mit dem Netzwerksegment
verbunden, an dem die Clients sich später verbinden werden.
Konfiguration und DHCP werden beim Start des chilli-Diensts von
CoovaChilli vorgenommen.
Der Captive-Portal-Server kann problemlos als virtuelle Maschine
betrieben werden, eine fertige VirtualBox Appliance kann man hier
herunterladen.

CoovaChilli mit der Paketverwaltung installieren

Auf dem Chilli-Server muss der Repo-Schlüssel importiert werden:

wget -q http://pkg.linuxmuster.net/linuxmuster.net.key -O - | apt-key

add -

Eine neue Datei anlegen /etc/apt/sources.list.d/linuxmuster-chilli.list
und die folgende Zeile eintragen:

 # linuxmuster-chilli Pakete
 deb http://pkg.linuxmuster.net/ precise-chilli/

Aktualisieren der Paketliste mit

apt-get update

Installation/update des Hotspot Pakets mit

apt-get install linuxmuster-chilli

Jetzt gehts dann weiter mit der → Konfiguration von linuxmuster-chilli

Einen Beitrag hierzu findet man im Forum von linuxmuster.net unter →
http://www.linuxmuster.net/forum/forum.php?req=thread&id=232
Alternative ohne Paketverwaltung: linuxmuster-chilli direkt installieren

Zuerst sollte man die Paketabhängigkeiten für die späteren Pakete
installieren:

apt-get install apache2 freeradius freeradius-ldap pwgen dnsmasq ipcalc
haserl ssl-cert ffproxy

Nun muss das linuxmuster-chilli-Paket heruntergeladen und entpackt werden:

wget
http://www.linuxmuster.net/_media/linuxmusternet:downloads:iso:linuxmuster-chilli_0.1.18_i386.deb
-O linuxmuster-chilli_0.1.18_i386.deb
dpkg --unpack linuxmuster-chilli_0.1.18_i386.deb

Jetzt muss das (durch das Entpacken von linuxmuster-chilli auf das
System kopierte) CoovaChilli Paket installiert werden:

dpkg -i /var/lib/linuxmuster-chilli/src/coova-chilli_1.3.0_i386.deb

Die Konfiguration wird durch den Befehl

dpkg --configure linuxmuster-chilli

angestoßen. Genauere Erklärungen finde sich auf der Seite →
Konfiguration von linuxmuster-chilli

Hmm – wenn das so ist, könnte ja evtl doch auch ein System-Upgrade auf 14.04 klappen (wovon bisher ja immer abgeraten wurde)?? Hat das mal jemand ausprobiert? Gab es da Stress??

Hallo

das Upgrade habe ich gerade ausprobiert…funktioniert…am Schluss
startet allerdings der apache nicht mehr; wenn man die Zeile, die er
anmeckert kommentiert startet er und der chilli funktioniert gut aber
irgendwie etwas träge…ich stehe prinzipiell nicht so auf dieses
Update, da von 12.04 zu 14.04 an der grundlegenden Konzeption von Ubuntu
(z.B. upstart zu upstart+systemd) extrem viel verändert wurde…da bin
ich schon zu oft im Betrieb auf komische Fehler gestoßen…

Ich habe daher eine 14.04 Neuinstallation gemacht, den chilli gemäß
Anleitung installiert und die alte Konfig kopiert…hat alles in allem
20 min gedauert! Der chilli ist hier viel “zügiger” und v.a. ist der
Server ohne Altlasten wesentlich schlanker und die load in idle ist halb
so groß…warum auch immer…

Gruß

Dominik

Hi Dominik.
Gut zu wissen! Dann wäre es vielleicht sogar einen Versuch wert, gleich auf 16.04 LTS (Server?) zu gehen? Es muss ja weiterhin 32 Bit sein, oder??

Hallo Michael,

Gut zu wissen! Dann wäre es vielleicht sogar einen Versuch wert, gleich
auf 16.04 LTS (Server?) zu gehen? Es muss ja weiterhin 32 Bit sein, oder??

… ist dir Langweilig?

Ich mach ein Clean Install von 14.04 32 bit
64bit oder 32 bit ist mir beim Chilli egal und 14.04 ist bis April 2019
Gut: wenn ich bis dahin keine lmn 7 hab, dann hab ich ganz andere
Probleme …

LG

Holger

Hallo Dominik,

Ich habe daher eine 14.04 Neuinstallation gemacht, den chilli gemäß
Anleitung installiert und die alte Konfig kopiert…

welche genau?
Nur diese?
/etc/chilli
/etc/chilli/
und
/etc/freeradius/
(Verzeichnisse mit INhalt)
?

LG

Holger

:slight_smile: nicht wirklich. Aber wenn man eh neu installiert, kann man doch auch gleich was aktuelles nehmen??

Hallo Holger,

nur /etc/chilli.

Gruß

Dominik

Hallo,

wenn man für Geräte statische IPs vergeben hat, würde ich noch /etc/freeradius/users sichern, sonst muss man es neu tippen…

LG
Max

Ich habe das do-release-upgrade von 12.04 auf 14.04 gemacht. Das lief ohne Fehler durch. Leider kann sich nun keiner mehr am Chillispot anmelden. Die Portalseite kommt, aber angeblich ist das Passwort falsch. Da klappt wohl die ldap-Abfrage nicht. Ich habe jetzt schnell den Snapshot zurückgesetzt (Virtualisierung sei dank)…

Wo soll ich beim nächsten Versuch anfangen zu suchen?

LG Alex

Hallo Alex,

Ich habe das do-release-upgrade von 12.04 auf 14.04 gemacht. Das lief
ohne Fehler durch. Leider kann sich nun keiner mehr am Chillispot
anmelden. Die Portalseite kommt, aber angeblich ist das Passwort falsch.
Da klappt wohl die ldap-Abfrage nicht. Ich habe jetzt schnell den
Snapshot zurückgesetzt (Virtualisierung sei dank)…

Wo soll ich beim nächsten Versuch anfangen zu suchen?

vom chilli aus mal

telnet 10.16.1.1 636
probieren, ob der server per ldaps erreichbar ist.
Da sollte eine Meldung wie
Escapecharacter is ^
kommen (oder so).

Aber: ich hab das ganze auch letzte NAcht gemacht; aber so wie Dominik
empfohlen hat:

  1. /etc/chilli/, /etc/freeradius und /etc/linuxmuster-chilli.conf auf
    den Server gesichert (per scp).
  2. neue VM aufgesetzt und 14.04 32bit installiert.
    Dann linuxmuster-chilli Paket installiert (siehe Wiki)
  3. die drei oben genannten Dateien/Verzeichnisse zurückkopiert (Orginale
    vorher gesichert) und geschaut, an welcher Stelle sich die
    Besitzer/Gruppe unterscheiden und die wieder gesetzt.
  4. reboot und alles tut

ABER: ich habe eine Stunde gesucht, weswegen der neue Chilli vom IPFire
partou nicht ins Netz gelassen wird (keine Namensauflösung).
Dann fand ich unter Firewall->Zugriff auf Blau (oder von??) die alte MAC
Adresse eingetragen: die geändert und es hat geflutscht.

Ich wollte ja sowiso die selben MAC Adressen nehemn: das hat mein kvm
aber nicht zugelassen…

Viele Grüße

Holger