DomLinux V3.20更新通知與說明

DomLinux III V3.20 預計於 2015/02/09 (星期一)  開放自動更新
(注意: 部分使用者會優先進行更新 , 若您發現您的伺服器已經更新至V3.20這是正常現象)
開放更新後系統會在兩週內自動完成更新update

本次更新項目列表:

1. 支援2T以上GPT大容量硬碟(需更換CD,DOM需重新燒錄)
2. 修正 Shellshock 的漏洞(需更新CD,DOM需重新燒錄)
3. 新增 使用者管理/AD整合 密碼必須與AD同步之選項
4. openssl 更新至 1.0.1i
5. 更新 webadmin/webmail 執行平臺版本 (更新後重新開機後才會生效)
6. 更新 CLAMAV 掃毒引擎到 V0.98.4
7. 修正 sslv3 弱點 (更新後重新開機後才會生效)

關於 Bash 漏洞

最近Linux like 包含 BS, Macos iOS , 甚至是 android 的作業系統都因爲共同用到 bash 這個歷史悠久的 shell 程式 http://www.gnu.org/software/bash/ 而紛紛被喊出重大危險警告 , 難道是Linux界的香豬油事件 ?

bash

有用戶問到 DomLinux 會不會也在這一波的名單中中標 ? 答案是必然的 , 報導上雖然說目前全球過半的伺服器都是用Linux系統 , 但我猜應該是遠高於過半 , 幾乎所有的頻寬管理器,防火牆,甚至是簡單的IP分享器 也都大多是Linux血統 , 這些設備的風險也非常高.

但是由於 DomLinux 是簡化的 Linux 系統 , 我們採用的 bash 是使用 busybox 這個壓縮的指令集 , 目前尚無明確指出有相關的問題 , 不過DomLinux 內部也的確有bash , 但我們並沒有開放 shell / telnet 或 ssh 服務 , 在 web 上也沒有使用 sh 來執行 CGI 網頁 , 所以我認爲相對危險性已經非常底 ,

不過 DomLinux 還是有針對 bash 的問題 有解決方案 , 由於 bash 是位於系統之底層 所以並無法透過更新套件直接更新 , 此次更新必須

1. CD 版的用戶 可以下載 V3.20版(含以後)的 ISO 檔, 自行重新燒錄CD 更換後, 重新開機即可

2. DOM 版用戶 必須要下載 V3.20版(含以後)自行重新燒錄晶片工具 ,將DOM 重新燒錄後即可

 

 

 

 

 

 

 

 

DomLinux III V3.19 預先修正檔

DomLinux III V3.18 版新增 遠端備份機之功能 , 目前發現如果您用的mail 格式是 mailbox 不是新的 maildir 格式者 , 在備份的時候會無法備份每個人的收件匣(INBOX)  , 如果有上述問題者可以先先下載以下的預先更新套件進行更新 , 如果沒有用到備份機功能者 可以等下次正式發佈更新再由系統自動更新即可 , 下載: https://dl.dropboxusercontent.com/u/12349590/dom3/pkgs/dom3-3.19g.pkg

這個套件另外還修正如下:

. 修正備份機功能,當系統用 mailbox 格式時 , INBOX 無法正確備份的問題
. 修正某些較舊系統在更新v3.18後 console 畫面下出現一些週期性的錯誤提示,但不影響正常運作

 

新增功能 : 規劃備援機

DomLinux 長久以來一直很重視系統及資料保全的維護 , 可以參考 伺服器故障的災難復原機制 一文 , 在 V3.18版我們又新增了另一種備份機制爲”備援機” , 簡單的說就是可以在本地或遠端架設另一部 DomLinux 系統 , 兩者可以用 LAN 或 WAN ,週期性定期資料同步 , 萬一有一天 主要機器突然故障 , 備援機可以很簡單的作一些啓動手續 , 即可接續主要伺服器的工作

檢視您的系統版本 是否已經升級到 V3.18 ( DomLinux 系統更新升級是自動執行的) , 你可以看到系統設定功能選單上會多出一個規劃備援機

DomLinux_III

設定很簡單 , 在主要機器上設定 角色爲 “主要” , 並輸入 備援機器的 IP

DomLinux_III

 

另一臺備援機上設定角色爲 備援 , 並輸入主要機器的 IP , 並選定指定同步時間

Mozilla_Firefox

第一次可以手動執行 “立即執行同步 ”  或讓系統時間到自動執行皆可

第一次執行完全備份時間會比較久或很久這要看你的資料量和網路速度 , 爾後就只會僅對有更新或新增/刪除的資料進行備份同步 ,  當系統切換爲 備援角色時 , 這機器的所有服務將會被關閉 選單也會被簡化如下圖 , 例如 smtp / pop3 / web …., 如果要將備援機提升爲主要機 , 只要把角色功能切回到 “獨立運行” 或 “主要” , 即可

Mozilla_Firefox

對外服務可以透過公司的防火牆將虛擬服務或 port 導入到正確的內部機器即可

如果主要機器與備援機器是分處於不同的地點, 透過網際網路備援並雙方有各有防火牆保護的話 , 你須將主要機這邊的 firewall 必須開啓 rsync port (tcp/873) 服務導入

建議第一次完整備份時可以在近端(LAN)完成 , 有需要再移到遠端 , 或先用鏡射碟方式作第一次備份 , 再將備份後的硬碟移到備援機 , 這樣也可以讓第一次資料備份速度加快.

此功能除了可以用來當備援機制外 , 延伸用途可以用在

  • 更換機器 : 當你的系統需要更換新的硬體時 , 可以用此機制完成資料備份後再請動備援機轉成主要機器即可
  • 實體機轉移到虛擬機

注意 :  此機制會轉換大部分的系統資料 , 但某些資料或設定爲本地端專屬, 所以不會被移轉或複製

  • 系統的授權資訊:如產品序號
  • 本地端的系統日誌 , 包含 主機記錄/ smtp /pop3 記錄等..
  • 網路設定 , 如本機器 IP/gateway/mask

備援機必須要購買相同的授權 , 也就是這個要完成機制你必須要買2套授權 , 但如果你只是要完成移機程序則可以臨時用60天試用版 CD  進行即可

另外聲明 , 本系統並非HA機制 , 並不會監視雙方的系統心跳 , 所以不需要再問是不是可以自動即時啓動備援的功能 , 這部分必須由系統管理員 根據網路的佈局進行手動啓動.

SSL heartbleed issue

最近很熱門的一個資訊安全話題 是關於 SSL 加密的套件 openssl , 的一個嚴重系統漏洞被發掘 , 目前有一些測試工具可以來測試網站是否有被影響

http://possible.lv/tools/hb/

https://filippo.io/Heartbleed/

輸入你的伺服器 IP 進行測試 , 如果出現以下綠底白字 : TLS extension 15 (heartbeat) seems disabled, so your server is probably unaffected.  表示不受這個漏洞的影響

Heartbleed_OpenSSL_extension_testing_tool__CVE-2014-0160

 

如果出現 以下訊息 , 就得小心 :

Heartbleed_OpenSSL_extension_testing_tool__CVE-2014-0160 2

目前 DomLinux 測試結果 , 管理界面及 webmail 都不受影響 ,

web server 若使用 apache 1.3x 的用戶不受影響   , 使用   apache 2.2x 的用戶 如果有啓用 SSL 加密的網站這會有影響

未來我們會修補這個部分的漏洞 (已經在V3.18版更新修正) , 但目前看來影響並不大 , 絕大部分的 DomLinux 用戶可以安心