wir haben eine UTM mit Firmware 11.7.13_Final im Einsatz. Ich habe hier dem nginx manuell ein eigenes SSL-Zertifikat eingestellt (Wildcard-Zertifikat von offizieller Zertifizierungsstelle), indem ich dieses in /rootdisk/config/nging/cert-2018.pem kopiert habe, und dann das ursprüngliche cert.pem durch einen Symlink auf das neue Zertifikat ersetzt habe.
Das funktionierte so seit Jahren problemlos (ist bereits das zweite, nachdem das erste abgelaufen war).
Jetzt wollte ich die Firmware auf den aktuellen Stand bringen, und hatte unter "Verfügbare Version" eine 11.8.3.x stehen (bin leider nicht mehr sicher, was bei x stand, ich meine, es wäre noch nicht 4 gewesen zu dem Zeitpunkt, aber das lässt sich jetzt nicht mehr nachvollziehen). Ich habe dann auf "aktivieren" geklickt, die UTM hat neu gestartet, Dienste (VPN, Firewall, Reverse Proxy) schienen alle zu funktionieren - aber das Webinterface war nicht mehr erreichbar. Gleichzeitig fing es an, dass ich massenweise "Alert Center Messages" per Mail erhielt mit folgendem Inhalt:
Code: Alles auswählen
General
Firewall name [...]
Status CRITICAL
Date 27.06.2019 - 09:35:58
Source spsysprocd
Message Security breach detected (MAC).
Details
Program Mandatory-Access-Control (tomoyo)
Log message status='denied' pid='24518' domain=' /usr/sbin/runsv /etc/sv/webserver/run /usr/sbin/nginx' policy='file read /rootdisk/config/nginx/cert-2018.pem'
Group Mandatory Access Control (MAC)
Group message Security breach detected (MAC).
Pattern name tomoyo_all
Pattern command ^(?=.*?(status=))(?=.*?(pid=))(?=.*?(domain=))(?=.*?(policy=)).*$
Pattern program tomoyo
Log ID 25296
Zwischenzeitlich hatte ich im Forum den Beitrag bzgl. der Alert Messages gelesen, und dass diese wohl in den ganz aktuellen FW-Versionen behoben sein sollte. Unter Firmware Update wurde mir jetzt die 11.8.3.4 angezeigt, und da ich dachte, vorher beim Update noch nicht die ganz aktuelle gehabt zu haben, habe ich diese dann aktiviert.
Ergebnis war, dass ich wieder das gleiche Verhalten hatte, wie vorher - Webinterface nicht erreichbar, Alert messages wie oben.
Diesen Zustand wollte ich dann nicht so belassen, bis geklärt ist, wie sich das Problem beheben lässt - nur konnte ich jetzt auch kein "system upgrade rollback" mehr durchführen - da kam eine Fehlermeldung. Laut "system upgrade hint" konnte ich nur "decline" oder irgendwas mit "accept oder "finalize" verwenden - also habe ich "system upgrade decline" ausgeführt.
Nun bin ich zwar wieder auf dem Stand wie vorher, bekomme aber im Webinterface nun angezeigt "keine neuere Version verfügbar". Ich habe nun das Gefühl, dass ich durch Ablehnen des Vertrags diese (oder allgemein zukünftige) Versionen nicht mehr angeboten bekomme.
Daraus ergeben sich nun für mich nun zwei Fragen:
1) Wie bekomme ich es hin, dass ich wieder auf die aktuelle FW-Version aktualisieren kann?
2) Wie bekomme ich dann das Problem mit dem Zertifikat in den Griff, so dass ich keine Warnmeldungen mehr bekomme und das Webinterface wieder läuft?
Vielen Dank!
Gruß, Nico