Nach Update auf 11.8 kein Zugriff mehr auf Webinterface (mit custom SSL Zertifikat)

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
nehemann
Beiträge: 19
Registriert: Mi 22.06.2016, 09:05

Nach Update auf 11.8 kein Zugriff mehr auf Webinterface (mit custom SSL Zertifikat)

Beitrag von nehemann »

Hallo,

wir haben eine UTM mit Firmware 11.7.13_Final im Einsatz. Ich habe hier dem nginx manuell ein eigenes SSL-Zertifikat eingestellt (Wildcard-Zertifikat von offizieller Zertifizierungsstelle), indem ich dieses in /rootdisk/config/nging/cert-2018.pem kopiert habe, und dann das ursprüngliche cert.pem durch einen Symlink auf das neue Zertifikat ersetzt habe.
Das funktionierte so seit Jahren problemlos (ist bereits das zweite, nachdem das erste abgelaufen war).

Jetzt wollte ich die Firmware auf den aktuellen Stand bringen, und hatte unter "Verfügbare Version" eine 11.8.3.x stehen (bin leider nicht mehr sicher, was bei x stand, ich meine, es wäre noch nicht 4 gewesen zu dem Zeitpunkt, aber das lässt sich jetzt nicht mehr nachvollziehen). Ich habe dann auf "aktivieren" geklickt, die UTM hat neu gestartet, Dienste (VPN, Firewall, Reverse Proxy) schienen alle zu funktionieren - aber das Webinterface war nicht mehr erreichbar. Gleichzeitig fing es an, dass ich massenweise "Alert Center Messages" per Mail erhielt mit folgendem Inhalt:

Code: Alles auswählen

General 
Firewall name [...]
Status CRITICAL 
Date 27.06.2019 - 09:35:58 
Source spsysprocd 
Message Security breach detected (MAC). 
Details 
Program Mandatory-Access-Control (tomoyo) 
Log message status='denied' pid='24518' domain=' /usr/sbin/runsv /etc/sv/webserver/run /usr/sbin/nginx' policy='file read /rootdisk/config/nginx/cert-2018.pem' 
Group Mandatory Access Control (MAC) 
Group message Security breach detected (MAC). 
Pattern name tomoyo_all 
Pattern command ^(?=.*?(status=))(?=.*?(pid=))(?=.*?(domain=))(?=.*?(policy=)).*$ 
Pattern program tomoyo 
Log ID 25296 
Also habe ich mich per SSH angemeldet und per system upgrade rollback wieder auf die alte FW umgeschaltet und eine Sicherung der aktuellen Konfiguration runtergeladen.
Zwischenzeitlich hatte ich im Forum den Beitrag bzgl. der Alert Messages gelesen, und dass diese wohl in den ganz aktuellen FW-Versionen behoben sein sollte. Unter Firmware Update wurde mir jetzt die 11.8.3.4 angezeigt, und da ich dachte, vorher beim Update noch nicht die ganz aktuelle gehabt zu haben, habe ich diese dann aktiviert.
Ergebnis war, dass ich wieder das gleiche Verhalten hatte, wie vorher - Webinterface nicht erreichbar, Alert messages wie oben.

Diesen Zustand wollte ich dann nicht so belassen, bis geklärt ist, wie sich das Problem beheben lässt - nur konnte ich jetzt auch kein "system upgrade rollback" mehr durchführen - da kam eine Fehlermeldung. Laut "system upgrade hint" konnte ich nur "decline" oder irgendwas mit "accept oder "finalize" verwenden - also habe ich "system upgrade decline" ausgeführt.
Nun bin ich zwar wieder auf dem Stand wie vorher, bekomme aber im Webinterface nun angezeigt "keine neuere Version verfügbar". Ich habe nun das Gefühl, dass ich durch Ablehnen des Vertrags diese (oder allgemein zukünftige) Versionen nicht mehr angeboten bekomme.

Daraus ergeben sich nun für mich nun zwei Fragen:

1) Wie bekomme ich es hin, dass ich wieder auf die aktuelle FW-Version aktualisieren kann?
2) Wie bekomme ich dann das Problem mit dem Zertifikat in den Griff, so dass ich keine Warnmeldungen mehr bekomme und das Webinterface wieder läuft?

Vielen Dank!

Gruß, Nico

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Hallo,

Wegen Zertifikat:
ab 11.8.X ist der Symlink das Problem.
Einfach das Zertifikat kopieren und als cert.pem speichern.

Wegen Update:
System upgrade forceupdate

Gruß

Kenneth

nehemann
Beiträge: 19
Registriert: Mi 22.06.2016, 09:05

Beitrag von nehemann »

Das hat funktioniert, danke!

Antworten