Für das Einrichten eines zabbix-agent habe ich mir ein Skript geschrieben, das nach der Installation die Konfigurationsdateien anpasst.
apt-get update
apt-get install zabbix-agent -y
sed -i 's/^Server=.*/Server=zabbix.chr.istoph.de/g' /etc/zabbix/zabbix_agentd.conf
sed -i 's/^Hostname=.*/Hostname='`cat /etc/hostname`'/g' /etc/zabbix/zabbix_agentd.conf
/etc/init.d/zabbix-agent restart
Beim einrichten eines Servers unter 14.04 ist mir folgendes aufgefallen:
SSLCACertificateFile: file ‚/usr/share/ca-certificates/cacert.org/cacert.org.crt‘ does not exist or is empty
Darauf hin schaute ich mir die changelog vom ca-certificates an und war überrascht das cacert.org nicht mehr vertraut wird:
zless /usr/share/doc/ca-certificates/changelog.gz
ca-certificates (20130906ubuntu2) trusty; urgency=medium
* No longer ship cacert.org certificates. (LP: #1258286)
-- Marc Deslauriers
Daraufhin schaute ich mir den Bugreport genauer an:
Ubuntu ist eine der wenigen Distributionen die CAcert als vertrauenswürdiges Zertifikat anerkennen. Viele Distributionen erwägen [1], CAcert zu entfernen. Mozilla schloss die im Jahr 2003 eröffnete RFE [2] für CAcert im Jahr 2008.
Auf der Debian Mailingliste [3] wurden einige Bedenken bezüglich der Codequalität von CAcert ausgedrückt. Deswegen wurde die Prüfung angehalten.
In der Vergangenheit hat Ubuntu bereits CAcert deaktiviert [4], dies ist nun wieder der Fall. Es ist besser dies wieder zu tun.
Ubuntu is one of the few distributions shipping CAcert as a trusted certificate. Many distributions are considering[1] whether to remove CAcert, and Mozilla closed the RFE[2] for CAcert in 2008, which was opened in 2003.
Concerns were expressed about CAcert’s code quality[3], and their audit appears to be stalled.
In the past, it appears that Ubuntu disabled[4] CAcert, but this is no longer the case. It may be wise to do so again.
[1]: http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=718434#50
[2]: https://bugzilla.mozilla.org/show_bug.cgi?id=215243
[3]: http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=718434#45
[4]: http://wiki.cacert.org/InclusionStatus?highlight=Ubuntu
Quelle: https://bugs.launchpad.net/ubuntu/+source/ca-certificates/+bug/1258286
Abhilfe schafft folgendes, dennoch müssen dann die Fingersprints selbst überprüft werden.
wget -O cacert.org.crt http://www.cacert.org/certs/root.crt
wget -O - http://www.cacert.org/certs/class3.crt >> cacert.org.crt
[UPDATE]
Mittlerweile sind auch die andere releases betroffen wie Ubuntu 12.04:
zless /usr/share/doc/ca-certificates/changelog.gz
ca-certificates (20130906ubuntu0.12.04.1) precise-security; urgency=medium
* Update ca-certificates database to 20130906 (LP: #1257265):
- backport changes from the Ubuntu 14.04 20130906ubuntu1 package
- No longer ship cacert.org certificates (LP: #1258286)
- No longer ship obsolete debconf.org certificates
- mozilla/certdata2pem.py: Work around openssl issue by shipping both
versions of the same signed roots. Previously, the script would
simply overwrite the first one found in the certdata.txt with the
later one since they both have the same CKA_LABEL, resulting in
identical filenames. (LP: #1014640, LP: #1031333)
-- Marc Deslauriers
Pidgin hat das Problem das die in libpurple standardmäßig eingebaute libnns nicht die Zertifikatskette von cacert.org überprüfen kann. Wenn man pidgin mit gnutls baut sind alle Probleme behoben. Dann habe ich den Bug bestätigt 15486#comment:8:
I can confirm this bug using the XMPP server at 5222.de. The server certificate is signed by CACert and is accepted as valid by ‚openssl verify‘ ‚vfychain‘ (libnss3-tools).
I have connected to the server using the XMPP client psi, and the certificate is readily accepted.
For testing, I rebuilt pidgin with gnutls instead of libnss. This testing version does not show any certificate error anymore.
Bei dem altbekannten Tool fdisk bekommt man die Warnung „fdisk doesn’t support GPT“
root@ubuntu:~# fdisk -l
WARNING: GPT (GUID Partition Table) detected on '/dev/sda'! The util fdisk doesn't support GPT. Use GNU Parted.
Disk /dev/sda: 31.7 GB, 31658606592 bytes
255 heads, 63 sectors/track, 3848 cylinders, total 61833216 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x00000000
Device Boot Start End Blocks Id System
/dev/sda1 1 61833215 30916607+ ee GPT
mit parted kann man diese dann komplett auslesen:
root@ubuntu:~# parted -l
Model: ATA ATP IG mSATA (scsi)
Disk /dev/sda: 31.7GB
Sector size (logical/physical): 512B/512B
Partition Table: gpt
Number Start End Size File system Name Flags
1 1049kB 99.6MB 98.6MB fat32 boot
2 99.6MB 30.9GB 30.8GB ext4
3 30.9GB 31.7GB 779MB linux-swap(v1)
Dann weiß man auch welche Partition man mounten kann.
mount /dev/sda2 /mnt/
von heute auf morgen bekam ich bei remmina die unglaublich aussagekräftige Fehlermeldung „Verbindung zum RDP-Server server.domain fehlgeschlagen“
Dies hing bei mir mit den Fingersprints zusammen, die man in der Datei ~/.freerdp/known_hosts entfernen kann. Dann funktioniert der Aufbau der Verbindung wieder.