Anleitung: Module für root-Zugriff signieren (relevant ab STARFACE 6.4.3)

  • Hallo Zusammen,


    Könnt Ihr noch Bash signieren?
    Bei mir funktioniert es mittlerweile auch nicht mehr... (eine Datei die einmal ging)


    @ Starface darf ich um Rückmeldung bitten?



    Gruss
    CH

    Besuche den Online Store für Starface Module:
    http://store.itc-b.ch - +41 55 55 2 55 55

    Einmal editiert, zuletzt von ITC-B ()

  • können wir einen von STARFACE signierten Public-Key nicht einfach im Modul als Ressource mitliefern?
    Dann könnten Module auch auf Anlagen funktionieren, die keinen Internetzugang haben.


    Wie löst ihr die Lizenzierung in so einem Fall? Wenn die STARFACE Zugang zum Lizenzserver hat, wird sie auch die Public Keys herunterladen können.

    Quality Assurance


    STARFACE GmbH | Adlerstraße 61 | 76137 Karlsruhe | www.starface.com

  • Wie löst ihr die Lizenzierung in so einem Fall? Wenn die STARFACE Zugang zum Lizenzserver hat, wird sie auch die Public Keys herunterladen können.


    Bei uns benötigen die Module keinen externen Lizenzserver – nur einen gültigen Lizenzschlüssel, der sich aus der Hardware ID oder dem Serverlizenzschlüssel berechnet.
    Vorteil: Module bleiben lauffähig – auch ohne Verfügbarkeit eines externen Servers.
    Nachteil: Wir können Lizenzen nicht zurückziehen und entsprechend auch keine Demolizenzen ausstellen.

  • Bei uns benötigen die Module keinen externen Lizenzserver – nur einen gültigen Lizenzschlüssel, der sich aus der Hardware ID oder dem Serverlizenzschlüssel berechnet.
    Vorteil: Module bleiben lauffähig – auch ohne Verfügbarkeit eines externen Servers.
    Nachteil: Wir können Lizenzen nicht zurückziehen und entsprechend auch keine Demolizenzen ausstellen.


    Hallo Fabian,


    wie stellst du die STARFACE-Seitige Lizenzierung (also server, ucc clients, starface module) sicher, wenn die Anlage keinen Internetzugriff bekommt? Wird zum Beispiel spezifisch für https://license.starface.de eine Ausnahme über die Kunden-Firewall geschaltet? Wenn ja, dann sollten die Modul-Public Keys auch über diesen Weg von uns auf die STARFACE kommen.


    Ich werde dein Verbesserungsvorschlag weitergeben.


    Viele Grüße


    Tom

    Quality Assurance


    STARFACE GmbH | Adlerstraße 61 | 76137 Karlsruhe | www.starface.com

  • Hey Tom,


    Hallo Fabian,


    wie stellst du die STARFACE-Seitige Lizenzierung (also server, ucc clients, starface module) sicher, wenn die Anlage keinen Internetzugriff bekommt? Wird zum Beispiel spezifisch für https://license.starface.de eine Ausnahme über die Kunden-Firewall geschaltet? Wenn ja, dann sollten die Modul-Public Keys auch über diesen Weg von uns auf die STARFACE kommen.


    Ich werde dein Verbesserungsvorschlag weitergeben.


    Der Lizenzserver muß nur während der Installation und für Updates erreichbar sein... es gibt leider viele Installationen, die ansonsten "offline" sind.
    Es geht nur darum, nicht Fehlermeldungen vom Kunden zu bekommen, nur weil die Anlage den Key vielleicht noch nicht hat.

  • Hallo zusammen,


    ich habe jetzt ein einfaches Skript zum test erstellt:

    Bash
    #!/bin/bash
    echo "Hello World" > /home/textfile.txt


    Anschließend Signiert und als Resource hochgeladen.
    Dann ein executeasroot mit der Resource erstellt und das Modul ausgeführt.
    Er macht aber garnichts und loggt auch leider nichts.
    Mach ich irgendwas Falsch?

    MfG


    Schulz

  • Hey Tom,




    Der Lizenzserver muß nur während der Installation und für Updates erreichbar sein... es gibt leider viele Installationen, die ansonsten "offline" sind.
    Es geht nur darum, nicht Fehlermeldungen vom Kunden zu bekommen, nur weil die Anlage den Key vielleicht noch nicht hat.


    Hi Fabian,


    vielen Dank für die Rückmeldung, ich ergänze die Info noch intern :)


    Bereits beim ersten Hochfahren der Anlage nach der Erstkonfig (egal ob Neukonfiguration oder Backup-Import) werden die verfügbaren Schlüssel schon runtergeladen. Die SF hätte also in dem Szenario die Schlüssel zum Zeitpunkt der Neuinstallation. Bei bereits konfigurierten Anlagen müssten diese nach dem Update bis sie komplett hochgefahren ist den Internetzugang haben (kann man z.B. mit watch ls -la /var/starface/module/keys beobachten).

    Quality Assurance


    STARFACE GmbH | Adlerstraße 61 | 76137 Karlsruhe | www.starface.com

  • Bei bereits konfigurierten Anlagen müssten diese nach dem Update bis sie komplett hochgefahren ist den Internetzugang haben (kann man z.B. mit watch ls -la /var/starface/module/keys beobachten).


    Es könnte evlt. Sinn machen das Datum des letzten erfolgreichen Update in der Admin GUI anzeigen zu lassen (das gilt auch für siptrunk.de).

  • Es könnte evlt. Sinn machen das Datum des letzten erfolgreichen Update in der Admin GUI anzeigen zu lassen (das gilt auch für siptrunk.de).


    Hallo Samuel,


    dein Vorschlag habe ich jetzt ebenfalls aufgenommen :)

    Quality Assurance


    STARFACE GmbH | Adlerstraße 61 | 76137 Karlsruhe | www.starface.com

  • (nur so als Info)


    Module die unter 6.4.3.22 mit dem Modulbaustein "ExecuteAsRoot" versehen wurden lassen sich unter älteren SF-Versionen nicht mehr Importieren.


    Bzw. beim Import kommt eine Fehlermeldung "Module Import Failed", das Modul ist dann trotzdem in der Library, hat aber keinerlei Funktion, obwohl es Grün ist.


    Es lässt sich auch nicht Editieren.


    Liegt vermutlich an dem neuen Typ "SHELL_SCRIPT_FILE".


    Wenn man nun ein unter 6.4.3 Programmiertes Modul für eine ältere Version Kompatibel machen will, muss man also zuerst de Baustein "ExecuteasRoot" komplett entfernen, und dann das Modul exportieren. Danach in der älteren Version Importieren und ggfs. weitere Anpassungen machen.


    War bei mir jetzt grad bei einem Modul der Fall, dass unter 6.4.2.X noch zum Einsatz kommen muss.


    MfG


    Fabian

  • Ich konnte die ganze Problem mit den Fehlenden Public Keys nie mehr nachstellen.


    Es passierte nur auf der aller ersten Anlage, bei der ich das Backup von der Beta1 eingespielt hatte.
    Es könnte eventuell damit zusammenhängen, dass die Starface während der Installation, und des Einspielens des Backups kein Internet hatte, sondern erst danach.
    Auf dieser Anlage existierte das Verzeichnis /var/Starface/module/keys, und tauchte auch in den Folgetagen trotz Internetverbindung nicht auf.


    Ich konnte das Problem auch nach 5 weiteren Testinstallationen nicht mehr nachstellen.


    MfG


    Fabian

  • Leider zeigt sich in einem Fall gerade, dass ein signiertes Modul nicht überall korrekt funktioniert.


    Auf der Starface, auf der das Modul mit den Signaturen erstellt wurde, ist die Funktionalität korrekt und problemlos gegeben. Nun gab es Rückmeldungen von Kunden, dass die gewünschte Funktion dort nicht gegeben ist (...). Nach Prüfung auf anderen Installationen zeigt sich jetzt, dass jenes signierte Modul tatsächlich nicht überall wie erwartet funktioniert. Die Public-Keys, die zu uns gehören, sind bei den Zielanlagen vorhanden und offenbar auch aktuell - das sollte also doch funktionieren?!


    Ein Blick ins Log zeigt auch keine Auffälligkeiten - tatsächlich wird der signierte Teil aber eben schlichtweg nicht ausgeführt. Neustarts der betreffenden Starface oder auch Entfernen und Neuinstallation des betreffenden Modules bringt keine Änderung.


    Wo könnte das Problem liegen?


    Verwirrend ist, dass das Ganze nicht konsistent ist - also auf einer Anlage problemlos klappt, auf anderen SFs dagegen nicht ...

  • Ich habe mal etwas weiter getestet und bin auf folgendes gestossen:


    Lade ich auf einer Starface, auf der das Modul zunächst nicht funktioniert, die Signatur-Dateien neu als Ressourcen ins Modul, funktioniert das Modul auf dieser Starface sofort. Exportiere ich dieses Modul und verwende es auf einer anderen Starface, funktioniert es NICHT mehr.


    Wo liegt der Denkfehler?

  • Gibt es denn schon einen Termin, zu dem dieses Problem gefixt ist / wann kommt das betreffende Release?


    Das Problem haben wir erkannt und behoben. Ein passendes Release dazu, das den Fehler behebt, befindet sich gerade bei uns in der Qualitätssicherung und wird in ca. einer Woche erscheinen.

  • Nachtrag:


    Vermutlich ist das hier das gleiche Problem? Sorry, bin erst nach längerem Nachforschen darauf gestossen ...


    Gibt es denn schon einen Termin, zu dem dieses Problem gefixt ist / wann kommt das betreffende Release?



    Hallo,


    der Fehler ist im heutigen Bugfix-Release gefixt worden.


    Grüße
    Jan

    STARFACE Product Management


    Bug gefunden? Hier melden!
    Featurewunsch oder Verbesserungsvorschlag? Trage es in unserem Feature Wünsche ein!
    Unsere Knowledge-Base für STARFACE findet ihr hier!

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!