mir sind zwei Probleme mit dem Forum zu Augen und Ohren gekommen und die möchte ich im Folgenden ansprechen.
Die Forensoftware ist auf einem Versionsstand von vor zwei Jahren: 1.4.6, aktuell wäre 1.8.x.
Ist hier ein Update abzusehen? Es fühlt sich derzeit eher nach Stillstand an. Neben Features sind dabei sicherlich auch Sicherheitsprobleme behoben worden. Release v1.8.1 · discourse/discourse · GitHub
Die Zertifikatskette ist in manchen Browsern als wiederrufen markiert.
Das hängt meines Erachtens nach mit der Entziehung des Vertrauens von StartCom/WoSign zusammen. Hier sollte auf Letsencrypt ausgewichen werden, und es wurde kürzlich auf Twitter bestätigt, dass für freifunk.net ein Limit von 500 Domains (pro Woche?) gilt: https://twitter.com/EvAltenberga/status/875224696278601729
Ich hoffe das ist hier richtig aufgehoben, es ist nach Außen nicht erkennbar, wer sich noch um das Forum kümmert.
Ich verstehe, dass das Forum in seiner Größe ein mittelschweres Monstrum geworden ist und das Hosting und Wartung nicht trivial sind, wie soll es also weitergehen?
siehe auch die an deren Threads.
Alles lösbar. Es hängt derzeit an Personen, die es in ihrer Freizeit machen.
(Es gibt auch mehrere Gruppen, die sich bereit erklärt haben, diese vergleichsweise trivialen Probleme zu lösen.)
Böse Menschen würden behaupten, dass das Feature „Lesen fremder Foren-Mails“ durchaus auch positiv nutzbar ist…
Nein, ist es nicht. Das Problem ist anders gelagert. Und soll nicht öffentlich diskutiert werden.
zu 1: Version: Es führt für die Migration kein (sauberer) Weg an einem neuen Setup vorbei (Test-Reimport war erfolgreich). Es wird nur dabei ein paar Stunden Downtime geben. Derzeit gibt es noch eine vorgelagerte DNS-Diskussion.
zu 2: SSL: Ist auf LE umgestellt.
Der Stand ist: @mpw und ich stehen in den Startlöchern. Und fehlen jedoch noch 1-2 „Zugriffe“ (oder Kontakt zu Personen mit solchem Zugriff) um einen der 3 möglichen Migrationspfade nutzen zu können.
(Wenn es keinen sauberen gibt, dann steht mein Vorschlag im Raum, einen temporären Hack zu fahren mit dem Risiko, dass der dann lange Bestand haben wird.)
Gibts es denn eine Deadline? Das Thema zieht sich ja schon ziemlich lange hin. Wenn man sich die Liste der Securityfixes zwischen der FF Version und der aktuellen discourse Version anschaut sollte man nicht all zu lange mit dem Upgrade warten.
Oder zumindest die User darauf hinweisen das man mit einer „veralteten“ Software und damit verbundenen Kosequenzen unterwegs ist.
… ich wüßte ad hoc nicht mal, wem ich wo wie welchen Zugriff einrichten müßte, damit er/sie/es unser Discourse-Forum übernimmt. Mein Glück ist: verkacke ich, trifft’s eine niedrige zweistellige Zahl an Nutzern, die ggf. auch erst nach Wochen dies bemerkten. Den Luxus haben @adorfer & Co. eher nicht Insofern: thanks for trying!
Da eine andere Lösung derzeit nicht in Sicht war und ich nach wie vor dem großen „Traffic auf andere VM umleiten“ zurückschrecke, weil solche Provisorien nicht nur Latenz kosten und Risiken bergen, halten sie dann in der Regel auch noch viel zu lang.
Ich habe stattdessen versucht, die drängensten Probleme hier anzugehen. Vorwegschickend muss ich gestehen, dass ich von Docker keine Ahnung habe und je mehr ich davon sehe, desto weniger möchte ich das eigentlich auch nicht… Aber sei’s drum.
Zur Dokumentation
Letsencrypt-Certificate seit einigen Wochen für den Webserver aktiv
Letsencrypt-Certificate für Maileinlieferung installiert
Mailempfang von Exim auf Postfix gewechselt
Unsichere SSL-Cryptos gesperrt für nginx und postfix
ssh und andere Dienste von Standard-Ports weggeschoben (Spart Euch die Kritik, das soll nur Logfiles übersichtlicher halten)
einige Libraries innerhalb des Docker-Containers manuell upgegraded
die Discourse-cronjobs für Mailempfang und Mailversand auf lokale/interne 1918er umgestellt, um nicht vom docker-Routing abhängig zu sein. (die Dokumentation für den nicht mehr gepflegten „docker.io“-tree ist sparsam)
discourse-„worker-unicorns“ auf 3 hochgesetzt, um den Stau loszuwerden.
das nat für die das interne 172.27./16 wieder angeschaltet, sonst klappt das mit dem Holen der Gravatare nicht
Mailversand an mail.nadeshda.de als smarthost ausgelagert, da das System in beständigem Monitoring ist hinsichtlich RBL-blacklistng und das System (zumindest für andere Domains) eine brauchbare Reputatation (dkim&Co) hat.
Ich habe bestimmt noch Dinge vergessen. Und eigentlich würde ich das System nach wie vor gern lieber frisch aufsetzen aus einem Datenbackup.
Das habe ich jetzt auf der ToDo-Liste bei mir.
Insofern: thanks for trying!