Category Archives: Internet

Proxmox cooles Transferfeature

Posted on by

Vor einiger Zeit gab es Probleme mit der Storage eines unserer Hostingsysteme. Die auf dem PCIE Port verbaute M.2 sprang offenbar unter Last vom PCIE-Bus, was zum Totalausfall der VMs führte, die darauf Ihre Daten gelagert hatten.

Proxmox cooles Transferfeature

Nachdem klar war, daß das ein Problem des Mainboards ist und damit nicht ohne weiteres lösbar war, wurde eine alternative Storage in den Server eingebaut, die als neues Heim für Daten der VMs dienen sollte. Jetzt mußten die Daten da aber auch hin und da kommt die Livemigration von Proxmox ins Spiel.

Damit ist es möglich die Festplatten der VM’s auf eine andere Storage zu verschieben, ohne das die VM gestoppt werden muß. Ich habe Euch da ein Logfile mitgebracht, damit Ihr Euch das mal „ansehen“ könnt:

create full clone of drive sata1[1] (local-lvm:vm-101-disk-2)
Formatting[2] ‚/disks//images/101/vm-101-disk-0.qcow2‘, fmt=qcow2 cluster_size=65536 extended_l2=off preallocation=metadata compression_type=zlib size=85899345920 lazy_refcounts=off refcount_bits=16
drive mirror is starting for drive-sata1
drive-sata1: transferred 0.0 B of 80.0 GiB (0.00%) in 0s
drive-sata1: transferred 457.0 MiB of 80.0 GiB (0.56%) in 1s
drive-sata1: transferred 932.0 MiB of 80.0 GiB (1.14%) in 2s
drive-sata1: transferred 1.4 GiB of 80.0 GiB (1.70%) in 3s
drive-sata1: transferred 1.8 GiB of 80.0 GiB (2.27%) in 4s
drive-sata1: transferred 2.3 GiB of 80.0 GiB (2.84%) in 5s
drive-sata1: transferred 2.7 GiB of 80.0 GiB (3.42%) in 6s
drive-sata1: transferred 3.2 GiB of 80.0 GiB (3.99%) in 7s
drive-sata1: transferred 3.7 GiB of 80.0 GiB (4.56%) in 8s
drive-sata1: transferred 4.1 GiB of 80.0 GiB (5.13%) in 9s
drive-sata1: transferred 4.6 GiB of 80.0 GiB (5.70%) in 10s
drive-sata1: transferred 5.0 GiB of 80.0 GiB (6.27%) in 11s
drive-sata1: transferred 5.5 GiB of 80.0 GiB (6.84%) in 12s
drive-sata1: transferred 5.9 GiB of 80.0 GiB (7.41%) in 13s
drive-sata1: transferred 6.4 GiB of 80.0 GiB (7.98%) in 14s
drive-sata1: transferred 6.8 GiB of 80.0 GiB (8.54%) in 15s
drive-sata1: transferred 7.3 GiB of 80.0 GiB (9.12%) in 16s
drive-sata1: transferred 7.8 GiB of 80.0 GiB (9.70%) in 17s
drive-sata1: transferred 8.2 GiB of 80.0 GiB (10.27%) in 18s
drive-sata1: transferred 8.7 GiB of 80.0 GiB (10.84%) in 19s
drive-sata1: transferred 9.1 GiB of 80.0 GiB (11.39%) in 20s
drive-sata1: transferred 9.6 GiB of 80.0 GiB (11.98%) in 21s
drive-sata1: transferred 10.0 GiB of 80.0 GiB (12.55%) in 22s

drive-sata1: transferred 78.6 GiB of 80.0 GiB (98.22%) in 2m 55s
drive-sata1: transferred 79.0 GiB of 80.0 GiB (98.77%) in 2m 56s
drive-sata1: transferred 79.5 GiB of 80.0 GiB (99.29%) in 2m 57s
drive-sata1: transferred 79.9 GiB of 80.0 GiB (99.82%) in 2m 58s
drive-sata1: transferred 80.0 GiB of 80.0 GiB (100.00%) in 2m 59s, ready
all ‚mirror‘ jobs are ready
drive-sata1: Completing block job_id…
drive-sata1: Completed successfully.
drive-sata1: mirror-job finished
TASK OK

[1]  SATA1 ist schlicht und ergreifen die Nummerierung von Proxmox für die erste (und einzige) „SATA“-Platte an der VM. SATA meint hier nur den simulierten Anschluss, nicht das echte Speichermedium. Die Tragödie mit Fedora und SCSI hatte ich schon einmal thematisiert.
[2] Der Vorgang erzeugt auf der (nicht als LVM realisierten) neuen Storage erstmal eine Imagedatei passender Größe.

Wie man sehen kann, wurden da 80GB in 3 Minuten verschoben, was einer Datenrate von 455 MB/s entspricht. Das war schon mal viel schneller als wir das bei der Storage erwartet hatten. Diese soll eigentlich nur als Überbrückung dienen, um die defekte NVME aus dem RAID zu bekommen, ohne das es zum Datenverlust kommt.

Durch die Livemigration bleiben die VMs am laufen und die Benutzer merken idealerweise nichts von dem Transfer. Natürlich haben wir den nicht zur Primetime gemacht, daher war in der VM tatsächlich nichts von dem Transfer zu merken. An der Stelle, ein großes Lob für das Proxmox Team.Man muß die VM dafür nicht mal rebooten.

Das Feature soll auch bei externen Storages funktionieren, so daß eine nachträgliche Anschaffung einer „echten ;)“ Storage-Unit den Transfer von VMs  dort hin ermöglicht und die ehemals lokalen Server zu reinen Webslaves werden.

Also traut Euch ruhig das mal auszuprobieren, wenn Ihr neue Storages in Euren Proxmox einbaut.

 

Die Häufigkeit von TLS Ciphern in 2025

Posted on by

In 2017 hatte ich mal diesen Artikel über die Häufigkeit von TLS Ciphern geschrieben:

Häufigkeit von TLS Ciphern

Heute folgt das Update für 2025

von 272.655 eingegangenen Emails, Zahlen sind rückläufig weil Leute Ihre digitale Souveränität an M$ 365 abtreten, haben sich die durchgängig TLS 1.2/1.3 Cipher wie folgt platziert:

130.711TLS1.3:TLS_AES_256_GCM_SHA384:256
68.885TLS1.2:ECDHE-RSA-AES256-GCM-SHA384:256
57.627TLS1.3:TLS_AES_128_GCM_SHA256:128
13.584TLS1.2:ECDHE-RSA-AES128-GCM-SHA256:128
1.006TLS1.2:ECDHE-RSA-AES128-SHA256:128
287TLS1.2:DHE-RSA-AES256-GCM-SHA384:256
240TLS1.2:AES128-GCM-SHA256:128
178TLS1.2:AES256-SHA:256
57TLS1.2:ECDHE-RSA-CHACHA20-POLY1305:256
24TLS1.3:TLS_CHACHA20_POLY1305_SHA256:256
24TLS1.2:ECDHE-RSA-AES256-SHA:256
16TLS1.2:AES256-GCM-SHA384:256
10TLS1.2:DHE-RSA-CHACHA20-POLY1305:256
4TLS1.2:DHE-RSA-AES256-SHA:256
1TLS1.2:DHE-RSA-AES128-SHA:128
1TLS1.2:AES128-SHA256:128

Auf die Frage…

Wieso ist TLS 1.2 in 2025 noch an Platz 2?

.. gibt es leider eine sehr beschämende Antwort für Microsoft: Euer TLS Setup ist Schrott.

Win11 sollte eigentlich TLS 1.3 defaultmäßig aktiviert haben, das zeigt sich aber in den Outlook Connections nicht, weil die für SMTP nur TLS 1.2 benutzen oder TLS 1.3 nicht funktioniert. Im Netz fanden sich einige Posts, wo das langsam mal jemandem auffällt. Bei Win10 sieht es so aus, daß die TLS 1.3 Implementierung laut Microsoft defekt ist und nicht benutzt werden sollte. Einige haben es trotzdem laufen, aber das ist eine andere Sache.

Zusammenfassung: Win10 kann nicht, Win11 will TLS 1.3 nicht für SMTP nutzen. Tja. Gott sei dank ist TLS 1.2 noch nicht final gebrochen worden. Für Win10 User wird das aber sehr schnell sehr schmutzig, sollte das doch passieren, immerhin ist TLS 1.2 schon 17 Jahre alt. Wer auch immer das spezifiziert hat: Meine Glückwünsche!

Leute steigt auf Linux um

Allen Windowsusern kann ich eh nur raten auf Thunderbird umzusteigen, weil das eine eigene TLS Engine mitbringt, die dann auch sauber funktioniert.

Ein Glück das wir Linux mit OpenSSL und GNUTLS haben .. die funktionieren wenigstens brauchbar, auch wenn Fefe da schon öfter geflucht hat 😀

Neues Mitglied im TLS 1.3 Verweigererclub: The Boeing Company

Posted on by

Für die nachfolgende Betrachtung eines TLS Verweigerers wäre es günstig, wenn Ihr das hier gelesen habt:

SMTP: pphosted.com trifft auf moderne SSL-Technik

ProofPoint Hosted hat seine Probleme schon vor einer Weile behoben, aber wie heute bekannt wurde, haben wir im TLS 1.3 Verweigerer Club ein prominentes neues Mitglied: The Boeing Company 

Genau die Firma, wo dauernd Teile von den Flugzeugen und Raumschiffen abfallen 🙂 Im Gesamtbild betrachtet ergibt das ja dann auch irgendwie Sinn 😉

Jetzt kann ich viel behaupten, also Beweise her: Aufgenommen Heute, 29.5.2025 12:0x Uhr

1. Die Mailserver ermitteln

$ dig mx boeing.com

; <<>> DiG 9.18.33 <<>> mx boeing.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 34226
;; flags: qr rd ra; QUERY: 1, ANSWER: 12, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;boeing.com. IN MX

;; ANSWER SECTION:
boeing.com. 86400 IN MX 10 phx-mbsin-02.mbs.boeing.net.
boeing.com. 86400 IN MX 10 phx-mbsin-01.mbs.boeing.net.
boeing.com. 86400 IN MX 10 clt-mbsin-04.mbs.boeing.net.
boeing.com. 86400 IN MX 10 clt-mbsin-03.mbs.boeing.net.
boeing.com. 86400 IN MX 10 clt-mbsin-02.mbs.boeing.net.
boeing.com. 86400 IN MX 10 clt-mbsin-01.mbs.boeing.net.
boeing.com. 86400 IN MX 10 ewa-mbsin-04.mbs.boeing.net.
boeing.com. 86400 IN MX 10 ewa-mbsin-03.mbs.boeing.net.
boeing.com. 86400 IN MX 10 ewa-mbsin-02.mbs.boeing.net.
boeing.com. 86400 IN MX 10 ewa-mbsin-01.mbs.boeing.net.
boeing.com. 86400 IN MX 10 phx-mbsin-04.mbs.boeing.net.
boeing.com. 86400 IN MX 10 phx-mbsin-03.mbs.boeing.net.

2. einige davon auf TLS 1.3 testen

# openssl s_client –connect clt-mbsin-01.mbs.boeing.net.:25 -starttls smtp -tls1_3
Connecting to 130.76.144.154
CONNECTED(00000003)
80322E30907F0000:error:0A000410:SSL routines:ssl3_read_bytes:ssl/tls alert handshake failure:ssl/record/rec_layer_s3.c:909:SSL alert number 40

no peer certificate available

No client certificate CA names sent

SSL handshake has read 370 bytes and written 265 bytes
Verification: OK

New, (NONE), Cipher is (NONE)
This TLS version forbids renegotiation.
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 0 (ok)

# openssl s_client –connect ewa-mbsin-02.mbs.boeing.net:25 -starttls smtp -tls1_3
Connecting to 130.76.20.187
CONNECTED(00000003)
80B27B732E7F0000:error:0A000410:SSL routines:ssl3_read_bytes:ssl/tls alert handshake failure:ssl/record/rec_layer_s3.c:909:SSL alert number 40

no peer certificate available

No client certificate CA names sent

SSL handshake has read 370 bytes and written 301 bytes
Verification: OK

New, (NONE), Cipher is (NONE)
This TLS version forbids renegotiation.
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 0 (ok)

3. beweisen, daß wir stellvertretend mit einem davon TLS 1.2 reden können:

(verkürzte Ausgabe, das Cert brauchen wir nicht in Hexlesen können )

# openssl s_client –connect phx-mbsin-04.mbs.boeing.net:25 -starttls smtp -tls1_2
Connecting to 130.76.184.173
CONNECTED(00000003)
depth=2 C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Global Root G2
verify return:1
depth=1 C=US, O=DigiCert Inc, CN=DigiCert Global G2 TLS RSA SHA256 2020 CA1
verify return:1
depth=0 C=US, ST=Illinois, L=Chicago, O=The Boeing Company, CN=phx-mbsin-04.mbs.boeing.net
verify return:1

Certificate chain
0 s:C=US, ST=Illinois, L=Chicago, O=The Boeing Company, CN=phx-mbsin-04.mbs.boeing.net
i:C=US, O=DigiCert Inc, CN=DigiCert Global G2 TLS RSA SHA256 2020 CA1
a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256
v:NotBefore: Aug 7 00:00:00 2024 GMT; NotAfter: Aug 12 23:59:59 2025 GMT
1 s:C=US, O=DigiCert Inc, CN=DigiCert Global G2 TLS RSA SHA256 2020 CA1
i:C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Global Root G2
a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256
v:NotBefore: Sep 24 00:00:00 2020 GMT; NotAfter: Sep 23 23:59:59 2030 GMT
2 s:C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Global Root G2
i:C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Global Root G2
a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256
v:NotBefore: Aug 1 12:00:00 2013 GMT; NotAfter: Jan 15 12:00:00 2038 GMT

Server certificate

subject=C=US, ST=Illinois, L=Chicago, O=The Boeing Company, CN=phx-mbsin-04.mbs.boeing.net
issuer=C=US, O=DigiCert Inc, CN=DigiCert Global G2 TLS RSA SHA256 2020 CA1

Acceptable client certificate CA names
C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Global Root G2
Client Certificate Types: RSA sign, DSA sign, ECDSA sign
Requested Signature Algorithms: RSA+SHA512:DSA+SHA512:ECDSA+SHA512:RSA+SHA384:DSA+SHA384:ECDSA+SHA384:RSA+SHA256:DSA+SHA256:ECDSA+SHA256:RSA+SHA224:DSA+SHA224:ECDSA+SHA224:RSA+SHA1:DSA+SHA1:ECDSA+SHA1
Shared Requested Signature Algorithms: RSA+SHA512:ECDSA+SHA512:RSA+SHA384:ECDSA+SHA384:RSA+SHA256:ECDSA+SHA256:RSA+SHA224:ECDSA+SHA224
Peer signing digest: SHA512
Peer signature type: RSA
Server Temp Key: ECDH, prime256v1, 256 bits

SSL handshake has read 5183 bytes and written 395 bytes
Verification: OK

New, TLSv1.2, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES256-GCM-SHA384
Session-ID: F851762BA22AB5420F8B567A8497D6C5A23EE86984316B6D69A52DC89D50EC90
Session-ID-ctx:
Master-Key: 8F769C7F3910F70E26288F83282A84CBB4C598F041A0D84017AD96978582D48E616D7AFF8AC250E471A9354CEBBF53F8
PSK identity: None
PSK identity hint: None
SRP username: None
TLS session ticket lifetime hint: 1 (seconds)
TLS session ticket:
0000 – 81 13 9b c2 a5 94 8a cf-64 42 b4 b5 bd 33 9d 63 ……..dB…3.c
0010 – a0 08 c2 78 9f 07 ef 54-53 bd 80 35 4d 7d 8c 44 …x…TS..5M}.D
0020 – 38 ab 14 3d 4a 56 df 7e-d6 5d 9e a4 46 a8 02 0b 8..=JV.~.]..F…
0030 – 50 5d 9e 4c 85 53 2d 4c-4e 12 e9 3d 87 43 4d 78 P].L.S-LN..=.CMx
0040 – 46 e4 6b cb fd 30 71 8d-fe 4c 8a 7f 3f 21 1f 1e F.k..0q..L..?!..
0050 – 46 3a 40 02 79 07 ca 65-dd b7 50 3f 91 4b ff 7f F:@.y..e..P?.K..
0060 – 91 3b 26 78 97 44 f7 cb-11 a4 9e 31 0c e7 06 9b .;&x.D…..1….
0070 – 4f d1 da c6 32 b8 6e 3e-3e d9 40 31 02 17 99 45 O…2.n>>.@1…E
0080 – 29 3e 17 82 9e a4 ed ab-f6 e2 c7 49 c4 43 0d a9 )>………I.C..
0090 – c1 fb 21 3b 05 cb 4f 96-76 49 02 5b 54 92 0b 03 ..!;..O.vI.[T…
00a0 – 80 19 d8 08 cc 6a 40 63-a3 02 9b 78 17 a1 d8 2e …..j@c…x….
00b0 – 26 91 85 1e ee 7d 5f 4c-f5 a5 69 2b b1 52 a5 51 &….}_L..i+.R.Q

Start Time: 1748512677
Timeout : 7200 (sec)
Verify return code: 0 (ok)
Extended master secret: no

250 HELP

QED.

Das könnte der neue Slogan sein: „Boeing – digital wie analog veraltet“ 😉