Differences

This shows you the differences between two versions of the page.

--- doc:appunti:linux:sa:debian_upgrade_11_12 [2024/03/25 16:21] – [Cacti da 1.2.16 a 1.2.24] niccolo
+++ doc:appunti:linux:sa:debian_upgrade_11_12 [2025/03/20 12:30] (current) – [OpenVPN BF-CBC not supported] niccolo
@@ Line 125: / Line 125: @@
 ===== OpenVPN BF-CBC not supported =====
-L'opzione **cipher** viene usata quando si usa una configurazione con l'opzione **secret** e pre-shared-key, una situazione che in generale dovrebbe essere rimpiazzata dalle configurazioni TLS (es. EasyRSA).
+==== Configuration with --secret PSK ====
-L'impostazione predefinita per **cipher** è **BF-CBC**, che però non è più presente in **OpenVPN 2.6.3** (controllare con ''%%openvpn --show-ciphers%%''); si deve quindi necessariamente indicare un protocollo diverso, ad esempio:
+In a configuration with PSK (**%%--secret%%** option) the **%%--cipher%%** parameter selects the cipher to use on the data channel. The default setting would be **BF-CBC**, but this is no longer present in **OpenVPN 2.6.3** (check with ''%%openvpn --show-ciphers%%''). You must therefore specify a different protocol, for example with:
+<file>
+# Do not use the default BF-CBC cipher, it was removed because of its 64-bit block size.
+cipher AES-256-CBC
+# Get the PSK from the external file.
+secret my-openvpn-secret.key
+</file>
+Of course, the other end of the VPN must support the same encryption. **WARNING**: Use **AES-256-CBC** because e.g. **AES-256-GCM** is not supported in pre-shared keys mode.
+==== Configuration with TLS ====
+With OpenVPN 2.6.x the **%%--cipher%%** option should not be used any longer in TLS mode (e.g. when using EasyRSA).
+With OpenVPN 2.4.x or lower: The values declared into the %%--cipher%% option were appended to **%%--data-ciphers%%** for compatiblity, this is not longer the case. You have to explicitly declare **%%--data-ciphers%%** and remove ''%%--cipher%%'':
 <code>
-# The --cipher option is used to connect OpenVPN older than 2.6.0 using pre-shared keys.
+# OpenVPN 2.6 using TLS should use the --data-ciphers option.
-# Notice that AES-256-GCM is not supported in pre-shared keys mode.
+data-ciphers AES-256-GCM:AES-128-GCM:AES-256-CBC
-#cipher AES-256-CBC
+data-ciphers-fallback AES-256-CBC
-#
-# Newer connections using TLS uses the --data-ciphers option.
-data-ciphers AES-256-GCM:AES-128-GCM
 </code>
 ===== PostgreSQL da 13 a 15 =====
@@ Line 189: / Line 202: @@
 === Conversione database Cacti a Unicode ===
-Collegarsi al database Cacti e eseguire:
+Collegarsi al database Cacti e verificare lo stato corrente:
+<code sql>
+CONNECT cacti
+SELECT @@character_set_database, @@collation_database;
++--------------------------+----------------------+
+| @@character_set_database | @@collation_database |
++--------------------------+----------------------+
+| latin1                   | latin1_swedish_ci    |
++--------------------------+----------------------+
+</code>
+Per fare la modifica eseguire:
 <code sql>
@@ Line 216: / Line 241: @@
 Il wizard segnala come anomalia che l'impostazione **innodb** di MySQL sarebbe **UNSET**. In effetti sembra che già tutte le tabelle della nostra installazione siano gestite dal motore InnoDB (è l'impostazione predefinita del server **MariaDB 10.11.3**).
-Per verificare l'impostazione predefinita collegarsi al database **mysql** ed eseguire **%%SHOW ENGINES%%**. Per verificare le tabelle del database **cacti** collegarsi a quel database ed eseguire **%%SHOW TABLE STATUS%%** e controllare per ogni riga il valore del campo **Engine**. Eventualmente convertire le tabelle che fossero ancora **MyISAM**.
+Per verificare l'impostazione predefinita collegarsi al database **mysql** ed eseguire uno dei comandi seguenti:
+<code sql>
+SHOW ENGINES;
+SELECT @@default_storage_engine;
+</code>
+Per verificare le tabelle del database **cacti** collegarsi a quel database ed eseguire **%%SHOW TABLE STATUS%%** e controllare per ogni riga il valore del campo **Engine**. Eventualmente convertire le tabelle che fossero ancora **MyISAM**.
 La sintassi è del tipo:
@@ Line 225: / Line 257: @@
 Le tabelle che usan l'engine **Memory** dovrebbero servire per le installazioni con migliaia di data source e i //Remote Data Collectors//; in tal caso è necessario abilitare l'opzione **On-demand RRD Updating** in //Console// => //Configuration// => //Settings// => //Performance//.
+=== Altre impostazioni MariaDB ===
+Altre impostazioni suggerite dal Cacti Server v1.2.24 Installation Wizard possono essere inserite in un file **/etc/mysql/mariadb.conf.d/99-local.cnf**:
+<file>
+max_heap_table_size = 256M
+tmp_table_size = 256M
+innodb_doublewrite = OFF
+innodb_buffer_pool_size = 4G
+</file>
+Verificare che le impostazioni siano coerenti con il proprio server, in particolar modo ''innodb_buffer_pool_size'' si suggerisce di impostarlo al 25% della memoria totale.
 === Riattivazione icone azione grafico ===
 Nella visualizzazione //Graphs// => //Preview// sono scomparse le icone a fianco dei grafici. Per tornare a visualizzarle si deve procedere da //Console// => //Configuration// => //Users// => admin => //Permissions// ed attivare l'opzione **Show Graph Action Icons**.
+===== Icingaweb da 2.12.3 a 2.13.6 =====
+Può capitare che in passato siano stati fatti degli aggiornamenti di Icingaweb, ma non siano state applicate le patch SQL per aggiornare lo schema del database. Ad esempio la tabella **icingaweb_rememberme** deve essere creata quando si aggiorna alla versione 2.9.0. Se la tabella manca si può incappare nell'errore:
+<code>
+SQLSTATE[42P01]: Undefined table: 7 ERROR: relation "icingaweb_rememberme" does not exist
+RIGA 1: DELETE FROM icingaweb_rememberme WHERE random_iv = $1
+</code>
+Per risolvere il problema è necessario collegarsi al database icingaweb e applicare le patch che si trovano in **/usr/share/icingaweb2/schema/pgsql-upgrades** (o nella directory relativa alle patch MySQL).
+==== pnp4nagios ====
+Se su Debian 11 era installato il plugin **pnp4nagios** versione **0.6.26** è necessario fare l'aggiornamento perché contiene codice PHP obsoleto, in particolare:
+<code>
+Fatal error: Uncaught Error: Undefined constant "MB_OVERLOAD_STRING"
+   in /usr/local/pnp4nagios/lib/kohana/system/core/utf8.php
+</code>
+infatti la costante ''MB_OVERLOAD_STRING'' è stata rimossa da PHP 8.0.0.
+Si può installare **pnp4nagios-0.6.27-5** che risolve questa incompatibilità. Download da [[https://github.com/pnp4nagios/pnp4nagios/tree/v0.6.27-5|GitHub]] della **tag release 0.6.27-5** e compilazione:
+<code>
+unzip pnp4nagios-0.6.27-5.zip
+cd pnp4nagios-0.6.27-5
+./configure
+make all
+make install
+mkdir              /var/cache/pnp4nagios/
+chow www-data:root /var/cache/pnp4nagios/
+chmod 755          /var/cache/pnp4nagios/
+</code>
+**NOTICE**: Per il funzionamento di PNP4Nagios è necessario aver installato il plugin **icingaweb2-module-pnp**, che funziona da collegamento tra i perfdata di Icinga e il software PNP4Nagios. Per Debian 12 Bookworm funziona la versione icingaweb2-module-pnp v1.1.0, disponibile su **[[https://github.com/Icinga/icingaweb2-module-pnp/archive/v1.1.0.zip|GitHub]]**.
 ===== Python e pip3 install =====
@@ Line 290: / Line 374: @@
 </code>
-La soluzione è forzare il **KexAlgorithms** e/o il **HostKeyAlgorithms**:
+o anche:
 <code>
-ssh -oKexAlgorithms=+diffie-hellman-group1-sha1 -oHostKeyAlgorithms=+ssh-dss root@83.149.110.120
+debug1: Next authentication method: publickey
+debug1: Offering public key: /home/niccolo/.ssh/id_rsa RSA SHA256:...
+debug1: send_pubkey_test: no mutual signature algorithm
 </code>
+La soluzione è forzare uno o più dei seguenti parametri:
+  * **KexAlgorithms**
+  * **HostKeyAlgorithms**
+  * **PubkeyAcceptedKeyTypes**
+<code>
+ssh \
+    -o KexAlgorithms=+diffie-hellman-group1-sha1 \
+    -o HostKeyAlgorithms=+ssh-dss \
+    -o PubkeyAcceptedKeyTypes=+ssh-rsa \
+    root@83.149.110.120
+</code>