Ciao a tutti,
versione 1.8.1 di WAPT con correzioni di bug.
Changelog:
WAPT-1.8.1-6700 (2020-02-04)
(hash dae3fc37)
Modifiche principali:
waptconsole: aggiunta una pagina per mostrare il riepilogo dello stato di installazione dei pacchetti (unione) di tutti gli host selezionati, raggruppati per pacchetto, versione, stato di installazione, con conteggio degli host. Il menu contestuale consente di applicare selettivamente le azioni in sospeso. Su enterprise, è possibile applicare in sicurezza gli aggiornamenti (solo i pacchetti per i quali non è in esecuzione alcun processo sul lato client).
Impedisce agli utenti di salvare un pacchetto host se gli host di destinazione non accettano il loro certificato personale. (Verificato su waptconsole durante la modifica/l'aggiornamento in massa dei pacchetti host e sul server durante il caricamento dei pacchetti).
Il file del certificato personale (.crt) deve contenere prima il certificato personale, seguito dai certificati CA emittenti, in modo che wapt possa ricostruire la catena di certificati e verificare l'intersezione con i certificati attendibili dell'host.
Nota importante sull'autenticazione lato client SSL
Nella configurazione di nginx, assicurarsi di reimpostare le intestazioni X-Ssl-Authenticated e X-Ssl-Client-DN poiché waptserver si fida di queste intestazioni se l'autenticazione lato client SSL è abilitata in waptserver.ini.
Se l'autenticazione lato client SSL è configurata, queste intestazioni possono essere popolate da proxy_set_header con il risultato di ssl_verify_client come spiegato in ./wapt-security/security-configuration-certificate-authentication.html#enabling-client-side-certificate-authentication
Correzioni e registro dettagliato delle modifiche
Correzione di sicurezza per il modulo waitress
Sicurezza: intestazioni X-Ssl* vuote nei modelli nginx predefiniti
waptconsole: consente l'aggiornamento del pacchetto host solo se il certificato utente è effettivamente consentito sull'host (in base all'ultimo aggiornamento dello stato dell'host nel database).
Imp: Aggiungere un'opzione per disabilitare la visualizzazione automatica dei pannelli...
Imp: Aggiungere l'attività esplicita AllowUnauthenticatedRegistration alle finestre di waptserversetup
Correzione: regressione: kerberos register_host non funzionava più
waptsetup: Rimuovere l'attività esplicita VCRedistNeedsInstall. Utilizzare /VCRedistInstall=(0/1) se è necessario forzare l'installazione o forzare la non installazione di vcredist VC_2008_SP1_MFC_SEC_UPD_REDIST_X86
Correzione: wapt-get.exe: utilizzare wapt-get.ini per le azioni wapt-get "scan-packages" e "update-packages"
Correzione: wapt-get: autenticazione richiesta durante il controllo della disponibilità del server (ping) e l'autenticazione SSL del client è abilitata
Imp: client wapt: se l'autenticazione SSL del client non riesce con errore http 400, riprovare senza autenticazione SSL per poter richiedere la firma di un nuovo certificato
Comportamento di registrazione di waptserver: ripristinare la revisione 6641: firmare il certificato host se viene fornito un utente autenticato o i dati sono firmati con una chiave che può essere verificata da un certificato esistente nel database per questo UUID host
Comportamento di registrazione di waptserver: quando si riceve 401 dal server durante la registrazione, riprovare la registrazione senza autenticazione SSL.
Client wapt: essere Assicurati di avere la chiave privata host corretta salvata su disco quando ricevi il certificato firmato dal server.
waptconsole: Filtri avanzati per lo stato dei pacchetti host selezionati. Filtra per stato di installazione e sezione + parola chiave. Pulsante in sospeso per mostrare solo installazioni in sospeso / rimuove
wapt-get make-template / modifica pacchetto: Aggiungi directory .vscode. Aggiungi progetto modello per vscode
waptconsole: Correggi l'autenticazione ssl per aggiornamenti di dipendenze/conflitti di pacchetti di massa
waptconsole: Correggi l'importazione di pacchetti da repository esterni con
backport di autenticazione ssl da master:
sistema operativo di destinazione nei pacchetti di importazione
scegli l'editor per i pacchetti in linux nella riga di comando
backport da master:
refactoring per HostCapabilities.waptos
aggiungi nuovo target_os unix per mac e linux
quindi target_os: windows, darwin (per mac), linux o unix
Correggi WAPT.wapt_base_dir
Correggi makepath in linux/macOS
Alcuni refactoring / correzioni per setuphelpers
Correggi per rights_to_check nel client repo-sync Correggi
per repo-sync
waptserver: consente il controllo dell'autenticazione Kerberos o SSL in waptserver solo se abilitato nel file di configurazione waptserver.ini.
Aggiungi due setuphelper per Linux: type_debian e type_redhat
indent il sync.json locale
usa get_os_version e windows_version_from_registry invece di windows_version
usa windows_version_registry per get_os_version su Windows
esegui il backport di host_capabilities.os da master
Aggiungi la manutenzione automatica di un CRL per i certificati di autenticazione dei client firmati dal server
durata predefinita del CRL a 30 giorni
controlla il rinnovo del CRL del certificato client ogni ora
aggiungi un parametro per il prossimo orario di aggiornamento del crl
aggiungi clients_signing_crl_url clients_signing_crl_days known_certificates_folder parametri waptserver
aggiungi una posizione /ssl nei modelli nginx
aggiungi crl_urls nei certificati firmati di autenticazione client
aggiungi un'attività pianificata per rinnovare il crl lato server
aggiungi il parametro waptserver clients_signing_crl da aggiungere Certificato client al CRL del server quando l'host non è registrato.
Aggiungi il metodo revoke_cert alla classe SSLCRL.
Aggiungi un authorityKeyIdentifier al CRL di autenticazione del client.
Forza il riavvio se l'attività di Windows è interrotta.
waptservice: usa sys._exit(10) per chiedere a nssm di riavviare il servizio in caso di eccezione non gestita in waptservice (cicli..).
Client wapt: non registrare/memorizzare nel database Wapt.runstatus se non modificato.
