Nefukční webové rozhradní po automatickém upgradu na 6.0

Dobrý den,

po automatickém upgradu na turris 6.0 (kernel 5.15.74) se mi rozhradní turrisu zobrazuje jako 404 not found. Abych si rozhraní znovu nahodil, tak jsem musel přes ssh vypnout nginx a zapnout lighttpd.

Ten samý problém máte na https://project.turris.cz/openid/initiate/.

Nemohli by jste problém opravit?

Děkuji

1 Like

Ahoj, prosím tě, jakým příkazem jsi vypnul nginx přes SSH?

service nginx stop
service lighttpd start

Prostě to nikdo netestoval a zase pustil mezi lidi. Snad ti to pomůže.

1 Like

Mně toho po automatické aktualizaci na verzi 6.0 nefungovalo dnes víc (nejprve wifi, pak lan, pak DNS/internet, …). Pomohly asi 3 postupné restarty zařízení. Nyní se zdá být vše OK.
Nejhorší bylo, že se automatická aktualizace začala provádět v odpoledních hodinách, takže najednou vše přestalo fungovat, router nedostupný, nikde žádná zpráva. Byl jsem jen kousek od resetu do továrního nastavení :frowning:

Brabitom mně nefungoval internet také. Po restartu nenaběhlo rozhraní, ale internet ano. Vzájemně si mi tluče port nginx 80 a lighttpd 80. Někoho napadlo, že bude provozovat jak lighttpd tak nginx na stejnén portu viz: cat /etc/nginx/uci.conf.

Jen mě překvapuje … za ty roky, proč to nikdo u cz.nic pořádně netestuje. Co verze … to chyba. Krátké shrnutí na →

Testujeme pouze Lighttpd, který máme ve výchozí konfiguraci a který používáme. Nepoužíváme žádný další webový server a také lze očekávat, že webový server bude běžet na portech 80/443.

Vydáváme pravidelně RC verze - Turris OS 6.0 is now in HBT (Testing branch) a nejen RC verze, pravidelně uživatele informujeme o tom, kdy přesouváme branche.

Výborně a navzdory všem vašim opatřením jste způsobili svým uživatelům bezpečnostní incident.

  • zneprovoznili jste interní síťovou komunikaci
  • váš nepovedený update otevřel celé konfigurační rozhraní volně do internetu, které bylo dostupné po celou dobu k dalšímu manuálnímu restartu tzn. u řady lidí i několik hodin
  • neinformujete o tom co se stalo a jaké byly důsledky - minimálně si potenciální útočník mohl stáhnout klientské certifikáty VPN serveru.

Naprosto nechápu proč není po 6ti letech možné nakonfigurovat odlišné chování automatických aktualizací rozdílné pro aktualizaci Major verze a Minor verze.
Major verze atomatický update u vás NIKDY; Minor verzi bych možná povolil.

5 Likes

Chápu Vás, taky se mi včera na Turrisu 1.1 vše odpojilo a naštěstí se mi podařilo přes Schnaps vrátit zpátky (byl jsem u routeru) - beru to jako ponaučení, že je potřeba mít aktualizace nastaveny na ruční schvalování - pokud tedy nechci něco podobného zažít v budoucnu. Dnešní ranní aktualizace již proběhla se znalostmi včerejších problémů relativně dobře a nyní již jsem na verzi 6.0
Díky tedy za odvahu týmu nasadit tento větší update již pro všechny.

Tento komentář by u produkčního systému, který se prezentuje jako vzor bezpečnosti, nikdy neměl zaznít. Jaká odvaha? Buď je to otestované a věří tomu, nebo není a jeto nezodpovědnost.
Myslím si, že nasazení tohoto update bylo protlačeno marketingem NIC, kvůli jejich nové prodejní kampani.
Za sebe mohu říci, že tento incident byl poslední hřebík do rakvičky Turris a v nejbližší době ho rituálně rozbiju kladivem, aby ho nikdo nemohl omylem použít.

3 Likes

{ironic}
Samovolné vystavení administrace do internetu mě naplňuje klidem a jistotou v neprůstřelné zabezpečení s Turrisem.
Když jsem to navíc náhodou zjistil v pracovní době, s nadšením jsem odřízl celou domácnost od internetu za jásotu manželky a dětí, které si už dlouho stěžovaly na přebytek nevyužitých mobilních dat. Soft restart Turrise totiž stále u nás s Mox a externím storage znamená zásek s nutností vypnout úplně a znovu zapnout.
{/ironic}


Toto by se již nemělo nikdy opakovat, pokud se chce Turris vážně prezentovat jako produkt bezpečný a spolehlivý.

3 Likes

Byl jsem na tom úplně stejně, manželka na home-office, takže jsem o problému okamžitě věděl a začal ho řešit. I tak jsem však revokoval všechny VPN klientské certifikáty.
Vzápětí jsem začal hledat nový router…

NIC je však ledově klidný, a řada lidí zde na fóru nadšeně tleská, jak to zase po několika restartech znova “skvěle šlape” a řeší “vážný problém” barvy LED. Myslel jsem si, že se zde schází lidé, kterým záleží na soukromí a bezpečnosti, ale mýlil jsem se…

3 Likes

Tak turris je domaci router a ne do firmy. Mne by se libilo, kdyby prislo mailem varovani, ze se blizi major update a dalo by to cloveku moznost ho rekneme dva tydny pustit manualne a az pak by se pustil automaticky. Tim be se predeslo neprijemnemu prekvapeni a po tech dvou tydnech uz by byly vychytane posledni mouchy pro automaticky upgrade.

Porad ale trvam na tom, ze podpora turrisu je nadstandardni. U me trvalo podpore 50 minut odpovedet na ticket a dorucit funkcni reseni. Tohle podle me nikdo rychleji neumi. Navic to je muj prvni vypadek site za 7 let.
Srovnejte treba, jak rychle odpovida podpora CISCO… Linkovat priklady asi nemusim.

Tak hlásím naprosto stejný problém. Včera (19.10.2022) najednou přestala fungovat WiFi, tak jsem se šel podívat co se děje, Turris (v1.0) svítil fialově a poblikával si. Tak jsem, naprosto nic zlého netuše, ho prostě natvrdo restartnul. Z vnějšího chování se choval pořád divně (nejela WiFi, blikal fialově), ale přes LANku se k němu dalo připojit. Než jsem zjistil, že běží nějaký upgrade, tak mi to chvíli zabralo. Ten upgrade běžel asi hodinu!!! v naprosto nevhodné době. Neuvědomuju si, že by mi přišla nějaká notifikace (jinak chodí kvůli každé blbosti) a hlavně i kdyby přišla, tak v ní určitě nebylo napsáno, že upgrade bude trvat dlouho a že se router bude chovat divně (různě shazovat a nahazovat interfacy, webové rozhranní, VPNku a podobně).
Po té co konečně naběhl, nejela WiFi (bylo nutné zresetovat konfiguraci a asi 3x restart - tvrdý pomocí napájení). Večer si router řekl opět o restart, tak jsem ho restartnul přes webové rozhraní a opět nenaběhl!!! Bylo nutné router vypnout a zapnout.
Dnes ráno si řekl opět o restart. Docela se bojím co se opět rozbije.

Do včerejška jsem byl docela spokojený, vše fungovalo v podstatě bez chyby dlouhé roky. Ale tohle se opravdu nepovedlo.

Turris není domácí router, byl propagován jako bezpečný router pro státní správu viz gov.turris.cz

2 Likes

Turisy 1.X byly v rámci zabezpečovací kampaně rozdávány do domácností a bylo jich okolo 2 tis. Takže asi bude takových případů v rodinách ještě dost.

Ok, v tom případě nechápu … proč mi po upgradu nginx běželo na portu 80/443, jelikož jsem to na těchto portech nikdy neměl. Vše bylo zakomentované!

To jsi sice pěkné, ale nějak Vám to nevychází. A jako kolega programátor se k tomu raději vyjadřovat nebudu :wink:

PS: Já už jsem dostal dneska držkovou co s tím zase je.

Tak toto se fakt nepovedlo. Včera okolo poledne se mi v práci odpojil klient od mého nextcloudu, VPNkou jsem se nemohl dostat domů, web nešel. Když přijdu domů, router vesle svítí, ale žádný wifi signál. Protože přesně takto se mi tu už zachovalo, když mi odešla SD karta, nic jsem nezkoumal, router jsem vypnul, vyměnil jsem SD kartu ( starou zničil a vyhodil, ted vidím že zbytečně :frowning: ) a přes schnapps jsem obnovil turris do stavu z 10.10. ( vždy 10. v měsíci se mi dělá záloha schnapps export na síťový disk). Turris šlapal asi 20 minut, pak se spustila kontrola na updaty a opět exitus. Tak znovu obnova a vypnutí automatických aktualizací, teď fakt nemám čas to řešit. Vidím, že už u vypnutí autoupdate zůstanu, takhle to fakt nejde. :rage:
PS: Stěžovat si nemůžu, mám modráka za korunu, ale chápu, že když někdo dá za Omnii 8 tisíc, že musí být vytočen na nejvyšší možnou míru.

1 Like

Problém je, že někteří programátoři zkoušejí chyby až na uživatelích.
Za postoj až tam bude chyba, tak nám dá komunita vědět se u nás ve firmě v poslední fázi i vyhazovalo :slight_smile:

Já to včera nainstaloval (mám černou omnii, žádný modrák za korunu) a taky se nepřihlásim. Na https mne to přesměruje na luci kce je 404 a přes HTTP to sice skočí na rozhraní, ale to chce natahovat věci přes https a to zase zařízne browser. SSH, schnaps, revert, reboot. Za hodinu se to zase nainstalovalo. A to to psalo že to nainstaluje samo až 21.10. Takže zase revert a posunul jsem si autoupdate z 48h na 96. Čekám že se to do té doby vyřeší, teď nemám čas se v tom hrabat. Reboot vyřešil jen nefunkční wifi.

1 Like

Tak moje Omnie taky po včerejší smršti aktualizací zůstala úplně nedostupná, nešel internet, nedalo se k ní připojit SSH klientem. Normální restart tlačítkem nepomohl, návrat na předchozí snímek také nepomohl, pak jsem musel na několik hodin odejít. Když jsem se vrátil, byl router pořád nefunkční, tak jsem opět provedl tlačítkem normální restart, po kterém se Omnie konečně vzpamatovala a začala normálně fungovat.
Nemám veřejnou IP adresu, bylo i v takovém případě administrační rozhraní mého routeru přístupné z internetu? Mám si změnit přístupová hesla do reForisu a LuCI?
Omnii mám už několik let a nevybavuji si, že bych měl s aktualizacemi problém. Ty včerejší se opravdu vůbec nepovedly.