Benutzer:MathiasMahnke/Debian Bullseye 2021: Unterschied zwischen den Versionen
Aus Opennet
(→Status) |
(→Status) |
||
Zeile 20: | Zeile 20: | ||
Dienste-Server: | Dienste-Server: | ||
− | * [[Server/amano]] - Erledigt, 2022/04/13 | + | * [[Server/amano]] - Erledigt, 2022/04/13 -- Besonderheit: cron vor Update stoppen (CA Jobs) |
* [[Server/crimson]] - Debian Wheezy | * [[Server/crimson]] - Debian Wheezy | ||
* [[Server/goat]] - Erledigt, 2022/04/13; '''offen''': Rückbau git/gitolite -- Besonderheit: Buildbot Web via pip installiert | * [[Server/goat]] - Erledigt, 2022/04/13; '''offen''': Rückbau git/gitolite -- Besonderheit: Buildbot Web via pip installiert | ||
* [[Server/haruka]] - Erledigt, 2022/10/13 (Abschaltung) | * [[Server/haruka]] - Erledigt, 2022/10/13 (Abschaltung) | ||
− | * [[Server/heartofgold]] - Debian Wheezy -- | + | * [[Server/heartofgold]] - Debian Wheezy -- DNS Hidden Primary |
* [[Server/hikaru]] - Erledigt, 2022/04/16; '''offen''': python(3)-mysql / mysql vs. mariadb / alte mediawiki module / /var/log/mediawiki? | * [[Server/hikaru]] - Erledigt, 2022/04/16; '''offen''': python(3)-mysql / mysql vs. mariadb / alte mediawiki module / /var/log/mediawiki? | ||
* [[Server/itsuki]] | * [[Server/itsuki]] |
Version vom 19. November 2022, 14:49 Uhr
Status: In Arbeit.
Debian Bullseye Update Status der Opennet Server - Debian Release von 08/2021.
Inhaltsverzeichnis |
Status
Virtualisierungsserver:
- Server/akito - Erledigt, 2022/04/23
- Server/tamago - Erledigt, 2022/04/14
- Server/ryoko - Erledigt, 2022/04/12
- Server/aqua - Erledigt, 2022/04/21
- VM Vorlage via vhost-admin
Gateway-Server:
- Server/erina -
- Server/gai - -- Besonderheit: DNS Notify teilweise unzuverlässig?
- Server/itsuki -
- Server/megumi -
- Server/subaru - Erledigt, 2022/11/16; offen: data-ciphers-fallback BF-CBC für FW 0.5.3
Dienste-Server:
- Server/amano - Erledigt, 2022/04/13 -- Besonderheit: cron vor Update stoppen (CA Jobs)
- Server/crimson - Debian Wheezy
- Server/goat - Erledigt, 2022/04/13; offen: Rückbau git/gitolite -- Besonderheit: Buildbot Web via pip installiert
- Server/haruka - Erledigt, 2022/10/13 (Abschaltung)
- Server/heartofgold - Debian Wheezy -- DNS Hidden Primary
- Server/hikaru - Erledigt, 2022/04/16; offen: python(3)-mysql / mysql vs. mariadb / alte mediawiki module / /var/log/mediawiki?
- Server/itsuki
- Server/hoshino - Erledigt, 2022/04/14
- Server/howmei - Erledigt, 2022/04/11 -- Besonderheit: Nicht alle Mesh-Teilnehmer via IPv6 erreichbar.
- Server/inez - Erledigt, 2022/04/10 -- Besonderheit: rsnapshot nicht in Bullseye
- Server/izumi - Erledigt, 2022/04/18; offen: Installation DNS-Primary -- Besonderheit: Service Discovery Opennet zusätzlich via CA Zertifikat
- Server/jun - Erledigt, 2022/10/29 -- Besonderheit: slt nicht in Buster
- Server/kazama - Erledigt, 2022/04/15; offen: eth1 WAN NIC DHCP -- Besonderheit: wireguard Installation nicht abgeschlossen
- Server/kinjo - Erledigt, 2022/04/11
- Server/maki - Erledigt, 2022/04/12 -- Besonderheit: rsnapshot nicht in Bullseye
- Server/nagare - Debian Buster -- Besonderheit: moinmoin benötigt Python 2
- Server/ruri - Erledigt, 2022/04/18
- Server/tenkawa - Erledigt, 2022/04/16 -- Besonderheit: Freifunk Media Mirror rsyncd.log (seit 2018)
- Server/yurika - Erledigt, 2022/04/16
- DNS WAN Server IPv6
Sonstige Server
- Server/titan - Erledigt, 2021/12/12
- Server/server-mathias - Erledigt, 2021/12/28; offen: InfluxDB HTTP Write
- Server/server-christoph - Erledigt, 2022/04/10; offen: rtpproxy (https://www.rtpbleed.com)
- Server/server-matthias - Erledigt, 2022/04/11
Aktualisierung
Vorab: Ansible Ausführung.
Ablauf:
screen cat /etc/debian_version apt update && apt upgrade apt autoremove aptitude search '?narrow(?installed, ?not(?origin(Debian)))' find /etc -name '*.dpkg-*' -o -name '*.ucf-*' -o -name '*.merge-error' ## HIER: Ggf. alte Konfigurationsdateien entfernen. # rm /etc/ssh/sshd_config.ucf-old /etc/ferm/ferm.conf.dpkg-dist /etc/ca-certificates.conf.dpkg-old # rm /etc/php/7.3/fpm/php.ini.ucf-dist /etc/php/7.3/fpm/php.ini.ucf-old /etc/bind/named.conf.options.dpkg-old rm /usr/local/bin/rrsync # Opennet ehem. alte Kopie für Backup cat /etc/apt/preferences ls /etc/apt/preferences.d/ dpkg --audit aptitude search "~ahold" dpkg -l | awk '/^rc/ { print $2 }' ## HIER: ehem. installierte Pakete & Konfigurationen final entfernen # apt purge $(dpkg -l | awk '/^rc/ { print $2 }') apt clean df -h ## HIER: apt sources list anpassen apt update apt upgrade --without-new-pkgs apt full-upgrade apt install usrmerge ## HIER: Zusammenführung /usr durchführen apt remove usrmerge apt autoremove ## HIER: Passwort neu setzen für yescrypt und Boot-PW passwd ## HIER: olsrd Update durchführen vi /etc/olsrd/olsrd.conf # Plugins entfernen apt remove olsrd-plugins # Vorbereitung Update apt install libgps28 # Voraussetzung für Plugins wget https://downloads.opennet-initiative.de/debian/olsrd_0.9.8-3_amd64+deb11.deb wget https://downloads.opennet-initiative.de/debian/olsrd-plugins_0.9.8-3_amd64+deb11.deb # nun lokale oder IPv6 Verbindung aufbauen dpkg -i olsrd_0.9.8-3_amd64+deb11.deb olsrd-plugins_0.9.8-3_amd64+deb11.deb rm olsrd_0.9.8-3_amd64+deb11.deb olsrd-plugins_0.9.8-3_amd64+deb11.deb ## HIER: ggf. Ansible Lauf reboot dpkg -l | awk '/^rc/ { print $2 }' ## HIER: entfernte Pakete bereinigen # apt purge $(dpkg -l | awk '/^rc/ { print $2 }') aptitude search '~o' # apt remove e2fslibs gcc-8-base libapt-inst2.0 libapt-pkg5.0 libcomerr2 libffi6 libgcc1 # apt remove libhogweed4 libip4tc0 libip6tc0 libnettle6 libreadline7 linux-image-4.19.0-22-amd64 multiarch-support # apt remove virt-top # nur Virtualisierungsserver ## HIER: veraltete Pakete entfernen (sehr genau prüfen!; i.d.R. nicht alles entfernen) # aptitude #CHECKTWICE# purge '~o' ## HIER: python2.7 entfernen (Abhängigkeiten genau prüfen!) # apt remove libpython2.7-minimal libpython2.7-stdlib python2.7 python2.7-minimal ## HIER: Bereinigung alte Syslog-Dateien cd /var/log rm daemon.log* dpkg.log* kern.log* mail.* user.log* alternatives.log* faillog \ aptitude* dmesg* messages* monit.log.* auth.log* lpr.log syslog* debug* ntpstats boot \ fontconfig.log bootstrap.log php7.0-fpm* php7.3-fpm* php7.4-fpm.log* rm -rf ConsoleKit/ installer/ news/ sysstat/ private/ fsck/ runit/ ntpstats/ letsencrypt/ ## HIER: logrotate entfernen (wenn möglich) # apt remove logrotate ## HIER: Nachkontrolle von Diensten, ggf. manuelle Neustarts echo /nhdpinfo neighbor | nc localhost 2009 systemctl --type=service systemctl status <name.service> journalctl -u <name.service> systemctl restart <name.service> ip -6 addr show ip -6 route show ping -6 jun.opennet-initiative.de -c 3 ping -6 jun.on -c 3
Anschließend: Ansible Ausführung
Nach der Bereinigung der Syslog-Dateien:
# cd /var/log # ls apt btmp.1 fsck journal munin private sysstat wtmp.1 btmp faillog installer lastlog news runit wtmp
Nacharbeiten
Syslog-Hosts:
- AP1.83 - Bauamt / User Süd (OK, per UCI geprüft + entfernt)
- AP1.50 - Frieda23 / Vereinsraum (OK, per UCI geprüft)
- AP2.42 - HG-Kirche / Ost (OK, per UCI geprüft)
- AP1.13 - Schillerplatz / Rene E (keine Logs mehr, kein Zugang / ungeprüft)
- AP1.120 - Senselab / Lars K (keine Logs mehr, kein Zugang / ungeprüft)
- AP2.14 - Klopstockstr / Jüte S (Logs treffen ein, kein Zugang)
- AP1.136 - Auguste-28 / LoRa (Logs treffen ein, offline)
- AP2.175 - Z10 / Kindergarten (offline)
- AP2.68 - Hackspace (offline)
IPv6 SLAAC:
iface eth1 inet6 auto
- hog: DYN OK
- yurika: DYN OK
- izumi: DYN OK + angepasst
- amano: DYN OK + angepasst
- jun: DYN OK + angepasst
- tenkawa: STAT OK
- kazama: DYN OK + angepasst
- goat: DYN OK + angepasst
TODO:
- IPv6 ULA Opennet-Lo fd32:d8d3:87da::<x:y> -> systemd-networkd
- IPv6 ULA Anycast-DNS fd32:d8d3:87da::53 -> systemd-networkd + olsr2
iface tap-mesh inet6 static address fd32:d8d3:87da::53 netmask 128 olsr2.conf [lan_import=opennet] matches fd32:d8d3:87da::53/128
Vorbereitungen
Gedanken zum Debian Release:
- rsyslogd nicht mehr Standard, wird durch systemd Logging vollständig ersetzt
- aktuelle Abhängigkeit ist die Kontrolle des Backups via /var/log/...
- SSH Dienst ist länger offline, openssh-server früh aktualisieren
- sendmail steht längere Zeit nicht zur Verfügung
- Password Hashes auf yescrypt umgestellt, Wirkung nur nach passwd
- Apt muss auf "bullseye-security" umgestellt werden (statt <release>/updates)
- Rsync Prozesse prüfen, u.a. Parameter --noatime relevant
- debian-security-support Paket anschauen
- Rescue-Boot / Single-User-Modus nur mit Passwort möglich (überall PW noch mal setzen?)
- Merged Dateisystem Layout, hierzu "usrmerge" verwenden
Sonstiges:
- Opennet Mailman mittels Buster auf mailman3 umstellen?
- Opennet python2 Anwendungen vorhanden? -> aktuell munin-libvirt-plugins
- Debian OLSRd ist entfernt -> Opennet Paket installieren
- Debian rsnapshot ist entfernt -> von Github DEB übernehmen
- Verzeichnis /var/log nach rsyslog-Deinstallation bereinigen, Logrotate Ausführung nicht notwendig
- PHP FPM nutzte "error_log = /var/log/php7.4-fpm.log", Umstellung nach "syslog"
Hinweise Changelog:
gnupg2 (2.2.27-2) per-user configuration of the GnuPG suite has completely moved to ~/.gnupg/gpg.conf, and ~/.gnupg/options is no longer in use.
rsync (3.2.0-1) Previous parameter: --noatime: avoid changing the atime on opened files. Is now called: --open-noatime
mediawiki (1:1.35.0-1) unstable; urgency=medium MediaWiki has been updated to the 1.35 upstream release branch, which brings in two years of upstream changes since 1.31. Release notes may be found in /usr/share/doc/mediawiki/RELEASE-NOTES-1.31` and /usr/share/doc/mediawiki/changelog. Please see the "Upgrading" section of README.debian and /usr/share/doc/mediawiki/UPGRADE for details on what manual steps need to be taken to upgrade. The VisualEditor extension, which provides a rich-text editor for wiki pages is now included and can be enabled by adding: wfLoadExtension( 'VisualEditor' ); to /etc/mediawiki/LocalSettings.php. Some highlights of new features: * New bundled extensions: * PageImages and TextExtracts provide OpenGraph metadata for when wiki pages are shared on social media platforms. * TemplateData allows specifying how templates should be invoked, making it easier to add/modify them to pages in the VisualEditor. * Scribunto adds Lua as a scripting language to write templates in. * SecureLinkFixer automatically rewrites URLs to use HTTPS if the domain always requires HTTPS via the HSTS preload list. * Administrators can enact "partical blocks", restricting users from editing a specific page or namespace. * User rights to edit sitewide JavaScript/CSS were separated into a separate "interface-admin" group to improve security. * Users can now add pages to their watchlist for a limited amount of time. * Support for new languages: Ambonese Malay (abs), Shawiya (Latin script) (shy-latn), Batak Mandailing (btm), Standard Moroccan Tamazight (zgh), Manipuri (mni), Western Armenian (hyw), Mon (mnw), Eastern Pwo (kjp), Santali (sat), Saisiyat (xsy). * Multilingual images and SVGs will now display in the correct language.
ircd-hybrid (1:8.2.31+dfsg.1-1) unstable; urgency=medium ircd-hybrid 8.2.31 contains several configuration changes compared to 8.2.26 and below. You are recommended to review your configuration against the defaults supplied with this package when upgrading, or automatically choose the option during upgrade to update your configuration to be compatible. The script /usr/share/ircd-hybrid/scripts/ssl-to-tls-config can be used to update your configuration later, if needed. The non-standard STARTS parameter in /etc/default/ircd-hybrid has been removed. Please use update-rc.d or systemctl as appropriate to control automatic starting of ircd-hybrid.
https://www.debian.org/releases/bullseye/amd64/release-notes/ch-upgrading.de.html