Benutzer:MathiasMahnke/Debian Bullseye 2021
Aus Opennet
< Benutzer:MathiasMahnke
Version vom 16. April 2022, 18:45 Uhr von MathiasMahnke (Diskussion | Beiträge)
Status: In Arbeit.
Debian Bullseye Update Status der Opennet Server - Debian Release von 08/2021.
Inhaltsverzeichnis |
Status
Virtualisierungsserver:
- Server/akito -
- Server/tamago - Erledigt, 2022/04/14
- Server/ryoko - Erledigt, 2022/04/12
- Server/aqua -
- VM Vorlage via vhost-admin
Gateway-Server:
- Server/erina - -- Besonderheit: Abhängigkeit "python-module" Rolle in Py2.7
- Server/subaru - -- Besonderheit: Abhängigkeit "python-module" Rolle in Py2.7
- Server/gai - -- Besonderheit: Abhängigkeit "python-module" Rolle in Py2.7
- Server/megumi - -- Besonderheit: Abhängigkeit "python-module" Rolle in Py2.7
Dienste-Server:
- Server/amano - In Arbeit, 2022/04/13; offen: MoinMoin Paket aus Debian entfernt (python2.7) -- Besonderheit: cron vor Update stoppen (CA Jobs)
- Server/crimson - Debian Wheezy
- Server/goat - Erledigt, 2022/04/13 -- Besonderheit: Buildbot Web via pip installiert
- Server/haruka - -- ehem. Besonderheit: veraltetes Zertifikat für OpenVPN
- Server/heartofgold - Debian Wheezy
- Server/hikaru - In Arbeit, 2022/04/16; offen: /downloads notwendig? / hugo kein Debian Paket
- Server/hoshino - Erledigt, 2022/04/14; offen: downloads2 umziehen
- Server/howmei - Erledigt, 2022/04/11; offen: Munin-Update Prozess fehlerhaft / Festplatten voll
- Server/inez - Erledigt, 2022/04/10; offen: rsnapshot Paket aus Debian entfernt
- Server/izumi -
- Server/jun - ;offen: /var/run/services_static nicht dauerhaft -- ehem. Besonderheit: slt nicht in Buster; woher on_dataservice OLSR Informationen?
- Server/kazama - Erledigt, 2022/04/15; offen: eth1 WAN NIC DHCP -- Besonderheit: wireguard Installation nicht abgeschlossen
- Server/kinjo - Erledigt, 2022/04/11
- Server/maki - Erledigt, 2022/04/12; offen: rsnapshot Paket aus Debian entfernt
- Server/ruri - -- Besonderheit: nur downloads(2) Aufgabe verbleibt? Rotation von testing Firmware?
- Server/tenkawa - Erledigt, 2022/04/16 -- Besonderheit: Freifunk Media Mirror rsyncd.log (seit 2018)
- Server/yurika - Erledigt, 2022/04/16
Sonstige Server
- Server/titan - Erledigt, 2021/12/12
- Server/server-mathias - Erledigt, 2021/12/28; offen: InfluxDB HTTP Write
- Server/server-christoph - Erledigt, 2022/04/10; offen: rtpproxy (https://www.rtpbleed.com)
- Server/server-matthias - Erledigt, 2022/04/11
Aktualisierung
Vorab: Ansible Ausführung.
Ablauf:
screen cat /etc/debian_version apt update && apt upgrade apt autoremove aptitude search '?narrow(?installed, ?not(?origin(Debian)))' find /etc -name '*.dpkg-*' -o -name '*.ucf-*' -o -name '*.merge-error' ## HIER: Ggf. alte Konfigurationsdateien entfernen. # rm /etc/ssh/sshd_config.ucf-old /etc/ferm/ferm.conf.dpkg-dist /etc/ca-certificates.conf.dpkg-old # rm /etc/php/7.3/fpm/php.ini.ucf-dist /etc/php/7.3/fpm/php.ini.ucf-old rm /usr/local/bin/rrsync # Opennet ehem. alte Kopie für Backup cat /etc/apt/preferences ls /etc/apt/preferences.d/ dpkg --audit aptitude search "~ahold" dpkg -l | awk '/^rc/ { print $2 }' ## HIER: ehem. installierte Pakete & Konfigurationen final entfernen # apt purge $(dpkg -l | awk '/^rc/ { print $2 }') apt clean df -h ## HIER: apt sources list anpassen apt update apt upgrade --without-new-pkgs apt full-upgrade apt install usrmerge ## HIER: Zusammenführung /usr durchführen apt remove usrmerge apt autoremove ## HIER: Passwort neu setzen für yescrypt und Boot-PW passwd ## HIER: olsrd Update durchführen # vi /etc/olsrd/olsrd.conf # Plugins entfernen # apt remove olsrd-plugins # Vorbereitung Update # apt install libgps28 # Voraussetzung für Plugins # wget https://downloads.opennet-initiative.de/debian/olsrd_0.9.8-3_amd64+deb11.deb # wget https://downloads.opennet-initiative.de/debian/olsrd-plugins_0.9.8-3_amd64+deb11.deb # dpkg -i olsrd_0.9.8-3_amd64+deb11.deb olsrd-plugins_0.9.8-3_amd64+deb11.deb ## HIER: ggf. Ansible Lauf reboot dpkg -l | awk '/^rc/ { print $2 }' ## HIER: entfernte Pakete bereinigen # apt purge $(dpkg -l | awk '/^rc/ { print $2 }') aptitude search '~o' # apt remove e2fslibs gcc-8-base libapt-inst2.0 libapt-pkg5.0 libcomerr2 libffi6 libgcc1 # apt remove libhogweed4 libip4tc0 libip6tc0 libnettle6 libreadline7 linux-image-4.19.0-20-amd64 multiarch-support # apt remove virt-top # nur Virtualisierungsserver ## HIER: veraltete Pakete entfernen (sehr genau prüfen!; i.d.R. nicht alles entfernen) # aptitude #CHECKTWICE# purge '~o' ## HIER: python2.7 entfernen (Abhängigkeiten genau prüfen!) # apt remove libpython2.7-minimal libpython2.7-stdlib python2.7 python2.7-minimal ## HIER: Bereinigung alte Syslog-Dateien cd /var/log rm daemon.log* dpkg.log* kern.log* mail.* user.log* alternatives.log* faillog \ aptitude* dmesg* messages* monit.log.* auth.log* lpr.log syslog* debug* ntpstats boot \ fontconfig.log bootstrap.log php7.0-fpm* php7.3-fpm* php7.4-fpm.log* rm -rf ConsoleKit/ installer/ news/ sysstat/ private/ fsck/ runit/ ntpstats/ letsencrypt/ ## HIER: logrotate entfernen (wenn möglich) # apt remove logrotate ## HIER: Nachkontrolle von Diensten, ggf. manuelle Neustarts echo /nhdpinfo neighbor | nc localhost 2009 systemctl --type=service systemctl status <name.service> journalctl -u <name.service> systemctl restart <name.service> ip -6 addr show ip -6 route show ping -6 jun.opennet-initiative.de -c 3 ping -6 jun.on -c
Anschließend: Ansible Ausführung
Nach der Bereinigung der Syslog-Dateien:
# cd /var/log # ls apt btmp.1 fsck journal munin private sysstat wtmp.1 btmp faillog installer lastlog news runit wtmp
Nacharbeiten
Syslog-Hosts:
- AP1.83 - Bauamt / User Süd (OK, per UCI geprüft + entfernt)
- AP1.50 - Frieda23 / Vereinsraum (OK, per UCI geprüft)
- AP2.42 - HG-Kirche / Ost (OK, per UCI geprüft)
- AP1.13 - Schillerplatz / Rene E (keine Logs mehr, kein Zugang / ungeprüft)
- AP1.120 - Senselab / Lars K (keine Logs mehr, kein Zugang / ungeprüft)
- AP2.14 - Klopstockstr / Jüte S (Logs treffen ein, kein Zugang)
- AP1.136 - Auguste-28 / LoRa (Logs treffen ein, offline)
- AP2.175 - Z10 / Kindergarten (offline)
- AP2.68 - Hackspace (offline)
IPv6 SLAAC:
iface eth1 inet6 auto
- hog: DYN OK
- yurika: DYN OK
- izumi: DYN OK + angepasst
- amano: DYN OK + angepasst
- jun: DYN OK + angepasst
- tenkawa: STAT OK
- kazama: DYN OK + angepasst
- goat: DYN OK + angepasst
TODO:
- IPv6 ULA fd32:d8d3:87da::53
- DNS Eintrag für fd32:d8d3:87da::53 - ns-secondary.on?
- Installation auf allen nameserver-slaves? jeweils "nur" sekundäre IP auf lo?
- DNS Server in /etc/resolv.conf aller Server? Anpassung der nameserver-resolver?
Vorbereitungen
Gedanken zum Debian Release:
- rsyslogd nicht mehr Standard, wird durch systemd Logging vollständig ersetzt
- aktuelle Abhängigkeit ist die Kontrolle des Backups via /var/log/...
- SSH Dienst ist länger offline, openssh-server früh aktualisieren
- sendmail steht längere Zeit nicht zur Verfügung
- Password Hashes auf yescrypt umgestellt, Wirkung nur nach passwd
- Apt muss auf "bullseye-security" umgestellt werden (statt <release>/updates)
- Rsync Prozesse prüfen, u.a. Parameter --noatime relevant
- debian-security-support Paket anschauen
- Rescue-Boot / Single-User-Modus nur mit Passwort möglich (überall PW noch mal setzen?)
- Merged Dateisystem Layout, hierzu "usrmerge" verwenden
Sonstiges:
- Opennet Mailman mittels Buster auf mailman3 umstellen?
- Opennet python2 Anwendungen vorhanden? -> aktuell munin-libvirt-plugins
- Debian OLSRd ist entfernt -> Opennet Paket installieren
- Debian rsnapshot ist entfernt -> von Github DEB übernehmen
- Verzeichnis /var/log nach rsyslog-Deinstallation bereinigen, Logrotate Ausführung nicht notwendig
- PHP FPM nutzte "error_log = /var/log/php7.4-fpm.log", Umstellung nach "syslog"
Hinweise Changelog:
gnupg2 (2.2.27-2) per-user configuration of the GnuPG suite has completely moved to ~/.gnupg/gpg.conf, and ~/.gnupg/options is no longer in use. rsync (3.2.0-1) Previous parameter: --noatime: avoid changing the atime on opened files. Is now called: --open-noatime
https://www.debian.org/releases/bullseye/amd64/release-notes/ch-upgrading.de.html