Benutzer:MathiasMahnke/Debian Bullseye 2021
Aus Opennet
< Benutzer:MathiasMahnke
Version vom 13. April 2022, 06:52 Uhr von MathiasMahnke (Diskussion | Beiträge)
Status: In Arbeit.
Debian Bullseye Update Status der Opennet Server - Debian Release von 08/2021.
Status
Virtualisierungsserver:
- Server/akito -
- Server/tamago -
- Server/ryoko - Erledigt, 2022/04/12; offen: OLSR2 Interfaces prüfen
- Server/aqua -
Gateway-Server:
Dienste-Server:
- Server/amano -
- Server/crimson -
- Server/goat - -- ehem. offen: buildbot-web sowie Dev2 Cert-Login prüfen
- Server/haruka - -- ehem. Besonderheit: veraltetes Zertifikat für OpenVPN
- Server/heartofgold -
- Server/hikaru -
- Server/hoshino -
- Server/howmei - Erledigt, 2022/04/11; offen: Munin-Update Prozess fehlerhaft
- Server/inez - Erledigt, 2022/04/10; offen: rsnapshot Log + Paket in Debian entfernt
- Server/izumi -
- Server/jun - -- ehem. Besonderheit: slt nicht in Buster
- Server/kazama -
- Server/kinjo - Erledigt, 2022/04/11
- Server/maki - Erledigt, 2022/04/12; offen: rsnapshot Log + Paket in Debian entfernt
- Server/ruri -
- Server/tenkawa -
- Server/yurika -
Sonstige Server
- Server/titan - Erledigt, 2021/12/12
- Server/server-mathias - Erledigt, 2021/12/28
- Server/server-christoph - Erledigt, 2022/04/10; offen: rtpproxy (https://www.rtpbleed.com)
- Server/server-matthias - Erledigt, 2022/04/11
Aktualisierung
Vorab: Ansible Ausführung.
Ablauf:
screen cat /etc/debian_version apt update && apt upgrade apt autoremove aptitude search '?narrow(?installed, ?not(?origin(Debian)))' find /etc -name '*.dpkg-*' -o -name '*.ucf-*' -o -name '*.merge-error' ## HIER: Ggf. alte Konfigurationsdateien entfernen. # rm /etc/ssh/sshd_config.ucf-old /etc/ferm/ferm.conf.dpkg-dist /etc/ca-certificates.conf.dpkg-old # rm /etc/php/7.3/fpm/php.ini.ucf-dist /etc/php/7.3/fpm/php.ini.ucf-old rm /usr/local/bin/rrsync # Opennet ehem. alte Kopie für Backup cat /etc/apt/preferences ls /etc/apt/preferences.d/ dpkg --audit aptitude search "~ahold" dpkg -l | awk '/^rc/ { print $2 }' ## HIER: ehem. installierte Pakete & Konfigurationen final entfernen # apt purge $(dpkg -l | awk '/^rc/ { print $2 }') apt clean df -h ## HIER: apt sources list anpassen apt update apt upgrade --without-new-pkgs apt full-upgrade apt install usrmerge ## HIER: Zusammenführung /usr durchführen apt remove usrmerge apt autoremove ## HIER: Passwort neu setzen für yescrypt und Boot-PW passwd ## HIER: olsrd Update durchführen # vi /etc/olsrd/olsrd.conf # Plugins entfernen # apt remove olsrd-plugins # Vorbereitung Update # apt install libgps28 # Voraussetzung für Plugins # wget https://downloads.opennet-initiative.de/debian/olsrd_0.9.8-3_amd64+deb11.deb # wget https://downloads.opennet-initiative.de/debian/olsrd-plugins_0.9.8-3_amd64+deb11.deb # dpkg -i olsrd_0.9.8-3_amd64+deb11.deb olsrd-plugins_0.9.8-3_amd64+deb11.deb ## HIER: ggf. Ansible Lauf reboot dpkg -l | awk '/^rc/ { print $2 }' ## HIER: entfernte Pakete bereinigen # apt purge $(dpkg -l | awk '/^rc/ { print $2 }') aptitude search '~o' # apt remove e2fslibs gcc-8-base libapt-inst2.0 libapt-pkg5.0 libcomerr2 libffi6 libgcc1 # apt remove libhogweed4 libip4tc0 libip6tc0 libnettle6 libreadline7 linux-image-4.19.0-20-amd64 multiarch-support ## HIER: veraltete Pakete entfernen (sehr genau prüfen!; i.d.R. nicht alles entfernen) # aptitude #CHECKTWICE# purge '~o' ## HIER: python2.7 entfernen (Abhängigkeiten genau prüfen!) # apt remove libpython2.7-minimal libpython2.7-stdlib python2.7 python2.7-minimal ## HIER: Nachkontrolle von Diensten, ggf. manuelle Neustarts echo /nhdpinfo neighbor | nc localhost 2009 systemctl --type=service systemctl status <name.service> journalctl -u <name.service> systemctl restart <name.service>
Anschließend: Ansible Ausführung
Bereinigung Syslog-Dateien:
# cd /var/log # rm daemon.log* dpkg.log* kern.log* mail.* user.log* alternatives.log* faillog \ aptitude* dmesg* messages* monit.log.* auth.log* lpr.log syslog* debug* ntpstats boot \ fontconfig.log bootstrap.log php7.0-fpm* php7.3-fpm* php7.4-fpm.log* # rm -rf ConsoleKit/ installer/ news/ sysstat/ private/ fsck/ runit/ ntpstats/ letsencrypt/ # ls apt btmp.1 fsck journal munin private sysstat wtmp.1 btmp faillog installer lastlog news runit wtmp
Syslog-Hosts:
- AP1.83 - Bauamt / User Süd (OK, per UCI geprüft + entfernt)
- AP1.50 - Frieda23 / Vereinsraum (OK, per UCI geprüft)
- AP2.42 - HG-Kirche / Ost (OK, per UCI geprüft)
- AP1.13 - Schillerplatz / Rene E (keine Logs mehr, kein Zugang / ungeprüft)
- AP1.120 - Senselab / Lars K (keine Logs mehr, kein Zugang / ungeprüft)
- AP2.14 - Klopstockstr / Jüte S (Logs treffen ein, kein Zugang)
- AP1.136 - Auguste-28 / LoRa (Logs treffen ein, offline)
- AP2.175 - Z10 / Kindergarten (offline)
- AP2.68 - Hackspace (offline)
Gedanken zum Debian Release:
- rsyslogd nicht mehr Standard, wird durch systemd Logging vollständig ersetzt
- aktuelle Abhängigkeit ist die Kontrolle des Backups via /var/log/...
- SSH Dienst ist länger offline, openssh-server früh aktualisieren
- sendmail steht längere Zeit nicht zur Verfügung
- Password Hashes auf yescrypt umgestellt, Wirkung nur nach passwd
- Apt muss auf "bullseye-security" umgestellt werden (statt <release>/updates)
- Rsync Prozesse prüfen, u.a. Parameter --noatime relevant
- debian-security-support Paket anschauen
- Rescue-Boot / Single-User-Modus nur mit Passwort möglich (überall PW noch mal setzen?)
- Merged Dateisystem Layout, hierzu "usrmerge" verwenden
Sonstiges:
- Opennet Mailman mittels Buster auf mailman3 umstellen?
- Opennet python2 Anwendungen vorhanden? -> aktuell munin-libvirt-plugins
- Debian OLSRd ist entfernt -> Opennet Paket installieren
- Debian rsnapshot ist entfernt -> von Github DEB übernehmen
- Verzeichnis /var/log nach rsyslog-Deinstallation bereinigen, Logrotate Ausführung nicht notwendig
- PHP FPM nutzte "error_log = /var/log/php7.4-fpm.log", Umstellung nach "syslog"
Hinweise Changelog:
gnupg2 (2.2.27-2) per-user configuration of the GnuPG suite has completely moved to ~/.gnupg/gpg.conf, and ~/.gnupg/options is no longer in use. rsync (3.2.0-1) Previous parameter: --noatime: avoid changing the atime on opened files. Is now called: --open-noatime
https://www.debian.org/releases/bullseye/amd64/release-notes/ch-upgrading.de.html