Benutzer:MathiasMahnke/Debian Bullseye 2021: Unterschied zwischen den Versionen

Aus Opennet
Wechseln zu: Navigation, Suche
(Status)
(Status)
Zeile 25: Zeile 25:
 
* [[Server/heartofgold]] - Debian Wheezy
 
* [[Server/heartofgold]] - Debian Wheezy
 
* [[Server/hikaru]] - Erledigt, 2022/04/16; '''offen''': /downloads notwendig? / python(3)-mysql / mysql vs. mariadb / alte mediawiki module / /var/log/mediawiki?
 
* [[Server/hikaru]] - Erledigt, 2022/04/16; '''offen''': /downloads notwendig? / python(3)-mysql / mysql vs. mariadb / alte mediawiki module / /var/log/mediawiki?
* [[Server/hoshino]] - Erledigt, 2022/04/14; '''offen''': downloads2 umziehen + FW Export Docs fehlt
+
* [[Server/hoshino]] - Erledigt, 2022/04/14; '''offen''': downloads2 umziehen + FW Export Docs fehlt (Paket graphviz?)
 
* [[Server/howmei]] - Erledigt, 2022/04/11; '''offen''': '''Munin-Update Prozess fehlerhaft / Festplatten voll'''
 
* [[Server/howmei]] - Erledigt, 2022/04/11; '''offen''': '''Munin-Update Prozess fehlerhaft / Festplatten voll'''
 
* [[Server/inez]] - Erledigt, 2022/04/10; '''offen''': rsnapshot Paket aus Debian entfernt
 
* [[Server/inez]] - Erledigt, 2022/04/10; '''offen''': rsnapshot Paket aus Debian entfernt

Version vom 18. April 2022, 06:52 Uhr

Status: In Arbeit.

Debian Bullseye Update Status der Opennet Server - Debian Release von 08/2021.

Inhaltsverzeichnis

Status

Virtualisierungsserver:

Gateway-Server:

  • Server/erina - -- Besonderheit: Abhängigkeit "python-module" Rolle in Py2.7
  • Server/subaru - -- Besonderheit: Abhängigkeit "python-module" Rolle in Py2.7
  • Server/gai - -- Besonderheit: Abhängigkeit "python-module" Rolle in Py2.7
  • Server/megumi - -- Besonderheit: Abhängigkeit "python-module" Rolle in Py2.7

Dienste-Server:

  • Server/amano - In Arbeit, 2022/04/13; offen: MoinMoin Paket aus Debian entfernt (python2.7) -- Besonderheit: cron vor Update stoppen (CA Jobs)
  • Server/crimson - Debian Wheezy
  • Server/goat - Erledigt, 2022/04/13 -- Besonderheit: Buildbot Web via pip installiert
  • Server/haruka - -- ehem. Besonderheit: veraltetes Zertifikat für OpenVPN
  • Server/heartofgold - Debian Wheezy
  • Server/hikaru - Erledigt, 2022/04/16; offen: /downloads notwendig? / python(3)-mysql / mysql vs. mariadb / alte mediawiki module / /var/log/mediawiki?
  • Server/hoshino - Erledigt, 2022/04/14; offen: downloads2 umziehen + FW Export Docs fehlt (Paket graphviz?)
  • Server/howmei - Erledigt, 2022/04/11; offen: Munin-Update Prozess fehlerhaft / Festplatten voll
  • Server/inez - Erledigt, 2022/04/10; offen: rsnapshot Paket aus Debian entfernt
  • Server/izumi -
  • Server/jun - ;offen: /var/run/services_static nicht dauerhaft -- ehem. Besonderheit: slt nicht in Buster; woher on_dataservice OLSR Informationen?
  • Server/kazama - Erledigt, 2022/04/15; offen: eth1 WAN NIC DHCP -- Besonderheit: wireguard Installation nicht abgeschlossen
  • Server/kinjo - Erledigt, 2022/04/11
  • Server/maki - Erledigt, 2022/04/12; offen: rsnapshot Paket aus Debian entfernt
  • Server/ruri - -- Besonderheit: nur downloads(2) Aufgabe verbleibt? Rotation von testing Firmware?
  • Server/tenkawa - Erledigt, 2022/04/16 -- Besonderheit: Freifunk Media Mirror rsyncd.log (seit 2018)
  • Server/yurika - Erledigt, 2022/04/16

Sonstige Server

Aktualisierung

Vorab: Ansible Ausführung.

Ablauf:

screen
cat /etc/debian_version
apt update && apt upgrade
apt autoremove
aptitude search '?narrow(?installed, ?not(?origin(Debian)))'
find /etc -name '*.dpkg-*' -o -name '*.ucf-*' -o -name '*.merge-error'
## HIER: Ggf. alte Konfigurationsdateien entfernen.
# rm /etc/ssh/sshd_config.ucf-old /etc/ferm/ferm.conf.dpkg-dist /etc/ca-certificates.conf.dpkg-old
# rm /etc/php/7.3/fpm/php.ini.ucf-dist /etc/php/7.3/fpm/php.ini.ucf-old
rm /usr/local/bin/rrsync # Opennet ehem. alte Kopie für Backup
cat /etc/apt/preferences
ls /etc/apt/preferences.d/
dpkg --audit
aptitude search "~ahold" 
dpkg -l | awk '/^rc/ { print $2 }'
## HIER: ehem. installierte Pakete & Konfigurationen final entfernen
# apt purge $(dpkg -l | awk '/^rc/ { print $2 }')
apt clean
df -h
## HIER: apt sources list anpassen
apt update
apt upgrade --without-new-pkgs
apt full-upgrade
apt install usrmerge
## HIER: Zusammenführung /usr durchführen
apt remove usrmerge
apt autoremove
## HIER: Passwort neu setzen für yescrypt und Boot-PW
passwd
## HIER: olsrd Update durchführen
# vi /etc/olsrd/olsrd.conf # Plugins entfernen
# apt remove olsrd-plugins # Vorbereitung Update
# apt install libgps28 # Voraussetzung für Plugins
# wget https://downloads.opennet-initiative.de/debian/olsrd_0.9.8-3_amd64+deb11.deb
# wget https://downloads.opennet-initiative.de/debian/olsrd-plugins_0.9.8-3_amd64+deb11.deb
# dpkg -i olsrd_0.9.8-3_amd64+deb11.deb olsrd-plugins_0.9.8-3_amd64+deb11.deb
## HIER: ggf. Ansible Lauf
reboot
dpkg -l | awk '/^rc/ { print $2 }'
## HIER: entfernte Pakete bereinigen
# apt purge $(dpkg -l | awk '/^rc/ { print $2 }')
aptitude search '~o'
# apt remove e2fslibs gcc-8-base libapt-inst2.0 libapt-pkg5.0 libcomerr2 libffi6 libgcc1 
# apt remove libhogweed4 libip4tc0 libip6tc0 libnettle6 libreadline7 linux-image-4.19.0-20-amd64 multiarch-support
# apt remove virt-top # nur Virtualisierungsserver
## HIER: veraltete Pakete entfernen (sehr genau prüfen!; i.d.R. nicht alles entfernen)
# aptitude #CHECKTWICE# purge '~o'
## HIER: python2.7 entfernen (Abhängigkeiten genau prüfen!)
# apt remove libpython2.7-minimal libpython2.7-stdlib python2.7 python2.7-minimal
## HIER: Bereinigung alte Syslog-Dateien
cd /var/log
rm daemon.log* dpkg.log* kern.log* mail.* user.log* alternatives.log* faillog \
 aptitude* dmesg* messages* monit.log.* auth.log* lpr.log syslog* debug* ntpstats boot \
 fontconfig.log bootstrap.log php7.0-fpm* php7.3-fpm* php7.4-fpm.log*
rm -rf ConsoleKit/ installer/ news/ sysstat/ private/ fsck/ runit/ ntpstats/ letsencrypt/
## HIER: logrotate entfernen (wenn möglich)
# apt remove logrotate
## HIER: Nachkontrolle von Diensten, ggf. manuelle Neustarts
echo /nhdpinfo neighbor | nc localhost 2009
systemctl --type=service
systemctl status <name.service>
journalctl -u <name.service>
systemctl restart <name.service>
ip -6 addr show
ip -6 route show
ping -6 jun.opennet-initiative.de -c 3
ping -6 jun.on -c 3

Anschließend: Ansible Ausführung

Nach der Bereinigung der Syslog-Dateien:

# cd /var/log
# ls
  apt   btmp.1   fsck	  journal  munin  private  sysstat  wtmp.1
  btmp  faillog  installer  lastlog  news   runit    wtmp

Nacharbeiten

Syslog-Hosts:

  • AP1.83 - Bauamt / User Süd (OK, per UCI geprüft + entfernt)
  • AP1.50 - Frieda23 / Vereinsraum (OK, per UCI geprüft)
  • AP2.42 - HG-Kirche / Ost (OK, per UCI geprüft)
  • AP1.13 - Schillerplatz / Rene E (keine Logs mehr, kein Zugang / ungeprüft)
  • AP1.120 - Senselab / Lars K (keine Logs mehr, kein Zugang / ungeprüft)
  • AP2.14 - Klopstockstr / Jüte S (Logs treffen ein, kein Zugang)
  • AP1.136 - Auguste-28 / LoRa (Logs treffen ein, offline)
  • AP2.175 - Z10 / Kindergarten (offline)
  • AP2.68 - Hackspace (offline)

IPv6 SLAAC:

iface eth1 inet6 auto
  • hog: DYN OK
  • yurika: DYN OK
  • izumi: DYN OK + angepasst
  • amano: DYN OK + angepasst
  • jun: DYN OK + angepasst
  • tenkawa: STAT OK
  • kazama: DYN OK + angepasst
  • goat: DYN OK + angepasst

TODO:

  • IPv6 ULA Opennet-Lo fd32:d8d3:87da::<x:y> -> systemd-networkd
  • IPv6 ULA Anycast-DNS fd32:d8d3:87da::53 -> systemd-networkd + olsr2
iface tap-mesh inet6 static
 address fd32:d8d3:87da::53
 netmask 128
olsr2.conf
 [lan_import=opennet]
   matches fd32:d8d3:87da::53/128

Vorbereitungen

Gedanken zum Debian Release:

  • rsyslogd nicht mehr Standard, wird durch systemd Logging vollständig ersetzt
  • aktuelle Abhängigkeit ist die Kontrolle des Backups via /var/log/...
  • SSH Dienst ist länger offline, openssh-server früh aktualisieren
  • sendmail steht längere Zeit nicht zur Verfügung
  • Password Hashes auf yescrypt umgestellt, Wirkung nur nach passwd
  • Apt muss auf "bullseye-security" umgestellt werden (statt <release>/updates)
  • Rsync Prozesse prüfen, u.a. Parameter --noatime relevant
  • debian-security-support Paket anschauen
  • Rescue-Boot / Single-User-Modus nur mit Passwort möglich (überall PW noch mal setzen?)
  • Merged Dateisystem Layout, hierzu "usrmerge" verwenden

Sonstiges:

  • Opennet Mailman mittels Buster auf mailman3 umstellen?
  • Opennet python2 Anwendungen vorhanden? -> aktuell munin-libvirt-plugins
  • Debian OLSRd ist entfernt -> Opennet Paket installieren
  • Debian rsnapshot ist entfernt -> von Github DEB übernehmen
  • Verzeichnis /var/log nach rsyslog-Deinstallation bereinigen, Logrotate Ausführung nicht notwendig
  • PHP FPM nutzte "error_log = /var/log/php7.4-fpm.log", Umstellung nach "syslog"

Hinweise Changelog:

gnupg2 (2.2.27-2)
   per-user configuration of the GnuPG suite has completely moved to ~/.gnupg/gpg.conf, 
   and ~/.gnupg/options is no longer in use. 
rsync (3.2.0-1)
   Previous parameter:
   --noatime: avoid changing the atime on opened files.
   Is now called: --open-noatime
mediawiki (1:1.35.0-1) unstable; urgency=medium
   MediaWiki has been updated to the 1.35 upstream release branch, which
   brings in two years of upstream changes since 1.31. Release notes
   may be found in /usr/share/doc/mediawiki/RELEASE-NOTES-1.31` and
   /usr/share/doc/mediawiki/changelog. Please see the "Upgrading" section
   of README.debian and /usr/share/doc/mediawiki/UPGRADE for details on
   what manual steps need to be taken to upgrade.
   The VisualEditor extension, which provides a rich-text editor for wiki
   pages is now included and can be enabled by adding:
       wfLoadExtension( 'VisualEditor' );
   to /etc/mediawiki/LocalSettings.php.
   Some highlights of new features:
   * New bundled extensions:
     * PageImages and TextExtracts provide OpenGraph metadata for when wiki
       pages are shared on social media platforms.
     * TemplateData allows specifying how templates should be invoked,
       making it easier to add/modify them to pages in the VisualEditor.
     * Scribunto adds Lua as a scripting language to write templates in.
     * SecureLinkFixer automatically rewrites URLs to use HTTPS if the
       domain always requires HTTPS via the HSTS preload list.
   * Administrators can enact "partical blocks", restricting users from
     editing a specific page or namespace.
   * User rights to edit sitewide JavaScript/CSS were separated into a
     separate "interface-admin" group to improve security.
   * Users can now add pages to their watchlist for a limited amount of time.
   * Support for new languages: Ambonese Malay (abs),
     Shawiya (Latin script) (shy-latn), Batak Mandailing (btm),
     Standard Moroccan Tamazight (zgh), Manipuri (mni),
     Western Armenian (hyw), Mon (mnw), Eastern Pwo (kjp), Santali (sat),
     Saisiyat (xsy).
   * Multilingual images and SVGs will now display in the correct language.

https://www.debian.org/releases/bullseye/amd64/release-notes/ch-upgrading.de.html

Meine Werkzeuge
Namensräume

Varianten
Aktionen
Start
Opennet
Kommunikation
Karten
Werkzeuge