Benutzer:MathiasMahnke/Debian Bullseye 2021

Aus Opennet
Wechseln zu: Navigation, Suche

Status: In Arbeit.

Debian Bullseye Update Status der Opennet Server - Debian Release von 08/2021.

Inhaltsverzeichnis

Status

Virtualisierungsserver:

Gateway-Server:

  • Server/erina - -- Besonderheit: Abhängigkeit "python-module" Rolle in Py2.7
  • Server/subaru - -- Besonderheit: Abhängigkeit "python-module" Rolle in Py2.7
  • Server/gai - -- Besonderheit: Abhängigkeit "python-module" Rolle in Py2.7
  • Server/megumi - -- Besonderheit: Abhängigkeit "python-module" Rolle in Py2.7

Dienste-Server:

  • Server/amano - In Arbeit, 2022/04/13; offen: MoinMoin Paket aus Debian entfernt (python2.7) -- Besonderheit: cron vor Update stoppen (CA Jobs)
  • Server/crimson - Debian Wheezy
  • Server/goat - Erledigt, 2022/04/13 -- Besonderheit: Buildbot Web via pip installiert
  • Server/haruka - -- ehem. Besonderheit: veraltetes Zertifikat für OpenVPN
  • Server/heartofgold - Debian Wheezy
  • Server/hikaru -
  • Server/hoshino - Erledigt, 2022/04/14; offen: downloads2 umziehen
  • Server/howmei - Erledigt, 2022/04/11; offen: Munin-Update Prozess fehlerhaft / Festplatten voll
  • Server/inez - Erledigt, 2022/04/10; offen: rsnapshot Paket aus Debian entfernt
  • Server/izumi -
  • Server/jun - ;offen: /var/run/services_static nicht dauerhaft -- ehem. Besonderheit: slt nicht in Buster; woher on_dataservice OLSR Informationen?
  • Server/kazama - Erledigt, 2022/04/15; offen: eth1 WAN NIC DHCP -- Besonderheit: wireguard Installation nicht abgeschlossen
  • Server/kinjo - Erledigt, 2022/04/11
  • Server/maki - Erledigt, 2022/04/12; offen: rsnapshot Paket aus Debian entfernt
  • Server/ruri - -- Besonderheit: nur downloads(2) Aufgabe verbleibt? Rotation von testing Firmware?
  • Server/tenkawa - Erledigt, 2022/04/16; offen: rsyncd.log sehr groß (seit 2018)
  • Server/yurika - Erledigt, 2022/04/16

Sonstige Server

Aktualisierung

Vorab: Ansible Ausführung.

Ablauf:

screen
cat /etc/debian_version
apt update && apt upgrade
apt autoremove
aptitude search '?narrow(?installed, ?not(?origin(Debian)))'
find /etc -name '*.dpkg-*' -o -name '*.ucf-*' -o -name '*.merge-error'
## HIER: Ggf. alte Konfigurationsdateien entfernen.
# rm /etc/ssh/sshd_config.ucf-old /etc/ferm/ferm.conf.dpkg-dist /etc/ca-certificates.conf.dpkg-old
# rm /etc/php/7.3/fpm/php.ini.ucf-dist /etc/php/7.3/fpm/php.ini.ucf-old
rm /usr/local/bin/rrsync # Opennet ehem. alte Kopie für Backup
cat /etc/apt/preferences
ls /etc/apt/preferences.d/
dpkg --audit
aptitude search "~ahold" 
dpkg -l | awk '/^rc/ { print $2 }'
## HIER: ehem. installierte Pakete & Konfigurationen final entfernen
# apt purge $(dpkg -l | awk '/^rc/ { print $2 }')
apt clean
df -h
## HIER: apt sources list anpassen
apt update
apt upgrade --without-new-pkgs
apt full-upgrade
apt install usrmerge
## HIER: Zusammenführung /usr durchführen
apt remove usrmerge
apt autoremove
## HIER: Passwort neu setzen für yescrypt und Boot-PW
passwd
## HIER: olsrd Update durchführen
# vi /etc/olsrd/olsrd.conf # Plugins entfernen
# apt remove olsrd-plugins # Vorbereitung Update
# apt install libgps28 # Voraussetzung für Plugins
# wget https://downloads.opennet-initiative.de/debian/olsrd_0.9.8-3_amd64+deb11.deb
# wget https://downloads.opennet-initiative.de/debian/olsrd-plugins_0.9.8-3_amd64+deb11.deb
# dpkg -i olsrd_0.9.8-3_amd64+deb11.deb olsrd-plugins_0.9.8-3_amd64+deb11.deb
## HIER: ggf. Ansible Lauf
reboot
dpkg -l | awk '/^rc/ { print $2 }'
## HIER: entfernte Pakete bereinigen
# apt purge $(dpkg -l | awk '/^rc/ { print $2 }')
aptitude search '~o'
# apt remove e2fslibs gcc-8-base libapt-inst2.0 libapt-pkg5.0 libcomerr2 libffi6 libgcc1 
# apt remove libhogweed4 libip4tc0 libip6tc0 libnettle6 libreadline7 linux-image-4.19.0-20-amd64 multiarch-support
# apt remove virt-top # nur Virtualisierungsserver
## HIER: veraltete Pakete entfernen (sehr genau prüfen!; i.d.R. nicht alles entfernen)
# aptitude #CHECKTWICE# purge '~o'
## HIER: python2.7 entfernen (Abhängigkeiten genau prüfen!)
# apt remove libpython2.7-minimal libpython2.7-stdlib python2.7 python2.7-minimal
## HIER: Bereinigung alte Syslog-Dateien
cd /var/log
rm daemon.log* dpkg.log* kern.log* mail.* user.log* alternatives.log* faillog \
 aptitude* dmesg* messages* monit.log.* auth.log* lpr.log syslog* debug* ntpstats boot \
 fontconfig.log bootstrap.log php7.0-fpm* php7.3-fpm* php7.4-fpm.log*
rm -rf ConsoleKit/ installer/ news/ sysstat/ private/ fsck/ runit/ ntpstats/ letsencrypt/
## HIER: logrotate entfernen (wenn möglich)
# apt remove logrotate
## HIER: Nachkontrolle von Diensten, ggf. manuelle Neustarts
echo /nhdpinfo neighbor | nc localhost 2009
systemctl --type=service
systemctl status <name.service>
journalctl -u <name.service>
systemctl restart <name.service>
ip -6 addr show
ip -6 route show
ping -6 jun.opennet-initiative.de -c 3
ping -6 jun.on -c 

Anschließend: Ansible Ausführung

Nach der Bereinigung der Syslog-Dateien:

# cd /var/log
# ls
  apt   btmp.1   fsck	  journal  munin  private  sysstat  wtmp.1
  btmp  faillog  installer  lastlog  news   runit    wtmp

Nacharbeiten

Syslog-Hosts:

  • AP1.83 - Bauamt / User Süd (OK, per UCI geprüft + entfernt)
  • AP1.50 - Frieda23 / Vereinsraum (OK, per UCI geprüft)
  • AP2.42 - HG-Kirche / Ost (OK, per UCI geprüft)
  • AP1.13 - Schillerplatz / Rene E (keine Logs mehr, kein Zugang / ungeprüft)
  • AP1.120 - Senselab / Lars K (keine Logs mehr, kein Zugang / ungeprüft)
  • AP2.14 - Klopstockstr / Jüte S (Logs treffen ein, kein Zugang)
  • AP1.136 - Auguste-28 / LoRa (Logs treffen ein, offline)
  • AP2.175 - Z10 / Kindergarten (offline)
  • AP2.68 - Hackspace (offline)

IPv6 SLAAC:

iface eth1 inet6 auto
  • hog: DYN OK
  • yurika: DYN OK
  • izumi: DYN OK + angepasst
  • amano: DYN OK + angepasst
  • jun: DYN OK + angepasst
  • tenkawa: STAT OK
  • kazama: DYN OK + angepasst
  • goat: DYN OK + angepasst

TODO:

  • IPv6 ULA fd32:d8d3:87da::53
    • DNS Eintrag für fd32:d8d3:87da::53 - ns-secondary.on?
    • Installation auf allen nameserver-slaves? jeweils "nur" sekundäre IP auf lo?
    • DNS Server in /etc/resolv.conf aller Server? Anpassung der nameserver-resolver?

Vorbereitungen

Gedanken zum Debian Release:

  • rsyslogd nicht mehr Standard, wird durch systemd Logging vollständig ersetzt
  • aktuelle Abhängigkeit ist die Kontrolle des Backups via /var/log/...
  • SSH Dienst ist länger offline, openssh-server früh aktualisieren
  • sendmail steht längere Zeit nicht zur Verfügung
  • Password Hashes auf yescrypt umgestellt, Wirkung nur nach passwd
  • Apt muss auf "bullseye-security" umgestellt werden (statt <release>/updates)
  • Rsync Prozesse prüfen, u.a. Parameter --noatime relevant
  • debian-security-support Paket anschauen
  • Rescue-Boot / Single-User-Modus nur mit Passwort möglich (überall PW noch mal setzen?)
  • Merged Dateisystem Layout, hierzu "usrmerge" verwenden

Sonstiges:

  • Opennet Mailman mittels Buster auf mailman3 umstellen?
  • Opennet python2 Anwendungen vorhanden? -> aktuell munin-libvirt-plugins
  • Debian OLSRd ist entfernt -> Opennet Paket installieren
  • Debian rsnapshot ist entfernt -> von Github DEB übernehmen
  • Verzeichnis /var/log nach rsyslog-Deinstallation bereinigen, Logrotate Ausführung nicht notwendig
  • PHP FPM nutzte "error_log = /var/log/php7.4-fpm.log", Umstellung nach "syslog"

Hinweise Changelog:

gnupg2 (2.2.27-2)
 per-user configuration of the GnuPG suite has completely moved to ~/.gnupg/gpg.conf, 
 and ~/.gnupg/options is no longer in use. 
rsync (3.2.0-1)
 Previous parameter:
 --noatime: avoid changing the atime on opened files.
 Is now called: --open-noatime

https://www.debian.org/releases/bullseye/amd64/release-notes/ch-upgrading.de.html

Meine Werkzeuge
Namensräume

Varianten
Aktionen
Start
Opennet
Kommunikation
Karten
Werkzeuge