Benutzer:MathiasMahnke/Debian Bullseye 2021

Aus Opennet
Wechseln zu: Navigation, Suche

Status: In Arbeit.

Debian Bullseye Update Status der Opennet Server - Debian Release von 08/2021.

Inhaltsverzeichnis

Status

Virtualisierungsserver:

  • Server/akito - Erledigt, 2022/04/23; offen: Logrotate Alternative?
  • Server/tamago - Erledigt, 2022/04/14; offen: Logrotate Alternative?
  • Server/ryoko - Erledigt, 2022/04/12; offen: Logrotate Alternative?
  • Server/aqua - Erledigt, 2022/04/21; offen: Logrotate Alternative?
  • VM Vorlage via vhost-admin

Gateway-Server:

  • Server/erina - -- Besonderheit: Abhängigkeit "python-module" Rolle in Py2.7
  • Server/subaru - -- Besonderheit: Abhängigkeit "python-module" Rolle in Py2.7
  • Server/gai - -- Besonderheit: Abhängigkeit "python-module" Rolle in Py2.7
  • Server/megumi - -- Besonderheit: Abhängigkeit "python-module" Rolle in Py2.7 + /vpnstatus/ nicht erreichbar

Dienste-Server:

  • Server/amano - In Arbeit, 2022/04/13; offen: Bereinigung moinmoin -- Besonderheit: cron vor Update stoppen (CA Jobs)
  • Server/crimson - Debian Wheezy
  • Server/goat - Erledigt, 2022/04/13 -- Besonderheit: Buildbot Web via pip installiert
  • Server/haruka - -- ehem. Besonderheit: OpenVPN Landfunk, veraltetes Zertifikat für OpenVPN
  • Server/heartofgold - Debian Wheezy
  • Server/hikaru - Erledigt, 2022/04/16; offen: /downloads notwendig? / python(3)-mysql / mysql vs. mariadb / alte mediawiki module / /var/log/mediawiki?
  • Server/itsuki
  • Server/hoshino - Erledigt, 2022/04/14; offen: downloads2 umziehen
  • Server/howmei - Erledigt, 2022/04/11; offen: Munin-Update Prozess fehlerhaft / Festplatten voll
  • Server/inez - Erledigt, 2022/04/10 -- Besonderheit: rsnapshot nicht in Bullseye
  • Server/izumi - Erledigt, 2022/04/18; offen: Installation DNS-Primary -- Besonderheit: Service Discovery Opennet CA Zertifikat
  • Server/jun - ; offen: olsrd_nameservice.so.0.3 in Ansible? + on_dataservice deaktiveren? -- Besonderheit: slt nicht in Buster
  • Server/kazama - Erledigt, 2022/04/15; offen: eth1 WAN NIC DHCP -- Besonderheit: wireguard Installation nicht abgeschlossen
  • Server/kinjo - Erledigt, 2022/04/11
  • Server/maki - Erledigt, 2022/04/12; offen: Einige Backup-Kontrollen veraltet? Ansible auf "backup yes/no" umstellen? -- Besonderheit: rsnapshot nicht in Bullseye
  • Server/nagare - Debian Buster -- Besonderheit: moinmoin benötigt Python 2
  • Server/ruri - Erledigt, 2022/04/18; offen: nur downloads(2) Aufgabe verbleibt? Rotation von testing Firmware? + Plattenplatz frei geben (aqua)
  • Server/tenkawa - Erledigt, 2022/04/16 -- Besonderheit: Freifunk Media Mirror rsyncd.log (seit 2018)
  • Server/yurika - Erledigt, 2022/04/16

Sonstige Server

Aktualisierung

Vorab: Ansible Ausführung.

Ablauf:

screen
cat /etc/debian_version
apt update && apt upgrade
apt autoremove
aptitude search '?narrow(?installed, ?not(?origin(Debian)))'
find /etc -name '*.dpkg-*' -o -name '*.ucf-*' -o -name '*.merge-error'
## HIER: Ggf. alte Konfigurationsdateien entfernen.
# rm /etc/ssh/sshd_config.ucf-old /etc/ferm/ferm.conf.dpkg-dist /etc/ca-certificates.conf.dpkg-old
# rm /etc/php/7.3/fpm/php.ini.ucf-dist /etc/php/7.3/fpm/php.ini.ucf-old
rm /usr/local/bin/rrsync # Opennet ehem. alte Kopie für Backup
cat /etc/apt/preferences
ls /etc/apt/preferences.d/
dpkg --audit
aptitude search "~ahold" 
dpkg -l | awk '/^rc/ { print $2 }'
## HIER: ehem. installierte Pakete & Konfigurationen final entfernen
# apt purge $(dpkg -l | awk '/^rc/ { print $2 }')
apt clean
df -h
## HIER: apt sources list anpassen
apt update
apt upgrade --without-new-pkgs
apt full-upgrade
apt install usrmerge
## HIER: Zusammenführung /usr durchführen
apt remove usrmerge
apt autoremove
## HIER: Passwort neu setzen für yescrypt und Boot-PW
passwd
## HIER: olsrd Update durchführen
vi /etc/olsrd/olsrd.conf # Plugins entfernen
apt remove olsrd-plugins # Vorbereitung Update
apt install libgps28 # Voraussetzung für Plugins
wget https://downloads.opennet-initiative.de/debian/olsrd_0.9.8-3_amd64+deb11.deb
wget https://downloads.opennet-initiative.de/debian/olsrd-plugins_0.9.8-3_amd64+deb11.deb
# nun lokale oder IPv6 Verbindung aufbauen
dpkg -i olsrd_0.9.8-3_amd64+deb11.deb olsrd-plugins_0.9.8-3_amd64+deb11.deb
rm olsrd_0.9.8-3_amd64+deb11.deb olsrd-plugins_0.9.8-3_amd64+deb11.deb
## HIER: ggf. Ansible Lauf
reboot
dpkg -l | awk '/^rc/ { print $2 }'
## HIER: entfernte Pakete bereinigen
# apt purge $(dpkg -l | awk '/^rc/ { print $2 }')
aptitude search '~o'
# apt remove e2fslibs gcc-8-base libapt-inst2.0 libapt-pkg5.0 libcomerr2 libffi6 libgcc1 
# apt remove libhogweed4 libip4tc0 libip6tc0 libnettle6 libreadline7 linux-image-4.19.0-20-amd64 multiarch-support
# apt remove virt-top # nur Virtualisierungsserver
## HIER: veraltete Pakete entfernen (sehr genau prüfen!; i.d.R. nicht alles entfernen)
# aptitude #CHECKTWICE# purge '~o'
## HIER: python2.7 entfernen (Abhängigkeiten genau prüfen!)
# apt remove libpython2.7-minimal libpython2.7-stdlib python2.7 python2.7-minimal
## HIER: Bereinigung alte Syslog-Dateien
cd /var/log
rm daemon.log* dpkg.log* kern.log* mail.* user.log* alternatives.log* faillog \
 aptitude* dmesg* messages* monit.log.* auth.log* lpr.log syslog* debug* ntpstats boot \
 fontconfig.log bootstrap.log php7.0-fpm* php7.3-fpm* php7.4-fpm.log*
rm -rf ConsoleKit/ installer/ news/ sysstat/ private/ fsck/ runit/ ntpstats/ letsencrypt/
## HIER: logrotate entfernen (wenn möglich)
# apt remove logrotate
## HIER: Nachkontrolle von Diensten, ggf. manuelle Neustarts
echo /nhdpinfo neighbor | nc localhost 2009
systemctl --type=service
systemctl status <name.service>
journalctl -u <name.service>
systemctl restart <name.service>
ip -6 addr show
ip -6 route show
ping -6 jun.opennet-initiative.de -c 3
ping -6 jun.on -c 3

Anschließend: Ansible Ausführung

Nach der Bereinigung der Syslog-Dateien:

# cd /var/log
# ls
  apt   btmp.1   fsck	  journal  munin  private  sysstat  wtmp.1
  btmp  faillog  installer  lastlog  news   runit    wtmp

Nacharbeiten

Syslog-Hosts:

  • AP1.83 - Bauamt / User Süd (OK, per UCI geprüft + entfernt)
  • AP1.50 - Frieda23 / Vereinsraum (OK, per UCI geprüft)
  • AP2.42 - HG-Kirche / Ost (OK, per UCI geprüft)
  • AP1.13 - Schillerplatz / Rene E (keine Logs mehr, kein Zugang / ungeprüft)
  • AP1.120 - Senselab / Lars K (keine Logs mehr, kein Zugang / ungeprüft)
  • AP2.14 - Klopstockstr / Jüte S (Logs treffen ein, kein Zugang)
  • AP1.136 - Auguste-28 / LoRa (Logs treffen ein, offline)
  • AP2.175 - Z10 / Kindergarten (offline)
  • AP2.68 - Hackspace (offline)

IPv6 SLAAC:

iface eth1 inet6 auto
  • hog: DYN OK
  • yurika: DYN OK
  • izumi: DYN OK + angepasst
  • amano: DYN OK + angepasst
  • jun: DYN OK + angepasst
  • tenkawa: STAT OK
  • kazama: DYN OK + angepasst
  • goat: DYN OK + angepasst

TODO:

  • IPv6 ULA Opennet-Lo fd32:d8d3:87da::<x:y> -> systemd-networkd
  • IPv6 ULA Anycast-DNS fd32:d8d3:87da::53 -> systemd-networkd + olsr2
iface tap-mesh inet6 static
 address fd32:d8d3:87da::53
 netmask 128
olsr2.conf
 [lan_import=opennet]
   matches fd32:d8d3:87da::53/128

Vorbereitungen

Gedanken zum Debian Release:

  • rsyslogd nicht mehr Standard, wird durch systemd Logging vollständig ersetzt
  • aktuelle Abhängigkeit ist die Kontrolle des Backups via /var/log/...
  • SSH Dienst ist länger offline, openssh-server früh aktualisieren
  • sendmail steht längere Zeit nicht zur Verfügung
  • Password Hashes auf yescrypt umgestellt, Wirkung nur nach passwd
  • Apt muss auf "bullseye-security" umgestellt werden (statt <release>/updates)
  • Rsync Prozesse prüfen, u.a. Parameter --noatime relevant
  • debian-security-support Paket anschauen
  • Rescue-Boot / Single-User-Modus nur mit Passwort möglich (überall PW noch mal setzen?)
  • Merged Dateisystem Layout, hierzu "usrmerge" verwenden

Sonstiges:

  • Opennet Mailman mittels Buster auf mailman3 umstellen?
  • Opennet python2 Anwendungen vorhanden? -> aktuell munin-libvirt-plugins
  • Debian OLSRd ist entfernt -> Opennet Paket installieren
  • Debian rsnapshot ist entfernt -> von Github DEB übernehmen
  • Verzeichnis /var/log nach rsyslog-Deinstallation bereinigen, Logrotate Ausführung nicht notwendig
  • PHP FPM nutzte "error_log = /var/log/php7.4-fpm.log", Umstellung nach "syslog"

Hinweise Changelog:

gnupg2 (2.2.27-2)
   per-user configuration of the GnuPG suite has completely moved to ~/.gnupg/gpg.conf, 
   and ~/.gnupg/options is no longer in use. 
rsync (3.2.0-1)
   Previous parameter:
   --noatime: avoid changing the atime on opened files.
   Is now called: --open-noatime
mediawiki (1:1.35.0-1) unstable; urgency=medium
   MediaWiki has been updated to the 1.35 upstream release branch, which
   brings in two years of upstream changes since 1.31. Release notes
   may be found in /usr/share/doc/mediawiki/RELEASE-NOTES-1.31` and
   /usr/share/doc/mediawiki/changelog. Please see the "Upgrading" section
   of README.debian and /usr/share/doc/mediawiki/UPGRADE for details on
   what manual steps need to be taken to upgrade.
   The VisualEditor extension, which provides a rich-text editor for wiki
   pages is now included and can be enabled by adding:
       wfLoadExtension( 'VisualEditor' );
   to /etc/mediawiki/LocalSettings.php.
   Some highlights of new features:
   * New bundled extensions:
     * PageImages and TextExtracts provide OpenGraph metadata for when wiki
       pages are shared on social media platforms.
     * TemplateData allows specifying how templates should be invoked,
       making it easier to add/modify them to pages in the VisualEditor.
     * Scribunto adds Lua as a scripting language to write templates in.
     * SecureLinkFixer automatically rewrites URLs to use HTTPS if the
       domain always requires HTTPS via the HSTS preload list.
   * Administrators can enact "partical blocks", restricting users from
     editing a specific page or namespace.
   * User rights to edit sitewide JavaScript/CSS were separated into a
     separate "interface-admin" group to improve security.
   * Users can now add pages to their watchlist for a limited amount of time.
   * Support for new languages: Ambonese Malay (abs),
     Shawiya (Latin script) (shy-latn), Batak Mandailing (btm),
     Standard Moroccan Tamazight (zgh), Manipuri (mni),
     Western Armenian (hyw), Mon (mnw), Eastern Pwo (kjp), Santali (sat),
     Saisiyat (xsy).
   * Multilingual images and SVGs will now display in the correct language.
ircd-hybrid (1:8.2.31+dfsg.1-1) unstable; urgency=medium
   ircd-hybrid 8.2.31 contains several configuration changes compared to 8.2.26
   and below. You are recommended to review your configuration against the
   defaults supplied with this package when upgrading, or automatically
   choose the option during upgrade to update your configuration to be
   compatible. The script /usr/share/ircd-hybrid/scripts/ssl-to-tls-config
   can be used to update your configuration later, if needed.
   The non-standard STARTS parameter in /etc/default/ircd-hybrid has
   been removed. Please use update-rc.d or systemctl as appropriate to
   control automatic starting of ircd-hybrid.

https://www.debian.org/releases/bullseye/amd64/release-notes/ch-upgrading.de.html

Meine Werkzeuge
Namensräume

Varianten
Aktionen
Start
Opennet
Kommunikation
Karten
Werkzeuge