(Newbie) Nginx Update für Debian 8?

[irgendwas]

Hallo zusammen,

ich beschäftige mich seit geraumer Zeit mit Debian (zuvor erste Erfahrungen mit Raspbian gesammelt) und hab mir als Hobby einen Webserver (nur lokal erreichbar) eingerichtet und schon verschiedene "Experimente" unternommen (z.B. Owncloud, Wordpress, Seafile, usw.)

Da mich das Thema Linux&Co. sehr interessiert (u.a. Sicherheit), wollte ich mich mal erkundigen, wie ich Nginx aktualisieren kann.
Installiert habe ich Debian 8 und als Nginx Version wird mir die Version 1.6.2 angezeigt, aktuell ist aber anscheinend 1.9.13.

Code: Alles auswählen

apt-get update
apt-get upgrade
apt-get dist-upgrade

(als root) bringt mir leider keine neuere Version

In meiner sources.list steht folgendes:

Code: Alles auswählen

# 

# deb cdrom:[Debian GNU/Linux 8.3.0 _Jessie_ - Official amd64 DVD Binary-1 20160123-19:03]/ jessie contrib main

deb http://ftp.de.debian.org/debian/ jessie main
deb-src http://ftp.de.debian.org/debian/ jessie main

deb http://security.debian.org/ jessie/updates main contrib
deb-src http://security.debian.org/ jessie/updates main contrib

# jessie-updates, previously known as 'volatile'
deb http://ftp.de.debian.org/debian/ jessie-updates main contrib
deb-src http://ftp.de.debian.org/debian/ jessie-updates main contrib

Hab ich etwas übersehen oder gibt es für Debian 8 keine aktuellere Version von Nginx?!

Danke im voraus

[Dimejo]

Debian bietet im jessie-backports Repository eine aktuellere Version von nginx (1.9.10) an. Alternativ kannst Du auch das offizielle Paket von nginx installieren.

[irgendwas]

Danke für die schnelle Antwort

Sollte ich bei dem offiziellen Paket auf irgendwas achten oder einfach drauf los?

[eggy]

Was Du zu diesen "offiziellen" (ich würde sie eher "Hersteller-Pakete" nennen) Paketen wissen solltest: apt-key add fügt den Schlüssel in deinen Keyring ein. Damit sind dann alle *.deb, die mit diesem Schlüssel signiert sind gültige Pakete. Die Installation eines Paketes wird mit root-Rechten vorgenommen, d.h. auch alle Scripte die in diesen Paketen enthalten sind, werden mit root-Rechten ausgeführt. Das bedeutet Vollzugriff auf Dein System. Nicht nur einmalig sondern langfristig. Darüber solltest Du Dir im Klaren sein.

Weitere Punkte*: Oftmals sind Herstellerpakete nicht so sauber paketiert und auch in Bezug auf Abhängigkeiten und Nebenwirkungen gibts immer mal wieder Probleme. Und dann bleibt noch die Frage, wie sicher geht der Hersteller mit seinem Signaturschlüssel um? Aus Bequemlichkeit world-wide-readable auf dem Webserver abgelegt, damit das automatische Paketieren des nightlybuild funktioniert? Soll alles schon vorgekommen sein...


*das soll nichts über die Qualität von oben angesprochenen nginx-Paketen sagen, ich hab mir die nie angeschaut, ist nur ne allgemeine Info zu Fremdrepos

[irgendwas]

Ah okay verstehe, danke für die Info

Hmm, so ganz funktioniert das leider nicht..

Code: Alles auswählen

Die folgenden Pakete werden aktualisiert (Upgrade):
  nginx
1 aktualisiert, 0 neu installiert, 0 zu entfernen und 0 nicht aktualisiert.
Es müssen noch 0 B von 462 kB an Archiven heruntergeladen werden.
Nach dieser Operation werden 1.024 kB Plattenplatz zusätzlich benutzt.
Möchten Sie fortfahren? [J/n] j
Lese Changelogs... Fertig
(Lese Datenbank ... 54349 Dateien und Verzeichnisse sind derzeit installiert.)
Vorbereitung zum Entpacken von .../nginx_1.8.1-1~jessie_amd64.deb ...
Entpacken von nginx (1.8.1-1~jessie) über (1.6.2-5+deb8u1) ...
dpkg: Fehler beim Bearbeiten des Archivs /var/cache/apt/archives/nginx_1.8.1-1~jessie_amd64.deb (--unpack):
 Versuch, »/usr/sbin/nginx« zu überschreiben, welches auch in Paket nginx-full 1.6.2-5+deb8u1 ist
dpkg-deb: Fehler: Unterprozess einfügen wurde durch Signal (Datenübergabe unterbrochen (broken pipe)) getötet
Fehler traten auf beim Bearbeiten von:
 /var/cache/apt/archives/nginx_1.8.1-1~jessie_amd64.deb
E: Sub-process /usr/bin/dpkg returned an error code (1)

Damit sind dann alle *.deb, die mit diesem Schlüssel signiert sind gültige Pakete. Die Installation eines Paketes wird mit root-Rechten vorgenommen, d.h. auch alle Scripte die in diesen Paketen enthalten sind, werden mit root-Rechten ausgeführt. Das bedeutet Vollzugriff auf Dein System. Nicht nur einmalig sondern langfristig. Darüber solltest Du Dir im Klaren sein.

Kann ich dann den hinzugefügten Schlüssel wieder entfernen?

..und macht es eigentlich Sinn von der Version 1.6.2 zur 1.9.10 zu wechseln? So wie ich das aus Wikipedia zum Thema Backports verstanden hab, bekommt ja die 1.6.2 trotz allem noch Sicherheitsupdates, also bin ich grad am rätseln, ob´s dann sinnvoll ist auf die neue Version zu aktualisieren.. oder seh ich das falsch?

[eggy]

Kann ich dann den hinzugefügten Schlüssel wieder entfernen?

ja, man apt-key

[irgendwas]

Danke, das entfernen hat soweit geklappt

Jetzt hab nur noch eine letzte Frage ( ), ob man überhaupt auf 1.9.10 updaten sollte

[irgendwas]

Naja ich hab das gemacht was hier steht..

Zuerst den Key heruntergeladen, in mein Home-Verzeichnis geladen und im Home-Verzeichnis:

Code: Alles auswählen

sudo apt-key add nginx_signing.key

..und dann in /etc/apt/sources.list die Zeilen hinzugefügt:

Code: Alles auswählen

deb http://nginx.org/packages/debian/ codename nginx
deb-src http://nginx.org/packages/debian/ codename nginx

Zum Schluss hab ich dann ein

Code: Alles auswählen

apt-get update
apt-get upgrade bzw. apt-get install nginx

ausgeführt.

War was nicht richtig?!


EDIT: Der Beitrag auf den sich meine Antwort bezieht ist leider verschwunden

[rendegast]

EDIT: Der Beitrag auf den sich meine Antwort bezieht ist leider verschwunden

War gedacht wegen

Vorbereitung zum Entpacken von .../nginx_1.8.1-1~jessie_amd64.deb ...

bis ich merkte, daß es sich um nginx-Repo 'stable' handelt.
http://nginx.org/packages/debian/dists/
http://nginx.org/packages/mainline/debian/dists/
(nicht per https://) EDIT

Den Dateikonflikt oben wird durch vorheriges Deinstallieren von nginx-full gelöst.
Vielleicht kann dann noch eine Priority/Preference gesetzt werden

Code: Alles auswählen

Package: nginx*
Pin: origin nginx.org
Pin-Priority: 501

Package: *
Pin: origin nginx.org
Pin-Priority: 100

(falls in diesem Fall debian / debian-updates mal zu 1.8 wechselt)




Das mit dem Entfernen des apt-key halte ich für nicht so gut.
Einerseits ist es doch gut, wenn ein Repo signiert ist
- Verifizierung der Pakete, automatische Updates möglich
Vorausgesetzt der key ist momentan okay,
bleibt eine spätere Änderung am remote-key nicht unbemerkt.
(eine Warnung "Paketsignatur stimmt nicht!" ist sicher besser als "Wollen sie unsigniertes Paket installieren?")
nginx.org dürfte saubere Paketerstellung und Key-Management zugetraut werden können
(außer daß sie den key bei putin abliefern müssen).

[eggy]

Das mit dem Entfernen des apt-key halte ich für nicht so gut.
Einerseits ist es doch gut, wenn ein Repo signiert ist
- Verifizierung der Pakete, automatische Updates möglich
Vorausgesetzt der key ist momentan okay,
bleibt eine spätere Änderung am remote-key nicht unbemerkt.
(eine Warnung "Paketsignatur stimmt nicht!" ist sicher besser als "Wollen sie unsigniertes Paket installieren?")
nginx.org dürfte saubere Paketerstellung und Key-Management zugetraut werden können
(außer daß sie den key bei putin abliefern müssen).

@rendegast: ich hab mal spasseshalber lintian drüber laufen lassen - wirklich sauber sieht anders aus

Ich hatte die Frage so verstanden, ob es überhaupt möglich sei einen key zu entfernen. Selbstverständlich ist es keine so gute Idee erst ein Paket "Key-gesichert" zu installieren, und dann die Updates ungesichert. Ich war davon ausgegangen, dass der Fragesteller das (fehlerhafte) Paket deinstalliert hatte und auch den Eintrag aus der Sourceslist genommen hätte. Und nun nur noch den Key loswerden wollte.

Die ursprüngliche Frage, welche Version er installieren sollte kann man wahrscheinlich am einfachsten so beantworten: solange Dir nichts fehlt, bleibt bei dem was Debian mitliefert. Erst wenn Du einen guten Grund hast, lohnt es sich über Alternativen nachzudenken. Solange du nicht merkst, dass Dir was fehlt, fehlt Dir auch nichts

[irgendwas]

Danke für die Antworten

Ich hatte die Frage so verstanden, ob es überhaupt möglich sei einen key zu entfernen. Selbstverständlich ist es keine so gute Idee erst ein Paket "Key-gesichert" zu installieren, und dann die Updates ungesichert. Ich war davon ausgegangen, dass der Fragesteller das (fehlerhafte) Paket deinstalliert hatte und auch den Eintrag aus der Sourceslist genommen hätte. Und nun nur noch den Key loswerden wollte.

Genau so war es auch gemeint, weil ja die Installation fehlgeschlagen ist (wegen dem https)

Okay, dann bleib ich bei der aktuellen Version 1.6.2

Danke für eure Hilfe

[rendegast]

... weil ja die Installation fehlgeschlagen ist (wegen dem https)

Die Installation ist fehlgeschlagen, weil ein Dateikonflikt besteht zwischen nginx (nginx.org) und nginx-full (debian).
Wie der zu lösen wäre habe ich oben beschrieben,
durch vorherige Deinstallation von nginx-full.
(Härtestes Vorgehen wäre in etwa 'dpkg -P --force-all nginx-full',
wobei ich vorher noch /etc/nginx/ separat sichern würde.)

@rendegast: ich hab mal spasseshalber lintian drüber laufen lassen - wirklich sauber sieht anders aus

Code: Alles auswählen

$ lintian --check nginx_1.8.1-1~jessie_amd64.deb 
E: nginx: misplaced-extra-member-in-deb _gpgbuilder (unexpected member at position 3)
W: nginx: binary-without-manpage usr/sbin/nginx

$ lintian --check nginx-full_1.6.2-5+deb8u1_amd64.deb 
W: nginx-full: binary-without-manpage usr/sbin/nginx
N: 1 tag overridden (1 info)

$ lintian --check nginx-full_1.9.10-1~bpo8+1_amd64.deb 
$ 

"gpgbuilder" findet sich nur im *.deb,
und zwar direkt vor der dem .deb angehängten Signatur,
1.8.0 wie 1.8.1, amd64 wie i386,
nicht aber im entpackten Paket.
('dpkg-deb -x', 'dpkg-deb -e', *.gz dekomprimiert).

Code: Alles auswählen

$ tail -n23 nginx_1.8.1-1~jessie_amd64.deb
.........YZ_gpgbuilder     1453822549  0     0     100644  914       ``�t��#!YW,���rWR!��
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Version: 4
Signer: nginx signing key <signing-key@nginx.com>
Date: Tue Jan 26 15:35:49 2016
Role: builder
Files: 
        3cf918272ffa5de195752d73f3da3e5e 7959c969e092f2a5a8604e2287807ac5b1b384ad 4 debian-binary
        3f565e13a09b8e5fe190f7e16c927a8a 9d057944a79b4bda4c40af2da58828265e62ad11 2265 control.tar.gz
        f51ff041c698c8fc192da8f97a17152a 80ba224055fd419fb031a923e7e009d1b912df1a 458456 data.tar.xz
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1

iQEcBAEBAgAGBQJWp5JVAAoJEKv1vYJ72b9iCh8IAJH00AS1ZTgCnEMtKYYpJIu4
zWk0dUgKjcJndGsFManiswc3vD5rOEPWWY1ec0JYqygHeTYwXHlqMfPx7VGx42FG
cyj4kYv3mCR2DUuVP1tQ1MVGXiz8cmX0lWleqvAyJWj1ruxtGiqMtmacwQu5hB6d
NFxXhjljL9fKnoz+6ly4LkNJe3tm/LEA/FZuOyqlgVU1sNPfxuUHHP3lIefjCf/X
uUtdMmmfB9+NGOw3zxK4YAFlHJRqUzWZPA+136GKRrBmOgXWj6/ixZ67lpRxCCBc
sQ99nJbj73HVk29A4w7ypQtZrG3oGaX4hqZ6/8+nHjPMvG21v7tli1DvSiLrhoY=
=q/3e
-----END PGP SIGNATURE-----

Die debs von debian sind bei dem 'YZ' zu Ende.
Unüblich, bei einem 3rd-Party aber denkbar.
Beim eigentlichen .deb bleibt dann nur die manpage-Warnung,
wie auch beim jessie-Paket 1.6.2.

[eggy]

@rendegast: hier (1.9.irgendwas) gabs auch noch ne Warnung bezüglich Copyright.
und wenn man die Warnungen hochdreht findet lintian bei 1.8.x-er auch noch was das sich einfach fixen lässt
- spricht in meinen Augen nicht für allergrößte Sorgfalt - aber sowas ist ja Geschmackssache

[rendegast]

@eggy
Tja, ist wohl doch nur ein binary mit init-Skript.
Doku wird auf die website verwiesen,
was in diesem Fall in gewisser Sicht auch Sinn macht.
Hingegen macht ein von lintian angefordertes update-rc.d für das nginx-debug bei 'Default-Stop: 0 1 2 3 4 5 6' keinen Sinn.
Wie sie "Tue 2016-04-04" statt "Mon 2016-04-04" hinbekommen haben?
Den für mich größten Vorteil haben die debian-Pakete aber mit ihrer übersichtlichen Auflistung der Module in control,
'nginx -V' ist nicht so toll und eher für Profis.

[Alternativende]

Hmh gibt es denn ein Feature was du bei der Version von Jessie vermisst, oder willst du nur "rumspielen"?

[irgendwas]

Hmh gibt es denn ein Feature was du bei der Version von Jessie vermisst, oder willst du nur "rumspielen"?

Weder noch Ich wollt nur möglichst alles up-to-date halten und bin dann nur darauf gestoßen, weil die installierte Version von der aktuellsten "so weit" abwich.. Bis jetzt funktioniert alles was ich mir vorgestellt hab (Owncloud, WordPress, aber auch Dinge wie rsync, OpenVPN). Einzig bei InfiniteWP (Verwaltet mehrere WordPress Installationen) hapert es noch, aber das ist etwas OT und hab dafür schon ein Support-Ticket Wenn's so gut läuft wie bisher, kann die kiste "bald" online

[Alternativende]

Nun ich weiß ja nicht.. Wenn es nicht für die große weite Welt gedacht ist, wieso nicht? Ansonsten bekommst du mit den Paketversionen von Debian immer recht schnell Sicherheitsfixes ohne das du etwas kompilieren musst oder so. Ich ziehe das in der Regel vor, insbesondere bei Systemen die im Internet hängen . Das ist auch der Grund warum ich den neuen Apache noch nicht nutzen "kann" der HTTP2 unterstützt, auch wenn es bei der schmalen Leitung ein Segen sein könnte .

[eggy]

Wenn's so gut läuft wie bisher, kann die kiste "bald" online

Bitte nicht in den falschen Hals bekommen, aber Du bist noch nen ganzes Ende davon entfernt die Kiste sicher im bösen weiten Internet betreiben zu können. Neben "ich installier mal eben was" braucht man auch Kenntnisse zur allgemeinen Systemverwaltung und insbesondere zur Sicherheit (welche Auswirkungen haben gesetzte und nichtgesetzte und default Konfigurationsteile; wie sichert man die Datenbank; welche Angriffe sind zur Zeit "in Mode"; wie sichert man die anderen Dienste auf der Kiste ab? und was läuft da eigentlich - und was sollte davon lieber nicht laufen, oder zumindest nicht von außen erreichbar sein? ... ). Also übereile diesen Schritt nicht - auch wenn es verlockend erscheint

[irgendwas]

Nun ich weiß ja nicht.. Wenn es nicht für die große weite Welt gedacht ist, wieso nicht? Ansonsten bekommst du mit den Paketversionen von Debian immer recht schnell Sicherheitsfixes ohne das du etwas kompilieren musst oder so.

Ja, da sind mir dann die Paketversionen lieber

Bitte nicht in den falschen Hals bekommen

Keine Sorge, is nicht passiert

Deswegen hab ich ja die Anführungsstriche gesetzt Wenn ich mal was teste (z.B. ssllabs.com), dann schalt ich die Portweiterleitung im Router ein, aber ansonsten ist die deaktiviert. Hab mich jetzt schon mit so einigem befasst und eingerichtet, aber das Dauert noch ein gutes Stück, bis ich den Server dann 24 Std. laufen lassen kann. Vor allem bei PHP bin ich mir noch nicht sicher bzw. die richtigen Schutzmechanismen für z.B. XSS. Die "grundlegenden" Dinge wie Fail2Ban läuft schon perfekt und das Zertifikat über Let’s Encrypt (hat bei ssllabs.com A+) hat auf anhieb geklappt.. Das Zertifikat war am Anfang nicht so leicht, weil ich mich erst mit den unterschiedlichen SSL-Ciphern beschäftigen musste um dann die "richtige Mischung" aus Kompatibilität und Sicherheit zu haben, aber das A+ sollte ja dann eigentlich passen, oder?

Vielleicht habt ihr noch wertvolle Tipps, um die Sicherheit bei z.B. PHP-FPM (Unix oder doch lieber TCP/IP?) oder anderen Themen zu erhöhen?