Debian 11 jetzt schon als Produktivserver ?

[speefak]

Moin,

ich hatte gerade Warnungen für versch. Webdienste bezüglich einer veralteten TLS Version. Aktuell läuft der Server noch auf Debian 9.
So Langsam kommt D9 ans Ende mit seiner default Software. Ein Gemurkse um teile des Systems ( wie den Apache z.B. ) zu aktualisieren wollte ich mir ersparen. Da es sich um einen Server handelt und damit sämtliche grafische Programmteile entfallen, war meine Überlegung direkt von D9 auf D11 zu aktualisieren ( komplette Neuinstallation ) daher meine Frage: kann man es riskieren D11 jetzt schon als Server im produktiv Betrieb einzusetzen ?

[whisper]

Würde sagen nein.
Und zwar wegen den derzeit noch Riesenmengen an Updates.
Auf einem Produktionssystem will man nicht alle 2 Tage Dieste updaten und Restarten, ich jedenfalls nicht.
Mein Keller Laptop ist auf Bullseye und überlebt die full-upgrades allerdings.

Code: Alles auswählen

# hist
2020-11-24; 12:23:02; full-upgrade
2020-11-26; 14:35:37; full-upgrade
2020-11-30; 12:22:09; full-upgrade
2020-12-07; 10:32:26; full-upgrade
2020-12-08; 08:48:02; full-upgrade
2020-12-09; 14:44:10; full-upgrade
2020-12-10; 16:18:17; full-upgrade
2021-01-03; 10:17:47; full-upgrade
2021-01-14; 08:15:13; full-upgrade
2021-01-25; 11:36:23; full-upgrade

Teilweise waren das ganz schöne Klopper

[MSfree]

Ein Gemurkse um teile des Systems ( wie den Apache z.B. ) zu aktualisieren wollte ich mir ersparen.

Eventuell wären neuere Versionen aus den Backports noch eine Idee. Das wäre zumindest sauber integriert und kein Gewurschtel mit Pakten aus neueren Debianversionen.

kann man es riskieren D11 jetzt schon als Server im produktiv Betrieb einzusetzen?

Im Moment passiert noch relativ viel auf Bullseye. Es gibt täglich aktualisierte Softwarepakete und damit ist vor allem bei Kernelupdates auch ein Reboot verbunden, bei Diensten wie apache ist zumindest eine Neustart des Dienstes nötig. Ich weiß nicht, ob du die mit Dienstneustarts und Reboots verbundenen Downtimes bei einem öffentlich zugänglichen Server inkauf nehmen willst oder kannst.

Sicherheitstechnisch dürften die Debianpakete aus Bullseye auch nocht schlechter dastehen, als andere Distributionen mit gleich hoher Paketversion. Auf einer Workstation hätte ich absolut keine Bedenken, Bullseye einzusetzen, aber auf einem öffentlich zugänglichen Server sollte man zumindest berücksichtigen, daß man mit Downtimes umgehen können muß.

[willy4711]

Dem möchte ich mich mal anschließen.
Im Januar kamen bei mir 1097 Paket- Updates. Nun ist das zwar auf einem Gerät mit GUI etwas anderes als auf
einem Server ohne GUI.aber immer noch ein gewisses Risiko.
Ich würde bis zum Deep-Freeze oder tatsächlichem Release warten
Termin: siehe; viewtopic.php?f=15&t=178812&hilit=wette#p1250663

[MSfree]

Im Januar kamen 1097 Paket- Updates. Nun ist das zwar auf einem Gerät mit GUI etwas anderes als auf
einem Server ohne GUI.aber immer noch ein gewisses Risiko.

Mein Backup-RAID läuft bereits unter Bullseye ohne GUI. Ganz so viele Updates waren es bei mir dann doch nicht, habe es aber auch nicht gezält. Über 100 waren es aber auf alle Fälle. Da ist aber auch fast nichts installiert. Das ist im Grunde ein Netinstall ohne alles, ohne Recommends und Suggests, mit nachträglich installiertem mdadm, rsync, hdparm, iotop und ssh.

Code: Alles auswählen

dpkg -l | grep ^ii | wc

zeigt bei mir nur 346 Pakete an.

[willy4711]

Code: Alles auswählen

dpkg -l | grep ^ii | wc
   2888   29376  444268

Sind a bisserl mehr bei mir ----> aber immerhin: Fast der halbe Paketbestand 1X umgewälzt.
Im Verhältnis ist das bei dir ja ähnlich

[mcb]

Auf dem Produktivserver ? Würde ich nicht machen. Warum nicht jetzt auf Debian Buster ?

[speefak]

Backports sind aktiv, allerdings ist der Apache in den Backport nicht aktuell genug für TLS 1.2

Downtimes sind nicht so tragisch, einmal am Tag ein Reboot ist nicht so wild. Wichtiger ist mir die Arbeit und Zeit die ich ins System stecken muss. Wenn ich jetzt Buster neu installiere um dann ein paar Monate später Bullseye installieren zu müssen ist doppelte Arbeit.

Mit etwas Glück läuft TLS 1.0/1.1 noch bis April. Alternativ eine Buster VM aufsetzen mit den Diensten die unter Strech nicht mehr laufen ( TLS, ddclient in dem Fall )

Oder ein DD Backup erstellen und ein Distupdate versuchen ( distupdates verursachten in der Vergangenheit allerdings häufig so viele Fehler, das man aus dem patchen und anpassen nicht mehr herauskam - aber no Risk no Fun und mit DD kann man fix das alte System wiederstellen ).

[mcb]

Bei Buster dachte ich eigentlich an ein Upgrade - und das wird ja auch noch ein wenig supportet, oder ?

[speefak]

Die Apache Version um TLS 1.2 zu nutzen ist 2.4.3X. Die letzte Version aus den Backports ist 2.4.25.

[mcb]

Die Apache Version um TLS 1.2 zu nutzen ist 2.4.3X. Die letzte Version aus den Backports ist 2.4.25.

Sorry also Buster mit Backport ist zu alt ?

Ok - du kannst Testing probieren, hier läuft es gut auf meinen privaten Thinkpads.

Showstopper keine großen ...

[speefak]

Habs mal riskiert. Läuft alles super ohne Fehler.