updateproblem

[fischig]

Hmmm,

da wird's jetzt etwas komplizierter! Die Zahl der „eigentlichen“ dmo-Pakete ist ja überschaubar: ffmpeg, gstreamer, vlc und zoneminder. zoneminder kenne ich nicht. Von allen anderen weiß ich, dass die auch im Debian-Repo vorhanden sind. Diese dmo-Pakete könntest du händisch deinstallieren und mit einem apt-get autoremove schauen, ob damit auch alle libs deinstalliert würden, bzw. schlicht erkennen, was dabei passieren würde (autoremove deinstalliert nichts ohne deine explizite Zustimmung!). Dann müsste man weitersehen.

[Zenturio19]

Danke ... ebenfalls "hmmmmm".

Ich denke da ist es einfacher, alle configs + wichtige Einstellungen weg zu kopieren, sicherheitshalber ein Backup der Systempartition zu machen (ich hab' da ein Acronis-Backup von seinerzeit) und mit Bullseye neu aufzusetzen. Oder noch ein paar Monate so lassen wie es ist und wenn Bookworm stable wird dann die Aktion zu machen.

LG

[fischig]

Der Lernefekt wäre sicherlich größer, wenn du's versuchtest. Neu Installieren kannst du immer; und Neuinstallation wäre schneller und weniger risikobehaftet. Deine Entscheidung.

[cosinus]

Ich denke da ist es einfacher, alle configs + wichtige Einstellungen weg zu kopieren, sicherheitshalber ein Backup der Systempartition zu machen (ich hab' da ein Acronis-Backup von seinerzeit) und mit Bullseye neu aufzusetzen. Oder noch ein paar Monate so lassen wie es ist und wenn Bookworm stable wird dann die Aktion zu machen.

Ein Backup musst du sowieso machen. Regelmäßig. Und unabhängig davon, ob du irgendwas neu installieren oder updaten willst. Aber gerade vor solchen Aktionen macht man nochmal ein Backup oder prüft zumindest, ob alles Wichtige auch gesichert ist.

Wenn du da safe bist kannst du auch das dist-upgrade machen. Was soll denn passieren? Wenn es komplett schief geht, hast du doch immer noch das Backup und kannst neu installieren. Bei kleineren Fehlen kann man auch die Fehler beheben.

[Zenturio19]

Danke - ich hab' die Diskussion ohnedies schon zum Anlass genommen auf die todo-Liste für nach dem Urlaub ein "neues Systembackup am Server" zu notieren (theoretisch müsste ich eines haben - das ist natürlich nicht mehr aktuell).

[MSfree]

Danke - ich hab' die Diskussion ohnedies schon zum Anlass genommen auf die todo-Liste für nach dem Urlaub ein "neues Systembackup am Server" zu notieren (theoretisch müsste ich eines haben - das ist natürlich nicht mehr aktuell).

Idealerweise läuft so ein Backup täglich und vollautomatisiert, dann vergißt man es nicht, bzw. man prokrastiniert es nicht, weil man gerade etwas "viel wichtigeres" zu tun hat.

Aber mindestens genauso wichtig ist es, das System aktuell zu halten und nicht vergammeln zu lassen, bis der Softwarestand nur noch mit viel Aufwand zu aktualisieren ist. Wer z.B. noch mysql-Datenbanken hat, muß mit Problemen rechnen. Aktuelle Debianevrsionen sind von mysql auf mariadb umgestiegen, das Überführen der alten mysql-Datenbanken in neue mariadb-Datenbanken ist zwar kein Hexenwerk, die gesicherten Datenbanken helfen da aber nur bedingt, besser wäre es hier, Dumps, die man mit mysqldump erstellt, zu sichern. Ähnliches gilt für andere Softwarepakete, die es in aktuellen Version nicht mehr gibt. Webmin ist beispielweise 2005 aus Debian aus Kompatibilitätsgründen rausgeflogen. Sowas würde ich mir auch nicht aus Fremdquellen wieder aufs System holen.

[Zenturio19]

... Idealerweise läuft so ein Backup täglich und vollautomatisiert, ... Aber mindestens genauso wichtig ist es, das System aktuell zu halten und nicht vergammeln zu lassen, ...

Tja - in meinem Fall bin ich mir da nicht so sicher, ob sich die Mühe lohnt. Irgendwie gefällt mir auch der Ansatz "... never touch a running system...".

Ich sag' Euch jetzt mal, was der Server so tut:

• Samba-Server - dienstliche Dokumente, Video & Musik
• das spiegelt er mir alles nächtens auf eine weitere HDD (auch eine W$-Workstation in einem anderen Haus sichert automatisch die Daten, wenn selbige aufgedreht wird)
• Zoneminder - die Kiste überwacht 24/7 fünf Überwachungskameras und zeichnet auf, wenn sich davor was bewegt.
• In Abständen springt die HDD-Überwachung an und schreibt mir eine Mail, wenn ein Test schief geht.
• Via miniDLNA streamt er mir Videos direkt am TV...

... das ist es im Wesentlichen. Und er tut (seit Jahren) alles, war er soll - mir fällt es irgendwie schwer mich für jede Menge Update-/Sicherungsarbeit zu entschließen, wenn der Server danach dasselbe tut wie vorher.

Mir ist schon klar, dass es Sinn macht, das System wieder mal auf den aktuellen Stand zu bringen, das 'stable' von bookworm wäre vielleicht ein guter Anlassfall. Aber wozu die ständige Updaterei? Wird der Server dadurch "sicherer"? Warum?

Ich denke, wenn ich mir auf einer W$-Workstation einen Virus einfange und selbiger beginnt die Daten am Server zu verschlüsseln - hilft ja eine neuere Debian-Version auch nichts, wenn ich mit einem Laufwerksbuchstaben am Datenverzeichnis connected bin ... ?

Bis jetzt hab' ich halt so alle 3-4 Jahre ein clean install mit der neuersten Version gemacht ... wenn's triftige Gründe gibt davon abzuweichen... ?

LG

[cosinus]

Mir ist schon klar, dass es Sinn macht, das System wieder mal auf den aktuellen Stand zu bringen, das 'stable' von bookworm wäre vielleicht ein guter Anlassfall. Aber wozu die ständige Updaterei? Wird der Server dadurch "sicherer"? Warum?

Glaubst du echt die Updates sind einfach nur aus Spaß da um User und Admins zu ärgern?!
Hast du echt noch nicht davon gehört, dass Updates Bugs beheben und Sicherheitslücken schließen?

[MSfree]

Hast du echt noch nicht davon gehört, dass Updates Bugs beheben und Sicherheitslücken schließen?

Um das mal weiterzuspinnen:

Das Problem ist, das viele nicht realisieren, daß ihre Systeme von innen angreifbar sind. Zwar kommt keiner von aussen über den Internetrouter auf die Kisten im LAN. Aber ein Rechner im LAN kann sich Schadsoftware über den Internetbrowser oder Email einfangen und darüber andere im LAN befindliche Geräte angreifen und sabotieren. Wer es versäumt, Sicherheitslücken auch im LAN zu schließen, steht halt hinterher schlimmstenfalls mit durch einen Erpressungstrojaner verschlüsselten Festplatten da, und die Trojaner verschlüsseln auch SMB-Freigaben. Also aufpassen, daß das Backupsystem keine Freigaben zur Verfügung stellt.

[Zenturio19]

Glaubst du echt die Updates sind einfach nur aus Spaß da um User und Admins zu ärgern?!

Natürlich nicht.

Hast du echt noch nicht davon gehört, dass Updates Bugs beheben und Sicherheitslücken schließen?

Natürlich hab' ich davon gehört (nachdem ich xx Jahre in der EDV-Organisation tätig war und auch selbst einige W$-Applikationen "verbrochen" habe).

Aber:

• Wenn der Server all das ordnungsgemäß das tut, was ich brauch' - was nutzen mir da Bug-Behebungen in Modulen, die ich nicht brauch' oder behobene Bugs, die ich nicht merke?
• Und was nutzt mir das Schließen von Sicherheitslücken, wenn ich der einzige bin, der ins Netzwerk bzw. am Server kommt (meine Göga ist dazu nicht imstande und andere Leute gibt's nicht).

Bei Firmen, wo sich mehrere oder viele Leute im Intranet tummeln, haben Updates bzw. hat die Behebung von Sicherheitslücken zweifelsohne hohe Bedeutung - in meinem Fall sehe ich den Vorteil (noch?) nicht. Aber vielleicht könnt Ihr mir den plausibel machen...?

Thx


P.S.: @MSfree: Du warst ein paar Sekündchen schneller.... (ab jetzt unterwegs in den Urlaub, kann mich erst abends wieder melden)
.

[uname]

@Zenturio19
Viel Spaß im Urlaub.

Vielleicht solltest du zwischen Sicherheitsupdates und Release-Updates unterscheiden. Wenn du auf die jeweils aktuelle stabile Debian-Version setzt und dir Sicherheitsupdates nicht so wichtig sind, kannst du natürlich minimal so vorgehen.

Beispiel:

a.) Installation Debian Buster irgendwann nach Release-Tag Buster 6. Juli 2019.
b.) Dist-Upgrade auf Debian Bullseye ab Release Tag Debian Bullseye 14. August 2021 möglichst innerhalb eines Jahres (Verzicht auf Debian LTS)
c.) Dist-Upgrade auf Debian Bookworm ab Release Tag Debian Bookworm am ??.??.2023 möglichst innerhalb eines Jahres (Verzicht auf Debian LTS)
(zur Aktualisierung vorher im alten Release noch mal alle Pakete aktualisieren)

Debian LTS bringt dir praktisch nichts. Irgendwann muss jeder aktualisieren und es ist nicht möglich ein Release zu überspringen.

Insgesamt musst du dich somit nur alle zwei Jahre mal kümmern.
Aber vielleicht sind ja auch UnattendedUpgrades was für dich.

[Zenturio19]

Das Problem ist, das viele nicht realisieren, daß ihre Systeme von innen angreifbar sind. Zwar kommt keiner von aussen über den Internetrouter auf die Kisten im LAN. Aber ein Rechner im LAN kann sich Schadsoftware über den Internetbrowser oder Email einfangen und darüber andere im LAN befindliche Geräte angreifen und sabotieren. Wer es versäumt, Sicherheitslücken auch im LAN zu schließen, steht halt hinterher schlimmstenfalls mit durch einen Erpressungstrojaner verschlüsselten Festplatten da, und die Trojaner verschlüsseln auch SMB-Freigaben. ...

Ja, weiß ich, ist mir klar: wenn ich mir auf einer Windows-Workstation den Trojaner einfange, der Daten (auch auf den SMB-Freigaben des Servers) verschlüsselt - was hat das damit zu tun, ob am Server Stretch oder ein aktuelles, upgedatetes Bullseye läuft? In beiden Fällen sind die Daten vom infizierten W$-PC via Laufwerksbuchstabe X erreichbar...

... bitte erklärt mir mal den Punkt.

----

Ich mach' mir da eher um die automatische Spiegelung bzw. Sicherung der Daten Sorgen: wenn der Verschlüsselungs-Trojaner die Daten verschüsselt, ich das nicht gleich merke und dann die Spiegelung nächtens automatisch fährt - hab' ich die Daten auch in der Spiegelung verschlüsselt! D.h. ich müsste eigentlich mehrere Generationen machen...

LG

[cosinus]

Wieso muss das (erneut) erklärt werden? Du schriebst doch, dass es dir angeblich klar sei, dass Updates nicht nur so zum Spaß da sind.
Verschlüsselungstrojaner sind da wie ich finde ein eher schlechtes Beispiel, weil diese keine Lücke ausnutzen sondern soll darauf setzen, dass ein Anwender darauf reinfällt und den Mist anklickt ausführt (was zB als Mail mit virulentem Anhang reinkommt).

[Zenturio19]

Wieso muss das (erneut) erklärt werden? Du schriebst doch, dass es dir angeblich klar sei, dass Updates nicht nur so zum Spaß da sind.

Ich schrieb, dass in Firmen, wo viele user am/im System arbeiten, Updates sehr wichtig sein mögen. Ich schrieb aber auch, dass mir die Sinnhaftigkeit von Updates in meinem Fall unklar ist. Deshalb hab' ich nachgehakt.

Das heißt ja nicht, dass ich mich mit Händen und Füßen gegen eine Akutalisierung des Systems wehre...

[MSfree]

Verschlüsselungstrojaner sind da wie ich finde ein eher schlechtes Beispiel, weil diese keine Lücke ausnutzen sondern soll darauf setzen, dass ein Anwender darauf reinfällt und den Mist anklickt ausführt (was zB als Mail mit virulentem Anhang reinkommt).

Hallo, dies ist ein manueller e-Mail Virus. Ich habe leider keine Ahnung und keine Zeit um einen echten Virus zu programmieren. Und weil ich auch noch zu faul bin, eMails zu verschicken, poste ich ihn hier: Wählen Sie einfach die ersten 50 Adressen aus Ihrem Adressbuch und senden Sie diesen Virus weiter. Dann löschen Sie einige Dateien aus Ihrem Systemverzeichnis. Falls heute Freitag der 13. ist, formatieren Sie bitte Ihre Festplatte. Danke fuer Ihre Mitarbeit... VIP (Virus Im Programm)

[MSfree]

was hat das damit zu tun, ob am Server Stretch oder ein aktuelles, upgedatetes Bullseye läuft?

Für Strecch gibt es seit über einem halben Jahr gar keine Updates mehr. Vorhandene Fehler bleiben also drin und werden nicht mehr geflickt. Du hast aber offenbar nie Updates eingespielt, so daß du auf einem Stand von 2017 stehen geblieben bist. Daß da nie etwas passiert ist, ist reine Glücksache, vor allem, weil du Windows im LAN nutzt.

Ein ungepflegtes Bullseye ist da allerdings genauso schlecht. Man sollte halt täglich schauen, ob es Updates gibt und diese dann auch einspielen. Und wenn ein Release aus dem Support fällt sollte man zügig auf das nächste Release Upgraden.

Die Einstllung "installieren und vergessen, läuft ja" ist im IT-Bereich nicht besonders sinnvoll.

wenn der Verschlüsselungs-Trojaner die Daten verschüsselt, ich das nicht gleich merke und dann die Spiegelung nächtens automatisch fährt - hab' ich die Daten auch in der Spiegelung verschlüsselt! D.h. ich müsste eigentlich mehrere Generationen machen...

Genauso so ist es. Sowas läßt sich sogar relativ platzsparend einrichten, indem man nur Änderungen speichert und trotzdem pro Tag ein Vollbackup hat. Bei mir belegen z.B. 1270 Vollbackups eines 2.5TB großen Datenbestands nur 24TB statt der rechnerisch nötigen 3200TB. Und sollten wirklich auf dem Server sämtliche 2.5TB verschlüsselt werden, bekommen ich das sehr schnell mit, weil sich dann auch 2.5TB geändert hätten und das tägliche Backup entpsrechend umfangreich wäre und ewig lange laufen würde. Ich hätte dann aber immer noch 1269 Generationen, um die Daten wiederherstellen zu können.

[cosinus]

Das heißt ja nicht, dass ich mich mit Händen und Füßen gegen eine Akutalisierung des Systems wehre...

Es kommt aber leider genau so rüber. Anstatt einfach regelmäßig ein apt upgrade/dist-upgrade zu machen, diskutierst du lieber darüber, wann fehlende Updates gefährlich bzw weniger gefährlich sind.

[mcdaniels]

Also wenn dein Debian rund läuft, würde ich regelmäßig zumindest die Sicherheitsupdates einspielen. Das lässt sich relativ einfach automatisieren (cron-apt zb) und du hast dann so gut wie nichts mehr zu tun. Abgesehen davon ist es anzuraten, den Server recht zeitnah nach dem Einspielen neu zu starten,damit auch wirklich die neuen Versionen zum Einsatz kommen. Lässt sich auch automatisieren (crontab).

Ich weiß nicht,inwiefern ein regelmäßiger Neustart bei deinem System in Frage kommt, merke es nur an.

Bei Releasewechseln solltest du meiner Meinung nach jedenfalls aktiv werden und den Server hochziehen, sonst läufst du wieder in das von dir geschilderte Problem. Vorher ein Image mit zb clonezilla ziehen und auf ne externe Platte sichern.

Regelmäßige Backups wären so oder so extrem sinnvoll. Du hast was von Arbeitsdaten geschrieben, die am Server liegen.

Bietet dein Server auch Dienste nach außen an MÜSSEN die Security-Updates eingespielt werden (regelmäßig), ist das bei dir nicht der Fall, kann man das zwar diskutieren, ich würde darauf aber dennoch nicht verzichten.

[Zenturio19]

Ach da ist ja noch ein Posting (sorry, jetzt erst bemerkt) - danke für Deinen Input.

Jaja, ich hab' ja schon eingesehen, dass Handlungsbedarf ist - es stellt sich jetzt eher die Frage nach der Vorgangsweise. Knackpunkt dürfte da die Videoüberwachung (zoneminder) sein:

1. zm (1.34?) deinstallieren und dann upgrade stretch -> buster, upgrade buster -> bullseye, installation zm (1.36) neu (Anleitung).
2. Oder clean install bullseye + SMB einrichten + zm (1.36) installieren.
3. Oder noch zuwarten bis bookworm stable wird. Hier ist halt noch die Frage, wann dann eine dau-verständliche Installationsanleitung für zm zur Verfügung steht. Das könnte sich zusätzlich ziehen...

So wie ich das sehe, dürfte ein clean install (+ SMB + zm neu einrichten) weniger Stolpersteine haben als die Updaterei stretch -> bullseye - vor allem kann ich durch die Updaterei das Laufende zm nicht erhalten (und SMB ist ja gleich wieder eingerichtet). Also macht 1.) wenig Sinn.

Wenn ich mich nicht irre, hab' ich daheim noch eine SSD der vorherigen Installation im Debian-Server stecken (nicht angeschlossen) - die könnte ich platt machen und analog 2.) weiter verfahren.

Nächste Woche bin ich wieder zuhause.

Thx


P.S.: keine Dienste nach außen. Eine gewisse Zeit zuzuwarten wäre möglich.

[Zenturio19]

So - Urlaub zu Ende - nun geht die Update-Orgie meiner Gerätschaften im Netzwerk los:

• die Firewall (ipfire auf Alix) hab' ich schon auf den neuesten Stand gebracht (es war ein clean install notwendig - ein normales Update blieb hängen). Eine 2. mSATA ist bestellt - die wird auch installiert und als Backup in die Lade gelegt).
• Einen Raspi-4 mit Bullseye auf den neuesten Stand gebracht.

-----

Bevor ich jetzt an den Debian-Server (Stretch -> Bullseye) gehe, versuche ich mal zu Lernzwecken ein Upgrade auf einem Debian-Testsystem - da hab' ich eines auf einer Windows-Workstation (Dual-Boot mit eigener SSD), das ich gelegentlich zum Herrichten von HDDs/SSDs mit gparted nutze: da ist derzeit Buster drauf.

Ich hab' jetzt mal ein 'sudo apt-get update' gemacht - da meckert er, weil buster inzwischen 'oldstable' geworden ist.

Frage: muss ich da erst mal das 'oldstable' in der sources.list unterbringen (wie?), bevor ich die Einträge mit 'bullseye' mache? Oder gehört da gleich bullseye rein (vor dem apt-update)? Es ist da auch ein Eintrag wegen Webmin in der sources.list...

Thx

-----

NACHTRAG: ich war auch am Debian-Testsystem (Upgrade Buster -> Bullseye) erfolgreich. Demnächst knöpfe ich mir den Debian-Server (Stretch -> Bullseye) vor - Problem: wie mit zonmeminder umgehen? D.h. clean install - oder 2x Upgraden?

Thx

[rhHeini]

Lies Dir mal den ganzen Faden von vorn bis hinten langsam und gründlich durch. Dann sollten sich Deine Fragen erübrigen.

[Zenturio19]

Buster -> Bullseye hab' ich ja schon geübt ... mit ist nur nicht klar, wie ich von Stretch auf Buster komm' ... wenn ich in der sources.list alles 'stretch' auf 'buster' ändere, wird's beim 'apt update', 'apt upgrade' und/oder beim 'apt dist-upgrade' danach voraussichtlich Gemecker von wegen (old)oldstable geben...

[MSfree]

Buster -> Bullseye hab' ich ja schon geübt ... mit ist nur nicht klar, wie ich von Stretch auf Buster komm' ... wenn ich in der sources.list alles 'stretch' auf 'buster' ändere, wird's beim 'apt update', 'apt upgrade' und/oder beim 'apt dist-upgrade' danach voraussichtlich Gemecker von wegen (old)oldstable geben...

apt upgrade sollte man überhaupt nicht verwenden. Man sollte sich angewöhnen, grunsätzlich apt dist-upgrade zu verwenden, upgrade ist nur ein "halbes" Upgrade, dist-upgrade ist ein vollständiges Upgrade, auch, wenn sich am Releasenamen nichts geändert hat. Beide hintereinander auszuführen ist auch Blödsinn, da dist-upgrade alles macht, was upgrade macht, plus eben das was zusätzlich beim Upgrade kommen sollte.

Um von einem Release auf das nächste zu kommen, ist nur der jeweils nächste Releasename in die sources.list einzutragen. Von der Verwendung der Codenamen "oldoldstable", "oldstable", "stable" rate ich dir ab. Diese sind nämlich nicht statisch sondern rotieren bei einem neuen Release durch.

Wenn du also nirgends ((old)old)stable in der sources.list stehen hast, kann es auch kein Gemecker geben. Wichtig ist nur, von einem Release auf nächste zu dist-upgrade-n und keines auszulassen.

Also zuerst von Jessie auf Stretch,
dann von Stretch auf Buster,
dann von Buster auf Bullseye,
später von Bullseye auf Bookworm.

Direkt von Jessie auf Bullseye geht garantiert in die Hose.

[Zenturio19]

Vielen Dank!

Werde heute - sicherheitshalber - einige Dinge dokumentieren und configs sichern und morgen - nachdem ich zoneminder & webmin deinstalliert habe - das Upgrade (nach Deiner Anleitung) versuchen (heute Nachmittag Opa-Dienst...). Ich berichte...

LG