Update eines kritischen Systemes

[worel]

Hallo!

Ich nutze eine Etch Testversion, besser gesagt wurde diese von einem Vorgänger übernommen.

Natürlich möchte ich mein System UptoDate halten. Wenn ich nun ein apt-get upgrade ausführe erscheint folgendes:

Code: Alles auswählen

zion:~# apt-get upgrade
Reading package lists... Done
Building dependency tree... Done
The following packages have been kept back:
  bind9 bind9-host dnsutils gnupg initscripts libapache-mod-php4 libbind9-0
  libisc11 libisccc0 libisccfg1 libldap2 libldap2-dev libsasl2
  libsasl2-modules linux-image-2.6-486 mutt mysql-server-4.1 netbase php4
  php4-cgi php4-common php4-curl php4-domxml php4-gd php4-idn php4-imagick
  php4-imap php4-mcal php4-mcrypt php4-mysql php4-pear postfix sasl2-bin
  sysvinit
The following packages will be upgraded:
  adduser apache-common apache2 apache2-mpm-worker apache2-threaded-dev
  apache2-utils apache2.2-common apt apt-utils aptitude awstats base-files
  bash bsdmainutils bsdutils busybox ca-certificates comerr-dev console-common
  console-data coreutils cpp cpp-4.1 cron debconf debconf-i18n
  debian-archive-keyring defoma dhcp-client dictionaries-common discover1
  discover1-data dmidecode doc-debian doc-linux-text dovecot-common
  dovecot-imapd dpkg dpkg-dev dselect e2fslibs e2fsprogs eject file flex
  fontconfig fontconfig-config g++ g++-4.1 gcc gcc-4.1 gcc-4.1-base
  gettext-base grep grub gsfonts hostname ifupdown imagemagick info
  initramfs-tools installation-report iptables iputils-ping klibc-utils less
  libapache-mod-suphp libapache2-mod-python libapache2-mod-suphp libapr1
  libapr1-dev libasn1-6-heimdal libaudio2 libblkid1 libc-client-dev
  libc-client2002edebian libc6 libc6-amd64 libc6-dev libcomerr2
  libcompress-zlib-perl libdb4.2 libdb4.3 libdbd-mysql-perl libdbi-perl
  libdiscover1 libexpat1 libexpat1-dev libfontconfig1 libgcc1 libgd2-xpm
  libgeoip1 libglib2.0-0 libgnutls13 libgpmg1 libgssapi2 libgssapi4-heimdal
  libhal1 libio-stringy-perl libkadm55 libklibc libkrb5-17-heimdal libkrb5-dev
  libkrb53 liblwres9 libmagic1 libmagick9 libmysqlclient15off libncurses5
  libncursesw5 libnewt0.52 libnfsidmap2 libopencdk8 libpam-modules
  libpam-runtime libpaper1 libpdf-api2-perl libperl5.8 libpng12-0 libpng12-dev
  libpq-dev libpq4 libqt3-mt libreadline5 libroken16-heimdal libselinux1
  libsepol1 libsqlite3-0 libsqlite3-dev libss2 libssl-dev libssl0.9.7
  libssl0.9.8 libssp0 libstdc++6 libstdc++6-4.1-dev libtasn1-3 libtiff4
  libtiff4-dev libtiffxx0c2 libusb-0.1-4 libuuid1 libvolume-id0 libwrap0
  libx11-6 libx11-data libx11-dev libxslt1.1 linux-kernel-headers locales
  login lpr lsb-base m4 man-db mime-support mlock module-init-tools mount
  mysql-common nano ncurses-base ncurses-bin ncurses-term nfs-common ntpdate
  openssh-client openssh-server openssl orville-write passwd perl perl-base
  perl-modules perl-suid php-pear php5-cgi php5-cli php5-common php5-curl
  php5-gd php5-imap php5-mcrypt php5-mysql portmap postgresql-dev python
  python-central python-minimal python-newt python2.4 python2.4-minimal
  qpopper quota readline-common reportbug screen ssh ssl-cert strace
  suphp-common sysv-rc tar tasksel tasksel-data tcpd telnet texinfo ttf-dejavu
  tzdata ucf udev util-linux uuid-dev vim vim-common vim-runtime vsftpd w3m
  webalizer whiptail whois x11-common xcursor-themes xlibs-data
225 upgraded, 0 newly installed, 0 to remove and 34 not upgraded.
Need to get 139MB of archives.
After unpacking 12.0MB of additional disk space will be used.
Do you want to continue [Y/n]?

Auf der Kiste läuft Confixx, derzeit ziemlich gut! Ich möchte mir das System nicht durch ein upgate zerschiessen!
Warum werden eher kritische Pakete wie php4 und mysql zurückgehalten? Wurde das vom Vorgänger so eingetragen oder ist das vom System so? Weil eine ungeschlosse Lücke da drin wär ja auch fatal!

Könnte mir diesbez. jemand einen Tipp geben, ich steh damit ganz schön im Wald (weil ich mich auch nicht wirklich drübertraue!)

[Savar]

Das sieht mir eher so aus, als wäre da nicht geupdatet worden und du hast noch Sarge..

Das was da nicht geupdatet wird, wird wahrscheinlich bei einem "dist-upgrade" statt "upgrade" geupdatet..

BTW: sei ganz vorsichtig.. ich denke du kannst dir schnell was zerhauen was nicht sofort wieder läuft..
irgendwie sieht der Server so halb geupdatet aus aber sicher kann ich das nicht sagen.. du kannst per "dpkg -l" ja mal die Versionen von z.B. apache2 usw prüfen und auf packages.debian.org mit denen in Etch vergleichen..

was sagt die /etc/apt/sources.list?

PS: verschoben von Web- und Mailserver
PPS: schau mal bei http://www.debian.org/releases/stable/releasenotes vorbei

[worel]

Code: Alles auswählen

#
# deb cdrom:[Debian GNU/Linux testing _Etch_ - Official Snapshot i386 Binary-1 (20060314)]/ etch main


deb cdrom:[Debian GNU/Linux testing _Etch_ - Official Snapshot i386 Binary-1 (20060314)]/ etch main
deb http://ftp.de.debian.org/debian/ etch main
#deb-src http://ftp.de.debian.org/debian/ etch main

deb http://security.debian.org/ etch/updates main
#deb-src http://security.debian.org/ etch/updates main

Das sagt mir die sources.list

Und ja, der Wahnsinnige hat ein Testing Release für ein Produktiv System installiert!

[Savar]

hmmm naja wahnsinnig ist das nicht unbedingt.. Etch ist ja nun Stable..

Dann dürfte es doch nicht soo dramatisch sein.. ist ja von vorneherein Etch..

installiere dir apt-listchanges und apt-listbugs und dann versuche einzelne Pakete oder halt alles upzudaten..
einzelnd dauert länger, ist aber sicherer.. "aptitutde reinstall XXX"

[worel]

Heißt also dass ich damit einzelne Pakete updaten kann?! Werden damit auch evtl. auftretende Abhängigkeiten von selber gelöst bzw. beachtet?

Das hört sich dann schon besser an. Lieber rantasten als alles mit der Brechstange. Danke soweit.

[Savar]

ja der installiert dann auch davon abhängige..

[worel]

Eine letzte Frage für heute:

Bei FreeBSD gibt es "portaudit".

Das sieht mir nach ob es bei meinen installierten Ports bzw. Paketen Lücken gibt (Sicherheitsrisiken etc.)

Gibt es sowas für Debian oder ist generell jedes von security.debian.org (wenn in der sources.list) vorgeschlagene Paket per apt-get upgrade sinnvoll? (weil Lücken bereinigend...)

[Savar]

grundsätzlich ist jedes "aptitude update && aptitude upgrade" sinnvoll.. wenn du ein stable debian hast, solltest du das häufiger mal machen, da sich NUR sicherheitsrelevante Pakete bei Stable ändern.. interessant auch "apticron" und ähnliche Pakete

[worel]

So, Nägel mit Köpfen! (nachdem ein Image gezogen wurde)

Meine sources.list sieht nun so aus (ich möchte wirklich nur security updates reinhaben, weil ja alles gut läuft)

Code: Alles auswählen

zion:~# cat /etc/apt/sources.list
#
# deb cdrom:[Debian GNU/Linux testing _Etch_ - Official Snapshot i386 Binary-1 (20060314)]/ etch main


#deb cdrom:[Debian GNU/Linux testing _Etch_ - Official Snapshot i386 Binary-1 (20060314)]/ etch main
#deb http://ftp.de.debian.org/debian/ etch main
#deb-src http://ftp.de.debian.org/debian/ etch main

deb http://security.debian.org/ etch/updates main
#deb-src http://security.debian.org/ etch/updates main

#deb http://typo3.sunsite.dk/software/debian/ ./
#deb-src http://typo3.sunsite.dk/software/debian/ ./

Die Ausgabe von apt-get upgrade sieht wie folgt aus:

Code: Alles auswählen

zion:~# apt-get upgrade
Reading package lists... Done
Building dependency tree... Done
The following packages have been kept back:
  libapache-mod-php4 php-pear php4 php4-cgi php4-common php4-curl php4-domxml
  php4-gd php4-imap php4-mcal php4-mcrypt php4-mysql php4-pear php5-cgi
  php5-cli php5-common php5-curl php5-gd php5-imap php5-mcrypt php5-mysql
0 upgraded, 0 newly installed, 0 to remove and 21 not upgraded.

Ich werde nun jedes Paket nacheinander anfangend mit "apt-get install libapache-mod-php4" updaten.
Ist das so korrekt?


Das apt-get dist-upgrade schaut folgendermaßen aus:

Code: Alles auswählen

zion:~# apt-get dist-upgrade
Reading package lists... Done
Building dependency tree... Done
Calculating upgrade... Done
The following packages will be REMOVED
  php4-domxml php4-gpib php4-idn php4-imagick php4-mysql php5-mysql
The following packages will be upgraded:
  libapache-mod-php4 php-pear php4 php4-cgi php4-common php4-curl php4-gd
  php4-imap php4-mcal php4-mcrypt php4-pear php5-cgi php5-cli php5-common
  php5-curl php5-gd php5-imap php5-mcrypt
18 upgraded, 0 newly installed, 6 to remove and 0 not upgraded.
Need to get 12.9MB of archives.
After unpacking 1200kB disk space will be freed.
Do you want to continue [Y/n]? n
Abort.

DAS lasse ich lieber (Pakete werden entfernt etc!!![/quote]

[Savar]

Also du solltest schauen ob nicht "aptitude" benutzt wurde, wenn ja wäre es besser das weiterhin zu benutzen (wenn nicht, dann wird er dir wahrscheinlich alles runterschmeissen wollen, dann lieber lassen)

ansonsten solltest du nicht nur die security updates sondern auch die andere

Code: Alles auswählen

deb http://ftp.de.debian.org/debian/ etch main
deb-src http://ftp.de.debian.org/debian/ etch main

drin lassen.. denn dort kommen keine neuen rein.. aber wenn du noch nicht vollständig auf dem aktuellsten Stand von Etch bist (wer weiss wenn dein Vorgänger das letzte mal vor dem Etch Release geupdatet hat, ist das der Fall), solltest du das erst tun.. das ist wichtig.. kann auch sein, dass er dir deswegen Pakete löschen will

[worel]

Ok, nochmal ist der Rat der Experten gefragt. Meine sources.list sieht wie folgt aus: http://nopaste.debianforum.de/5780

Ausgabe von apt-get upgrade: http://nopaste.debianforum.de/5779

Und die Ausgabe von apt-get dist-upgrade: http://nopaste.debianforum.de/5781

Tjo, womit tu ich jetzt am Besten updaten??? Ich kann mir wiegesagt keine großartigen Versionsprünge erlauben (z.B.: mysql-server-4.1 auf die 5er Version oder php4 auf php5) Auf der Kiste läuft Confixx und das ist etwas happig dahingehend.

Sorry dass ich vielleicht etwas viele Fragen dazu stelle, aber davor hab ich echt "Respekt"!

ps: keine ahnung warum die ausgabe von dist-upgrade auf einmal (heute) anders aussieht, dürfte wohl an der sources.list liegen...