Dringende Hilfe ersucht - Ubuntu 8.04 Server updaten / Plesk / OpenVPN

[ApoC]

Moin

Ich darf, beruflich, mal wieder spielen. Leider sind meine Linuxkenntnisse da nicht so sehr gut, weswegen ich zum Thema mal jemanden von hier befragen würde.

Gibts hier jemand, der in Linux sehr fit ist und mir bei den Stichworten:

- Ubuntu Hardy (8.04 LTS) auf Lucid updaten (hab schon diverse Tuts versucht, gab immer Fehler, womit ich nix anfangen kann)
- OpenVPN Problem lösen (Grob hauts hin, aber viele Fragen, weil einiges wichtige immernoch net funzt)
- Plesk Handinstallation (gab auch viele Fehler, vor allem mit der MySQL)

...helfen kann?

Leider wurde der Server von einer externen Firma eingerichtet, weswegen er damit aufm Strato V Powerserver gelandet ist.....

 

[0n3 70uch]

Hallo,

hab mit dem automatischen Update keine guten Erfahrungen gemacht. Ich denke du wirst die aktuelle LTS Version manuell installieren müssen...

Gruß
Fabi

 

[ApoC]

Das geht nicht, da die externe Firma da Dinge drauf installiert hat, die wir für unsere Pumpen aufm Acker brauchen. Leider weiss ich nicht genau, was sie gemacht haben, kanns also "hinterher" nicht wieder so lauffähig bekommen. Das ist ja mein Problem.

Ich weiss, das es einige Datenbanken sind, ein paar sh Scripte usw. Kann man das irgendwie sichern und hinterher wieder einspielen? Weil, wenn ich erstmal update - es dann nicht mehr hinbekomme....bin ich geliefert....

Wie sollte / würde man da vorgehen?

Strato bietet ja in Image an, mit Lucid und Plesk. Leider geht das ja nicht, weil dann alles gelöscht wird, was die eingerichtet haben.

 

[Felias]

Es kann auch gut sein, dass Du durch die Upgrades die Skripte nicht mehr laufen können.

Andere Frage: Warum eigentlich upgraden? Weisst ja, never change...

 

[ApoC]

Naja, zum einen Thema Sicherheit, zum anderen muss ich Plesk installieren. Es gibt ne Version für 8.04, leider bekomm ich die auch nicht installiert.

Leider funktioniert ja nichtmal das Updaten der 8.04 auf den neusten Stand. Selbst da bricht er laufend ab, mit verschiedenen Fehlermeldungen.

Gemacht hab ichs mit:

$ sudo apt-get update
$ sudo apt-get dist-upgrade

Leider kommt dann irgendwann "Failed to fork", was beim V-Server bedeutet: Zuwenig Ram. Also erstmal alles gekillt, was ich nicht brauche: Apache, Mysql, Openvpn usw. Dann lief das Update zumindest an, aber irgendwann hängt er sich dann auf, weil er die locales nicht einrichten kann (python).

Ich komm nimmer klar, es nervt.

Das Wichtigste aktuell ist eigentlich Plesk, weil ich nur so an die DynDNS von den Subdomains rankomme.

Vorhaben:
- 123.adresse.de = dynamische UMTS IP Schaltschrank 1: 1.2.3.4
- 321.adresse.de = dynamische UMTS IP Schaltschrank 2: 4.3.2.1
(alles nur Beispiel IPs - verdeutlicht aber mein Vorhaben)

Ich muss praktisch die dynamische IP des UMTS Geräts im Schaltschrank, auf die Subdomain routen, ohne VPN und co.
Strato bietet dazu einen eigenen DynDNS Service an (DynDNS V2 Protokoll) - mein UMTS Router im Schaltschrank, kann seine dynamische IP per DynDNS Protokoll an den Strato DNS senden - dort wird er dann auf die Subdomein geroutet. Leider kann ich das nicht auf der Konsole, das geht nur mit Plesk. (zumindest denke ich das, laut Tuts im Netz)

Mit den Webpacks bei Strato ist das einfacher, aber da hab ich keinen Zugriff drauf.

 

[mact]

Ohne zu tief einsteigen zu können (aus Zeitgründen):

SICHERHEIT erreicht man nicht zuverlässig dadurch, einfach von irgendetwas "das Neueste" zu nehmen (das Gegenteil ist in der Regel richtig).
Bei Linux würde ich im Normalfall eher die bekannten Einfalltore zumachen (Du hast damit angefangen, indem Du nicht gebrauchte Dienste abgeschaltet hast: Webserver, FTP und Co). Alle Ports sperren, die nicht gebraucht werden, gegebenenfalls sogar noch im Router (das geht oft auch bei Billig-Massenhostern) zusätzliche Regeln anlegen. Nur solche Dienste beim Systemstart hochfahren, die wirklich gebraucht werden.

Denn um was geht es bei der üblichen Serversicherheit? Nicht darum, ob das System "in sich" sicher ist, sondern darum, ob es von außen erfolgreich angegriffen werden kann. Das kann man auch bei einem Linux 2.0 hinbekommen, in der angedeuteten Weise. Wenn es z.B. keinen Webdienst gibt, über den SQL-Injection betrieben werden kann, ist es in 90% der Fälle unnötig, mySQL upzudaten (davon abgesehen braucht man im Normalfall für eine kommerzielle Installation, die mySQL verwendet, sowieso auch eine kommerzielle Lizenz von Oracle, sodass diese Frage nicht in der Verantwortung des Kunden, sondern des Anbieters der Systemlösung liegt). Wenn man kein FTP braucht, kann der FTP-Server auch keine Sicherheitslücke sein. Wenn man Zugriffe per SSH nur von einer festen, bekannten IP zulässt, sperrt man damit lässig 95% der Angreifer, die openSSH-Lücken nutzen, aus.
Und so weiter.

Auf diese Weise ein System abzusichern, dauert einen Nachmittag.

Auf die Art und Weise, Updates zusammenzufrickeln und dann zu beten (an was auch immer), dass nichts passiert und alles läuft, dauert ein Leben.

 

[ApoC]

Danke für deinen Beitrag. Sicherheit ist immer ein Thema, richtig. Das müsste man studieren, oder jahrelang Zeit als Nerd vorm PC verbringen...So bin ich aber nicht. Ich kann nur das, was ich kann. Und das ist eben, versuchen die neusten Updates einzuspielen. aber darum gings eher zweitranging, auch wenn es ein sehr ernstes Thema ist, versuche ich es natürlich nicht zu vernachlässigen.

Bestimmte Task müssen laufen, SQL zb. Sie werden ja auch benötigt.

Ich habe schon einige Jahre mit Linux gearbeitet, aber nie richtig den Einstieg geschafft, wie auch, Linux is so mächtig, da kann man einfach nicht alles wissen, wenn man damit nicht jeden Tag arbeitet.

Es geht vorrangig um das Thema: dynamische IP auf Subdomain routen. Strato Support sprach runDNS an, was ich aber nicht für das halte, was ich da brauche.

Der UMTS Router kann auch DynDNS, das wäre am einfachsten, leider gibts die kostenlosen Hosts nicht mehr, zumindest nicht so ohne weiteres.

Welche kostenlosen DynDNS Dienste kennt ihr denn so, die mit dem DynDNS Protokoll arbeiten - vielleicht setz ich da an.

 

[mact]

Kriegst PM von mir.

 

[xnalpf]

Wenn das ein Produktivsystem ist würde ich da auf gar keinen Fall ohne vorherige 1:1 Sicherung mit Manövern wie dist-upgrade ran gehen. Ganz besonders wenn da reichlich von Hand dran "gefummelt" wurde. Ich kenn mich zwar recht gut mit Linux aus, Strato V-Server ist mir aber gänzlich unbekannt. Ich interpretiere das V mal als Virtuell. Also eine VM. Kannst du da zusätliche Virtuelle HDs anlegen? Wenn ja würde ich eine zweite HD anlegen, einen tarball vom kompletten System machen (mit exclude kriegt man das halbwegs sauber auch bei einem laufenden system hin) und dieses archiv würde ich dann erst mal "nach hause" holen und auf eine Spielmaschine spielen. So kannst du alle nötigen Schritte erst mal auf dem Spielrechner testen unf ggf aus dem Archiv das System wieder herstellen. Alles andere ist kamikaze!
Wenn du keine weitere HD aufsetzen kannst wäre es sicherlich auch möglich ein remote-volume zu mounten und das backup dahin zu machen. Es gibt z.B. sshfs - ein filesystem treiber, der durch ssh tunnelt. Das Backup wird zwar ewig dauern (je nach Anbindung) aber immer noch besser, als am offenen Herzen zu operieren.
Und als letzte Möglichkeit sehe ich den Support von Starto - die sollen dir die komplette VM auf DVD(s) sichern oder auf 'nen Stick oder 'ne Platte kopieren und schicken. Da wirst zwar ordentlich für zahlen aber immer noch besser, als ein Produktivsystem zu schrotten.

 

[ApoC]

Jop. Alles schon versucht. Strato supportet nur Webpacks, keine V (ja virtuell) oder managed / dedi Server.

Produktiv ist es in soweit, das ichs auch abschalten kann. Ist fuer n Remote Zugriff auf Pumpensteuerungen gedacht. Die Maschine fungiert dabei hauptsächlich als VPN Server, stellt jedoch mit Scripten (nicht von mir) und Datenbanken Daten zur Anzeige in einem selbst geschriebenen Programm der externen Firma bereit.

Leider existiert diese nicht mehr, somit kann ich nicht nachm Weg / den originalen fragen.

Backupfunktion bietet Strato, leider nicht zum DL. Also kann ich immer wieder auf den Stand "Vorher".

 

[xnalpf]

OK. Das ist ja schonmal was. Du machst das also nicht ganz ohne Backup. Und das mit der zusätzlichen virtuellen HD geht auch nicht? Wie groß ist denn deine System und wieviel Platz hast du noch frei? Mach mal df -h auf einer Konsole. Evtl. kannst du ein lokal gepacktes Backup machen und das dann per scp zu dir holen. Natürlich kannst du weiter versuchen, das direkt auf dem VServer zu machen. Aber wenn der bei einem dist-upgrade schon die Grätsche macht würde ich das lieber "im Labor" auf eigener HW machen. Das kannst dann hinterher immer noch packen und wieder zurück auf den VServer schieben.
Was hast du denn sonst noch so an administrativen Tools? Kannst du den VServer z.B. von einem CD-ISO Image booten (z.B. um ein Knoppix o.ä. zu booten)?

 

[ApoC]

Hey

Das ist ne Möhre (So sat man bei uns, wenn was schlecht is)....

Virtuelle HD geht nicht, bei Strato ist man leider sehr begrenzt.

Filesystem Size Used Avail Use% Mounted on
/dev/vzfs 10G 4,1G 6,0G 41% /
tmpfs 1009M 164K 1009M 1% /var/run
tmpfs 1009M 0 1009M 0% /var/lock
tmpfs 1009M 0 1009M 0% /dev/shm

So siehts aus....

Wie würde denn die Vorgehensweise aussehen, wenn ich das komplette System zu mir backuppen wollte?
Also so, das ichs auch hier starten bzw bearbeiten kann + zurückspielen. Ginge ja eigentlich nur unter linux, wegen der Rechte, hm?

Booten kann ich nix. Nur Rettungskonsole und n Reboot auslösen...

 

[xnalpf]

Ok. Du hast 'ne 10G Disk auf der 4,1G benutzt sind. Das passt doch. Vorgehensweise wäre so:

Backup Verzeichnis anlegen (da kommt das komprimierte System hin):
mkdir /mybackup

komprimiertes Archiv erzeugen:
cd /
tar cvzf mybackup/backup-2021-10-03.tgz * --exclude mybackup --exclude proc --exclude sys --exclude tmp

das komprimierte Archiv musst du dann irgendwie zu dir üpertragen - scp, ftp was immer. Ist im schlimmsten Fall ein 4Gb großes File...

auf der Zielmaschine:

Minisystem installieren. Das kann ein simples mini-debian sein - irgendwas, was sich schnell installieren lässt. Hauptsache es installiert den grub und formatiert die platten richtig.
Danach dann von CD/DVD booten - knoppix o.ä. und das archiv auf die so vorbereitete platte entpacken. Nehmen wir mal an, das mini-system wurde auf die erste Partition der ersten Platte (sda1) installiert und du hast das backup auf 'nem stick der als sdb1 ansprechbar ist

cd /mnt
mkdir stick
mkdir platte
mount /dev/sda1 platte
mount /dev/sdb1 stick
cd platte
tar xvzfp ../stick/backup-2021-10-03.tgz

cd /
umount -a

Danach reboot und das system sollte normal hochfahren. Beim Entpacken ist das p in xvzfp wichtig - damit werden die permissions wieder richtig hergestellt. Mit dieser Methode hab ich schon einige System gekloned. Das Problem bei dir wird sein, dass dein System noch läuft. Möglicherweise wird das tar beim erzeugen des Archivs einige Fehler/Warnungen werfen. An einem normalen Rechner würde ich dann erst mal in den Singleuser Modus wechseln. (init S) damit ich alleine auf der Maschine bin und möglichst wenig Prozesse laufen.

Edit: Hab grad nochmal das hier in deinem Post gesehen:
tmpfs 1009M 164K 1009M 1% /var/run
tmpfs 1009M 0 1009M 0% /var/lock
tmpfs 1009M 0 1009M 0% /dev/shm
Das brauchst natürlich auch nciht zu sichern. Also noch --exclude var/run --exclude var/lock --exclude dev/shm an das tar cvzf... anhängen
Eigentlich kannst --exclude dev mit dran hängen. Das /dev wird bei modernen Linuxen eh dynamisch erzeugt. Da dort aber eh nur devicenodes sind die keinen Pletz belegen kannst das auch einfahc mitnehmen.

 

[nachbrenner]

Beim Entpacken des tars würde evtl. noch "--numeric-owner" mit angeben, sonst kann es dir die Datei-Inhaber durcheinander hauen.

 

[xnalpf]

Jep. Das kann in der Tat nicht schaden. Und wenn du die Karre dann korrekt aktualisiert hast machst du die Schritte, die du zum Aktualisieren gemacht hast analog auf der Remote Maschine. Zurückspielen kannst du das nämlich nicht wie oben beschrieben weil das system ja leider läuft. Und Systemdatein zur Laufzeit austauschen (wie z.B. die libc) und das dann womöglich mit einer anderen Version (dist-upgrade...) mag das laufende System gar nicht gern.

 

[ApoC]

Oha, na dann werd ich mir mal was basteln....müssen....

Aber wie will man ein System updaten, wenns nicht laufen darf...unklar

 

[xnalpf]

Aber wie will man ein System updaten, wenns nicht laufen darf...unklar

Na das geht schon. Nur halt nicht so einfach wie beschrieben. Theoretisch wird beim upgrade ein zweites system parallel mit anderen dateinamen auf die platte gepackt und dann beim neustart dieses system gestartet. Das muss aber alles passend gesteuert sein, damit dabei nichts schief geht. Einfach stumpf ein tar drüberbügeln kann gut gehen, muss aber nicht. Auch das könntest du aber auf deinem Testsystem mal eben ausprobieren.