[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[Admin] Upgrades der Mitglieder-Jails auf dem Vereinsserver / FreeBSD EoL fuer 9.x, 10.1 und 10.2 am 31.12.2016

[Thread Prev] | [Thread Next]

[Date Prev] | [Date Next]

Subject: [Admin] Upgrades der Mitglieder-Jails auf dem Vereinsserver / FreeBSD EoL fuer 9.x, 10.1 und 10.2 am 31.12.2016
From: Raphael Eiselstein <rabe@xxxxxxxxx>
Date: Thu, 22 Dec 2016 01:34:24 +0100
To: uugrn@xxxxxxxxxxxxxxx

Hallo zusammen,

in den letzten 2-3 Wochen habe ich alle moeglichen Jails von teils
undefinierbaren alten Versionen (meist 9.1) auf 11.0-RELEASE-p5 
aktualisiert oder from scratch neu installiert.

Das Binary-Upgrade funktioniert fuer alle Jails, die mit 9.1-RELEASE oder
neuer von mir installiert wurden, aeltere Jails sollte man generell
ersetzen durch eine frische Installation.

ails die ueberwiegend aus selbst kompilierten Binaries bestehen kann 
ich auf diesem Weg leider auch nicht mehr supporten, hier hilft in jedem
Fall eine Neuinstallation.


== Version ermitteln ==
Ihr koennt in euren Jails den aktuellen Stand vom Userland sehen, indem
ihr 

        freebsd-version -u 

aufruft. Wenn es das Command gibt und dort 10.x steht, koennen wir das idR 
einfach per freebsd-upgrade aktualisieren (mit ein paar Hacks aussenrum, 
damit das im Jail sinnvoll funktioniert).

Auf aelteren Systemen gibt es  "freebsd-version" nicht, da findet man die
Versionsnummer zB anhand von /etc/rc heraus, etwa so:

        grep -o '\$FreeBSD: [^ ]*' /etc/rc

(oder eine mir unbekannte Alternativmethode).

In diesem Fall sollten wir unbedingt ueber eine Neuinstallation sprechen, 
wobei ich dabei alte Config auf Wunsch mitnehmen und einrichten kann (zB 
DNS-Setup, sendmail, ... ), und das alte jail generell read-only unter 
/old erhalten bleibt (bis ich das mal wegraeume).


== Security / Support ==
Aus Sicherheitsgruenden solltet ihr keine nicht mehr supporteten
Versionen von FreeBSD nutzen, selbst wenn es noch funktioniert:

https://www.freebsd.org/security/security.html#sup

Nach dem 31.12.2016 werden noch supportet:

        10.3-RELEASE (bis 2018-04-30)
        11.0-RELEASE (bis 3 Jahre nach dem Erscheinen von 11.1-RELEASE)

anders herum:
 
        9.x und 10.1 und 10.2 sind ab 1.1.2017 nicht mehr supportet!


== Sub-Jails ==
Was ich bisher nur mal fluechtig getestet habe ist "jail-im-jail": Dabei
kann das alte jail als Sub-Jail zum frisch installierten Jail betrieben
werden, wobei sich beide Jails dann ihre IP-Adressen teilen. 

Man muss dann also pro  Service festlegen, ob das innere oder das aeussere 
Jail zB 80/tcp belegt. Mit root-Rechten kann man auch ohne ssh vom 
aeusseren Jail in das innere Jail gelangen indem man zB "jexec old su -" 
aufruft, sofern das Subjail "old" heisst. 

Es kann mehrere Subjails geben und Subjails koennen ebenfalls Subjails 
enthalten, solange das "Kontingent" nicht aufgebraucht ist 
(siehe "sysctl security.jail.param.children").

Mutige vor!

Viele Gruesse
Raphael

PS: Fuer diejenigen, die sich erst spaeter eingeschaltet haben: UUGRN
betreibt seit Mitte 2006, also seit inzwischen gut ueber 10 Jahren
Vereinsserver mit FreeBSD und Jails. Jails sind Container oder Zonen.
Mitglieder (natuerliche und juristische) koennen je nach Resourcenlage ein
oder mehrere Jails von UUGRN bekommen. Die Nutzung in den letzten Jahren
war immer so fair, dass keine Resourcenlimits benoetigt wurden, auch wenn
diese technisch moeglich waeren. 

-- 
SMTP+XMPP:  rabe@xxxxxxxxx rabe@xxxxxxxxx raphael.eiselstein@xxxxxxxxxxx
OTR:        33790A42 C28ED889 2ABEA87C 4E829C29 C76E2F24	
PGP:        4E63 5307 6F6A 036D 518D  3C4F 75EE EA14 F625 DB4E
.........|.........|.........|.........|.........|.........|.........|..



-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/