S4U: vserver Plus, Dist-Upgrade: Debian Etch -> Lenny

L

l0rd

New Member
Hi Leute,

da ich im Moment einen vServer habe, den ich erst in einem Monat produktiv nutze, habe ich mich mal an ein Dist-Upgrade von Debian Etch auf Lenny herangewagt. Das Posting soll ein Erfahrungsbericht darstellen, falls jemand ähnliches plant.

Ausgangssituation:
  • vServer Plus bei s4u: https://www.server4you.de/de/vserver/showplan.php?products=1
  • Debian 4.0 Etch, Plesk 8.4
  • Änderungen gegenüber Standard-Installation:
    • Plesk 8.4 auf Plesk 9.0 geupdated (lief problemlos)
    • Spamassassin direkt eingebunden (weils die Lizenz von Plesk nicht hergibt)
    • ClamAV installiert
    • Spamdyke inkl. dem Control Panel installiert
    • Kleinigkeiten hinzugefügt: svn / RoundCube / ..

Bei diseen Installationsschritten waren die HowTos von Huschi sehr hilfreich. Danke nochmal an dieser Stelle, auch an Haggybear für das CP:
Plesk: Spamassassin und ClamAV per qsheff einbinden - huschi.net
Plesk & Qmail: Greylisting mit spamdyke - huschi.net


Noch ein paar Worte zum Thema Sicherheit:
Debian 5.0 ist zur Zeit noch nicht die stable Version. Daher ist es prinzipiell eine schlechte Idee, Debian 5 bereits produktiv einzusetzen. Auch der Betrieb auf einem von außen verfügbaren Server ist nicht ganz ideal. Allerdings soll Debian 5 am 14.2. die neue stable-Version werden. Außerdem wird das Thema Sicherheit bei Debian groß geschrieben, so dass - meiner Meinung nach - das Risiko auch nicht viel höher als bei Etch ist.


Update:

1. Liste mit den Quell-Paketen ändern

Code: 
root@vsxyz:~# cat /etc/apt/sources.list.d/debian.list 
# new lenny packages.
deb http://ftp2.de.debian.org/debian/ lenny main contrib non-free
deb http://security.debian.org/ lenny/updates main contrib non-free

# source packages.
deb-src http://ftp2.de.debian.org/debian/ lenny main contrib non-free
deb-src http://security.debian.org/ lenny/updates main contrib non-free

# volatile sources
deb http://volatile.debian.org/debian-volatile etch/volatile main contrib non-free


2. Upgrade durchführen

Code: 
apt-get update
apt-get dist-upgrade


Das hat dann eine Weile gedauert. Bei der Frage, ob bestehende Config-Dateien benutzt werden sollen, habe ich mich immer für "beibehalten" entschieden.

3. Post-Upgrade

Auch wenn es wohl nicht unbedingt nötig ist, wurde der vServer neugestartet, um beim ersten ungeplanten Neustart keine unangenehme Überraschung zu erleben.

Erster Eindruck nach dem Reboot: Läuft besser als gedacht! :-) E-Mail, Webserver, php, mysql, etc. läuft.
Auch Plesk läuft zur Zeit ohne erkennbare Probleme!

Es bestehen nur folgende Probleme:
  • Zu viel Speicherverbrauch, ca. 360 MB ohne viel Zugriff ist bisschen viel. Dieses Problem sollte mit der Überarbeitung mancher Config-Dateien behebbar sein..
  • Probleme mit SSL/TLS.
    Proftpd zickt z.B. mit folgender Fehlermeldung rum:

    Feb 7 14:12:26 vsxyz proftpd[32261]: mod_tls/2.1.2: compiled using OpenSSL version 'OpenSSL 0.9.8c 05 Sep 2006' headers, but linked to OpenSSL version 'OpenSSL 0.9.8g 19 Oct 2007' library
    Feb 7 14:12:26 vsxyz proftpd[32261]: Fatal: unable to load module 'mod_tls.c': Operation not permitted
    Click to expand...

    Problem scheint zu sein, dass openssl von proftp/imap/... in einer älteren Version verlangt wird. Allerdings kann ich proftp/qmail/... nicht updaten, da proftp nicht das Debian eigene Package ist, sondern eins von Plesk, und Parallels zur Zeit (logischerweise) noch keine Packages für Debian 5.0 bereit hält:
    ii psa-proftpd 1.3.1-debian4.0.build90090127.18 ProFTPD -- Professional FTP Server.
    ii psa-proftpd-inetd 1.3.1-debian4.0.build90090127.18 ProFTPD -- Setup for inetd operation.

    Das Problem betrifft proftp / qmail (smtps) / imap (imaps). Ich brauch ssl zur Zeit bei diesen Diensten nicht wirklich, deswegen hoffe ich erstmal, dass Parallels irgendwann Updates bereitstellt. Andere Alternative wäre wohl das Downgraden von openssl. Allerdings hängt da ja auch ssh und co dran, weshalb ich das eigentlich nicht machen will.
  • Update: "Fehler" in Plesk: Plesk sagt, dass die einzige IP-Adresse exklusiv genutzt wird, d.h. ich kann sie keinem zweiten Kunden zuweisen. Unter "Einstellungen" - > "IP-Adresse" kann ich diese Einstellung nicht ändern, weil die Adresse schon einem ersten Kunden zugewiesen ist. Evtl. bestand das Problem schon vor dem Dist-Upgrade, aber ich habe es nicht getestet.

    Lösung: In der Datenbank den Typ der IP-Adresse ändern (unter psa.ip_pool). Den type auf shared ändern und schon, kann man sie mehrfach zuweisen. Ich vermute (!), dass dies keine unerwünschten Seiteneffekte zur Folge hat.
  • Update: Haggybear's CP für Spamdyke will nicht mehr. Es kommt zwar keine Fehlermeldung, aber die Liste blieb leer. Ich habe als erstes die wrapper.c neu kompiliert, wozu zunächst libc6-dev installiert werden musste. Das hat das Problem aber noch nicht gelöst. Seltsamerweise geht es nach dem erstmaligen Durchlaufen des Aufräumscripts wieder.




Falls noch weitere Probleme im Betrieb auftreten, update ich das Posting.
Falls jemand Lösungsvorschläge für das ssl/tls-Problem hat, kann er sie gerne mitilen :-)

Dennis
 
Last edited by a moderator:
Wir scheinen heute alle die gleiche Idee zu haben. ;) Ich habe das ganze heute morgen auf meinem lokalen Testserver durchgeführt.. Läuft ebenfalls problemlos, nur ist Plesk aktuell noch nicht für Lenny freigegeben. Bei einer Plesk 8.x Neuinstallation vor ca. 2 Monaten war es auch noch nicht möglich Plesk auf Lenny überhaupt zu installieren, dies kann sich jedoch bei der 9er Version auch geändert haben.

Grüße
 
Ah sehr schön

ich habe auch mein dist-upgrade heute, problemlos gefahren. Einige Probleme mit den localen habe ich zwar, aber ok.

Allerdings will mein Plesk auch nicht. Per strace habe ich es bis

write(2, " -F : run main pro"..., 77 -F : run main process in foreground, for process supervisors
) = 77

verfolgt, dann liefert es (beim normalen Start) ein Segmentation fault. Meine Recherche ergab, dass es wohl mit dem neuen Perl 5.10 zusammenhängt.

l0rd: wie hast du dein plesk geupdatet? Ich bekomme ein:


Installation will not continue because your operating system
"Linux Debian 5.0 i686 under vz" is not supported.



Und bist du irgendwie im irc unterwegs?

Grüße

Carola Schulte
 
Last edited by a moderator:
Ich habe meinen frisch installierten Etch Server wie l0rd beschrieben auf Lenny upgedated, ebenso Plesk auf Version 9. Das problem mit proftpd hab ich gelöst indem ich mir einen eigenen compiliert und nach /opt installiert habe.
Nun habe ich allerdings arge Probleme mit Plesk. Da es stadardmäßig nur 10 Domains dazu gibt habe ich mir nach dem Upgrade bei S4Y die Erweiterung auf 30 Domains bestellt. Nur leider kann Plesk jetzt nicht mehr auf den Lizenz-Server zugreifen und quitiert das mit der Meldung "ssl connect error". Unter /var/log/sw-cp-server/error_log finden sich passende Einträge:

Code: 
2009-02-27 08:44:57: (connections.c.299) SSL: 1 error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca 
2009-02-27 08:44:57: (connections.c.299) SSL: 1 error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure 
2009-02-27 09:13:21: (connections.c.299) SSL: 1 error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure 
2009-02-27 09:14:24: (connections.c.299) SSL: 1 error:1407609C:SSL routines:SSL23_GET_CLIENT_HELLO:http request 
2009-02-27 09:14:24: (connections.c.299) SSL: 1 error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca 
2009-02-27 09:14:24: (connections.c.299) SSL: 1 error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure 
2009-02-27 09:14:27: (connections.c.299) SSL: 1 error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca 
2009-02-27 09:14:27: (connections.c.299) SSL: 1 error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure 
2009-02-27 09:17:04: (connections.c.299) SSL: 1 error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure

Die Update-Funktion zeigt jetzt auch nur noch
Error: Error: There are no suitable product versions
Click to expand...
obwohl diese nach dem Upgrade noch funktioniert hatte.

Hat jemand ähnliche Probleme gehabt oder hat sie noch? S4Y gibt leider keinen Support für Plesk 9 oder Lenny :-(

Mit freundlichen Grüßen
Reen
 
Tipp: Wegen Plesk-Updatefunktion.

Einfach temporär unter /etc/apt/sources.list die Quellen wieder auf etch umstellen, dann /etc/debian_version auf 4.0 stellen. Dann sollte der Plesk Updater wieder funktionieren. Natürlich nicht vergessen, die Dateien danach wieder zurückzustelllen.
 
Hallo,

also bei Proftpd bin ich jetzt so vorgegangen.

Habe mir folgendes Packet runtergeladen und entpackt.

wget http://security.debian.org/debian-s...d-dfsg/proftpd-basic_1.3.1-17lenny2_amd64.deb

dpkg -x proftpd-basic_1.3.1-17lenny2_amd64.deb /tmp/proftpd-basic

# mv /usr/bin/ftpcount /usr/bin/ftpcount.psa2
# mv /usr/bin/ftpdctl /usr/bin/ftpdctl.psa
# mv /usr/bin/ftptop /usr/bin/ftptop.psa
# mv /usr/bin/ftpwho /usr/bin/ftpwho.psa

# mv /tmp/proftpd-basic/usr/bin/ftpcount /usr/bin/ftpcount
# mv /tmp/proftpd-basic/usr/bin/ftpdctl /usr/bin/ftpdctl
# mv /tmp/proftpd-basic/usr/bin/ftptop /usr/bin/ftptop
# mv /tmp/proftpd-basic/usr/bin /ftpwho /usr/bin/ftpwho

# mv /tmp/proftpd-basic/usr/lib/proftpd /usr/lib/proftpd

# mv /usr/sbin/ftpshut /usr/sbin/ftpshut.psa
# mv /usr/sbin/proftpd /usr/sbin/proftpd.psa

# mv /tmp/proftpd-basic/usr/sbin/ftpasswd
# mv /tmp/proftpd-basic/usr/sbin/ftpquota
# mv /tmp/proftpd-basic/usr/sbin/ftpshut
# mv /tmp/proftpd-basic/usr/sbin/ftpstats
# mv /tmp/proftpd-basic/usr/sbin/proftpd
# mv /tmp/proftpd-basic/usr/sbin/proftpd-gencert

# mkdir /var/log/proftpd

# mv /tmp/proftpd-basic/etc/proftpd /etc/proftpd

/etc/proftpd.include öffnen und unten stehendes einfügen

Code: 
# Includes DSO modules
Include /etc/proftpd/modules.conf

<IfModule mod_quotatab.c>
QuotaEngine off
</IfModule>

<IfModule mod_ratio.c>
Ratios off
</IfModule>

# Delay engine reduces impact of the so-called Timing Attack described in
# http://security.lss.hr/index.php?page=details&ID=LSS-2004-10-02
# It is on by default. 
<IfModule mod_delay.c>
DelayEngine on
</IfModule>

<IfModule mod_ctrls.c>
ControlsEngine        off
ControlsMaxClients    2
ControlsLog           /var/log/proftpd/controls.log
ControlsInterval      5
ControlsSocket        /var/run/proftpd/proftpd.sock
</IfModule>

<IfModule mod_ctrls_admin.c>
AdminControlsEngine off
</IfModule>

#
# Alternative authentication frameworks
#
#Include /etc/proftpd/ldap.conf
#Include /etc/proftpd/sql.conf

#
# This is used for FTPS connections
#
Include /etc/proftpd/tls.conf

Kann natürlich noch selber angepasst werden, ist der inhalt einer originalen proftpd.conf der in der proftpd.conf von plesk nicht mit drin ist und um die datei nicht verändern zu müssen, habe ich es in die proftpd.include gepackt.
außerdem werden damit direkt die dateien in /etc/proftpd includet.

Jetzt sollte proftpd wieder laufen :)
 
Hallo zusammen,

ich habe es genauso versucht, wie scopeman beschrieben hat, jedoch ohne Erfolg. Es kam zwar nach weiteren Versuchen kein Error mehr beim starten, aber der FTP Zugriff hat immer noch nicht geklappt.

Mittlerweile bin ich wieder am Ausgangspunkt, da ich alles wieder rückgängig gemacht habe.

Für weitere Hilfe wäre ich sehr dankbar.

VG, Bogi
 
Was kamen denn für Fehlermeldungen beim Zugriff? Wenn der Zugriff nicht geklappt hat, würde es mich schon sehr wundern, wenn in keiner Log-Datei etwas davon stehen würde?

Bei mir hat es übrigens gereicht /usr/sbin/proftpd mit einer neukompilierten Version zu ersetzen. Scheinbar sind da keine weiteren Abhängigkeiten zur Plesk-Version. Die gelinkten Libs scheinen mal alle systemabhängig und nicht pleskabhängig zu sein.
 
Naja, server-seitig gibts keine Logs, da ich ja proftpd nichtmal starten kann. Zumindest jetzt in der Ausgangslage.
Ich bin ja derzeit wieder bei folgender meldung beim start von ProFTPd:
180bpm:~# /etc/init.d/proftpd check-config
- mod_tls/2.1.2: compiled using OpenSSL version 'OpenSSL 0.9.8c 05 Sep 2006' headers, but linked to OpenSSL version 'OpenSSL 0.9.8g 19 Oct 2007' library
- Fatal: unable to load module 'mod_tls.c': Operation not permitted
Click to expand...
Die Logs habe ich bei meinem versuchen zwar angeschaut, konnte aber nichts verdächtiges finden. Was genau drin war, kann ich jetzt leider nicht mehr nachvollziehen :(

Vielleicht kann jmd etwas mit meiner spärlichen Auskunft anfangen. Vorübergehend arbeite ich mit meinem root über sftp :eek:

Werd aber gleich mal ausprobieren, lediglich die /usr/sbin/proftpd auszutauschen.

VG, Bogi
 
Hi,

das Thema "SSL connect error" hat mich nun auch beim Update des Keys erwischt.

Parallels hat dazu auch etwas in der knowledge base:
KB Parallels: Cannot retrieve license key: SSL connect error

Allerdings finde ich die Lösung von Parallales nicht wirklich toll.

Hat jemand vielleicht noch andere ideen, wie man die Sache mit curl in den Griff bekommt?


Dennis


[edit]Ich hab in den sauren Apfel gebissen und manuell mit dpkg die alte libcurl-Version installiert, den Key geupdatet und libcurl anschließend wieder auf die neuste Version gebracht. Das Spiel ist nun allerdings alle 3 Monate fällig.[/edit]
 
Last edited by a moderator:
Plesk 9.3 Internal Server Error nach Dist-Upgrade & Ftp Server

Hallo leute hab heute auch ein dist-upgrade gamacht.
Aber plesk 9.3 funzt nicht mehr. Und Ftp auch nicht mehr.
Alles andere schon,alle meine Seiten funzen.
Weiss jemand wegen plesk wieso 500???:)
 
Den Fehler 500 hatte ich damals, als ich auf Debian 4.0 alle Plesk-Versionen übersprungen habe und direkt auf die 9.3.0 umgestiegen bin.

Mit einem Upgrade auf Lenny lief das dann problemlos, da kam der Fehler nicht mehr vor. Da das System von damals jedoch kein produktivsystem war (vor der Migration auf den neuen Server), habe ich einfach alles gelöscht und wieder aufgespielt.
 
Hallo,

zu dem Thema kann ich auch was beisteuern. Anfrage war von dieser Woche (21.02.2011):

Code: 
Hallo Herr X,

aufgrund der derzeit bei Ihrem Server eingesetzten Virtualisierungslösung (Virtuozzo 3) , ist ein aktuellerer Kernel nicht möglich. Erst mit der Migration zu VZ 4, steht ein neuer Kernel bereit unter welchem auf Debian 6 lauffähig sein wird.

Aktuell können wir jedoch keine Aussage darüber treffen, wann Ihr Server migriert wird. Dies wird vermutlich in den nächsten 2 - 3 Monaten geschehen.

Mit freundlichen Grüßen / Best regards
YZ

Heißt es wohl noch ein wenig warten. Wie ich aber heute erfahren habe ist ein Team von S4y aber auch auf der Cebit vertreten (Falls ihr persönlich vorsprechen wollt :D)

Gruss,
Foobar
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top