[Admin] Upgrades der Mitglieder-Jails auf dem Vereinsserver / FreeBSD EoL für 9.x, 10.1 und 10.2 am 31.12.2016

Autor: Raphael Eiselstein <rabe_at_uugrn.org>
Datum: Thu, 22 Dec 2016 01:34:24 +0100
Hallo zusammen,

in den letzten 2-3 Wochen habe ich alle möglichen Jails von teils
undefinierbaren alten Versionen (meist 9.1) auf 11.0-RELEASE-p5 
aktualisiert oder from scratch neu installiert.

Das Binary-Upgrade funktioniert für alle Jails, die mit 9.1-RELEASE oder
neuer von mir installiert wurden, ältere Jails sollte man generell
ersetzen durch eine frische Installation.

ails die überwiegend aus selbst kompilierten Binaries bestehen kann 
ich auf diesem Weg leider auch nicht mehr supporten, hier hilft in jedem
Fall eine Neuinstallation.


== Version ermitteln ==
Ihr könnt in euren Jails den aktuellen Stand vom Userland sehen, indem
ihr 

        freebsd-version -u 

aufruft. Wenn es das Command gibt und dort 10.x steht, können wir das idR 
einfach per freebsd-upgrade aktualisieren (mit ein paar Hacks außenrum, 
damit das im Jail sinnvoll funktioniert).

Auf älteren Systemen gibt es  "freebsd-version" nicht, da findet man die
Versionsnummer zB anhand von /etc/rc heraus, etwa so:

        grep -o '\$FreeBSD: [^ ]*' /etc/rc

(oder eine mir unbekannte Alternativmethode).

In diesem Fall sollten wir unbedingt über eine Neuinstallation sprechen, 
wobei ich dabei alte Config auf Wunsch mitnehmen und einrichten kann (zB 
DNS-Setup, sendmail, ... ), und das alte jail generell read-only unter 
/old erhalten bleibt (bis ich das mal wegräume).


== Security / Support ==
Aus Sicherheitsgründen solltet ihr keine nicht mehr supporteten
Versionen von FreeBSD nutzen, selbst wenn es noch funktioniert:

https://www.freebsd.org/security/security.html#sup

Nach dem 31.12.2016 werden noch supportet:

        10.3-RELEASE (bis 2018-04-30)
        11.0-RELEASE (bis 3 Jahre nach dem Erscheinen von 11.1-RELEASE)

anders herum:
 
        9.x und 10.1 und 10.2 sind ab 1.1.2017 nicht mehr supportet!


== Sub-Jails ==
Was ich bisher nur mal flüchtig getestet habe ist "jail-im-jail": Dabei
kann das alte jail als Sub-Jail zum frisch installierten Jail betrieben
werden, wobei sich beide Jails dann ihre IP-Adressen teilen. 

Man muss dann also pro  Service festlegen, ob das innere oder das äußere 
Jail zB 80/tcp belegt. Mit root-Rechten kann man auch ohne ssh vom 
äußeren Jail in das innere Jail gelangen indem man zB "jexec old su -" 
aufruft, sofern das Subjail "old" heißt. 

Es kann mehrere Subjails geben und Subjails können ebenfalls Subjails 
enthalten, solange das "Kontingent" nicht aufgebraucht ist 
(siehe "sysctl security.jail.param.children").

Mutige vor!

Viele Grüße
Raphael

PS: Für diejenigen, die sich erst später eingeschaltet haben: UUGRN
betreibt seit Mitte 2006, also seit inzwischen gut über 10 Jahren
Vereinsserver mit FreeBSD und Jails. Jails sind Container oder Zonen.
Mitglieder (natürliche und juristische) können je nach Resourcenlage ein
oder mehrere Jails von UUGRN bekommen. Die Nutzung in den letzten Jahren
war immer so fair, dass keine Resourcenlimits benötigt wurden, auch wenn
diese technisch möglich wären. 

-- 
SMTP+XMPP:  rabe_at_uugrn.org rabe_at_sigsys.de raphael.eiselstein_at_mailbox.org
OTR:        33790A42 C28ED889 2ABEA87C 4E829C29 C76E2F24	
PGP:        4E63 5307 6F6A 036D 518D  3C4F 75EE EA14 F625 DB4E
.........|.........|.........|.........|.........|.........|.........|..


-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/

Empfangen am 22.12.2016

Dieses Archiv wurde generiert von hypermail 2.3.0 : 22.12.2016 CET