Debian LTS Upgrade 8 -> 9 [GELÖST]

[Alexander]

Hallo Community,

Das Upgrade Script für einen leichten Umstieg von Debian 8 auf Debian 9 ist nun fertig.

---

ACHTUNG: Obwohl ausgiebig getestet, sollte auf ein vorheriges Backup des Servers nicht verzichtet werden.

ACHTUNG: Mit Debian 9 erfolgt auch ein Umstieg von PHP 5.6 auf PHP 7.0. Bitte stellen Sie im Vorfeld sicher, dass die Software Ihrer Website(n) kompatibel mit PHP 7 ist, bzw. nutzen Sie das PHP-Wechsel-Feature um die PHP Version Ihrer Domains zu ändern.

---

Anleitung:

1.)
Script herunter laden:

Code: Select all

wget --no-check-certificate https://install.keyhelp.de/scripts/keyhelp_debian_upgrade_8_to_9 -O keyhelp_debian_upgrade_8_to_9.php

2.)
Script ausführen:

Code: Select all

php keyhelp_debian_upgrade_8_to_9.php

ACHTUNG: Sobald Sie den Beginn des Upgrades mit [ENTER] bestätigt haben, sollte das Upgrade nicht vorzeitig unterbrochen werden! Ein Abbruch während des Vorgangs hat zur Folge das Änderungen manuell rückgängig gemacht werden müssen.

2.1)
Folgen Sie den Anweisungen des Programms und beantworten Sie die gestellten Fragen (i.d.R. mit "ja" / "okay").
Auf die Frage, ob Konfigurationsdateien der Systemdienste überschrieben werden sollen, antworten Sie bitte mit "Die momentan installierte Version beibehalten"

2.2)
Im Anschluss an das Upgrade, fragt Sie das Script noch einmal, ob nun ein Reboot durchgeführt werden soll.
Bestätigen Sie mit [ENTER]


=> Herzlichen Glückwunsch, Sie verwenden nun Debian 9 LTS.

[passi]

Hallo,
vielen Dank für das Update Script!

Mir sind mittlerweile 3 Sachen aufgefallen ...:

1. Das System benutzt/findet meine Swap Partition nicht mehr. Warum auch immer, hat sich die UUID geändert.
Mittels

Code: Select all

ls -l /dev/disk/by-uuid 

habe ich mir diese anzeigen lassen und danach die /etc/fstab mit der neuen UUID angepasst.
Swap funktioniert wieder!

2. fail2ban möchte nicht mehr .. Wenn ich fail2ban neustarten möchte kommt

Code: Select all

[....] Restarting fail2ban (via systemctl): fail2ban.serviceJob for fail2ban.service failed because the control process exited with error code.
See "systemctl status fail2ban.service" and "journalctl -xe" for details.
 failed!

Wenn ich dann den Status anzeigen lasse kommt:

Code: Select all

# systemctl status fail2ban.service
â fail2ban.service - Fail2Ban Service
   Loaded: loaded (/lib/systemd/system/fail2ban.service; enabled; vendor preset: enabled)
   Active: failed (Result: exit-code) since Sun 2017-08-27 11:22:44 CEST; 9s ago
     Docs: man:fail2ban(1)
  Process: 2883 ExecStart=/usr/bin/fail2ban-client -x start (code=exited, status=255)

Aug 27 11:22:44 hostname systemd[1]: fail2ban.service: Unit entered failed state.
Aug 27 11:22:44 hostname systemd[1]: fail2ban.service: Failed with result 'exit-code'.
Aug 27 11:22:44 hostname systemd[1]: fail2ban.service: Service hold-off time over, scheduling restart.
Aug 27 11:22:44 hostname systemd[1]: Stopped Fail2Ban Service.
Aug 27 11:22:44 hostname systemd[1]: fail2ban.service: Start request repeated too quickly.
Aug 27 11:22:44 hostname systemd[1]: Failed to start Fail2Ban Service.
Aug 27 11:22:44 hostname systemd[1]: fail2ban.service: Unit entered failed state.
Aug 27 11:22:44 hostname systemd[1]: fail2ban.service: Failed with result 'exit-code'.

Die fail2ban.log ist komplett leer.


edit4: Mittels

Code: Select all

journalctl -u fail2ban.service

konnte ich mir doch einen Log anzeigen lassen.
Im Log stand folgendes:

Code: Select all

Aug 27 11:22:43 web.DOMAIN.de fail2ban-client[2877]: ERROR  Failed during configuration: While reading from '/etc/fail2ban/jail.conf' [line 155]: option 'port' in section 'pam-generic' already exists

In der jail.conf habe ich dann wirklich 2 Einträge für den Port gefunden:

Code: Select all

# Generic filter for pam. Has to be used with action which bans all ports
# such as iptables-allports, shorewall
[pam-generic]

enabled  = false
# pam-generic filter can be customized to monitor specific subset of 'tty's
filter   = pam-generic
# port actually must be irrelevant but lets leave it all for some possible uses
port     = all
banaction = iptables-allports
port     = anyport
logpath  = /var/log/auth.log
maxretry = 6

Ich habe nun die Zeile

Code: Select all

port     = anyport

auskommentiert und nun wird folgendes Angemeckert:

Code: Select all

Aug 28 08:34:48 web.DOMAIN.de systemd[1]: Starting Fail2Ban Service...
Aug 28 08:34:48 web.DOMAIN.de fail2ban-client[28711]: WARNING 'filter' not defined in 'sshd'. Using default one: ''
Aug 28 08:34:48 web.DOMAIN.de fail2ban-client[28711]: WARNING No filter set for jail sshd
Aug 28 08:34:48 web.DOMAIN.de fail2ban-client[28711]: WARNING 'filter' not defined in 'sshd'. Using default one: ''
Aug 28 08:34:48 web.DOMAIN.de fail2ban-client[28711]: ERROR  Failed during configuration: Bad value substitution: option 'action' in section 'sshd' contains an interpolation key 'port' which is not a valid opt
Aug 28 08:34:48 web.DOMAIN.de systemd[1]: fail2ban.service: Control process exited, code=exited status=255

Die jail.conf wurde nicht verändert.

3. Domains können nicht mehr angelegt werden. Die angelegten Domains haben alle das rote Ausrufezeichen vorne dran.

Code: Select all

[27-Aug-2017 15:41:01] INFO  --> load tasks ... 1 found
[27-Aug-2017 15:41:01] DEBUG --> task type IDs: 600
[27-Aug-2017 15:41:01] DEBUG --> Apache: applyAllConfigChanges()
[27-Aug-2017 15:41:01] DEBUG --> Apache: checkDirectories()
[27-Aug-2017 15:41:01] DEBUG --> Apache: cleanAll()
[27-Aug-2017 15:41:01] DEBUG --> Apache: cleanVhosts()
[27-Aug-2017 15:41:01] DEBUG --> Apache: cleanPhpFpmPools()
[27-Aug-2017 15:41:01] DEBUG --> Apache: cleanHtpasswd()
[27-Aug-2017 15:41:01] DEBUG --> Apache: getUserIdsWithModifiedDomains()
[27-Aug-2017 15:41:01] DEBUG --> Apache: we will now apply configs changes of user id "24"
[27-Aug-2017 15:41:01] DEBUG --> Apache: config data loaded for user id "24" ("arosh")
[27-Aug-2017 15:41:01] DEBUG --> load domain "shlomotech.DOMAIN.de"
[27-Aug-2017 15:41:01] DEBUG --> domain without ssl option
[27-Aug-2017 15:41:01] DEBUG --> load domain "www.shlomotech.DOMAIN.de"
[27-Aug-2017 15:41:01] DEBUG --> domain without ssl option
[27-Aug-2017 15:41:01] DEBUG --> Apache: add vhost container for domain "shlomotech.DOMAIN.de"
[27-Aug-2017 15:41:01] DEBUG --> Apache: add vhost container for domain "www.shlomotech.DOMAIN.de"
[27-Aug-2017 15:41:01] DEBUG --> Apache: save config to "/etc/apache2/keyhelp/vhosts/arosh.conf"
[27-Aug-2017 15:41:01] DEBUG --> PHP-FPM: add php-fpm pool "[arosh]" for domain "shlomotech.DOMAIN.de"
[27-Aug-2017 15:41:01] DEBUG --> save config to "/etc/php/7.0/fpm/keyhelp_pool/arosh.conf"
[27-Aug-2017 15:41:01] DEBUG --> PHP-FPM: add php-fpm pool "[arosh]" for domain "www.shlomotech.DOMAIN.de"
[27-Aug-2017 15:41:01] DEBUG --> save config to "/etc/php/7.0/fpm/keyhelp_pool/arosh.conf"
[27-Aug-2017 15:41:01] DEBUG --> Apache: reloadApache()
[27-Aug-2017 15:41:01] DEBUG --> Apache: syntax ok
[27-Aug-2017 15:41:01] DEBUG --> Apache: reloading apache
[27-Aug-2017 15:41:01] ERROR --> Apache: failed to reload

edit2: Ich habe den Apache nun "von Hand" restartet. Dann kann ich die Domain aufrufen. Das rote Ausrufezeichen bleibt und PHP wird nicht ausgeführt..
edit3: Nun sind auch die roten Ausrufezeichen weg und KH kann den Apache "loaden". PHP wird derzeit auch ausgeführt ... Warum funktioniert das wieder, nachdem ich Apache von Hand neugestartet habe?!

Hat jemand eine Idee?

LG passi

edit: Hier ist einiges durcheinander... Falls sich das jemand von KH anschauen möchte, bitte melden ...

[Martin]

Hallo,

vielen Dank für das umfangreiche Feedback, wir würden dies entsprechend prüfen und versuchen nachzustellen.

[passi]

Hi,

hat denn einer eine Lösung für mein fail2ban Problem?
Denn das läuft aktuell immer noch nicht ... Ich weiss nicht, welchen Punkt er nun genau bemängelt in der jail.conf beim Dienst sshd.

Gruß

[comsystem]

Hi,

hat denn einer eine Lösung für mein fail2ban Problem?
Denn das läuft aktuell immer noch nicht ... Ich weiss nicht, welchen Punkt er nun genau bemängelt in der jail.conf beim Dienst sshd.

Gruß

Ich musste fail2ban danach neu installieren

[passi]

Kann man das so einfach? Oder hat KH die fail2ban config verändert??

@Martin: Konntet ihr meine beschriebenen Punkte nachstellen und ggf lösen?

[Alexander]

Du kannst Fail2ban neu installieren, KeyHelp nimmt keine Änderungen an bestehenden fail2ban Config-Dateien vor (zumindest nicht unter Debian 8 / 9) - es fügt lediglich 2 seperate Configs hinzu. Nach der Neu-Installation von Fail2Ban solltest du deshalb noch die folgenden Befehle ausführen:

Code: Select all

cp /home/keyhelp/www/keyhelp/install/config/common/fail2ban/jail.d/keyhelp.local /etc/fail2ban/jail.d/keyhelp.local ;

cp /home/keyhelp/www/keyhelp/install/config/common/fail2ban/filter.d/keyhelp-phpmyadmin.conf /etc/fail2ban/filter.d/keyhelp-phpmyadmin.conf ;

service fail2ban restart

Nachstellen konnte ich das Problem noch nicht, der Ausschnitt meiner ebenfalls unveränderten jail.conf sieht allerdings schon anders aus. Kam beim Upgrade die Frage, ob fail2ban Konfigurationsdateien beibehalten/überschrieben werden sollen?

[passi]

# apt-get purge fail2ban
# apt-get install fail2ban
# cp /home/keyhelp/www/keyhelp/install/config/common/fail2ban/jail.d/keyhelp.local /etc/fail2ban/jail.d/keyhelp.local
cp /home/keyhelp/www/keyhelp/install/config/common/fail2ban/filter.d/keyhelp-phpmyadmin.conf /etc/fail2ban/filter.d/keyhelp-phpmyadmin.conf
/etc/init.d/fail2ban restart
[ ok ] Restarting fail2ban (via systemctl): fail2ban.service.

Sieht derzeit wieder gut aus.

Ich weiss es nicht mehr genau ... Ich wurde bei einigen Diensten deswegen gefragt. Aber ich habe immer ausgewählt, dass die aktuelle Konfiguration benutzt werden soll.

Gruß

[mdirk]

Ich habe heute mal das Updatescript auf einem Server laufen lassen.
Es brach dann wie folgt ab:

Setting up mariadb-server-10.1 (10.1.26-0+deb9u1) ...
logger: socket /dev/log: Connection refused
logger: socket /dev/log: Connection refused
dpkg: error processing package mariadb-server-10.1 (--configure):
subprocess installed post-installation script returned error exit status 1
Processing triggers for fontconfig (2.11.0-6.7+b1) ...
dpkg: dependency problems prevent configuration of mariadb-server:
mariadb-server depends on mariadb-server-10.1 (>= 10.1.26-0+deb9u1); however:
Package mariadb-server-10.1 is not configured yet.

dpkg: error processing package mariadb-server (--configure):
dependency problems - leaving unconfigured
Errors were encountered while processing:
mariadb-server-10.1
mariadb-server
E: Sub-process /usr/bin/dpkg returned an error code (1)


Step 3 of 3

> Install/prepare php7...
E: Sub-process /usr/bin/dpkg returned an error code (1)

> Update php-fpm...
E: Sub-process /usr/bin/dpkg returned an error code (1)
E: Sub-process /usr/bin/dpkg returned an error code (1)
E: Sub-process /usr/bin/dpkg returned an error code (1)

> Rewrite vhosts to use fcgid...

Warning: MySQL - Connection Error: 2002 (No such file or directory) in /home/keyhelp/www/keyhelp/incl/class.dbconnection.php on line 170

Warning: mysqli::query(): Couldn't fetch mysqli in /home/keyhelp/www/keyhelp/incl/class.dbconnection.php on line 49

Warning: mysqli::query(): Couldn't fetch mysqli in /home/keyhelp/www/keyhelp/incl/class.dbconnection.php on line 50

Warning: mysqli::query(): Couldn't fetch mysqli in /home/keyhelp/www/keyhelp/incl/class.dbconnection.php on line 69

Warning: DBConnection::query(): Couldn't fetch mysqli in /home/keyhelp/www/keyhelp/incl/class.dbconnection.php on line 70

Warning: MySQL - Query Error: () in /home/keyhelp/www/keyhelp/incl/class.dbconnection.php on line 170

Fatal error: Call to a member function fetch_assoc() on null in /home/keyhelp/www/keyhelp/core/Settings/Settings.php on line 240

EDIT:
Nach einem Neustart vom Server habe ich das Script erneut durchlaufen lassen und es wurde ohne Fehlermeldungen beendet.

Lediglich mysqld startete nicht, dieses muss jetzt von Hand gestartet werden...