Man könnte seine Server ja auf eine Distribution umstellen, die als "Rolling Release" arbeitet, Gentoo oder Arch zum Beispiel. Aber ich bin bequem - ich bleibe bei Opensuse. Da kommt auch der Spaß nicht zu kurz.
Vorspiel
Die Ausgangslage: Der Server im heimischen Keller, backup.bruecko.de, läuft noch unter OS 12.3, aber aktuell ist gerade OS 13.2. Ich will - endlich einmal - auf die aktuelle Version umsteigen, um mir die Mühsal zu ersparen, aus der Distri gefallene Pakete selbst zu basteln.
Server mit Nutzern updated man nachts. Also los, 22 Uhr. Den Server auf den neuesten Softwarestand für 12.3 gehoben und die Bastelei beginnt, ganz nach Schema F aus der Opensuse-Doku. Erst einmal habe ich die Repos für Zypper auf 13.2 umgestellt, inklusive einiger externer Repos , und "zypper dup" zum Test aufgerufen. Sieht alles noch ganz verträglich aus, "das kriegen wir".
Dann kommt der langweilige Teil: Clonezilla einwerfen, rebooten, sichern. Geht glatt, dauert auch nur vier Stunden und ebbes. Dann kann es ja losgehen.
Das Upgrade: Zypper will nicht so...
Und ab damit - etwas mehr als 2000 Pakete werden up- und downgedatet, ein paar Anbieterwechsel, alles noch im Rahmen. Zwischenzeitlich verfluche ich mich, weil ich bei der Installation auch eine komplette Desktop-Umgebung mitgenommen habe. Keine Ahnung warum, wahrscheinlich einfach nicht aufgepasst. Nun ja: Libreoffice, Firefox und Konsorten werden also sinnfreierweise mit hochgezogen.
Das geht alles soweit bestens: Die Pakete werden heruntergeladen, die Installationsorgie beginnt. Ein paar aufmunternde Fehlermeldungen nach dem ersten Grub-Update entpuppen sich später als irrelevant, sind aber aktuell gut für den Blutdruck. Irgendwann soll dann "tuned" installiert werden, und dann hängt's. Der Fortschrittsbalken zeigt fröhlich "100 %" an, doch nix geht weiter. CPU-Aktivität knapp über Gefrierpunkt - das ist 'was schief gegangen.
Genervter Abbruch von zypper dup. Neuaufruf erfolglos, das war's dann wohl, denke ich noch. Bevor ich die Clonezilla-CD herausgrabbele reboote ich aus Langeweile - und siehe: Der Server fährt hoch, es grüßt 13.2. Also hurtig zypper dup eingetippt und das Ganze zu Ende gebracht. SIEG!!
Sicherheit bis zur Selbstaufgabe
Kommando zurück, von wegen Sieg: Bestenfalls eine Schlacht gewonnen, aber noch tobt der Krieg.
Erstens: Der Apache will nicht. Ein Blick ins Log: Er mosert über sein SSL-Zertifikat, das er bis dato klaglos geschluckt hat. Ein Blick ins Zertifikat offenbart einige Windows-Zeilenumbrüche (Woher, zum Teufel, kommen die - und warum stört's erst jetzt?), vielleicht liegt es ja daran. "Sauberes" Zertifikat ins entsprechende Verzeichnis kopiert, der Indianer kommt wieder in die Gänge.
Zweitens: Dovecot aber nicht, es mosert darüber, dass es nicht auf die Nutzerdateien zugreifen kann, teilt aber zugleich mit, dass die Unix-Dateirechte eigentlich prima sind. Wtf?
Fluchen. Grübeln. Zigarette rauchen. Idee: Funkt da irgendeine Sicherheits-Software dazwischen? Abersicherdoch. AppArmor hat sich ungefragt aktiviert und führt zur Selbstblockade des Servers. Weg damit.
Das reduziert die Zahl der Fehlermeldungen. Jetzt meckert Dovecot nur noch, dass es nicht auf die zentrale Index-Datei für ACLs zugreifen kann - "Permission denied". Warum auch immer: Bisher ging's auf zwei Rechnern und /var/lib/dovecot, nun eben nicht mehr. Also: Config geändert, die Datei in ein Verzeichnis verlagert, das dem vmail-Nutzer gehört, der auch Chef des übergeordneten Verzeichnisses ist. Siehe da, klappt. Das Dovecot beim Starten nun noch meckert, das er sein Logging "throtteln" muss, ignoriere ich geflissentlich. Kleiner Bug bei dovecot, nix Ernstes. Und da alles läuft ...
Fünf Uhr früh: Bettruhe.