Re: Rootserver Umzug. Was beachten?

To: debian-user-german@lists.debian.org
Subject: Re: Rootserver Umzug. Was beachten?
From: Andreas Pakulat <apaku@gmx.de>
Date: Tue, 4 Apr 2006 03:09:33 +0200
Message-id: <[🔎] 20060404010933.GA8125@morpheus.apaku.dnsalias.org>
In-reply-to: <[🔎] 200604040223.22067.msc@antzsystem.de>
References: <[🔎] 200604032033.18172.msc@antzsystem.de> <[🔎] 200604032155.26808.msc@antzsystem.de> <[🔎] 20060403211534.GC26073@morpheus.apaku.dnsalias.org> <[🔎] 200604040223.22067.msc@antzsystem.de>

On 04.04.06 02:23:21, Markus Schulz wrote:
> Am Montag, 3. April 2006 23:15 schrieb Andreas Pakulat:
> > On 03.04.06 21:55:26, Markus Schulz wrote:
> > > Die erste Variante hätte eventuell auch das Problem, das einige
> > > Pakete jetzt in anderer Reihenfolge eingespielt werden und damit
> > > andere SysUserIDs bekommen. Damit wäre ein kopieren von /var
> > > eventuell gefährlich, obwohl Tar per default glaube ich den
> > > Usernamen mit einpackt, anstatt der ID.
> >
> > Das sollte eigentlich nicht passieren. Die verwendeten ID's sind
> > innerhalb von stable immer diesselben (z.B. 33 == www-data, 102 ==
> 
> ok, die postinst Scripte von z.B. Apache geben die ID mit an, ich weiss 
> aber nicht ob das in der Policy auch gefordert wird. Wahrscheinlich 
> wird es aber so sein. *mal nachlesen*

Es koennte tatsaechlich sein, dass es keine Vorschrift gibt. Jedenfalls
hat mein unstable-Exim4 eine andere uid als mein Stable-Exim4. Und ich
finde keinen changelog-Eintrag dazu. Andererseits ist auf meinem
root-Server Debian-exim auch uid=102 wie auf dem Sarge-System hier...

Allerdings wenn du eine 1:1 Kopie erstellst ist das eh egal und wenn du
doch lieber eine Installation machen willst musst du halt die Usernamen
kopieren und nicht die ID's.

> > Debian-exim, news == 9). Ein Kopieren von tar ohne vorher genau zu
> > pruefen welche der Verzeichnisse du kopieren _kannst_ ist auf jeden
> > Fall ein Risiko.
> 
> Wieso kann ich irgendein Verzeichnis nicht kopieren? Die Paketliste ist 
> 100% identisch. An den Quelldaten zum Zeitpunkt des kopierens wird 
> nichts verändert (remount ro und kein Dienst ausser ssh läuft).
> Ausser in /etc und /var wird im Betrieb nie etwas geschrieben 
> (Paket-Install/Upgrade aussen vor). Man sollte doch also davon ausgehen 
> können, das ich auch mit meiner Variante 1 das System zu 100% 
> duplizieren kann.

Hmm, ich wuerds trotzdem nicht machen, aber moeglich koennte es sein.
Die Frage ist aber auch: Bist du dir sicher das das klappt, wenn nicht
waere eine Komplettkopie vllt. sicherer?

> > Es gibt einen wichtigen Unterschied: Meine Variante kopiert _alles_
> > rueber, deine Variante installiert erstmal die Pakete. Wenn du dann
> > /etc einfach direkt kopierst sind alle Dateien in /etc geaendert und
> > du kriegst bei jedem Upgrade die Meldungen ob du deine Konfig-Version
> > oder die aus dem Paket installieren willst, bei jeder Konfig-Datei.
> 
> Warum sind die Configs nach dem kopieren geändert? Wenn ich sie auf der 
> Quellmaschine nie angefaßt habe entspricht die MD5 exakt der, die auch 
> auf dem Zielsystem vor dem Überschreiben vorhanden war.

Stimmt, mein Fehler da hab ich "irgendwas" durcheinandergebracht.
Weiterhin werden fuer Conffiles sowieso die md5 Summen nicht gespeichert
sondern vmtl. von apt/dpkg beim Entpacken des neuen Pakets berechnet...

> > > An Configs sollte eigentlich alles überschrieben werden, der
> > > Rechner nimmt schliesslich exakt den Platz des alten ein. Später
> > > sogar mit gleicher IP (nach reboot test).
> >
> > Siehe oben. Man sollte bei einem Server eine Liste der geaenderten
> > Configs haben und nur diese geaenderten uebernehmen, oder gleich eine
> > 1:1 Kopie des Sytems anlegen.
> 
> Ich habe aber keine solche Liste, und prüfbar sind die configs in /etc 
> auf Veränderung zum Original eh kaum noch, da oft via debconf gestellte 
> Fragen bzw. deren Antworten in eine Template Config übernommen werden. 

Das wird von den Paketmaintainern schon beruecksichtig. Sprich alle
conffiles in /etc die als solche ausgewiesen sind koennen mittels eines
Vergleiches ueberprueft werden. Ob der Vergleich mittels md5 Summe oder
diff gemacht wird weiss ich so aber nicht.

> Damit sind die md5sums des Pakete nicht mehr als Prüfsumme 
> heranzuziehen. Bleibt also nur auf dem Quellsystem von Hand erzeugen 
> und mit denen auf dem neu installiertem Ziel vergleichen. 

Ich hatte mich bei meiner vorigen Antwort ein wenig geirrt. Die md5sums
Dateien enthalten die MD5 Summen von allen installierten Dateien eines
Pakets, _ausser_ den Configurationsdateien, diese tauchen in der
.conffiles Datei auf. 

> > > und Files iirc auch prüft (Prüfsumme).
> >
> > Das geht auch "zu Fuss" und vor allem: Das dauert ewig und 3 Tage,
> > schonmal ne MD5 Summe von ner Datei erstellt? Jetzt ueberleg dir mal
> > wieviel du Kopieren willst... Das wuerde ich nicht bei der
> > Uebertragung machen wollen.
> 
> Zuviel Aufwand sowas zu Fuss zu machen und md5 generieren ist mehr als 
> Schnell genug. Wir haben hier schon mit Gigabyte großen Dateien und 
> deren Prüfsummen hantiert, kein Problem.

Hmm, da hast du wohl einen reichlich dicken Server stehen... Hier auf
meinem armen Laptop jedenfalls macht das Erzeugen und Abgleichen von MD5
Summen bei grossen Dateien keinen Spass mehr. Und du darfst auch nicht
vergessen dass du _reichlich_ Dateien hast....

> Ob die Übertragung einige 
> Stunden dauert interessiert mich im übrigen auch nicht, es muss nur 
> 100% korrekt auf der Ziel-HDD ankommen. 

Dann spricht eigentlich alles fuer einen rsync der ganzen HDD. Den
kannst du anstossen und dann nach 3 Tagen schauen ob er fertig ist, oder
so aehnlich ;-) 

> > > > Ich moechte aber eine 3 Variante darbieten:
> > > >
> > > > Sichern der notwendigsten Konfigurationen des neuen Systems
> > > > (Netzkonfig und aehnliches) oder gleich auf dem alten die
> > > > Konfigurationen anpassen Alles loeschen
> > > > cp -a altesSystem:/ neuesSystem:/
> > > >
> > > > Fertig. Hab ich hier (allerdings nur HDD-Wechsel) schon haeufiger
> > > > gemacht, funktioniert problemlos.
> > >
> > > Verstehe nicht ganz den Unterschied zu meiner Copy-Session? Zumal
> > > ich ja auch hier ein Remote-fähiges Copy nehmen muss.
> >
> > Copy-Session? Du hast auf dem Zielsystem erstmal Pakete installiert,
> 
> Das war meine Variante eins, deine Variante entsprichte exakt meiner 
> zweiten Variante.

Ja, nur dass ich kein rsync nutze. Irgendwie hab ich wohl getraeumt beim
Antworten :-)

> > danach solltest du die Paketdatenbank tunlichst nicht ueberschreiben.
> 
> Und genau hier würde ich gern wissen warum? Schliesslich sind exakt die 
> gleichen Pakete installiert, alle Dateien sind in gleicher Form 
> vorhanden.

Hmm, koennte wirklich funktionieren. Aber mir waere das ehrlich gesagt
zu heiss wenn ich das nicht wenigstens einmal vorher ausprobiert
habe....

Andreas

-- 
Beware of low-flying butterflies.

Reply to:

References:
- Rootserver Umzug. Was beachten?
  - From: Markus Schulz <msc@antzsystem.de>
- Re: Rootserver Umzug. Was beachten?
  - From: Markus Schulz <msc@antzsystem.de>
- Re: Rootserver Umzug. Was beachten?
  - From: Andreas Pakulat <apaku@gmx.de>
- Re: Rootserver Umzug. Was beachten?
  - From: Markus Schulz <msc@antzsystem.de>

Prev by Date: Re: [OT] Firewall (was: Re: Sicherheit vorm bösen Internet)
Next by Date: Re: Sicherheit vorm bösen Internet
Previous by thread: Re: Rootserver Umzug. Was beachten?
Next by thread: netinst mit offiziellen CDs benutzen?
Index(es):
- Date
- Thread