Bereits am Samstag, dem 4. Mai 2013, hat das Debian-Team seine Linux-Distribution in einer neuen stabilen Version veröffentlicht: Debian 7.0 “Wheezy”.

Wie beim letzten Release, Debian 6.0 “Squeeze”, wurden die Pakete aktualisiert.

Für uns als Webhoster bzw. Sie als Kunden sind dabei die folgenden Neuerungen relevant:

• PHP 5.4 (statt PHP 5.3)
• Python 2.7 (statt Python 2.6)
• MySQL 5.5 (statt MySQL 5.1)
• PowerDNS 3.1 (statt PowerDNS 2.9)

Entscheidend für alle dürfte dabei sein, dass PHP 5.4, ähnlich wie bereits PHP 5.3, zwar eine deutlich bessere Leistung liefert als die Vorgängerversionen und die Seiten somit schneller ausgeliefert werden können, allerdings es zu größere Inkompatibilitäten kommt. Veraltete CMS-Installationen wie Joomla 1.5 , Typo3 4.4 oder Drupal 5 werden dabei nicht (oder nur mit erheblichen Aufwand) mehr funktionieren.

Aus diesem Grund werden wir die Wartungsarbeiten, die für die Aktualisierungen notwendig sind, mit einem Vorlauf von 1-3 Monaten per Newsletter an alle Kunden ankündigen. Dies erlaubt allen, ihre Webseite(n) auf den neusten Stand zu bringen. Bei einem CMS, das seit 5 Jahren nicht mehr gepflegt wurde, bedeutet dies nicht nur Verbesserungen bei der Sicherheit, sondern wahrscheinlich auch viele neue Funktionen oder allgemeine Verbesserungen.

Python 2.7 wird unsere Django-Kunden sehr freuen – die Neuerungen bei MySQL 5.5 hingegen werden die wenigsten Kunden tatsächlich betreffen.

Gleiches gilt für den PowerDNS-Nameserver, mit dem wir alle Zonen abgesichert mittels DNSSEC ausliefern können. Mit PowerDNS 2.9 war dies nicht möglich.

Bei Fragen zu PHP 5.4 steht Ihnen in Kürze ein Wiki-Artikel sowie bereits jetzt unser Support zur Verfügung.

Für Housing-Kunden sowie die Server von Kunden, die wir betreuen, haben wir nun ein eigenes Debian-Repository eingerichtet.

Dieses beinhaltet derzeit Pakete, die in der Debian Stable-Distribution zu alt, oder gar nicht vorhanden sind.

Dazu gehört u.a. das idnkit-Paket, das lediglich als Source verfügbar ist, sowie die 3ware-Pakete von Jonas Genannt.

Auch Pakete für das von uns eingesetzte Zabbix-Monitoring können bequem eingerichtet werden.

Damit Debian sich nicht über “nicht vertrauenswürdige” Pakete beschwert, wurden die Pakete mit gpg signiert, der Key ist dort ebenfalls zum Download verfügbar.

Aus Sicherheitsgründen ist das Repository geschützt, und nur von durch uns freigegebenen Servern aus erreichbar.

Unter folgender URL ist das Repository erreichbar:

http://debian.a1a-server.de/

Dort sind auch die zur Verwendung nötigen Schritte aufgeführt.

Die von uns eingesetzt Version 3.3.2 von Confixx zeigte gestern einige Fehler, die anfangs unerklärlich waren.

Das Hinzufügen von Umlaut-Domains zu einem Kunden-Account war nicht möglich. Confixx entfernte den Umlaut vor der Umwandlung zu Punycode, weshalb der Domain-Name nicht konvertiert wurde. Aus “müller.de” wurde “mller.de”, was natürlich keine IDN-Domain mehr darstellt.

Nach Durchsicht des Quellcodes und einigem Debugging zeigte sich, dass die Umlaute durch die Funktion “escapeshellarg()” entfernt werden.

Nach Beiträgen auf drupal.org bzw. im PHP-Handbuch tritt der Fehler genau dann auf, wenn die verwendete Locale am Server kein UTF-8 kann.

Der Apache wird bei Debian Lenny fix auf “LANG=C” festgesetzt, was genau die Ursache zu sein scheint: mit Debian Etch wurden UTF8-Encodierungen als gültige Zeichen der Shell erkannt, mit Debian Lenny nicht mehr.

Abhilfe schafft der Aufruf von “setlocale()” direkt im PHP-Code, hier in die “idn-functions.php” eingefügt, da nur für IDN-Domains benötigt:

setlocale(LC_ALL, "de_DE.UTF-8");

Nun werden die Umlaute nicht mehr aus dem Domain-Namen entfernt, und die Konvertierung nach Punycode funktioniert.

Liebe Confixx-Entwickler, falls ihr das hier lesen solltet: Es gibt tolle PEAR-Module für IDN-Unterstützung, dann muss nicht extra ein externes Perl-Skript aufgerufen werden, nur um einen Domain-Namen zu konvertieren.

Mit dem Upgrade auf Lenny wurde auch PHP statt in Version 5.2.0 jetzt auf Version 5.2.6 aktualisiert.

Wäre eigentlich kein Problem, wenn nicht – trotz minor Version-Upgrade – die PHP-Entwickler ein relativ zentrales Verhalten geändert hätten.

Bisher war es möglich, Objekte über serialize() in der Datenbank “schlafen” zu legen, und später über unserialize() wieder “aufzuwecken”:

$this = unserialize($data);

Mit PHP 5.2.2 wurde dieser Code komplett zerstört, da auf $this nun nur noch Read-Only zugegriffen werden kann, Schreib-Zugriffe auf das Objekt selbst sind nicht mehr möglich.

Sichtbar wird diese Änderung durch Fehlermeldungen wie:

Cannot re-assign $this in …

Abhilfe? Keine, das Verhalten ist laut PHP-Bugreport erwünscht:

Actually this is expected behavior. We explicitly decided to have $this
being readonly because of interna problems with the new engine.

Das Debian-Projekt hat neue Pakete des Linux-Kernels in Version 2.6.26 veröffentlicht, da mehrere Sicherheitslücken gefunden und behoben wurden.

Weitere Details können bei Debian Security und auf der Debian Security-Mailingliste nachgelesen werden.

Hier stehen erstmal Updates aller Server an – zwar ungünstig, dass so kurz nach den Upgrades erneut Reboots notwendig sind, aber für die Sicherheit aller Systeme gibt es keine anderen Möglichkeiten.

Sehr geehrte Kunden,

wie bereits in unserem Blog angekündigt, werden wir nach internen Tests alle Hosting-Systeme auf das neue Debian Lenny aktualisieren.

Durch Lenny werden alle Server-Anwendungen wie PHP oder mySQL auf neuere Versionen aktualisiert, sowie weiter Sicherheitsupdates durch die Debian-Distribution bereitgestellt. Unsere Kunden mit Django erhalten die neuere Version Python2.5.

Die Wartungsarbeiten zur Umstellung aller Systeme werden am Sonntag, 15.03.2009, zwischen ca. 20:00 Uhr und ca. 22:00 Uhr stattfinden.

In dieser Zeit muss mit kurzzeitigen Störungen der Web-, Mail- und Datenbankserver gerechnet werden.

Aktuelle Hinweise finden Sie wie immer auf unserer Serverstatus-Übersicht:

http://serverstatus.aditsystems.de/

Gerade beim Upgrade des Dell-Servers eines Kunden auf Debian Lenny auf größere Probleme gestoßen:

im Server verbaut sind gesamt vier Netzwerkkarten, davon zwei mit Intel e1000-Chipsatz, sowie zwei Broadcom NetXtreme II.

Verbunden sind die zwei Broadcom-Netzwerkkarten zum Einen mit dem Internet / restlichen Netzwerk, und zum Anderen mit dem Netzwerk zum Backup-Server, die zwei Intel-Netzwerkkarten sind ungenutzt.

Die Intel-Netzwerkkarten machen grundsätzlich keine Probleme, diese wurden problemlos erkannt.

Die Broadcom-Karten zwar auch, aber die Netzwerk-Devices konnten nicht initialisiert werden: Die Firmware für die Broadcom-Karte fehlte.

Wäre normalerweise, sprich in unserer regulären Umgebung, ja kein Problem: Rescue-System des Rechenzentrums booten, Firmware innerhalb des chroot nachinstallieren, Problem gelöst.

Bei HostEurope geht das ganze nicht so einfach: Hier gibts kein Rescue – lediglich einen “Serverrepairmodus”, und der ist Beta, lies: “funktioniert nicht” (zumindest nicht bei diesem Server).

Glücklicherweise gibts da noch ne DRAC5-Karte mit KVM-Möglichkeiten. Nach dem fast schon obligatorischen “racadm dracreset” funktionierte dann auch der Zugriff im Browser.

Nur: wie kann man ohne Netzwerk-Zugriff Daten nachinstallieren? Oh, toll: die DRAC bietet einen “virtuellen Datenträger” an – der jedoch wegen einer etwas komischen Fehlermeldung nicht nutzbar ist, fällt also auch weg.

Nicht zu vergessen sind außerdem die Fehlerquellen, die durch udev und die Zuordnung der NIC via MAC-Adresse zum Netzwerk-Device entstehen …

Letztendlich war der Netzwerk-Zugriff erst wieder möglich, nachdem der alte 2.6.18er Kernel aus Etch gebootet wurde. Nun wurde noch “firmware-bnx2″ nachinstalliert, dem Kernel über “update-initramfs -k all -u” beigebracht, ein beherzter Reboot – und der Server lief wieder.

Da Debian Lenny bereits seit längerem Stable ist, und die Tests intern problemlos verliefen, beginnen wir derzeit mit dem Upgrade aller eigenen und der durch uns betreuten Hosting-Systeme.

Probleme gab es bisher wenige, auf überschriebene Config-Dateien oder ähnliches waren wir dank der Tests bereits vorbereitet, so dass die Änderungen sofort wieder zurückgenommen werden konnten.

Lediglich Confixx zickte etwas: Das Update-Script, das Änderungen im Webinterface effektiv in das System überträgt, basiert auf einem verschlüsseltem Perl-Code. Das Filter-Modul, um das Skript aufrufen zu können, machte jedoch in der von uns eingesetzten Confixx-Version 3.3.2 Probleme. Die Installation des Moduls aus Confixx 3.3.4 brachte Abhilfe.

Auf einem Kunden-System kam es zu komplett unerwarteten Problemen: Debian Lenny bringt keine Unterstützung für Apache1 und – hier Grund gewesen – PHP4 mit. Da der Server bereits seit längerem läuft, und der Kunde die Hosting-Accounts nur zögerlich auf PHP5 migriert hat, musste schnell Abhilfe geschaffen werden. Der Versuch, das vorhandene PHP4-Paket aus Etch neu für Lenny zu übersetzen, scheiterte. In Rücksprache mit dem Kunden haben wir dann den gesamten Server auf PHP5 umgestellt, die Sicht-Überprüfung der Webseiten zeigte keine Fehler. Bisher kam es auch zu keinen Beschwerden.

Wann unsere Hosting-Systeme Mars und Venus migriert werden, steht noch nicht fest – wir werden alle Kunden aber in einer Rundmail über die Wartungsarbeiten informieren.

Seit dem 14. Februar 2009 (Valentinstag – Zufall?) ist Debian in Version 5.0 (Codename “Lenny”) stabil.

Was gibt es neues?

Für uns – wenig: neuere Versionen von Apache, PHP, MySQL, dabei aber keine großen Versionssprünge. Lediglich mit XEN 3.2 gibt es größere Neuerungen (Virtualisierung von Windows ist nun direkt möglich).

Die Umstellung lief auf dem Test-System relativ problemlos, wenn man von Konfigurations-Problemen mit Postfix und Freeradius absieht – hier war Handarbeit notwendig.

Wichtig ist auch die Reihenfolge des Upgrades: Während bei Etch nach dem Anpassen der sources.list ein “aptitude update && aptitude upgrade && aptitude dist-upgrade” reichte, sollte man beim Wechsel auf Lenny etwas anders vorgehen (siehe MDlog/sysadmin):

1. Anpassen der sources.list:

   sed -i 's/etch/lenny/g' /etc/apt/sources.list

2. Update der Paketlisten:

   aptitude update

3. Upgrade der Paketverwaltungs-Programme auf Lenny:

   aptitude install apt dpkg aptitude

4. Nun das Upgrade von etch nach Lenny:

   aptitude full-upgrade

Wird der 3. Schritt nicht durchgeführt, versucht aptitude von Etch, die Abhängigkeiten zu lösen – und scheitert daran.

Statt “dist-upgrade” wird nun “full-upgrade” verwendet, was der Funktionalität aber keinen Abbruch tut.

Im Kundenauftrag wurde soeben ein Server neuinstalliert: Dell-Mietserver, angemietet bei HostEurope, RedHat 4.2, Kernel 2.6.9 – also hoffnungslos veraltet, wurde auch nicht “gepflegt”.

Eigentlich sollte die Neuinstallation über die eingebaute DRAC5-Management-Karte erfolgen, über die sich sogar “virtuelle Medien” einbinden lassen.

Nur funktionierte dort die virtuelle KVM-Konsole nicht, es wurde immer ein “Netzwerkfehler: Zeitüberschreitung” gemeldet, egal in welchem Browser / Betriebssystem (IE6, IE7, Vista64, Vista32, XP32).

Alternative: HostEurope bietet neu einen “Serverrepair-Mode” an, der aber explizit als “(BETA)” markiert ist – dementsprechend funktionierte das ganze auch, nämlich gar nicht: Das System bootete nicht via PXE/Netboot, sondern einfach erneut von der Festplatte. Spezielle Hinweise bzgl. abwarten oder ähnliches fanden sich auch nicht.

Letztendlich wurde die bisherige 2GB-Swap-Partition entfernt, ein vorbereitetes Debian hineinkopiert, Grub über das neue Betriebssystem informiert, und der Server beherzt rebootet – nach 330 langen Sekunden dann der erfolgreiche Login in das “Rescue”-System. Dort dann noch Backups angefertigt, die bisherige /-Partition entfernt, neu aufgeteilt (10GB /, Rest im LVM), Debian eingerichtet, Grub ergänzt, reboot – läuft.

Zum Abschluss erfolgte dann nur noch das (kontrollierte) Einspielen der Backups, die Installation der benötigten Dienste (Web, MySQL, FTP), und ein Funktionstest.

Fehlt nur noch die Rückmeldung des Kunden, ob alles passt, oder ob noch Fehler in der Konfiguration vorhanden sind – nur wird diese jetzt nicht mehr eintreffen

Das einzig negative, abgesehen von den Problemen: HostEurope hat um 21:09 Uhr eine eMail an den Support erhalten, welche laut Mail-Log auch korrekt ausgeliefert wurde. Bis jetzt kam aber weder eine Antwort zurück, noch eine Eingangsbestätigung des Ticketsystems oder ähnlichem …

[Update: HostEurope hat den Fehler in der DRAC-Karte durch den Reset der Karte via SSH gelöst, und der Kunde ist mit dem neuen System zufrieden - so kanns ins Wochenende gehen ]

Wie bereits zuvor berichtet, sind durch Debian Etch einige Neuerungen möglich, die vorher mangels geeigneter Pakete verwehrt blieben.

Für alle Kunden von Vorteil ist der neue Greylisting-Daemon: Statt vorher den sog. “postfix-gld” zu nutzen, greifen wir nun auf “postfix-policyd” zurück. Dieser unterstützt alle Features des Greylistings, ergänzt diese um weitere: So werden nun Mailserver eines Anbieters komplett unabhängig von der verwendeten IP-Adresse vom Greylisting ausgenommen und Mails somit direkt angenommen. Auch werden Server nach 500 erfolgreichen Zustellungen komplett whitelistet, somit alle ankommenden eMails des Systems sofort angenommen.

Durch Etch sind nun auch neuere Versionen der verwendeten Datenbanksoftware MySQL im Einsatz: Ab sofort können Sie auf Version 5.0.32 zurückgreifen. Durch die neue Version befindet sich im PHPMyAdmin eine neue Pseudo-Datenbank namens “information_schema”. Erklärungen über den Nutzen dieser Datenbank finden Sie hier.

Neu in PHP5.2 sind u.a. die Filter-Funktionen: Mit diesen lassen sich Variablen sehr einfach auf “nicht gewünschte” Zeichen filtern. Genaue Erklärungen sind in der PHP.net-Dokumentation zu finden.

Als weitere Neuigkeit können wir das Anbieten von Jabber-Hosting vermelden: Jabber ist ein Instant-Messaging-Protokoll, ähnlich wie ICQ, AIM oder Skype (Textbasiert). Im Gegensatz zu diesen basiert Jabber aber auf einer OpenSource-Implementierung und offenen Standards. Auch lässt sich die komplette Kommunikation zwischen Servern und Clients verschlüsseln, das Protokoll ist also abhörsicher.
Die Jabber-Kontakte ähneln einer eMail-Adresse: Sie können unter info@aditsystems.de uns nicht nur via eMail erreichen, sondern unter dieser Adresse auch via Jabber kontaktieren. Dabei greift der Jabber-Client auf den Server unter “aditsystems.de” zu, um den User “info” dort zu kontaktieren.
Der in Debian Etch mitgeführte Jabber-Server ejabberd unterstützt nun sog. Virtual Hosting – es ist also möglich, eine Kundendomain via Jabber erreichbar zu machen. Für weitere Fragen (Preise) kontaktieren Sie unseren Support unter support@aditsystems.de.
Alle weiteren Details zu Jabber finden Sie in der Wikipedia sowie auf der offiziellen Webseite.

Wir hoffen, dass auch Sie von den Neuerungen profitieren und verbleiben

Mit freundlichen Grüßen,

ADIT Systems

Am heutigen 08.April 2007 wurde der Nachfolger von Debian Sarge veröffentlicht. Die neue “stable”-Version des Debian-Projektes hört auf den Namen Etch und ist ab sofort auf CD/DVD verfügbar (vorzugsweise via BitTorrent).

Im Zuge der neuen Debian-Version werden wir ebenfalls Upgrades der Systeme durchführen, was auch für Sie als Kunden Vorteile bringen wird.

So gehört neben der neuen Apache 2.2.3-Version auch PHP 5.2.0 zu den Paketen. Der MySQL-Server ist in Version 5.0.32 verfügbar, Perl in Version 5.8.8. Das von uns eingesetzte suPHP gibt es in der neuesten Version 0.6.2.

Da es bei so großen Umstellungen immer zu Problemen kann, werden wir alle Kunden via Kundenrundschreiben über die Änderungen informieren und dann auch einen genauen Termin bekannt geben. Wir erwarten jedoch keine großen Schwierigkeiten, in den von uns genutzten Test-Umgebungen ist Etch bereits seit längerem problemlos im Einsatz, PHP5 verwenden wir bereits seit längerem auf allen Servern, was bisher nur geringfügige Änderungen nötig machte.