image

PuTTY-webserver chiark.greenend.org.uk krijgt na bijna 30 jaar 64-bit upgrade

dinsdag 26 juli 2022, 14:43 door Redactie, 9 reacties
Laatst bijgewerkt: 26-07-2022, 17:12

De webserver waarop de website van de populaire ssh-client PuTTY draait is na bijna dertig jaar geüpgraded van Debian i386 naar een 64-bit architectuur. Dat heeft serverbeheerder Ian Jackson bekendgemaakt. Chiark.greenend.org.uk is een server waarop webpagina's van een aantal mensen, mailinglists en git-repositories draaien. Een van de gehoste websites is die van Simon Tatham, de ontwikkelaar van PuTTY.

De Chiark-webserver draait op de Linux-distributie Debian die al in 1993 werd geïnstalleerd. Volgens Jackson is dit mogelijk één van de oudste nog actieve Debian-installaties. De laatste grote upgrade van de webserver was in 2016 naar Debian 8. Een bijkomend probleem is dat de Chiark-server met 32-bit x86 Linux is geïnstalleerd. Inmiddels is 64-bit echter de standaard.

Jackson besloot daarom voor een "crossgrade" te kiezen waarbij hij van een i386-omgeving naar een amd64-architectuur en een compleet nieuwe Debian-versie ging. De upgrade naar Debian Bullseye amd64 ging niet zonder problemen, zo laat de serverbeheerder in een verslag van het proces weten. Niet alleen ging de upgrade lastig, na afloop bleken verschillende zaken niet meer, of niet meer goed te werken, zoals het lezen van Apache-configuratiebestanden, het ontbreken van mailinglistsoftware Mailman en de overstap van Python 2 naar Python 3.

Reacties (9)
26-07-2022, 15:27 door -Peter-
Ik heb niet naar de security impact van niet upgrade van Debian gekeken, maar dit doet me denken aan die afdeling bij ons die aangaf een hostingleverancier te hebben gevonden die 24x7 uptime garandeerde. En na 3 jaar bleek die hoster dat ook gehaald te hebben. De machine was nog geen seconde uit de lucht geweest. Dus ook niet voor upgrades.

Peter
26-07-2022, 16:03 door Anoniem
Eindelijk geupgrade na 30 jaar, nadat de laatste update in 2016 was. Juist.
26-07-2022, 16:05 door Anoniem
De laatste grote upgrade was in 2016, staat in het artikel. Dat lijkt me iets recenter dan 30 jaar geleden...
26-07-2022, 16:22 door Briolet - Bijgewerkt: 26-07-2022, 16:22
Door Anoniem: De laatste grote upgrade was in 2016, staat in het artikel. Dat lijkt me iets recenter dan 30 jaar geleden...

Toch klopt het wel wat er staat. Ik had eerst ook jouw gedachte. Er staat niet dat hij al 30 jaar niet geüpdate is, maar dat hij al 30 jaar op Debian draait.
26-07-2022, 16:26 door Anoniem
Door Briolet:
Door Anoniem: De laatste grote upgrade was in 2016, staat in het artikel. Dat lijkt me iets recenter dan 30 jaar geleden...

Toch klopt het wel wat er staat. Ik had eerst ook jouw gedachte. Er staat niet dat hij al 30 jaar niet geüpdate is, maar dat hij al 30 jaar op Debian draait.
En nog steeds:
server: Apache/2.4.53 (Debian) OpenSSL/1.1.1n mod_perl/2.0.11 Perl/v5.32.1
26-07-2022, 16:47 door Anoniem
Niet alleen ging de upgrade lastig, na afloop bleken verschillende zaken niet meer, of niet meer goed te werken, zoals het lezen van Apache-configuratiebestanden, het ontbreken van mailinglistsoftware Mailman en de overstap van Python 2 naar Python 3.
Dat klopt allemaal, alleen als je steeds versie voor versie upgrade en de bijbehorende documentatie rond het
update proces leest dan kom je daar allemaal wel op tijd achter. "het lezen van Apache configuratie bestanden" dan
heb je het over een issue bij de upgrade van Wheezy naar Jessie. Tja dat hebben de meestan al enige tijd achter ons.
Zelfs met een hoop ervaring ben je toch altijd wel een paar uur zoet met deze klus, en als je zoals Simon geen ervaring
hebt ermee dan kost het extra tijd om tegen deze dingen aan te lopen en ze te fixen.
Je kunt ook een copietje van de VM maken en die in alle rust updaten en testen.
26-07-2022, 17:27 door Anoniem
Ik wil niet een ander operating system erbij halen, maar dit geeft wel aan dat Debian Linux zonder al te veel toeters en bellen best goed online-waardig is...
En nee, ik weet dat Linux in zijn algemeen niet bulletproof is, maar wel kogelwerend... Al moet ik zeggen dat de laatste keer dat ik een Linux server overgenomen heb gehad toch al weer 19 jaar geleden is... En het OS kon er niet zoveel aan doen aan het lek wat in Apache zat. Het OS was ook niet gecompromiteerd, al vond XS4ALL dat minder interessant nadat Apache open-proxy werd.
De techneut van XS4ALL beweerde nog dat ik open-relay was, waarvan ik wist dat het niet klopte omdat ik elk uur daar mijn Linux bak op checkte.
27-07-2022, 12:09 door johanw
Door -Peter-: Ik heb niet naar de security impact van niet upgrade van Debian gekeken, maar dit doet me denken aan die afdeling bij ons die aangaf een hostingleverancier te hebben gevonden die 24x7 uptime garandeerde. En na 3 jaar bleek die hoster dat ook gehaald te hebben. De machine was nog geen seconde uit de lucht geweest. Dus ook niet voor upgrades.

Peter

Het is geen windows, Linux hoeft niet voor elke scheet te rebooten. Zelfs een nieuwe kernel vereist dat tegenwoordig niet meer, al weet ik niet hoe dat 30 jaar geleden zat.
28-07-2022, 13:45 door Anoniem
Door johanw: Linux hoeft niet voor elke scheet te rebooten. Zelfs een nieuwe kernel vereist dat tegenwoordig niet meer, al weet ik niet hoe dat 30 jaar geleden zat.

Tegenwoordig kennen we de Livepatch modus, zodat een system reboot meestal niet nodig is. Daarnaast is het ook mogelijk om op een Linux cluster de veelvoud aan kernels onafhankelijk van elkaar te upgraden, zodat een reboot van de gehele RAID cluster niet nodig is en alles gewoon ongehinderd en geruisloos 24/7 doordendert.

https://en.wikipedia.org/wiki/Linux_kernel#Live_patching


Dertig jaar geleden gebruikten we Wake-On-LAN om Debian 's nachts automatisch bij te werken en te rebooten. :-)
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.