Modifications entre les versions 1 et 2
Version 1 à la date du 2019-11-05 16:07:16
Taille: 3878
Commentaire: premier jet…
Version 2 à la date du 2020-05-19 22:59:53
Taille: 4676
Commentaire: iptables vs nftables vs ufw
Texte supprimé. Texte ajouté.
Ligne 36: Ligne 36:
. Aucun problème rencontré pour le moment… ## . Aucun problème rencontré pour le moment…

== iptables ==

Les `iptables` [[https://www.debian.org/releases/buster/amd64/release-notes/ch-whats-new.fr.html#nftables|disparaissent]] au profit de `nftables` (netfilter). Sauf que la migration n'est pas toujours évidente en cas de règles complexes…

Un palliatif temporaire est de lancer `update-alternatives --config iptables` et de choisir `iptables-legacy`. Cela permet de continuer à utiliser `iptables` pour le moment, jusqu'à ce que Debian décide de le retirer (possiblement dans la prochaine version).

Mais [[ProgFou|ma]] recommandation est soit de passer à `ufw` (quand il s'agit d'un hôte) qui simplifie grandement la maintenance et est supporté par Ansible, soit de vous mettre effectivement à `nftables` (quand il s'agit d'une passerelle/routeur/pare-feu).

Merci de bien vouloir compléter ces informations avec vos Problèmes rencontrés lors de migrations en fin de page !

Cette page présente la migration de Debian Stretch (9.x) vers Debian Buster (10.x).

/!\ ATTENTION : Cette page concerne la migration d'un serveur Debian déjà en 64 bits. /!\

Tous les serveurs Debian devant maintenant être installés en 64 bits (amd64).
Or il n'est pas possible de changer d'architecture via une mise à jour standard.
Si votre système est encore en 32 bits (i386), vous DEVEZ le réinstaller.

Pour connaître la technique conseillée pour installer Debian à l'AUF, consultez la page Debian.

Migration de Stretch vers Buster

Commencez par vérifier que votre système est à jour !

  • vérifiez vos sources apt dans /etc/apt/sources.list

  • lancez apt-get update ; apt-get upgrade

  • intégrez les éventuels changements que vous trouverez avec find /etc -name "*.dpkg*" -o -name "*.ucf*"

  • valider toutes les modifications de config' en attente (= commit pré-migration), cf suivi de config'

  • lisez la section « Problèmes rencontrés lors de migrations » ci-dessous, à vérifier avant la migration

Suivez la procédure officielle de mise à jour !

  • /!\ Il faut absolument lire les notes de publications. Cela vous évitera la plupart des problèmes possibles. Si vous hésitez à mettre à jour un serveur en production, contactez d'abord la liste Tech@AuF afin que nous étudions ensemble les problèmes potentiels.

  • /!\ Il est également fortement recommandé de lire les problèmes à connaître pour Buster.

  • (!) Pendant la migration, quand on vous propose de choisir entre votre ancienne configuration et celle proposée par Debian, dans la plupart des cas il est préférable de choisir cette dernière (celle de Debian) pour éviter une interruption de la mise à jour faute de configuration valide. Vous pourrez (et DEVREZ) de toutes façons ré-intégrer vos modifications ensuite à partir des fichier .dpkg-old ou .ucf-old (ou de votre dernière sauvegarde).

  • /!\ Attention : il s'agit d'intégrer les modifications de l'ancienne configuration et non pas simplement recopier l'ancien fichier de configuration ! Ce dernier pourrait ne plus être compatible avec la nouvelle version et rendre alors le système inutilisable.

Finalisez la mise à jour

  • une nouvelle fois (c'est important !! risque de régression à défaut !!), intégrez les éventuels changements que vous trouverez avec find /etc -name "*.dpkg*" -o -name "*.ucf*"

  • cherchez s'il reste des paquets non-Debian : aptitude search ~i\!~Odebian

  • aptitude affichera la liste des paquets installés qui ne sont pas originels d'une archive Debian officielle

  • valider toutes les modifications de config' résultantes (= commit post-migration), cf suivi de config'

  • utiliser l'outil check-support-status (fournit par le paquet debian-security-support) pour vérifier quels paquets installés ne bénéficient plus du support de sécurité de Debian

Problèmes rencontrés lors de migrations : À LIRE AVANT DE MIGRER !!

iptables

Les iptables disparaissent au profit de nftables (netfilter). Sauf que la migration n'est pas toujours évidente en cas de règles complexes…

Un palliatif temporaire est de lancer update-alternatives --config iptables et de choisir iptables-legacy. Cela permet de continuer à utiliser iptables pour le moment, jusqu'à ce que Debian décide de le retirer (possiblement dans la prochaine version).

Mais ma recommandation est soit de passer à ufw (quand il s'agit d'un hôte) qui simplifie grandement la maintenance et est supporté par Ansible, soit de vous mettre effectivement à nftables (quand il s'agit d'une passerelle/routeur/pare-feu).


Debian/Buster (dernière édition le 2020-05-22 00:01:42 par JeanChristopheAndré)