[Testing] LMN 7.3

Arnaud · 23. Juni 2025 um 07:23

Hi Michael,

Ja, seit 7.3 laufen die Projekte mit virtualenv, und ich habe diesen in /opt/linuxmuster/ gelegt. Es wäre interessant, die erste Fehlermeldung beim Upgrade zu sehen, vielleicht fehlt es etwas in Post-Installationsskript. Ich werde auch von meiner Seite testen.

Gruß

Arnaud

Arnaud · 23. Juni 2025 um 09:57

Hallo Michael,

Kurzer Hinweis: man muss nicht unbedingt linuxmuster-cli schreiben, lmncli macht das gleiche.

Ich glaube es lag daran, dass die Installation von Webui + Base nicht vollständig war, wegen ein Abhängigkeitsproblem bei Ajenti.

Ich habe gerade ein neues Paket für die Webui mit einem Fix gemacht, und teste erneut, ob die Migration klappt.

Gruß

Arnaud

Arnaud · 23. Juni 2025 um 10:55

Hallo,

Bei mir lief mit der neuen Version von Webui die Migration 22.04 → 24.04 durch.
Es gab noch ein kleines Problem mit base:

Listing '/usr/lib/linuxmuster'...
Compiling '/usr/lib/linuxmuster/dhcpd-update-samba-dns.py'...
Compiling '/usr/lib/linuxmuster/environment.py'...
Compiling '/usr/lib/linuxmuster/functions.py'...
Listing '/usr/lib/linuxmuster/setup.d'...
Compiling '/usr/lib/linuxmuster/setup.d/a_ini.py'...
Compiling '/usr/lib/linuxmuster/setup.d/c_general-dialog.py'...
Compiling '/usr/lib/linuxmuster/setup.d/d_templates.py'...
Compiling '/usr/lib/linuxmuster/setup.d/e_fstab.py'...
Compiling '/usr/lib/linuxmuster/setup.d/g_ssl.py'...
Compiling '/usr/lib/linuxmuster/setup.d/h_ssh.py'...
Compiling '/usr/lib/linuxmuster/setup.d/i_linbo.py'...
Compiling '/usr/lib/linuxmuster/setup.d/j_samba-provisioning.py'...
Compiling '/usr/lib/linuxmuster/setup.d/k_samba-users.py'...
Compiling '/usr/lib/linuxmuster/setup.d/l_add-server.py'...
Compiling '/usr/lib/linuxmuster/setup.d/m_firewall.py'...
Compiling '/usr/lib/linuxmuster/setup.d/w_webui.py'...
Compiling '/usr/lib/linuxmuster/setup.d/z_final.py'...
Updating usr.sbin.dhcpd.
You need to restart the server to apply the updated apparmor configuration.
chown: invalid user: ‘ntpsec:ntpsec’
dpkg: erreur de traitement du paquet linuxmuster-base7 (--configure) :
 installed linuxmuster-base7 package post-installation script subprocess returned error exit status 1

Bei mir auf dem Testserver sehe ich folgendes:

$ grep ntp /etc/group
ntp:x:118:

Diese Zeile scheint das Problem zu sein:

github.com

linuxmuster/linuxmuster-base7/blob/52c6291997c8898a9a500d9159bcd46f413ddbd9/debian/postinst#L133


      
          fi
          
          # enable ntp service, change firewall name to ip (#88)
          if timedatectl status | grep -qi 'active: yes'; then
            echo "Disabling timesyncd service."
            timedatectl set-ntp false
          fi
          ntp_logdir="/var/log/ntpsec"
          if [ ! -d "$ntp_logdir" ]; then
            mkdir -p "$ntp_logdir"
            chown ntpsec:ntpsec "$ntp_logdir"
            ntp_restart="yes"
          fi
          if systemctl status ntp | grep -qi 'inactive (dead)'; then
            echo "Enabling & starting ntp service."
            systemctl enable ntp.service
            systemctl start ntp.service
            ntp_restart="no"
          fi
          [ "$ntp_restart" = "yes" ] && systemctl restart ntp.service

@thomas : hast du eine Idee was da scheitert ?

Gruß

Arnaud

Michael · 23. Juni 2025 um 11:52

Hallo Arnaud,
ich habe die VM gerade zurück auf 7.2 gebracht und könnte ein neues linuxmuster-release-upgradestarten. Wenn Du willst, kann ich Dir auch die term.log schicken?
Viele Grüße,
Michael

Arnaud · 23. Juni 2025 um 12:04

Danke, aber wie oben erwähnt habe ich es gefunden und hoffentlich gefixt

Gruß

Arnaud

Michael · 23. Juni 2025 um 15:28

Hi. Ich bekomme weiterhin leider sehr viele dieser Melungen:

Alles Abhängigkeitsprobleme bis auf die ersten Meldungen (Überreste alter Linux-Kernel, die offenbar mal installiert waren)

Michael · 23. Juni 2025 um 15:50

… und wieder ist nach der Neuinstallation von fail2ban Schluss!
Die letzten Zeilen sehen so aus:

Danach geht gar nix mehr … auch keine weitere SSH-Session zu der VM:
ssh connect to host 10.16.1.1 port 22: Network is unreachable! – und Ende.

Es sieht alles danach aus, als würde das Update die DNS-Auflösung der OPNSense irgendwie beeinflussen bzw kappen?!? Ich komme direkt über Proxmox auf eine Shell auf die OPNSense aber da geht dann auch keine Namensauflösung mehr:
ping 1.1.1.1 geht durch aber
ping heise.de nicht mehr!
Ich habe daher die OPNSense in der Testumgebung gerade nochmal neu gestartet.
Dann läuft der linuxmuster-release-upgrade-Befehl immerhin wieder an – aber weiterhin mit der schon oben genannten Fehlermeldung:

thomas · 23. Juni 2025 um 18:30

Hallo Michael,

IMO keine Abhängigkeitsprobleme, das Ubuntu-Release-Upgrade ist nur sehr gesprächig.

Offensichtlich macht fail2ban hier beim Release-Upgrade Probleme. Ich würde das einfach mal deaktivieren.

Ich verstehe das Problem nicht, hier werden doch Pakete heruntergeladen, also funktioniert DNS.

VG, Thomas

thomas · 23. Juni 2025 um 19:22

Hallo Arnaud,

Also bei mir scheitert da nix. Habe eben nochmal ein Release-Upgrade mit aktuellen Paketen durchgeführt. Auf dem aktualisierten System:

❯ grep ntp /etc/passwd
ntp:x:113:117::/nonexistent:/usr/sbin/nologin
ntpsec:x:122:132::/nonexistent:/usr/sbin/nologin
❯ grep ntp /etc/group
ntp:x:117:
ntpsec:x:132:

Nutzer und Gruppe ntpsec werden bei mir während des Release-Upgrades angelegt.

VG, Thomas

Michael · 23. Juni 2025 um 19:59

… aber erst nach dem Neustart der OPNSense! Vorher nicht. Es ist auch noch möglich, dass der DHCP4-Server auf dem Server während des Updates nicht mehr läuft. Der Aufbau ist hier so:

Proxmox-Hypervisor mit folgenden VMs (als Testumgebung):

OPNSense
v7-Server
Cient (mit X11, von dem aus eine SSH-Verbindung zum Server aufgebaut ist und der seine IP vom v7-Server erhält). Von hier aus habe ich beim letzten Mal das linuxmuster-release-upgrade über ssh gestartet. Dieser Client war zwischendurch ebenfalls offline.

Neuer Versuch: Proxmox → direkt über die Konsole vom v7-Server → fail2ban deinstalliert → linuxmuster-release-upgrade direkt ausgeführt…

Michael · 23. Juni 2025 um 20:44

Es bleibt auch hier dabei:
Auch wenn ich das release-upgrade direkt auf dem v7-Server starte und NUR die OPNSense und der v7-Server daran beteiligt sind, ist der v7-Server zwischendurch offline bzw funktioniert die Namensauflösung auf dem v7-Server nicht mehr!

Das Upgrade ist sogar schon ziemlich weit durchgelaufen, aber dann folgt das hier:

Der Vorgang beendet sich am Ende ohne Fehler.

Aber wieder ist es so wie oben:
ping 1.1.1.1 funktioniert aber
ping heise.de nicht (weder auf dem Server noch auf der Firewall)

thomas · 24. Juni 2025 um 06:51

Moin!

Das Release-Upgrade betrifft nur den Server, auf der OPNsense wird dadurch rein gar nichts verändert. Dass während des Upgrades die Internetverbindung wegbricht, habe ich noch nie beobachtet.

Ist die OPNsense auf dem aktuellen Stand 25.1.9_2?
Wie lauten die DNS-Einstellungen auf der OPNsense? S.u.
- System: Einstellungen: Allgemein
- Dienste: Unbound DNS: Query Forwarding
Ist die Serverzeit korrekt?

VG, Thomas

Michael · 24. Juni 2025 um 07:10

Hi.
Als sowohl auf der OPNSense als auch dem v7-Server die Namensauflösung nicht mehr funktioniert hat, habe ich beide neu gestartet. Anschließend funktionierte es natürlich wieder und linuxmuster-release-upgrade lief danach auch durch. Anschließend war Version 7.3 aktiv.

Die Uhrzeit auf beiden VMs stimmt.
Die OPNSense ist auf 25.1.9_2
Query Forwarding: Einträge 1.1.1.1, 9.9.9.9 und 10.16.1.1

Dass die DNS-Auflösung während des Updates nicht mehr funktioniert, könnte doch an SAMBA liegen, oder? Der Dienst muss vielleicht einmal öfter neu gestartet werden??
Viele Grüße,
Michael

thomas · 24. Juni 2025 um 07:11

10.16.1.1 hat an der Stelle nix verloren.

thomas · 24. Juni 2025 um 07:14

Ja, und? Während des Upgrades ist es völlig normal, dass Dienste temporär nicht funktionieren. Dass am Ende alles wieder tut, dafür sorgt das Ubuntu-Release-Upgrade-Skript. Es lädt zunächst alle benötigten Pakete herunter, dann erst werden Software-Pakete installiert und Dienste neu gestartet.

Michael · 24. Juni 2025 um 07:56

Ich meinte das so, dass der Dienst vielleicht einmal mehr neu gestartet werden müsste als das im Moment der Fall ist??

Ich habe den Eintrag 10.16.1.1 auf der OPNSense bei Query Forwarding entfernt aber das Fehlerbild bleibt trotzdem genauso wie bisher: Die Firewall ist zwischendurch „offline“ (genauergesagt: das gleiche DNS-Problem wie oben). Dieses Mal habe ich auf der OPNSense aber
11) Reload all services gewählt. Danach war sie wieder „online“ (genauergesagt: DNS läuft wieder) und der Befehl linuxmuster-release-upgrade lief dann auch durch.
Aber warum das so ist:

Was steht denn bei Dir auf dem v7-Server unter
/etc/resolv.conf – hier zeigt das auf den Server selbst, also 10.16.1.1, was im laufenden Zustand ja auch kein Problem ist. Aber wenn der Dienst stoppt, funktioniert DNS halt nicht mehr
Viele Grüße,
Michael

linuxpiet · 25. Juni 2025 um 21:56

Hallo Zusammen,
Hier kommt das rein, was noch nicht ganz sauber ist richtig?
Ich habe heute nochmal für ein Testsystem from Scratch das 7.3 Setup durchgezogen (ohne Fileserver). Hier ist mir folgendes aufgefallen:

Das Handling mit den ntp.confs klappt noch nicht.
Der laufende ntpsec auf dem LiMu 7.3 verwendet die Konfigdatei /etc/ntpsec/ntp.conf
Vom LiMu wird aber die Datei /etc/ntp.conf geschrieben. Das sind keine Links.

Da ist aber das Driftfile dann falsch konfiguriert (müsste /var/lib/ntpsec/ntp.drift sein)
Das muss aber auch die richtige Datei sein, denn hier steht als Zeitserver die Firewall drin.

Und das Verzeichnis /var/log/ntpsec gibt es nicht.und müsste dann ntpsec:ntpsec gehören.
Erst dann kommen keine Fehlermeldungen bzw. Warnings im journatctl-Log

Oder ist das bekannt?

LGPeter

baumhof · 26. Juni 2025 um 06:38

Hallo Michael,

du den Snapshot zurückgespielt, die 10.16.1.1 entfernt und dann nochmal das UPgrade gemacht?

Dann sollten wir mal alle DNS Einstellungen untersuchen. Vielelicht ist da noch ein anderer Hacken nicht da, wo er hin gehört.
Ich such das nachher mal raus und schreibe einen eigenen Tread dazu.

LG
Holger

baumhof · 26. Juni 2025 um 06:39

Hallo Peter,

das war mir nciht bekannt: Danke für den Hinweis.
LG
Holger

Arnaud · 28. Juni 2025 um 08:37

Hallo zusammen,

Es gab irgend eine Meldung, dass Staff und/oder Parents kein Emaildomän erhalten, aber ich finde die Meldung nicht mehr, und ich habe es gerade auf meinen Testssytem geprüft: ich kann es nicht reproduzieren.

Falls es um eine Besonderheit geht, die ich verpasst habe, bitte einfach hier melden

Gruß

Arnaud