close
  • person rss_feed

    Adrien Dorsaz’s feed

    Blog

    • chevron_right

      Mise à jour de Debian 8 à Debian 9 : expérience réussie !

      Adrien Dorsaz · Friday, 11 August, 2017 - 14:37 edit · 1 minute

    La mise à jour de mon serveur de Debian Jessie à Debian Stretch s'est plutôt bien déroulée !

    J'ai eu la bonne surprise que certains services critiques ont passé facilement la mise à jour: leur version "Jessie Backports" et Stretch était quasi identique, ce qui m'a permis de m'éviter de devoir replonger dans leur configuration.

    Je pense notamment à exim4 qui a une configuration assez complexe à mettre en place et qui gère mes emails. Systemd, le noyau et les outils BTRFS également ont profité des backports pour migrer en douceur ♥

    Mon serveur XMPP, ejabberd, par contre n'a pas eu cette chance: bien que Jessie backports et Stretch fournissent la même version (16.09), je ne pouvais plus me connecter aux services avec mon certificat ECC (au lieu d'utiliser des clés RSA, j'utilisais des clés ECDSA). La cause est que la version d'OpenSSL n'était pas identique sur les deux configurations et ejabberd n'était donc plus capable de faire des connexions sécurisées correctement.

    Heureusement, grâce aux développements open-source effectués par processone, j'ai découvert que ce problème avait déjà été corrigé au printemps dans les versions récentes d'ejabberd. Du coup, j'ai pu ouvrir un bug chez Debian, et j'ai même pu proposer un patch de correction :)

    La mise à jour n'est pas disponible pour l'instant, elle est en attente de validation par l'équipe de gestion des mises à jour de Stretch. Donc, attendez encore un peu avant de migrer si vous utiliser des certificats ECC avec ejabberd !

    Ah, j'ai eu un autre soucis avec la mise à jour récente d'OpenSSL, l'option ssl_protocols = !SSLv2 n'était plus reconnue. Je l'ai enlevée et ça a fonctionné à nouveau ensuite.

    Avec cette mise à jour, j'en ai profité pour tester Fail2ban avec nftables (le remplaçant d'iptables) et pour faire passer la plupart de mes services à PHP 7.0 (Nextcloud, Movim, FreshRSS, PrivateBin). Wordpress (ou un de ses plugins) n'a pas trop aimé le passage à PHP 7.0, je l'ai donc laissé en PHP 5.6 (merci à PHP-FPM qui me permet de faire cohabiter différentes versions de PHP avec Apache2 !).

    D'ailleurs, comme Movim (avec ejabberd) fonctionne particulièrement bien, je pense que je vais abandonner mon installation de WordPress, ce sera plus simple 😎