Hybris

riecken.de war seit ges­tern Abend bis heu­te ca. 10:12 Uhr down. Nach ers­ter Ana­ly­se der Kata­stro­phe habe ich get­wit­tert:

riecken.de ist down. Aber so rich­tig. Mor­gen im Lau­fe des Tages :o)…

An der Geschich­te dazu kann man sehr schön sehen, wie man sich im Ser­ver­be­trieb nicht ver­hal­ten soll­te. Ich schrei­be mal das Elend auf:

  1. Die Schul­home­page muss­te mal irgend­wann von Joom­la 2.5.x auf Joom­la 3.x geup­datet wer­den. Um das vor­zu­be­rei­ten, habe ich das mal eben auf mei­nen eige­nen Ser­ver nach­ge­baut, d.h. besag­te Home­page 1:1 kopiert.
  2. Das Update klapp­te nach dem Ent­fer­nen des von einer Agen­tur erstell­ten The­mes und Umschal­tung auf ein Stan­dard­the­me, ließ mich aber wis­sen, dass die PHP-Ver­si­on von Debi­an squee­ze zu alt dafür sei.

Es gab jetzt meh­re­re Mög­lich­kei­ten:

  1. eine neue­re PHP-Ver­si­on aus den Debi­an­back­ports ein­spie­len
  2. es auf einem ande­re Ser­ver mit Debi­an whee­zy noch­mal ver­su­chen
  3. gleich die Gunst der Stun­de nut­zen und den Ser­ver auf whee­zy updaten

Da es schnell und mög­lichst „unat­ten­ded“ (ohne Nut­zer­ein­griff von mir) gehen soll­te, war natür­lich Vari­an­te 3 nahe­lie­gend. Eigent­lich macht man vor so einem Ein­griff noch­mal ein Back­up – das geht bei mei­nem Hos­ter sogar beson­ders bequem – es han­del sich um einen KVM-VSer­ver, der mir einen Snapshot erlaubt (Apple hat die­ses uralte Ver­fah­ren aus der Unix­welt kopiert, mit einer groo­vi­gen Ober­flä­che ver­se­hen und nennt es Time­Ma­chi­ne), d.h. ich kann den Zustand des Sys­tems per Klick sichern und spä­ter im Feh­ler­fall wie­der her­stel­len – nur ver­bun­den mit einer kur­zen Down­ti­me.

Och, bei dei­nen letz­ten Debian­up­dates ist noch nie was schief­ge­gan­gen.

Dies­mal schon. Meh­re­re essen­ti­el­le Diens­te lie­fen in nicht auf­lös­ba­re Paket­kon­flik­te und moch­ten nicht mehr star­ten. Außer dem dem fami­liä­ren Mail­sys­tem ging nichts mehr. Auch das soll­te sich noch ändern.

Die gran­dio­se Idee:

Ich siche­re das Sys­tem jeden Tag inkre­men­tell bei mir zu Hau­se über einen rsync-Mecha­nis­mus (genau der dürf­te auch hin­ter Time­Ma­chi­ne ste­cken), d.h. ich kann an jeden Tag der letz­ten drei Mona­te zurück­ge­hen. Also flugs den alten Datei­zu­stand wie­der hin­über­ko­piert. Ergeb­nis: Sys­tem uner­reich­bar und star­tet nicht mehr.

Hm. Eh egal. Der Ser­ver wur­de neu mit Debi­an squee­ze instal­liert und nach­mal eine Rück­si­che­rung pro­biert. Ergeb­nis: Bei VSer­vern klappt das mit der Rück­si­che­rung so offen­bar nicht.

Na dann. Neu­es Debi­an whee­zy Image drauf und auf die har­te Tour nach und nach die wich­tigs­ten Diens­te kon­fi­gu­rie­ren (die Con­fig­da­tei­en gab es ja in der Siche­rung). Mit einem Upload von 6Mbit/s dau­ert die Daten­über­tra­gung nun natür­lich etwas län­ger als die Daten­si­che­rung (100 Mbit/s Down­stream). Ver­schärft wird das dadurch, dass wir imap nut­zen und so ca. 2GB in klei­nen Datei­en brau­chen durch den Pro­to­koll­over­head noch­mal län­ger.

Aber nach ca. 1,5 Stun­den akti­ver Arbeit am PC mit meh­re­ren im Hin­ter­grund lau­fen­den Screen­ses­si­ons für die Kopier­pro­zes­se lau­fen jetzt die wich­tigs­ten Mail- und Web­diens­te wie­der und ich kann jetzt kom­for­ta­bel den Rest Stück für Stück nach­zie­hen. Neben­bei habe ich Debi­an whee­zy als Unter­bau und damit PHP5.4.x – da könn­te ich doch gleich mal eben die Schul­home­page …

Leh­ren

  • Wenn etwas weg ist, merkst du erst sei­ne Wich­tig­keit
  • Nie­mand will ein Back­up, alle wol­len ein Res­to­re
  • Arbeits­pro­zes­se, die man im Job selbst­ver­ständ­lich macht, haben auch ihren Sinn im pri­va­ten Umfeld
  • Die binä­ren Daten­bank­da­tei­en von MySQL5.1 und MySQL5.5 sind zuein­an­der kom­pa­ti­bel

 

In eigener Sache: riecken.de über https verfügbar

Nach einer Über­gangs­zeit von weni­gen Wochen wird riecken.de aus­schließ­lich SSL-ver­schlüs­selt abzu­ru­fen sein. Damit ist die Daten­über­tra­gung zu und von die­ser Sei­te durch einen 2048­Bit-RSA-Key gesi­chert. Der Daten­ver­kehr zwi­schen Brow­ser riecken.de ist dann nur mit gro­ßem Auf­wand abzu­hö­ren.

Die­ses Fea­ture ist pri­mär für mich wich­tig, da ich die­se Sei­te auch von öffent­li­chen Netz­wer­ken aus pfle­ge, über die ansons­ten z.B. mei­ne Log­in­da­ten im Klar­text aus­les­bar sind (mit völ­li­gen lega­len und frei ver­füg­ba­ren Netz­werk­ana­ly­se­tools wie Wire­Shark). Mich haben im letz­ten Jahr die Ana­ly­se­er­geb­nis­se von Wire­shark in ver­schie­de­nen öffent­li­chen Netz­wer­ke gera­de­zu scho­ckiert – vie­le Anwen­der sind sich des Risi­kos unge­si­cher­ter Ver­bin­dun­gen offen­bar nicht im Ansatz bewusst – dass ein Blog in frem­de Hän­de fällt, mag nicht über­aus schlimm sein, aber es wird oft genug das iden­ti­sche Pass­wort für unter­schied­li­che Diens­te genutzt.

Für die aller­meis­ten Feed­rea­der und Brow­ser dürf­te das kei­ne Anpas­sun­gen erfor­dern. Trotz­dem emp­feh­le ich, ggf, schon jetzt das Abon­ne­ment der Feed-URL von http auf htt­ps umzu­stel­len. Ich nut­ze ein kos­ten­lo­ses Ser­ver­zer­ti­fi­kat von StartS­SL, wel­ches von den meis­ten neue­ren Brow­sern und End­ge­rä­ten ohne Zer­ti­fi­kats­war­nung akzep­tiert wird. IE6.0&7.0 und sehr frü­he Andro­id­ver­sio­nen wer­den nicht unter­stützt und geben Feh­ler­mel­dun­gen aus, wel­che die Funk­ti­on der Sei­te aber nicht beein­flus­sen.

Die Instal­la­ti­on eines StartS­SL-Zer­ti­fi­kats erfor­dert Root­rech­te oder ein ent­spre­chend vor­kon­fi­gu­rier­tes Web­pa­ket und ist nicht per Plugin zu bewerk­stel­li­gen.