Apache Update sicher durchführen


Fonsi-Heizer

Mitglied
Hallo Com,

ich suche nach einer Anleitung wie ich sicher und ohne Datenverlust auf einem Debian Server (Jessie 8.5) die Apache Version von 2.4.10 auf 2.4.23 updaten kann um HTTP/2 zu aktivieren.

Habt Ihr damit schon Erfahrungen, und auf was muss ich besonders achten? Backup / Snapshot des kompletten V-Servers liegt beim Hoster und kann jederzeit zurück gespielt werden. Auf diese "Absicherung" will ich aber nur im äußersten Notfall zurückgreifen. Danke.
 

sheel

I love Asm
Hi

willst du
a) auf Debian Unstable wechseln (einfach, und Unstable/Sid ist generell recht recht brauchbar, aber eben doch nicht 100% Stable => Evt. bekommt man Funktionsprobleme, jetzt oder auch irgendwann in der Zukunft),
oder b) Apache selbst kompilieren (weniger Risiko dass was kaputtgeht (verglichen zur Änderung des Gesamtsystems), aber viel mehr Aufwand, und zwar nach jeder kleinen neuen Version von Apache immer wieder)
?

Zum Datenverlust: Hast du was Bestimmtes im Sinn? Ein Risiko für die Webseiten seh ich nicht (zumindest keins, dass es nicht sonst auch immer gibt, zB. Festplattenschaden)

(Imho würd ich gar nichts davon nehmen, und die nächste große Debianversion abwarten. HTTPS2 ist nicht soo toll, dass sich so ein Zusatzaufwand lohnt)

(PS: Die Unstable-Möglichkeit gibt es in dem Fall ab 05.07.2016, vorher war auch diese Apacheversion unter der geforderten)
 

Fonsi-Heizer

Mitglied
Hallo @sheel ich tendiere eindeutig zu Variante B!

Bis Debian das nächste "große" Update veröffentlicht kann es Erfahrungsgemäß etwas dauern. Ab 2.4.17 wird HTTP/2 unterstützt. Ich dachte mir das ich gleich das Update auf die neueste Build mache!

Nein, ich habe nichts bestimmtes im Sinn, möchte nur nicht durch den Updatevorgang bestehende Webseiten zerschießen oder gar die ganze Serverkonfig neu machen müssen!

Laut Dokumentation kann man eine neuere Version auch zeitgleich zur alten installieren! Das wäre ja einmal eine Minderung des Risikos.

Sie sollten jede neue Version immer in Ihrer Umgebung testen, bevor Sie sie produktiv schalten. Beispielsweise können Sie die neue Version neben der alten installieren, indem Sie ein anderes --prefix und einen anderen Port wählen (durch Anpassen der Listen-Direktive). So können Sie auf eventuelle Inkompatibilitäten testen, bevor Sie endgültig die neue Version verwenden.

LG
 

Bratkartoffel

gebratene Kartoffel
Premium-User
Hi,

selbst compilen ist auch nicht so die Top-Wahl meiner Meinung nach. So "verschläfst" du relativ einfach Sicherheitsupdates und musst bei jedem Patch dann manuell nach-compilen. Entweder du erstellst dir einen Icinga / Nagios / (was du zur Überwachung verwendest) -Check, der das automatisiert oder du verwendest den Apache aus unstable mit Apt-Pinning. (Google sollte zu dem Thema einiges finden).

Auf meinem Webserver habe ich vor dem Apache ein nghttpx-proxy laufen, dieser dient nicht nur als TLS-Endpoint, sondern auch gleich als HTTP/2 Server.

Grüsse,
BK
 

sheel

I love Asm
(Bez. Pinning: Wenn man es mit dem aktuellen Build überhaupt zum Laufen bringt... vielleicht schauts mit dem nächsten Paket ja besser aus, aber zurzeit scheint das wegen den Abhängigkeiten nicht so recht zu klappen)