Update best practices

[Eatingmuchly]

Hi all

On my Debian servers I usually run apt updates daily to keep things up to date with the latest security patches.

A colleague has suggested I don't need to do this and only need to run updates on pve when a new version number is released by the proxmox team.

Can someone confirm the best practice for maintaining a PVE server?

Thank you

 

[willian Junio]

Boa Tarde!
Gostaria de uma ajuda, estou tentando verificar se há alguma atualização do proxmox rodando ou o comando apt-get update atualize porem sempre me apresenta um erro de erro:

root @ cismesf: ~ # apt-get update
Erro: 1 http://security.debian.org buster / atualizações InRelease
Falha temporária na resolução de 'security.debian.org'
Erro: 2 http://deb.debian.org/debian buster InRelease
Resolução temporária de falha 'deb.debian.org'
Erro: 3 http://deb.debian.org/debian buster-updates InRelease
Resolução temporária de falha 'deb.debian.org'
Lendo listas de pacotes ... Concluído
W: falha ao buscar http://deb.debian.org/debian/dists/buster/InRelease Falha temporária na resolução de 'deb.debian.org'
W: falha ao buscar http://deb.debian.org/debian/dists/buster-updates/InRelease Falha temporária na resolução de 'deb.debian.org'
W: falha ao buscar http://security.debian.org/dists/buster/updates/InRelease Falha temporária na resolução de 'security.debian.org'
W: Falha no download de alguns arquivos de índice. Eles foram ignorados, ou antigos usados em seu lugar.

Como posso corrigir sou novo na proxmox podem me ajudar ou me dizer quais os link correto que ela busca atualização dos paconte, isso passou a ocorrer depois que atualizei do 5.4 para o 6.0-5

 

[Astraea]

Eatingmuchly:
For myself, I do my updates on a schedule of once a month give or take a few days.

I start by backing up my Services that are on my VMs that have internal backup functions (IE: pfSense has a method to backup the configuration files built-in). I then shutdown and backup all the VMs themselves.

I then update my Proxmox nodes starting with one that is least important to make sure things go smoothly. If I am concerned there could be a problem or it is a major jump (IE: 5 to 6) I run a test machine with a copy of the node's HDD and test it on spare hardware first Once all the nodes are updated I restart them all and make sure they come up clean and are stable.

Then I start one VM at a time and update it, then restart and make sure everything working before moving to the next. I do this as all my VMs with a few exceptions are Ubuntu 18.04 so I can limit my recovery should anything go wrong.

All in all, it takes me about 2 to 3 hours to update my entire network which includes 4 Proxmox Nodes, 15 VMs, 2 Linux desktops, 1 Windows desktop, several switches, wireless access points and other hardware.

William:
Sounds like your Proxmox node is unable to resolve the required repositories are you able to ping something like 8.8.8.8? what does your sources list look like?

 

[paradox55]

On my Debian servers I usually run apt updates daily to keep things up to date with the latest security patches.

Proxmox shouldn't be on a public network so security updates would only apply to the kernel and qemu/lxc. Everything else would just open up the possibility of bugs.

Ceph, the proxmox cluster, etc - they should all be on their own private network.

 

[willian Junio]

[QUOTE = "Astraea, post: 264954, membro: 60336"]
Comer muito:
Para mim, eu faço minhas atualizações em uma programação de uma vez por mês, mais ou menos alguns dias.

Como fazer backup dos meus Serviços que estão nas minhas VMs que possuem funções internas de backup (o IE: pfSense possui um método para fazer backup dos arquivos de configuração embutidos). Encerre e faça backup de todas as VMs em si.

Em seguida, atualize o Proxmox, inicie o menos importante para garantir que tudo corra bem. Se estiver preocupado, pode haver um problema ou é um grande salto (IE: 5 a 6). Execute uma máquina de teste com uma cópia do disco rígido do nó e faça o primeiro teste de hardware sobressalente. Depois de todos os que estão sendo exibidos, reinicializar tudo e verificar se estão armazenados e estáveis.

Então, inicie uma VM por vez, atualize, reinicie e verifique se tudo está funcionando antes de passar para a próxima. Faça isso porque todas as minhas VMs, com algumas exceções, são o Ubuntu 18.04, para que eu possa limitar minha recuperação caso algo errado esteja errado.

Em geral, levo cerca de 2 a 3 horas para atualizar toda a minha rede, que inclui 4 nós Proxmox, 15 VMs, 2 desktops Linux, 1 desktop Windows, vários switches, pontos de acesso sem fio e outro hardware.

William:
Parece que seu nó Proxmox não consegue resolver os repositórios necessários. Você consegue executar algo como 8.8.8.8? como é sua lista de fontes?
[/ CITAR]

Ping normal, isso começou a quando vi em um post alguns endereços de atualização de pacotes

 

[Astraea]

I havent upgraded to 6 yet but I am planning to do that this week coming up. Maybe someone who is running 6 can chime in.

 

[gradinaruvasile]

Proxmox shouldn't be on a public network so security updates would only apply to the kernel and qemu/lxc. Everything else would just open up the possibility of bugs.

Ceph, the proxmox cluster, etc - they should all be on their own private network.

If you have a license it will fail to work. You NEED outgoing internet connection for these updates.
You don't need to expose it to internet directly, just allow it to initiate outgoing connections.

 

[paradox55]

If you have a license it will fail to work. You NEED outgoing internet connection for these updates.
You don't need to expose it to internet directly, just allow it to initiate outgoing connections.

Yes, what about it?

Download the .deb packages (QEMU/Proxmox/Kernel) with your public facing server, copy packages to private servers and run dpkg -i

There are a lot of ways around this issue.

 

[gradinaruvasile]

Yes, what about it?

Download the .deb packages (QEMU/Proxmox/Kernel) with your public facing server, copy packages to private servers and run dpkg -i

There are a lot of ways around this issue.

If you have a subscription, i don't know how you will do it as you have to authenticate the repo.

Edit: the updates are for proxmox from their repo and for debian itself from the debian repos. You need all of them.
And speaking of threat models, what is the typical issue you think could happen if you have a management vlan that can initiate connections for update purposes (if you say dns redirection, spoofed repos with malicious packages, that would affect the other server too) ? I'd say there is no real security benefit. Mind you, the management vlan should absolutely be restricted to admins only.

 

[paradox55]

If you have a subscription, i don't know how you will do it as you have to authenticate the repo.

The exact way I just mentioned.

The repo is just deb packages. You can move and install deb packages between nodes.

EDIT:

Edit: the updates are for proxmox from their repo and for debian itself from the debian repos. You need all of them.
And speaking of threat models, what is the typical issue you think could happen if you have a management vlan that can initiate connections for update purposes (if you say dns redirection, spoofed repos with malicious packages, that would affect the other server too) ? I'd say there is no real security benefit. Mind you, the management vlan should absolutely be restricted to admins only.

It's not my job to tell you how to admin your cluster.

And if you have a subscription with proxmox that includes support. They can help you with this setup.

I would never have a public facing proxmox on my homelab. The VM's are the only thing that would be public facing.

Proxmox allows private communication between nodes. You can setup one public facing server, the private cluster will communicate to the public facing server for licensing reasons. You don't need every proxmox setup on the public internet. You can further restrict all ports.

If you're smart you'll restrict inbound/outbound to two apt source ips. One being the enterprise repo and the other being a regular debian repo.

Then you copy the .deb files as mentioned above.

Further, unless you're upgrading from proxmox 5 to 6 or experience a critical bug the only debian packages you should be updating are the kernel and qemu. Everything else won't affect the VM security or operation.

QEMU doesn't even need the proxmox license or repo. You can compile qemu from source as well.

Technically, the kernel doesn't have to be from the proxmox repo either.

 

[gradinaruvasile]

The exact way I just mentioned.

The repo is just deb packages. You can move and install deb packages between nodes.

The subscription repos have authentication, thet cannot be accessed by anyone. Also subscriptions need internet connectivity for activation.

 

[paradox55]

The subscription repos have authentication, thet cannot be accessed by anyone. Also subscriptions need internet connectivity for activation.

Please read my above reply.

I'm pretty happy with my current setup. I don't need their subscription support. Everything in their repo can be installed manually with the debian packaging - it just won't be on the proxmox gui.

 

[willian Junio]

Boa noite!
Gostaria de saber se seria possível, fazer a correção destes repositório e o arquivo que ler os links de atualizações, se sim o que devo fazer, como eu disse no post acima sou novo nesta area da proxmox, mas gostaria muito de não desistir agora ou de reinstalar a proxmox, ate porque ela ja esta em, um detalhe importante e que no inicio atualizou de boas mas depois sempre dar o erro citado no post acima.

 

[willian Junio]

[QUOTE = "willian Junio, post: 264948, membro: 77236"]
Boa Tarde!
Quero uma ajuda, estou tentando verificar se há alguma atualização do proxmox rodando ou o comando apt-get update atualize porem sempre me apresenta um erro de erro:

root @ cismesf: ~ # apt-get update
Erro: 1 http://security.debian.org buster / atualizações InRelease
Falha temporária na resolução de 'security.debian.org'
Erro: 2 http://deb.debian.org/debian buster InRelease
Resolução temporária de falha 'deb.debian.org'
Erro: 3 http://deb.debian.org/debian buster-updates InRelease
Resolução temporária de falha 'deb.debian.org'
Lendo listas de pacotes ... Concluído
W: falha ao buscar http://deb.debian.org/debian/dists/buster/InRelease Falha temporária na resolução de 'deb.debian.org'
W: falha ao buscar http://deb.debian.org/debian/dists/buster-updates/InRelease Falha temporária na resolução de 'deb.debian.org'
W: falha ao buscar http://security.debian.org/dists/buster/updates/InRelease Falha temporária na resolução de 'security.debian.org'
W: Falha no download de alguns arquivos de índice. Eles eram ignorados, ou antigos usados em seu lugar.

Como posso corrigir o novo proxy, posso me ajudar ou dizer o que é o link correto que ela busca atualização do paconte, que ocorreu depois que o atualize da versão 5.4 para 6.0-5
[/CITAR]



Boa noite!
Gostaria de saber se seria possível, fazer uma correção desses repositórios e o arquivo que ler os links de atualizações, se sim ou que devo fazer, como eu disse no post acima acima novamente na área de proxmox, mas gostaria muito de não desistir agora ou de reinstalar um proxmox, comer porque ela já está em um item importante e que não é iniciado no momento, mas depois de sempre ou o erro citado no post acima.

 

[LnxBil]

I'm pretty happy with my current setup. I don't need their subscription support. Everything in their repo can be installed manually with the debian packaging - it just won't be on the proxmox gui.

You can have anything you want - also in the gui. If you use the no-subscription repository (https://pve.proxmox.com/wiki/Package_Repositories#_proxmox_ve_no_subscription_repository) , you can even mirror it locally on another server and access it from your PVE box that has not internet access, but access to the internal proxy. For a bigger network, I always recommend a Debian and PVE mirror.

 

[Stoiko Ivanov]

Quero uma ajuda, estou tentando verificar se há alguma atualização do proxmox rodando ou o comando apt-get update atualize porem sempre me apresenta um erro de erro:

root @ cismesf: ~ # apt-get update
Erro: 1 http://security.debian.org buster / atualizações InRelease
Falha temporária na resolução de 'security.debian.org'
Erro: 2 http://deb.debian.org/debian buster InRelease
Resolução temporária de falha 'deb.debian.org'
Erro: 3 http://deb.debian.org/debian buster-updates InRelease
Resolução temporária de falha 'deb.debian.org'
Lendo listas de pacotes ... Concluído
W: falha ao buscar http://deb.debian.org/debian/dists/buster/InRelease Falha temporária na resolução de 'deb.debian.org'
W: falha ao buscar http://deb.debian.org/debian/dists/buster-updates/InRelease Falha temporária na resolução de 'deb.debian.org'
W: falha ao buscar http://security.debian.org/dists/buster/updates/InRelease Falha temporária na resolução de 'security.debian.org'
W: Falha no download de alguns arquivos de índice. Eles eram ignorados, ou antigos usados em seu lugar.

Como posso corrigir o novo proxy, posso me ajudar ou dizer o que é o link correto que ela busca atualização do paconte, que ocorreu depois que o atualize da versão 5.4 para 6.0-5

Please post in english (use an online translator (e.g. google translate) if you want) - otherwise it is really hard to provide some help.

It looks like you have a problem with DNS resolution on this host (deb.debian.org and security.debian.org cannot be resolved to IP addresses)

I hope this helps!

 

[willian Junio]

Please post in english (use an online translator (e.g. google translate) if you want) - otherwise it is really hard to provide some help.

It looks like you have a problem with DNS resolution on this host (deb.debian.org and security.debian.org cannot be resolved to IP addresses)

I hope this helps!

Obrigado!
Conseguir resolver, tinha backup de uma outra vm minha e fiz substituição do arquivo source.list e funcionou bacana.