Gestern habe ich meine Rechner aktualisiert, und weil ich mir Downtime sparen wollte* nutze ich nicht FedUp, welches im großen und ganzen ein Offline-Upgrade ist: Es werden alle notwendigen Pakete geladen und anschließend aus einem Minimalsystem heraus installiert.
Stattdessen verwendete ich yum, dabei wird der ganz normale Paketmanager verwendet und zieht das System im laufenden Betrieb hoch – anschließend ein schneller Reboot und alles ist gut. Im Debian-Umfeld ist dies mit „apt-get dist-upgrade“ auch der reguläre Weg, bei RedHat und Abkömmlingen gilt dies aber als nicht empfohlen.
Eigentlich lief alles super: Keine kaputten Dependencies, der neue Kernel wurde sauber gezogen, so weit sah alles gut aus. Wäre da nicht SELinux gewesen – das Filesystem wird wohl beim Upgradepfad über yum nicht sauber neu gelabelt (z.B. #1052317 oder #1004786), wodurch ssh spackelte und auch die Backup-Software** nicht wollte – und viel weiter habe ich dann nicht gesucht; auf wochenlang AVCs nachziehen hatte ich wirklich keine Lust.
Es lief dann auf touch /.autorelabel ; reboot hinaus, was bei meinem Server (im weitesten Sinne…) über 4 Stunden brauchte, dann war es halb eins und ich bin ins Bett gegangen.
Kurz: Ich bin fed up von Upgrades mit yum, beim nächsten Mal nutze ich wieder FedUp ;)
Schneller wäre es natürlich mit dem Abschalten von SELinux gegangen – aber ausgerechnet jetzt die Sicherheit meiner Systeme runterschrauben***?
*) Ich mag den Flag „stable“ meines Tor-Knotens :)
**) BackupPC, das ist so ein dermaßen großartiges Produkt
***) SELinux ist zwar ursprünglich von der NSA entwickelt worden – aber ich traue der Software implizit, da der Aufnahmeprozess in den Linux-Kernel von sehr vielen sehr guten Programmierern unterschiedlichster Nationalität begleitet wird