Re: iptables-Änderungen via SSH?

To: debian-user-german@lists.debian.org
Subject: Re: iptables-Änderungen via SSH?
From: Spiro Trikaliotis <list-debian-user-german@spiro.trikaliotis.net>
Date: Mon, 11 Jan 2016 20:28:59 +0100
Message-id: <[🔎] 20160111192859.GA2284@hermes.local.trikaliotis.net>
Mail-followup-to: debian-user-german@lists.debian.org
In-reply-to: <[🔎] 20160111184755.GT5129@well-adjusted.de>
References: <[🔎] 5693F268.9090800@gmx.de> <[🔎] 20160111184755.GT5129@well-adjusted.de>

Hallo,

* On Mon, Jan 11, 2016 at 07:47:55PM +0100 Jochen Spieker wrote:

> > Was ich nun gerne wissen würde: Was passiert mit der laufenden
> > SSH-Session während dieses mutmaßlichen iptables-Regeln-Löschens und
> > -Neu-Setzens? Bleibt die bestehen oder wird die mit "abgeräumt"?

[...]

> Ich würd das in jedem Fall mit screen bzw. tmux machen, dann verlierst
> Du nach dem Reconnect zumindest nicht Deine Shell.

Es hilft auch, weil das Skript dann auch auf jeden Fall durchläuft und
nicht gefahr läuft, mittendrin einfach abgebrochen zu werden, weil die
ssh-Session zusammenbricht.

Wenn ich solche Dinge machen dann sorge ich darüber hinaus auch dafür,
dass ich eine Kopie der kritischen Skriptes in der JETZIGEN Form habe.
Per atd wird es dann wenige Minuten in der Zukunft gestartet.

Ich verändere dann eine Version des Skriptes, die ich dann VON HAND
starte.

Weiterhin habe ich noch eine Job per atd, in noch etwas größerer Zukunft
den Rechner neu zu starten.

Hintergrund: Hat man Skript einen Fehler, und ich bin ausgesperrt,
versucht der erste at-Job, den alten Zustand wiederherzustellen.

Klappt das aus irgendeinem Grund nicht, dann sorgt der zweite Job dafür,
dass die Kiste neu startet. Danach sollte nun wirklich alles klappen.

Wenn nach dem Skript alles funktioniert (Achtung: Versuche auch, eine
NEUE ssh-Session aufzumachen! Es könnte sonst sein, dass die jetzige
noch läuft, aber eine neue Verbindung abgelehnt würde!), werden die
beiden atd-Jobs gelöscht.

Dann erst wird das neue Skript für den Boot-Vorgang scharf geschaltet.

Wenn du ganz paranoid bist sorge dann noch dafür, dass eine gewisse Zeit
nach dem Booten das alte Skript wieder gestartet würde.

Nun Neustart: Funktioniert alles mit dem neuen Skript, das alte Skript
inaktiv schalten und löschen (oder anderweitig archivieren).

Gibt es hingegen mit dem neuen Skript Probleme, wird (hoffentlich)
wieder das alte aktiviert und du must auf Fehlersuche gehen.

Schön an dem Verfahren ist, dass es auch fail-safe ist, falls
zwischendurch bei dem Rechner ein Reboot passiert oder der Strom
ausfällt. Du bist auch dann jederzeit in der Lage, auf den alten Zustand
zurückzugehen.

So gehe ich auch vor, wenn ich zum Beispiel den sshd umkonfiguriere. In
diesem Fall starte ich *zusätzlich* noch einen zweiten sshd auf einem
anderen Port, um die Konnektivität zu erhalten.

Beste Grüße,
   Spiro.

-- 
Spiro R. Trikaliotis
http://www.trikaliotis.net/

Reply to:

Follow-Ups:
- Re: iptables-Änderungen via SSH?
  - From: Juergen Christoffel <jc.debian16@unser.net>

References:
- iptables-Änderungen via SSH?
  - From: Sebastian Suchanek <sebastian.suchanek@gmx.de>
- Re: iptables-Änderungen via SSH?
  - From: Jochen Spieker <ml@well-adjusted.de>

Prev by Date: Re: lightdm .Xauthority in udev rules
Next by Date: Re: iptables-Änderungen via SSH?
Previous by thread: Re: iptables-Änderungen via SSH?
Next by thread: Re: iptables-Änderungen via SSH?
Index(es):
- Date
- Thread