News

Nächste planmäßige Wartung:

Mittwoch, 4. Dezember 2019


Fachbereich Mathematik und Informatik, IT-Dienst

Was muss man beachten wenn man selbstadministrierte Linux-Rechner betreibt.

Das hier muss noch in die Struktur gebracht werden wie z.B.:

Abstract wie: https://www.mi.fu-berlin.de/w/IT/ItServices#Trac

Howto wie: https://www.mi.fu-berlin.de/w/Tec/ItServicesVPN

IT-staff arbeitsfähig auf selbstverwalteten Linux-Rechnern

Laut IT-Sicherheitsrichtlinie der FU muss sich IT-Staff als Administratoren auf den Rechnern anmelden können.

Der/die für die Maschine Verantwortliche muss...

  • seinen Account an support@mi.fu-berlin.de kommunizieren
  • Login für Admin-User per ssh-key sicherstellen.
  • ssh root Passwort-Login verbieten
  • passwortlose Gast-Accounts unterbinden
  • Datensicherung klären
  • das Systems aktuell halten
  • root-mails per /etc/aliases auf den Maschinen-Verantworlichen umleiten

Anforderungen

  • DNS von unseren Servern:
    • ns1.imp.fu-berlin.de, ns2.imp.fu-berlin.de
  • korrekte /etc/resolv.conf -Datei mit mindestens imp.fu-berlin.de im Suchpfad
  • keine leeren Passworte
  • vernünftige Passwort-Policy
  • Liste der angebotenen Dienste (mit Portnummer) an support@mi.fu-berlin.de senden
    • auth gegen FU oder selbst
  • keine unnötigen Dienste anbieten

notwendige Programme

  • Minimum: sudo openssh-server rsync screen/tmux vim-nox wget dnsutils
  • sinnvolle Werkzeuge: hdparm htop iotop lsof lynx netcat-openbsd nmap smartmontools strace sysstat
    • dlocate # falls es ein Debian oder Debian-Derivat ist
  • optional aber sinnvoll:
    • libpam-krb5 # um mit ZEDAT-Passworten zu authentisieren
    • libpam-ldap,libnss-ldap # um unsere Gruppen und User zu nutzen
  • auch noch ganz nett: wake on lan einstellen

notwendige Dateien

Admin-keys und weitere wichtige Dateien liegen im Paket imp-admin-keys von unserem Repository:
https://debian.imp.fu-berlin.de/ ( oder als tar-Archiv in selfadmin.tgz).

Darin enthalten sind
  • /usr/local/home # admin-homes mit ssh-keys der Admins
  • die admin-user-zeilen aus:
    • /etc/passwd
    • /etc/shadow
    • /etc/sudoers
    • /etc/group # sinnvoll mit der aktuellen /etc/group vergleichen
    • /etc/resolv.conf # mit mindestens dem Suchpfad, der per DHCP geliefert wird
  • empfehlenswert:
    • /etc/ldap/ldap.conf # unbedingt, falls unser LDAP benutzt wird
    • /etc/libnss-ldap.conf
    • /etc/krb5.conf

Es reicht, wenn der ssh-Zugriff über diese keys aus dem 160.45.113.0/25er-Netz erlaubt wird.

cut-and-paste für Dummies

für Debian-basierte Systeme

Als root auf der selbstadministrierten Maschine:
# ab hier bitte weiter mit bash
sudo /bin/bash

# unser repository anlegen
echo "deb     http://debian.imp.fu-berlin.de/ stable main" >/etc/apt/sources.list.d/imp.list

# key holen, um NO_PUBKEY vorzubeugen
wget -q -O - https://debian.imp.fu-berlin.de/imp-debian-repo.asc >/tmp/imp-debian-repo.asc

# key installieren
gpg --with-fingerprint /tmp/imp-debian-repo.asc
apt-key add /tmp/imp-debian-repo.asc

# Paketlisten aktualisieren
apt-get update

# admin-keys einfahren und noch fehlende Basis-Pakete installieren
apt-get install imp-admin-keys

für nicht Debian-basierte Systeme

# ab hier bitte weiter mit bash
exec /bin/bash

# absolutes Minimum an Programmen
apt-get -y install sudo openssh-server rsync vim-nox wget libpam-pwdfile

# temp-Verzeichnis zum sauberen Arbeiten
# verschwindet nach dem nächsten Reboot
mkdir /tmp/selfadmin
cd /tmp/selfadmin

# selfadmin.tgz von unserem webserver holen
wget http://www.mi.fu-berlin.de/wiki/pub/IT/LinuxSelbstadministriert/selfadmin.tgz

# auspacken (als root, damit die UserIDs übernommen werden)
# *** NIEMALS *** DIREKT IN '/' auspacken
tar xvzf selfadmin.tgz

# admin-homes mit den keys anlegen
rsync -av usr/local/home /usr/local/

# admin-user an die passwd anhängen
cat tmp/passwd.append >>/etc/passwd
# auch ohne shadow-passworte müssen Admins in /etc/shadow stehen
cat tmp/shadow.append >>/etc/shadow
# passwortloses sudo für die Gruppe adm
cat tmp/sudoers.append >>/etc/sudoers

Ab hier gibt es Tips für sinnvolle Ergänzungen:

apt-get install screen byobu
cp -fb etc/resolv.conf /etc/resolv.conf # gegen namens-auflösungs probleme

vimdiff /etc/group tmp/group.append-all-execpt-duplicates
# oder
# cat tmp/group.append-all-execpt-duplicates >> /etc/group ; $EDITOR /etc/group

# wer unsere ldap-user/gruppen/passworte benutzen will:
apt-get install libnss-ldap libpam-ldap # antworten egal, wir kopieren unsere datei drüber

dpkg-reconfigure libpam-ldap # um ldap in /etc/pam.d anzuschalten

cp -fb etc/ldap/ldap.conf   /etc/ldap/ # für debian
cp -fb etc/ldap/ldap.conf   /etc/   # für ubuntu
cp -fb etc/nsswitch.conf    /etc/
cp -fb etc/libnss-ldap.conf /etc/
cp -fb etc/pam_ldap.conf    /etc/

# wer unser LDAP nutzt, sollte die Maschine auch gegen unberechtigte Nutzung schützen
cp -fb etc/security/access.conf /etc/security/
cp -fb etc/pam.d/common-account /etc/pam.d/

# und unbedingt auch sich selbst login-Rechte geben 8)
# das Einfachste ist eine Zeile "+:username:ALL"
vim /etc/security/access.conf

reboot # damit die LDAP-Zugriffe (user/groups) aktiv werden

# und sein Home anlegen (wenn sie/er sich das erste Mal von remote angemeldet hat)
sudo mkdir -p ~$USER
sudo chown $USER ~$USER

# weitere Werkzeuge bitte
apt-get install hdparm htop iotop lsof lynx netcat-openbsd smartmontools strace sysstat dlocate

# Netzwerktools zur Diagnose
apt-get install dnsutils ngrep nmap tshark procps

# wer X zum konfigurieren von Paketen braucht, ist mit folgendem gut bedient:
apt-get install lxde

# Wer vmware-tools installiert, sollte vorher noch folgendes installlieren:
apt-get install build-essential linux-headers-amd64

Sicherstellen der Aktualität des Systems

Automatische Updates oder per E-Mail informieren lassen

Drucken

siehe https://www.mi.fu-berlin.de/w/Tec/DruckVPN#Ubuntu_12_04

Links

Kommentare

 
Topic attachments
I Attachment Action Size Date Who Comment
selfadmin.tgztgz selfadmin.tgz manage 9.3 K 08 Aug 2019 - 11:19 BodoRiedigerKlaus imp-admin-keys-2.6 (alien --scripts -t)
Topic revision: r61 - 08 Aug 2019, BodoRiedigerKlaus
 
  • Printable version of this topic (p) Printable version of this topic (p)