Fachbereich Mathematik und Informatik, IT-Dienst

Was muss man beachten wenn man selbstadministrierte Linux-Rechner betreibt.

Das hier muss noch in die Struktur gebracht werden wie z.B.:

Abstract wie: https://www.mi.fu-berlin.de/w/IT/ItServices#Trac

Howto wie: https://www.mi.fu-berlin.de/w/Tec/ItServicesVPN

IT-staff arbeitsfähig auf selbstverwalteten Linux-Rechnern

Laut IT-Sicherheitsrichtlinie der FU muss sich IT-Staff als Administratoren auf den Rechnern anmelden können.

Der/die für die Maschine Verantwortliche muss...

  • seinen Account an support@mi.fu-berlin.de kommunizieren
  • Login für Admin-User per ssh-key sicherstellen (siehe unten).
  • ssh root Passwort-Login verbieten
  • passwortlose Gast-Accounts unterbinden
  • Datensicherung klären
  • das Systems aktuell halten
  • root-mails per /etc/aliases auf den Maschinen-Verantworlichen umleiten

Anforderungen

  • korrekte /etc/resolv.conf - empfohlen imp.fu-berlin.de im Suchpfad
  • keine leeren Passworte
  • vernünftige Passwort-Policy
  • Liste der angebotenen Dienste (mit Portnummer) an support@mi.fu-berlin.de senden
    • auth gegen FU oder selbst
  • keine unnötigen Dienste anbieten

notwendige Programme

  • Minimum: sudo openssh-server rsync screen/tmux vim-nox wget dnsutils
  • sinnvolle Werkzeuge: hdparm htop iotop lsof lynx netcat-openbsd nmap smartmontools strace sysstat
    • dlocate # falls es ein Debian oder Debian-Derivat ist
  • optional aber sinnvoll:
    • libpam-krb5 # um mit ZEDAT-Passworten zu authentisieren
    • libpam-ldap,libnss-ldap # um unsere Gruppen und User zu nutzen
  • auch noch ganz nett: wake on lan einstellen

notwendige Dateien

Admin-keys und weitere wichtige Dateien liegen im Paket imp-admin-keys von unserem Repository:
https://debian.imp.fu-berlin.de/ oder direkt als Paket https://debian.imp.fu-berlin.de/pool/main/i/imp-admin-keys/ .

Darin enthalten sind
  • /usr/local/home # admin-homes mit ssh-keys der Admins
  • script das per adduser folgende Dateien bearbeitet:
    • /etc/passwd
    • /etc/shadow
    • /etc/sudoers
    • /etc/group # sinnvoll mit der aktuellen /etc/group vergleichen

Es reicht, wenn der ssh-Zugriff über diese keys aus dem 160.45.113.0/25er-Netz erlaubt wird.

cut-and-paste für Dummies

für Debian-basierte Systeme

Als root auf der selbstadministrierten Maschine:
# ab hier bitte weiter mit bash
sudo /bin/bash

# signing keyring holen
wget -O - https://debian.imp.fu-berlin.de/imp-debian-repo.asc | gpg --dearmor > /usr/share/keyrings/imp-debian-repo-keyring.gpg

# Sources.list Datei anlegen
echo "deb  [ signed-by=/usr/share/keyrings/imp-debian-repo-keyring.gpg arch=amd64 ]   http://debian.imp.fu-berlin.de/ stable main" >/etc/apt/sources.list.d/imp.list

# Paketlisten aktualisieren
apt-get update

# admin-keys einfahren und noch fehlende Basis-Pakete installieren
apt-get install imp-admin-keys

für nicht Debian-basierte Systeme

# ab hier bitte weiter mit bash
sudo /bin/bash

# absolutes Minimum an Programmen, hier in debian syntax
apt-get -y install sudo openssh-server rsync wget libpam-pwdfile alien

# temp-Verzeichnis zum sauberen Arbeiten
# verschwindet nach dem nächsten Reboot
mkdir /tmp/selfadmin
cd /tmp/selfadmin

# Debian Paket von unserem webserver holen
# siehe https://debian.imp.fu-berlin.de/pool/main/i/imp-admin-keys/

# wandeln in ein tar archiv falls man debian pakete nicht installieren kann
alien -t --scripts imp-admin-keys*.deb

# admin-user generieren
install/doinst.sh

# passwortloses sudo für die Gruppe adm (die user haben kein Passwort)
echo "%adm ALL = (ALL) NOPASSWD: ALL" > /etc/sudoers.d/99_admin-imp

Ab hier gibt es Tips für sinnvolle Ergänzungen:

# wichtige basisdienste
apt-get install etckeeper smartmontools

# weitere Werkzeuge
apt-get install byobu dlocate hdparm htop iotop lsof lynx netcat-openbsd procps strace sysstat

# Netzwerktools zur Diagnose
apt-get install dnsutils ngrep nmap nmon tshark

# unter vmware sollte diese paket installiert werden:
apt-get install open-vm-tools

Sicherstellen der Aktualität des Debian-Systems

Automatische Updates oder per E-Mail informieren lassen

Drucken

siehe https://www.zedat.fu-berlin.de/tip4u_160.pdf

Kommentare

 

This topic: IT > WebHome > ItServices > LinuxSelbstadministriert
Topic revision: 12 Jan 2023, BodoRiedigerKlaus