You are here: IT » ItServices » LinuxSelbstadministriert

Fachbereich Mathematik und Informatik, IT-Dienst

Was muss man beachten wenn man selbstadministrierte Linux-Rechner betreibt.

IT-staff arbeitsfähig auf selbstverwalteten Linux-Rechnern

Laut IT-Sicherheitsrichtlinie der FU muss sich IT-Staff als Administratoren auf den Rechnern anmelden können.

Der/die für die Maschine Verantwortliche muss…

  • seinen Account an support@mi.fu-berlin.de kommunizieren (Nutzernamen, welcher das System betreuen wird)
  • Login für Admin-User per ssh-key sicherstellen (siehe unten).
  • ssh root Passwort-Login verbieten
  • passwortlose Gast-Accounts unterbinden
  • Datensicherung klären
  • das System aktuell halten
  • root-mails per /etc/aliases auf den Maschinen-Verantworlichen umleiten (mit vim oder nano die aliases bearbeiten und unter root: eigene Mail hinterlegen)

Anforderungen

  • korrekte /etc/resolv.conf - empfohlen imp.fu-berlin.de im Suchpfad
  • keine leeren Passworte
  • vernünftige Passwort-Policy
  • Liste der angebotenen Dienste (mit Portnummer) an support@mi.fu-berlin.de senden
    • auth gegen FU oder selbst
  • keine unnötigen Dienste anbieten

notwendige Programme

  • Minimum: sudo openssh-server rsync tmux vim wget dnsutils
  • sinnvolle Werkzeuge: etckeeper hdparm htop iotop lsof lynx netcat-openbsd nmap smartmontools
    • dlocate # falls es ein Debian oder Debian-Derivat ist
  • optional aber sinnvoll:
    • libpam-krb5 # um mit ZEDAT-Passworten zu authentisieren
    • libpam-ldap,libnss-ldap # um unsere Gruppen und User zu nutzen
  • auch noch ganz nett: wake on lan auf Desktop-Maschinen im BIOS einstellen

notwendige Dateien

Admin-keys und weitere wichtige Dateien liegen im Paket imp-admin-keys von unserem Repository:
https://debian.imp.fu-berlin.de/ oder direkt als Paket https://debian.imp.fu-berlin.de/pool/main/i/imp-admin-keys/ .

Darin enthalten sind
  • /usr/local/home # admin-homes mit ssh-keys der Admins
  • script das per adduser folgende Dateien bearbeitet:
    • /etc/passwd
    • /etc/shadow
    • /etc/sudoers
    • /etc/group # sinnvoll mit der aktuellen /etc/group vergleichen

Es reicht, wenn der ssh-Zugriff über diese keys aus dem 160.45.113.0/25er-Netz erlaubt wird.

cut-and-paste für Dummies

für Debian-basierte Systeme (Debian, *Ubuntu, Mint,...)

Als root auf der selbstadministrierten Maschine:

# ab hier bitte weiter mit bash
sudo /bin/bash

# signing keyring holen
wget -O - https://debian.imp.fu-berlin.de/imp-debian-repo.asc | gpg --dearmor > /usr/share/keyrings/imp-debian-repo-keyring.gpg

# Sources.list Datei anlegen
echo "deb  [ signed-by=/usr/share/keyrings/imp-debian-repo-keyring.gpg arch=amd64 ]   http://debian.imp.fu-berlin.de/ stable main" >/etc/apt/sources.list.d/imp.list

# Paketlisten aktualisieren
apt-get update

# admin-keys einfahren und noch fehlende Basis-Pakete installieren
apt-get install imp-admin-keys

für nicht Debian-basierte Systeme

## absolutes Minimum an Programmen, hier in debian syntax
# install sudo openssh-server rsync wget alien

# temp-Verzeichnis zum sauberen Arbeiten
# verschwindet nach dem nächsten Reboot
mkdir /tmp/selfadmin
cd /tmp/selfadmin

# Debian Paket von unserem webserver holen
# siehe https://debian.imp.fu-berlin.de/pool/main/i/imp-admin-keys/

# wandeln in ein tar archiv falls man debian pakete nicht installieren kann
alien -t --scripts imp-admin-keys*.deb

# tar dateien auspacken
tar xvf imp-admin-keys*.tgz

# admin-user generieren
install/doinst.sh configure

# passwortloses sudo für die Gruppe adm (die user haben kein Passwort)
echo "%adm ALL = (ALL) NOPASSWD: ALL" > /etc/sudoers.d/99_admin-imp

Ab hier gibt es Tips für sinnvolle Ergänzungen:


# wichtige basisdienste
apt-get install etckeeper smartmontools

# weitere Werkzeuge
apt-get install byobu dlocate hdparm htop iotop lsof lynx netcat-openbsd procps strace

# Netzwerktools zur Diagnose
apt-get install dnsutils ngrep nmap nmon tshark

# unter vmware sollte diese paket installiert werden:
apt-get install open-vm-tools

Sicherstellen der Aktualität des Debian-Systems

Automatische Updates oder per E-Mail informieren lassen

Drucken

siehe: https://www.mi.fu-berlin.de/w/IT/ItServicesDruckserverFollowme#unter_Linux

Kommentare

 
This site is powered by FoswikiCopyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding Foswiki? Send feedback