abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 17:33 | Komunita

Projekt Debian daroval 10 000 dolarů neziskové organizaci Framasoft na její crowdfundingovou kampaň na podporu vývoje PeerTube, tj. svobodné federalizované platformy pro sledování a sdílení videí, alternativy YouTube s podporou P2P. Cílem je podpora živého přenosu (live streaming).

Ladislav Hagara | Komentářů: 7
včera 15:55 | Nová verze

Software pro vytváření datových úložišť na síti TrueNAS byl vydán ve verzi 12.0. Jedná se o první verzi od oznámení přejmenování FreeNASu na na TrueNAS CORE a TrueNASu na TrueNAS Enterprise.

Ladislav Hagara | Komentářů: 0
včera 14:55 | Nová verze

Byla vydána říjnová aktualizace aneb verze 2020.10-1 linuxové distribuce OSMC (Open Source Media Center). Z novinek lze zdůraznit přechod na Debian 10 Buster a Kodi 18.8.

Ladislav Hagara | Komentářů: 0
včera 07:00 | Nová verze

Dle plánu Microsoft oznámil vydání vývojářského buildu (Kanál Dev) webového prohlížeče Edge pro Linux. K dispozici jsou balíčky .deb i .rpm. Současně bylo oznámeno, že Microsoft Edge Bounty Program je otevřen i pro uživatele Edge pro Linux. Za nalezení bezpečnostní chyby lze získat od 1 000 do 30 000 dolarů.

Ladislav Hagara | Komentářů: 36
včera 06:00 | Nová verze

OpenJS Foundation, oficiální projekt konsorcia Linux Foundation, oznámila vydání verze 15.0.0 (Current) otevřeného multiplatformního prostředí pro vývoj a běh síťových aplikací napsaných v JavaScriptu Node.js (Wikipedie). Přehled novinek v článku na Medium.

Ladislav Hagara | Komentářů: 0
20.10. 23:11 | IT novinky

Společnost System76 představila svůj nejnovější desktopový počítač Thelio Mega. Cena začíná na 7 499 dolarech. Koupit jej lze až se 4 grafickými kartami. Při výběru 4x Quadro RTX 8000 se cena navýší o 23 589 dolarů. Na výběr jsou předinstalované linuxové distribuce Pop!_OS 20.10, Pop!_OS 20.04 LTS a Ubuntu 20.04 LTS.

Ladislav Hagara | Komentářů: 1
20.10. 22:33 | Nová verze

Byla vydána verze 9.1 open source unixového operačního systému NetBSD (Wikipedie). Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
20.10. 22:11 | Nová verze

Byla vydána nová verze 4.12 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Přehled změn v příslušném seznamu. Tor Browser byl aktualizován na verzi 10.0.2 (Firefox 78.4.0esr, NoScript 11.1.3). Linux na verzi 5.8. Opraveno bylo také několik bezpečnostních chyb.

Ladislav Hagara | Komentářů: 0
20.10. 17:00 | Zajímavý software

Nadace FINOS (Fintech Open Source Foundation) společně s globální investiční bankovní společností Goldman Sachs oznámily uvolnění zdrojových kódů platformy pro datové modelování Legend (původně Alloy). Více v dokumentaci.

Ladislav Hagara | Komentářů: 0
20.10. 15:55 | Nová verze

Byl vydán Mozilla Firefox 82.0. Přehled novinek v poznámkách k vydání, poznámkách k vydání pro firmy a na stránce věnované vývojářům. Řešeny jsou také bezpečnostní chyby. Nejnovější Firefox je již k dispozici také na Flathubu.

Ladislav Hagara | Komentářů: 7
Které aspekty uživatelského rozhraní textového editoru považujete za důležité?
 (70%)
 (37%)
 (31%)
 (17%)
 (24%)
 (17%)
Celkem 198 hlasů
 Komentářů: 19, poslední včera 22:09
Rozcestník

Kontrolní seznam pro nový server

30.3.2014 11:22 | Přečteno: 1976× | GNU/Linux | poslední úprava: 31.3.2014 18:10

Přestože většinu pracovního času trávím jako programátor, jsem i admin – jednak je potřeba na něčem ten software provozovat a jednak mě GNU/Linux baví a chci věnovat i této činnosti. Nainstaloval jsem už řadu serverů (desktopy nepočítám) a chci v tom mít aspoň trochu nějaký systém.

Přiznám se ale, že nepoužívám nástroje typu Puppet nebo obrazy disků, které by stačilo naklonovat a dokonfigurovat skriptem. Tyhle postupy si nechám pro případ, že budu někdy instalovat farmu serverů stejného typu. Důvod je ten, že moje servery bývají dost jedinečné – běží v jiném prostředí, pro někoho jiného, je na nich jiná distribuce nebo její verze, slouží k jinému účelu… I když tu mám např. několik e-mailových serverů, dost se liší. Další věc je, že se snažím hledat ideální řešení, MD RAID, šifrování disků, LVM, XFS, Btrfs a další souborové systémy, konfigurace Apache, Nginxu, Dovecotu… a tenhle ideál se i v čase mění, podle toho, jak se dotyčný software vyvíjí a dozrává. Snažím se tu konfiguraci dělat líp než minule, což ale vede k tomu, že každý server je jiný.

Některé činnosti jsou ale společné, a tak vznikl tento seznam věcí, které je dobré udělat s každým strojem:

A jaký je váš seznam?

       

Hodnocení: 100 %

        špatnédobré        

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

Jendа avatar 30.3.2014 15:14 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Kontrolní seznam pro nový server
Já se zaměřuji hlavně na opravu tzv. moderních vlastností.
Bystroushaak avatar 30.3.2014 15:36 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Kontrolní seznam pro nový server
Stroj, který po jednom přerušeném bootu zůstane navždy viset v GRUBu, fakt potěší. Jak tohle mohl někdo udělat jako default?
Ah, díky. Tohle mě pálilo docela dlouho.
30.3.2014 17:42 Halis | skóre: 6 | blog: capacitor
Rozbalit Rozbalit vše Re: Kontrolní seznam pro nový server
Ten Mercurial na /etc používáš přes etckeeper? Pokud ne tak doporučuji.
xkucf03 avatar 30.3.2014 18:38 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Kontrolní seznam pro nový server

Zatím ne :-) Verzovat jsem to začal ručně, ještě než jsem o nějakém etckeeperu věděl, a pak nebyla až taková motivace na něj přejít. Prostě dám hg commit -m "co jsem změnil" a hotovo :-) Ten cron je tam pro jistotu, kdyby se v tom šťoural někdo jiný, kdo na to není zvyklý, tak se to aspoň zaverzuje jednou denně automaticky.

Když nad tím tak přemýšlím, tak jsem tu historii zatím nikdy nepotřeboval… Ale hodně užitečné je znát, co se změnilo od poslední verze – když zjistíš, že služby s novou konfigurací nenabíhají, tak to nemusíš ve stresu přepisovat zpátky a dáš prostě jen hg revert :-) nebo přes diff snadno zjistíš, které řádky je potřeba opravit.

Možná ho zkusím. Dokáže se ujmout /etc, ve kterém už .hg je a začít ho používat?

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
31.3.2014 00:16 Pavel Píša | skóre: 16 | blog: logic
Rozbalit Rozbalit vše Re: Kontrolní seznam pro nový server
U mě zásadně etckeeper a povolit

AVOID_DAILY_AUTOCOMMITS=1

AVOID_COMMIT_BEFORE_INSTALL=1

v /etc/etckeeper/etckeeper.conf.

To každého vychová všechny změny kontrolovat a popsat do logu.
xkucf03 avatar 31.3.2014 00:25 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Kontrolní seznam pro nový server

Jak je to vychová? Může jim etckeeper nějak zabránit v editaci konfiguráků a neverzované správě systému?

Když už někdo ty změny zapomene zdokumentovat (udělat hg commit), tak mi přijde lepší, když se to zaverzuje aspoň automaticky jednou denně a víme, kdy se to zhruba změnilo (a podle logů možná i kdo to změnil), než mít nashromážděných spoustu nesouvisejících změn třeba za měsíc, kdy si konečně někdo vzpomene, že by se mělo verzovat.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
2.4.2014 01:24 Pavel Píša | skóre: 16 | blog: logic
Rozbalit Rozbalit vše Re: Kontrolní seznam pro nový server

Dokud se nazakomituje, tak nejde přes aptitude atd. instalovat/updatovat/zrušit žádný balíček. Zároveň je zajištěné, že se nesmíchají změny způsobené automatickou instalací do jednoho commitu s lokální změnou. Pokud je pak někde uložený

aptitude search '?installed?not(?automatic)' \ | sed -n -e 's/^i[ \t]\+\([^ \t]*\)[ \t].*$/\1/p' >packages

a ideálně je git automaticky pushovaný na záložní server, tak restaurace systému odpovídá

aptitude install `cat packages`

a projití nebo přímo naaplikování změn, které nebyly automatické. Problém jsou nastavení provedené přes dialogy během automatické instalace/zamíchají se s masivními změnami a pohyby souborů v etc. Proto sám vždy odklepávám default a teprve po dokončení instalace končící automatickým commitem znova vyvolám dpkg-reconfigure na dané balíčky a změnu pak pěkně vidím samotnou a s odpovídajícím popisem ji commituji.

Jako vše, i tento postup má své mouchy, na hodně podobných serverů bych i já asi přešel na puppet tak, jak to dělá náš správce serverů. Ale pokud se jedná o počítač který využívá (včetně doinstalace SW) více soudných a znalých lidí (dříve i rootfs pro laborky) a správu udělá ten, který změnu potřebuje, tak je etckeeper ideální. Spravovali jsme takto v podstatě ve třech systém pro laboratoře roky a chodilo to dobře. Vše bylo dokumentované a i při přechodu správce IT na puppet z commitů většinu relativně komplikovaných konfigurací dostal - distribuovaný rootfs s úpravami práv, autentizací proti různým serverům po škole, skripty pro speciální režim při bootu stroje ve virtuálu jako externě dostupná brána pro studenty atd. V etc. virtuálního serveru pak doprava NFS za NATy jednotlivých učeben, licenční servery. Vlastní hostitel všeho pak měl také určité množství úprav, ale o ten se staral již téměř výhradně správce (Aleš Kapica). Každý z těch, co úpravy podle aktuálních potřeb řešili pak měl ve svém profile nastavené GIT_AUTHOR_NAME a GIT_AUTHOR_EMAIL a názvy těchto proměnných byly v sudo env_keep. Takže po přihlášení na server a sudo nebo i chrootu do distribuovaného rootfs za sebou každý nechával v commitech době čitelnou stopu. Jasně, že když by chtěl, tak mohl podvádět a vydávat se za někoho jiného, ale opravdu nejsme malé děti, aby jsme si přidělávali práci, té skutečně tvořivé máme už teď tolik, že by nám stačila do důchodu.

Ale zpět k tomu tlaku na pořádek, když něco potřebuji nainstalovat a správce balíčků tvrdohlavě trvá na tom, že se nejdříve musí změny nacommitovat, jinak pracovat nebude, tak je to dobrá motivace. A i kdyby se vše mezi dvěma automatickými updaty od správce balíčků vložilo i jen do jednoho commitu, který se však od automatických pozná, tak je to pokrok. Zároveň tam zbude jméno, takže lze osobě vyčinit za to, že necommitovala po logických celcích. A vzhledem k tomu, že při vývoji SW v desítkách, možná stovce a více gitů, co používáme, musíme nějakou kulturu dodržovat, jinak by se nám projekty zcela rozpadly a nikdo by o naši práci nestál, tak ta trocha slušného chování při správě serverů není problém. A jasně, když není věc urgentní, tak jí dělá správce nebo se dohodne, kdo třeba pro hlubší znalosti o daném problému, věc otestuje, zkusí podle svých časových možností vyřešit, a pak změny zakomituje a časem informuje ostatní. I když teď už je to pravdu na těch veřejnějších službách spíš věc správce, protože se nám alespoň z pohledu potřeb výuky podařilo dojít k řešení, které koncepčně roky drží a lze adaptovat i na zvěrstava a omezení, která nám připraví různé specifické požadavky -- distribuce bootu do laborky pro jiné předměty zcela izolované od veřejné sítě atd.

xkucf03 avatar 2.4.2014 13:51 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Kontrolní seznam pro nový server
Díky, to zní dobře. Vyzkouším :-)
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
30.3.2014 21:29 KS | skóre: 10 | blog: blg | Horní polní u západní dolní
Rozbalit Rozbalit vše Re: Kontrolní seznam pro nový server
Bash vyměnit za Zsh.
Pochybnost, nejistota - základ poznání
30.3.2014 22:36 v6ak
Rozbalit Rozbalit vše Re: Kontrolní seznam pro nový server
Šifrování disku na serveru? Jak to funguje, pokud server musí nabootovat i bez lidské interakce a tedy musí mít klíč v plaintextu? Resp. jaký to má potom význam?

Nebo tu mám nějaký chybný předpoklad?
Jendа avatar 30.3.2014 22:44 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Kontrolní seznam pro nový server
Nebo tu mám nějaký chybný předpoklad?
Myslím, že máš chybný předpoklad, že server musí nabootovat bez lidské interakce. V nejjednodušším případě je šifrované vše kromě jádra a initramdisku. V initramdisku je ssh server, na který se ty nebo automat připojí a zadá klíč.

Zloděj, který server ukradl, data nedostane. Pokud ale dokáže se serverem nepozorovaně manipulovat a pak ho zase spustit, aby si toho nikdo nevšiml, může do initramdisku například vložit backdoor, který mu zadaný klíč pošle. Nebo si může z initramdisku zkopírovat klíče a udělat Mrkva-in-the-middle.
xkucf03 avatar 30.3.2014 22:59 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Kontrolní seznam pro nový server

Jen na některých serverech nebo virtuálech… Je to prakticky neřešitelný problém. Význam to má hlavně pro případ běžné krádeže, reklamace disku nebo méně schopného útočníka.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
30.3.2014 23:25 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
Rozbalit Rozbalit vše Re: Kontrolní seznam pro nový server

Mám například jednoho KVM hostitele a trvale (uvnitř) zasunutou flashku a hostitel + jedna virtuálníá mašina nastartuje automaticky ze šifrovaného oddílů (klíč je na té flashce). Další VMs a data jsou na jiném úložišti, které musí být odemknuto (buď vzdáleně, nebo prostým zasunutým jiné flashky).

Význam šifrování, i když je klíč součástí stroje, to má jen pro reklamaci či další putování daného disku/ů.

To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
31.3.2014 00:05 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
Rozbalit Rozbalit vše Re: Kontrolní seznam pro nový server

K tomu prvnímu, bych doplnil, udev pravidla na MAC a zakázání NM (a jeho případné vypnutí), něco jako:

NM_CONTROLLED=no
BOOTPROTO=none
PEERDNS=no
USERCTL=no

K tomu sedmému: nastavení barev PS1.

K tomu jedenáctému: /tmp do paměti a doplnění relatime

A doplnil bych:

  • Ke GRUB-u se Jenda už vyjádřil (+ odstranit rhgb ;))
  • Nastavení hodnoty swapiness.
  • Kontrola uid uživatele - některé distribuce začínají na 500 jiné na 1000, někdy se hodí mít stejné uid.
  • Limits - 'nproc'

To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
Heron avatar 31.3.2014 12:39 Heron | skóre: 52 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Kontrolní seznam pro nový server

V podstatě +- stejné, až na:

firewall zakazující všechno, kromě explicitně uvedených služeb

Osobně mám za cíl nemuset mít firewall žádný, tedy mít nainstalované pouze služby, které musí být dostupné (jejich porty by se ve fw stejně povolily) a zbytek, pokud je nutný, mít nastavený třeba přes unix socket apod. Potom není fw potřeba, povoloval by vlastně stejně vše, co na daném portu poslouchá. Myslím si, že při dobře nastavených a zabezpečených službách není fw potřeba.

instalace základních nástrojů (mc, htop, emacs, java, pv, socat… podle využití serveru)

Od tohoto jsem upustil. Každý server má jiné využití a jinou sadu "základních nástrojů", je tedy zbytečné je tam instalovat dopředu. Jak bude potřeba, on si je admin stejně během pár sekund nainstaluje. Tzn. každý z těch serverů po čase dokonverguje k nějaké vlastní sadě nainstalovaných nástrojů.

31.3.2014 14:46 R
Rozbalit Rozbalit vše Re: Kontrolní seznam pro nový server
Ano, to je pravda. Zakladom je, aby na vonkajsej IP adrese nepocuvalo nic, co nema. Ja napriek tomu instalujem arno-iptables-firewall - v Debiane to mam za chvilku nainstalovane. Pridava to pocit bezpecia. A ked ma ten server byt ako GW pre lokalnu siet, tak sa to tam na dva kliky zapne.
31.3.2014 15:10 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
Rozbalit Rozbalit vše Re: Kontrolní seznam pro nový server
…které musí být dostupné (jejich porty by se ve fw stejně povolily)
Některé(většinu) služby instaluji, ale porty neotvírám - je třeba si ssh-tunelovat ANEBO jsou porty na fw povolené jen odněkud či někam.
Mně zas přijde dvou úrovňové zabezpečení a zahození nežádoucího příchozího (ale i odchozího) provozu na fw lepší.
Od tohoto jsem upustil.
Nechtělo se mi to komentovat, ale taky tak, začnu s naprostým minimem a u každého nově instalovaného balíku se krátce zamyslím „opravdu je to třeba!?“.
To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
xkucf03 avatar 31.3.2014 17:19 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Kontrolní seznam pro nový server

To je pravda, nesmí se to přehánět, ale třeba ten mchtop jsem zvyklý mít všude. Stejně tak pv se dříve či později hodí. Naopak tu Javu nemám všude (taky tam píšu podle využití serveru). Editor je otázka osobních preferencí…

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
Jendа avatar 31.3.2014 23:12 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Kontrolní seznam pro nový server
Některé(většinu) služby instaluji, ale porty neotvírám - je třeba si ssh-tunelovat
Proč je nenecháš poslouchat jen na loopbacku?
1.4.2014 00:45 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
Rozbalit Rozbalit vše Re: Kontrolní seznam pro nový server

To můžu taky, (jako dvojitá ochrana). Ale jinak mi přijde flexibilnější to řídit na fw „odkud na co“.

A taky se cítím klidnější, bo pokud jsem danou službu blbě nastavil neprojde to přes fw.
To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
31.3.2014 17:47 trekker.dk | skóre: 71
Rozbalit Rozbalit vše Re: Kontrolní seznam pro nový server
Každý server má jiné využití a jinou sadu "základních nástrojů", je tedy zbytečné je tam instalovat dopředu.
Záleží na tom, o jakých nástrojích tu mluvíme. Třeba instalovat tcpdump, abys zjistil, proč ti nejde síť, když ti nejde síť...
Quando omni flunkus moritati
1.4.2014 21:33 čavo
Rozbalit Rozbalit vše Re: Kontrolní seznam pro nový server

V podstatě +- stejné, až na:

firewall zakazující všechno, kromě explicitně uvedených služeb

Osobně mám za cíl nemuset mít firewall žádný, tedy mít nainstalované pouze služby, které musí být dostupné (jejich porty by se ve fw stejně povolily) a zbytek, pokud je nutný, mít nastavený třeba přes unix socket apod. Potom není fw potřeba, povoloval by vlastně stejně vše, co na daném portu poslouchá. Myslím si, že při dobře nastavených a zabezpečených službách není fw potřeba.

Problém nastáva, keď má na serveri viac ľudí konto. Síce nič na porte nižšom ako 1024 nespustia, pokiaľ neuhádnu heslo na root-a, ale na ostatných portoch môžu spúšťať čo len chcú, pokiaľ to neobmedzíš pomocou FW.
31.3.2014 16:26 trekker.dk | skóre: 71
Rozbalit Rozbalit vše Re: Kontrolní seznam pro nový server
Vytvořit /etc/apt/apt.conf.d/20recommends
APT
{
        Install-Recommends "false";
};
Quando omni flunkus moritati
1.4.2014 13:57 m-a
Rozbalit Rozbalit vše Re: Kontrolní seznam pro nový server
Aj Install-Suggests

Založit nové vláknoNahoru

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.