Systeme d'exploitation Debian 12
De Hegyd Doc.
(Différences entre les versions)
(→Debian 12( Bookworm )) |
(→Tuning) |
||
| (22 versions intermédiaires masquées) | |||
| Ligne 1 : | Ligne 1 : | ||
page en cours de création... | page en cours de création... | ||
| - | == Debian 12 ( Bookworm ) == | + | == Debian 12 ( "Bookworm" ) == |
| - | * Si on arrive ici après l'installation d'une VM KVM, il faut d'abord se connecter depuis la console | + | * Si on arrive ici après l'installation d'une VM KVM, il faut d'abord se connecter depuis la console de la vm sur l'hyperviseur Proxmox en root, puis : |
<pre> | <pre> | ||
| - | + | cat > /etc/ssh/sshd_config <<EOF | |
| - | + | Include /etc/ssh/sshd_config.d/*.conf | |
| + | PermitRootLogin without-password | ||
| + | PubkeyAcceptedAlgorithms +ssh-rsa | ||
| + | PubkeyAuthentication yes | ||
| + | AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2 | ||
| + | KbdInteractiveAuthentication no | ||
| + | UsePAM yes | ||
| + | X11Forwarding yes | ||
| + | PrintMotd no | ||
| + | AcceptEnv LANG LC_* | ||
| + | Subsystem sftp /usr/lib/openssh/sftp-server | ||
| + | UseDns no | ||
| + | AllowUsers root mike admin support | ||
| + | EOF | ||
</pre> | </pre> | ||
| Ligne 48 : | Ligne 61 : | ||
<pre>update-alternatives --set editor /usr/bin/vim.nox</pre> | <pre>update-alternatives --set editor /usr/bin/vim.nox</pre> | ||
| - | * Paramétrer l'environnement utilisateur | + | * Paramétrer l'environnement utilisateur '''EN ERREUR - À CORRIGER !''' |
<pre> | <pre> | ||
sed -i '32,38s/^#//' /etc/bash.bashrc | sed -i '32,38s/^#//' /etc/bash.bashrc | ||
| Ligne 124 : | Ligne 137 : | ||
</pre> | </pre> | ||
| - | * Configurer | + | * Configurer alias admin |
<pre> | <pre> | ||
echo "alias root=\"ssh -AX root@localhost\"" >>/home/admin/.bashrc | echo "alias root=\"ssh -AX root@localhost\"" >>/home/admin/.bashrc | ||
| - | |||
| - | |||
| - | |||
| - | |||
| - | |||
| - | |||
| - | |||
</pre> | </pre> | ||
| Ligne 166 : | Ligne 172 : | ||
apt-get -y install postfix s-nail | apt-get -y install postfix s-nail | ||
| - | + | cat >> /etc/logrotate.d/rsyslog <<EOF | |
| - | /var/log/mail.log | + | /var/log/syslog |
| - | { | + | /var/log/mail.log |
| - | rotate 4 | + | { |
| - | weekly | + | rotate 4 |
| - | missingok | + | weekly |
| - | notifempty | + | missingok |
| - | compress | + | notifempty |
| - | delaycompress | + | compress |
| - | create 640 root dev | + | delaycompress |
| - | sharedscripts | + | create 640 root dev |
| - | postrotate | + | sharedscripts |
| - | invoke-rc.d rsyslog rotate > /dev/null | + | postrotate |
| - | endscript | + | invoke-rc.d rsyslog rotate > /dev/null |
| - | } | + | endscript |
| + | } | ||
| + | /var/log/mail.info | ||
| + | /var/log/mail.warn | ||
| + | /var/log/mail.err | ||
| + | /var/log/daemon.log | ||
| + | /var/log/kern.log | ||
| + | /var/log/auth.log | ||
| + | /var/log/user.log | ||
| + | /var/log/lpr.log | ||
| + | /var/log/cron.log | ||
| + | /var/log/debug | ||
| + | /var/log/messages | ||
| + | { | ||
| + | rotate 4 | ||
| + | weekly | ||
| + | missingok | ||
| + | notifempty | ||
| + | compress | ||
| + | delaycompress | ||
| + | sharedscripts | ||
| + | postrotate | ||
| + | /usr/lib/rsyslog/rsyslog-rotate | ||
| + | endscript | ||
| + | } | ||
| + | EOF | ||
| + | </pre> | ||
| - | chgrp dev /var/log/ | + | Activer les logs postfix |
| + | |||
| + | <pre> | ||
| + | postfix stop | ||
| + | postconf maillog_file=/var/log/maillog | ||
| + | postfix start | ||
| + | chgrp dev /var/log/maillog | ||
</pre> | </pre> | ||
| + | |||
<pre> | <pre> | ||
cat >> /etc/aliases <<EOF | cat >> /etc/aliases <<EOF | ||
| Ligne 193 : | Ligne 232 : | ||
</pre> | </pre> | ||
| - | |||
| - | |||
| - | |||
| - | |||
| - | |||
| - | |||
| - | |||
| - | |||
| - | |||
* Cloner le depot sys-common | * Cloner le depot sys-common | ||
| Ligne 215 : | Ligne 245 : | ||
<pre> | <pre> | ||
mkdir /usr/local/share/hegyd | mkdir /usr/local/share/hegyd | ||
| - | + | cat > ~/.ssh/config << EOF | |
| + | PubkeyAcceptedKeyTypes=+ssh-dss | ||
| + | PubKeyAcceptedKeyTypes=+ssh-rsa | ||
| + | Host git.hegyd.net | ||
| + | StrictHostKeyChecking no | ||
| + | HostKeyAlgorithms=+ssh-dss | ||
| + | EOF | ||
git clone -q git@git.hegyd.net:sys-common /usr/local/share/hegyd/sys-common | git clone -q git@git.hegyd.net:sys-common /usr/local/share/hegyd/sys-common | ||
chmod -R g+rw /usr/local/share/hegyd | chmod -R g+rw /usr/local/share/hegyd | ||
| Ligne 223 : | Ligne 259 : | ||
<pre> | <pre> | ||
ln -s /usr/local/share/hegyd/sys-common/vim/vimrc_hegyd /etc/vim/vimrc.local | ln -s /usr/local/share/hegyd/sys-common/vim/vimrc_hegyd /etc/vim/vimrc.local | ||
| - | |||
</pre> | </pre> | ||
| Ligne 250 : | Ligne 285 : | ||
</pre> | </pre> | ||
| + | |||
| + | == IP Vrack (pour les VMs) == | ||
| + | * Si la VM doit avoir une IP VRACK, il faut la configurer après avoir chois une IP dans le fichier des IPs | ||
| + | * Se configure via l'UI Proxmox généralement sur un pont vmbr1 ( screenshots à faire ) | ||
| + | |||
| + | |||
| + | NB : pour les hyperviseurs, voir après l'installation dans le wiki<br /> | ||
| + | * Pour les serveurs physiques, positionner l'adresse VRack sur l'interface eth1 ou eth3 (selon le serveur) | ||
| + | |||
| + | == Pare feu == | ||
| + | * Important : Suppression de ufw installé automatiquement avec Debian 10/Buster et qui bloque fwbuilder. | ||
| + | Référence : https://talk.lowendspirit.com/discussion/290/resolved-ufw-iptables-not-working-in-debian-10-minimal | ||
| + | |||
| + | * La fonction "hostname -f" est en erreur si le domaine n'est pas qualifié totalement, faire : | ||
| + | <pre> | ||
| + | hostname -b nom_vm.domaine.tld | ||
| + | </pre> | ||
| + | exemple : | ||
| + | <pre> | ||
| + | hostname -b toto.preprod.hegyd.net | ||
| + | </pre> | ||
| + | Et vérifier le /etc/hosts. | ||
| + | |||
| + | * Installation | ||
| + | <pre> | ||
| + | apt install iptables | ||
| + | update-alternatives --set iptables /usr/sbin/iptables-legacy | ||
| + | update-alternatives --set ip6tables /usr/sbin/ip6tables-legacy | ||
| + | </pre> | ||
| + | |||
| + | * Configurer le système | ||
| + | <pre> | ||
| + | mkdir /etc/firewall | ||
| + | chgrp fwadmin /etc/firewall | ||
| + | chmod 2770 /etc/firewall | ||
| + | sed -i -e '/^Defaults\s\+env_reset\s*$/aDefaults:%fwadmin !lecture , passwd_timeout=1 , timestamp_timeout=1' -e "/^root\s\+ALL=(ALL:ALL)\s\+ALL\s*$/a%fwadmin ALL = NOPASSWD: /etc/firewall/$(hostname -f).fw , /usr/bin/pkill" /etc/sudoers | ||
| + | sed -i "/^exit 0/i\/etc\/firewall\/$(hostname -f).fw" /etc/rc.local | ||
| + | </pre> | ||
| + | |||
| + | * Créer et déployer le par feu | ||
| + | '''Créer le firewall sur firewall-builder puis le déployer''' | ||
| + | * Ajouter les vm dans le groupe "Virtual Machine" de firewall builder | ||
| + | * Ajouter les serveurs dans le groupe "Servers Applicatifs" de firewall builder | ||
| + | |||
| + | == Installation paquets clients ( MYSQL / MARIADB ) == | ||
| + | |||
| + | '''Client :''' | ||
| + | <pre> | ||
| + | apt-get install default-mysql-client | ||
| + | </pre> | ||
| + | |||
| + | '''Serveur :''' | ||
| + | Si le serveur MySQL doit être installé sur la machine : | ||
| + | |||
| + | <pre> | ||
| + | apt-get install default-mysql-server | ||
| + | </pre> | ||
| + | |||
| + | '''UTF-8 client / serveur''' | ||
| + | |||
| + | <pre> | ||
| + | sed -i -e '/\[client\]/{n;n;/$/a \ | ||
| + | default-character-set = utf8 | ||
| + | }' \ | ||
| + | -e '/\[mysqld\]/a \ | ||
| + | character_set_server = utf8\ | ||
| + | collation_server = utf8_general_ci' \ | ||
| + | -e '/\[mysql\]/a \ | ||
| + | default-character-set = utf8' /etc/mysql/my.cnf | ||
| + | </pre> | ||
| + | |||
| + | == Serveur de cache DNS local == | ||
| + | * Suivre la procédure [[Bind]] | ||
| + | |||
| + | == Monitoring / Supervision == | ||
| + | * Installer et configurer [[Snmp]] | ||
| + | * Installer et configurer le client [[Nagios#Installation_du_client_sur_Debian |NRPE pour Debian]] | ||
| + | |||
| + | == Sauvegarde == | ||
| + | * Installer et configurer [[Bacula#Debian]] | ||
| + | |||
| + | == Comptes utilisateurs == | ||
| + | * Créer les comptes utilisateurs pour les accès du client (voir clés SSH publiques sur serveur Penta) | ||
| + | |||
| + | [[Catégorie:Administration serveurs]] | ||
Version actuelle en date du 20 juillet 2023 à 08:37
page en cours de création...
Sommaire |
[modifier] Debian 12 ( "Bookworm" )
- Si on arrive ici après l'installation d'une VM KVM, il faut d'abord se connecter depuis la console de la vm sur l'hyperviseur Proxmox en root, puis :
cat > /etc/ssh/sshd_config <<EOF Include /etc/ssh/sshd_config.d/*.conf PermitRootLogin without-password PubkeyAcceptedAlgorithms +ssh-rsa PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2 KbdInteractiveAuthentication no UsePAM yes X11Forwarding yes PrintMotd no AcceptEnv LANG LC_* Subsystem sftp /usr/lib/openssh/sftp-server UseDns no AllowUsers root mike admin support EOF
On peut alors se connecter maintenant depuis Putty/MRemote via le compte root et le mot de passe saisi lors de l'installation.
- Modification du mot de passe root si nécessaire, et selon la règle de nommage usuelle.
passwd
- Installer les paquets de base :
# Configuration APT pour remonter /tmp avec le flag exec (nécessaire pour certains paquets)
cat >> /etc/apt/apt.conf <<EOF
DPkg::Pre-Invoke{"mount -o remount,exec /tmp";};
DPkg::Post-Invoke {"mount -o remount /tmp";};
EOF
apt-get update && apt-get -y upgrade
apt-get -y install bash-completion ntp sudo htop telnet sysstat subversion git less vim-nox cscope exuberant-ctags
NB : si l'apt-get essaie de passer en ipv6 et que cela ne fonctionne pas, il faut modifier la ligne 54 du fichier /etc/gai.conf de la façon suivante :
precedence ::ffff:0:0/96 100
- Paramétrer les locales :
echo -n > /etc/environment echo -n > /etc/default/locale
- Paramétrer debconf :
apt-get install dialog && echo "debconf debconf/priority select high" | debconf-set-selections && echo "debconf debconf/frontend select Dialog" | debconf-set-selections
- Définir vim comme éditeur par défaut
update-alternatives --set editor /usr/bin/vim.nox
- Paramétrer l'environnement utilisateur EN ERREUR - À CORRIGER !
sed -i '32,38s/^#//' /etc/bash.bashrc cat >> /etc/bash.bashrc <<EOF export LS_OPTIONS='--color=auto' eval "\`dircolors\`" alias ls='ls \$LS_OPTIONS' alias ll='ls \$LS_OPTIONS -l' alias grep='grep --color=auto' EOF
- Modifier le shell par défaut des utilisateurs en éditant la lignes suivante du fichier "/etc/default/useradd" :
sed -i 's/^SHELL=\/bin\/sh/SHELL=\/bin\/bash/' /etc/default/useradd
- Gestion du Umask
sed -i 's/^UMASK\s\+022/UMASK 002/' /etc/login.defs echo "session optional pam_umask.so" >> /etc/pam.d/common-session echo "session optional pam_umask.so" >> /etc/pam.d/common-session-noninteractive
- Création des groupes par défaut
userdel -r user1 #user créé pendant l'installation groupadd -g 1000 dev groupadd -g 1001 grsec groupadd -g 1002 fwadmin groupadd -g 1003 adm-projects groupadd -g 1004 wheel
- Ajouter les utilisateurs opérateurs
mkdir /root/.ssh echo "ssh-dss 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 admin@backup.hegyd.com ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDfcJ8J5YR6F7qrYLuVJ3YIqOXqNvj1OnYd0zybZ45X+IeFKePo2hL1NHALHWxys6Qo4Ta3pPcRkliQBy51IIXOtNVp90C4XqTNkwaAl6X4RnPPoGNVgq1V53BW/mkUYsvLoYTJHokb+a3exGHCYaPbuj09FV5VVdF2uGUIiRyMZzmZurLCzySagP+8e34ZrLDlwwmDtd24CVc0OyxikqFOzzOkvCWTaAttGv7qyAlwjyAAMTqlJhqPNaCQcOJVEGiwXNlXqjroRJz7j4a3vEd3xujfY3zeSu9U22iCgAJWiLRI+M7m7af4/yxTV8IYNvpOMTjqMnxOEAKsiCLmrwUJ MGA@HEGYD ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDSpLz0aUxPDyO5cXPm8HQkaNAUjNNULrhH8G3Nvw7SdhAvRVL9/RKzXu5Aa4nSQd0u61bWVlGvDVSSZgZGRnoxsmzK1aOJWcgJmhVI1r6o9fVKSxz/x+1uE8PFJxUVaGULoLvDRzZLDazg/c/Djb5AgTprmw8KvMKdcDk/kCixFmjEObuOwFbnA/ZbnHS8PPUgHSCwLNAQOUSZSLRZzEFRKO4+HCl5T7iZfCGd7dCInysG2tVzBJCqsN7hw5fhz49Kb1txa93dYhY7kh7SYqCYthGToqGVcDNQX7cXCP2Sqpw+2N/SAcke6E/MgalYAr40dIRRFuUJKX8LxLoko47r admin@rescue ssh-dss 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 admin@SRV-ADMIN-HEGYD ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDDSTvhJwZSkwprrGoTTCDXK4p4VtyGo9EBNckRimYpwUAIq5MV3coWwrfJR/5qH7gYgZdCtBkZR/Mq59Xoeug7Gs5saoVkM0AjjIWPIpx52tl6/mnMvb7XrHwgonxiP2UR5o6tzVJgIK5jO7K6ezaJMobbmorxTDr7zcRm3obON1s21+Wv2FXZBUsFxXL3QjoECgh9mCV7bIjVis6Wl/bPq/ufLwcIhSnnpAzes7kWrfpIU825wUizdyp3JL8clDt1ovdBll7HdnCxmpux/NQQAixNYZhS0G65xXa8Db6hb3XS9v0AZcx07xsP+bGrUMo++L+HPqLYVADTskiRST+Z admin@SRV-ADMIN-HEGYD ssh-rsa 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 enzo@dri" >> /root/.ssh/authorized_keys chmod 700 /root/.ssh chmod 600 /root/.ssh/authorized_keys useradd -m -u 1020 -G fwadmin,dev,adm,staff,adm-projects,wheel -s /bin/bash mike mkdir /home/mike/.ssh chmod 700 /home/mike/.ssh echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCrFOIGcDPe+LfoPc11vtv2EOVG63zBndLVnf48mC+krw2vXomDLXG+KnhIAx1yFhCh6B/8R9C3wMxwhghemE3succS+Q7Truu2pd7zDmDNn6cd8Iw02qe8dl3nZhVk5XtGMgeV3JRA7u8q32i4tadbONRICExjcm9pVL5wx5aLzNBtu1opyMdvHc0dBelghVa9kkg6bRri8AF38M16NTEqQNA7crwHHa9ZLBE+8xFWmkJdBJ7zRoR6XEwbOr020VEM+sKzCPl0sy606aW3bi59tYobqAGBjTglIOJWXKMxu1cPJnSCx6Xom9F6AeF1C4CghVrZpfu++XSmJQtXoId m.reault@hegyd.com" > /home/mike/.ssh/authorized_keys chmod 600 /home/mike/.ssh/authorized_keys chown -R mike:mike /home/mike/.ssh useradd -m -u 1021 -G fwadmin,dev,adm,staff,adm-projects,wheel -s /bin/bash -p paCtx8rsjkGhQ admin mkdir /home/admin/.ssh chmod 700 /home/admin/.ssh echo "ssh-dss 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 admin@backup.hegyd.com ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDfcJ8J5YR6F7qrYLuVJ3YIqOXqNvj1OnYd0zybZ45X+IeFKePo2hL1NHALHWxys6Qo4Ta3pPcRkliQBy51IIXOtNVp90C4XqTNkwaAl6X4RnPPoGNVgq1V53BW/mkUYsvLoYTJHokb+a3exGHCYaPbuj09FV5VVdF2uGUIiRyMZzmZurLCzySagP+8e34ZrLDlwwmDtd24CVc0OyxikqFOzzOkvCWTaAttGv7qyAlwjyAAMTqlJhqPNaCQcOJVEGiwXNlXqjroRJz7j4a3vEd3xujfY3zeSu9U22iCgAJWiLRI+M7m7af4/yxTV8IYNvpOMTjqMnxOEAKsiCLmrwUJ MGA@HEGYD ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDSpLz0aUxPDyO5cXPm8HQkaNAUjNNULrhH8G3Nvw7SdhAvRVL9/RKzXu5Aa4nSQd0u61bWVlGvDVSSZgZGRnoxsmzK1aOJWcgJmhVI1r6o9fVKSxz/x+1uE8PFJxUVaGULoLvDRzZLDazg/c/Djb5AgTprmw8KvMKdcDk/kCixFmjEObuOwFbnA/ZbnHS8PPUgHSCwLNAQOUSZSLRZzEFRKO4+HCl5T7iZfCGd7dCInysG2tVzBJCqsN7hw5fhz49Kb1txa93dYhY7kh7SYqCYthGToqGVcDNQX7cXCP2Sqpw+2N/SAcke6E/MgalYAr40dIRRFuUJKX8LxLoko47r admin@rescue ssh-dss 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 admin@SRV-ADMIN-HEGYD ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDDSTvhJwZSkwprrGoTTCDXK4p4VtyGo9EBNckRimYpwUAIq5MV3coWwrfJR/5qH7gYgZdCtBkZR/Mq59Xoeug7Gs5saoVkM0AjjIWPIpx52tl6/mnMvb7XrHwgonxiP2UR5o6tzVJgIK5jO7K6ezaJMobbmorxTDr7zcRm3obON1s21+Wv2FXZBUsFxXL3QjoECgh9mCV7bIjVis6Wl/bPq/ufLwcIhSnnpAzes7kWrfpIU825wUizdyp3JL8clDt1ovdBll7HdnCxmpux/NQQAixNYZhS0G65xXa8Db6hb3XS9v0AZcx07xsP+bGrUMo++L+HPqLYVADTskiRST+Z admin@SRV-ADMIN-HEGYD ssh-rsa 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 enzo@dri " > /home/admin/.ssh/authorized_keys chmod 600 /home/admin/.ssh/authorized_keys chown -R admin:admin /home/admin/.ssh useradd -m -u 1022 -G fwadmin,dev,adm,staff,adm-projects,wheel -s /bin/bash -p pa2TnhUhhBRfU support mkdir /home/support/.ssh chmod 700 /home/support/.ssh touch /home/support/.ssh/authorized_keys chmod 600 /home/support/.ssh/authorized_keys chown -R support:support /home/support/.ssh chmod 750 /home/*
- Configurer alias admin
echo "alias root=\"ssh -AX root@localhost\"" >>/home/admin/.bashrc
- Installer le serveur de mail local
debconf-set-selections <<EOF
postfix postfix/root_address string
postfix postfix/rfc1035_violation boolean false
postfix postfix/mydomain_warning boolean
postfix postfix/mynetworks string 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
postfix postfix/mailname string $(hostname -f)
postfix postfix/tlsmgr_upgrade_warning boolean
postfix postfix/recipient_delim string +
postfix postfix/main_mailer_type select Internet Site
postfix postfix/destinations string $(hostname -f), localhost.$(hostname -f | sed -e 's/^[^.]\+\.\(.*\)$/\1/'), localhost
postfix postfix/retry_upgrade_warning boolean
# Faut-il installer postfix malgré l'incompatibilité du noyau ?
postfix postfix/kernel_version_warning boolean
postfix postfix/not_configured error
postfix postfix/mailbox_limit string 0
postfix postfix/relayhost string
postfix postfix/procmail boolean false
postfix postfix/bad_recipient_delimiter error
postfix postfix/protocols select ipv4
postfix postfix/chattr boolean false
EOF
NB : les erreurs sur le ligne 13 et 17 sont normales.
heirloom-mailx est déprécié mais présent dans le paquet s-nail
apt-get -y install postfix s-nail
cat >> /etc/logrotate.d/rsyslog <<EOF
/var/log/syslog
/var/log/mail.log
{
rotate 4
weekly
missingok
notifempty
compress
delaycompress
create 640 root dev
sharedscripts
postrotate
invoke-rc.d rsyslog rotate > /dev/null
endscript
}
/var/log/mail.info
/var/log/mail.warn
/var/log/mail.err
/var/log/daemon.log
/var/log/kern.log
/var/log/auth.log
/var/log/user.log
/var/log/lpr.log
/var/log/cron.log
/var/log/debug
/var/log/messages
{
rotate 4
weekly
missingok
notifempty
compress
delaycompress
sharedscripts
postrotate
/usr/lib/rsyslog/rsyslog-rotate
endscript
}
EOF
Activer les logs postfix
postfix stop postconf maillog_file=/var/log/maillog postfix start chgrp dev /var/log/maillog
cat >> /etc/aliases <<EOF root: tech@hegyd.com mike: m.reault@netprestation.com EOF newaliases service postfix reload
- Cloner le depot sys-common
Au préalable, pour autoriser le git, se connecter sur srv-admin ( bastion ) et faire : eval $(ssh-agent) ssh-add ssh root@nouvelle_vm ou ssh nouvelle_vm puis su - root
mkdir /usr/local/share/hegyd cat > ~/.ssh/config << EOF PubkeyAcceptedKeyTypes=+ssh-dss PubKeyAcceptedKeyTypes=+ssh-rsa Host git.hegyd.net StrictHostKeyChecking no HostKeyAlgorithms=+ssh-dss EOF git clone -q git@git.hegyd.net:sys-common /usr/local/share/hegyd/sys-common chmod -R g+rw /usr/local/share/hegyd
- Ajouter une version prédéfinie de VimRC
ln -s /usr/local/share/hegyd/sys-common/vim/vimrc_hegyd /etc/vim/vimrc.local
- Ajouter le script d'alerte des reboot
cat <<EOF >/etc/rc.local #!/bin/sh -e # # rc.local # # This script is executed at the end of each multiuser runlevel. # Make sure that the script will "exit 0" on success or any other # value on error. # # In order to enable or disable this script just change the execution # bits. # # By default this script does nothing. exit 0 EOF chmod +x /etc/rc.local systemctl start rc-local systemctl status rc-local sed -i '/^exit 0/i\/usr\/local\/share\/hegyd\/sys-common\/bin\/alert-reboot' /etc/rc.local
[modifier] IP Vrack (pour les VMs)
- Si la VM doit avoir une IP VRACK, il faut la configurer après avoir chois une IP dans le fichier des IPs
- Se configure via l'UI Proxmox généralement sur un pont vmbr1 ( screenshots à faire )
NB : pour les hyperviseurs, voir après l'installation dans le wiki
- Pour les serveurs physiques, positionner l'adresse VRack sur l'interface eth1 ou eth3 (selon le serveur)
[modifier] Pare feu
- Important : Suppression de ufw installé automatiquement avec Debian 10/Buster et qui bloque fwbuilder.
Référence : https://talk.lowendspirit.com/discussion/290/resolved-ufw-iptables-not-working-in-debian-10-minimal
- La fonction "hostname -f" est en erreur si le domaine n'est pas qualifié totalement, faire :
hostname -b nom_vm.domaine.tld
exemple :
hostname -b toto.preprod.hegyd.net
Et vérifier le /etc/hosts.
- Installation
apt install iptables update-alternatives --set iptables /usr/sbin/iptables-legacy update-alternatives --set ip6tables /usr/sbin/ip6tables-legacy
- Configurer le système
mkdir /etc/firewall chgrp fwadmin /etc/firewall chmod 2770 /etc/firewall sed -i -e '/^Defaults\s\+env_reset\s*$/aDefaults:%fwadmin !lecture , passwd_timeout=1 , timestamp_timeout=1' -e "/^root\s\+ALL=(ALL:ALL)\s\+ALL\s*$/a%fwadmin ALL = NOPASSWD: /etc/firewall/$(hostname -f).fw , /usr/bin/pkill" /etc/sudoers sed -i "/^exit 0/i\/etc\/firewall\/$(hostname -f).fw" /etc/rc.local
- Créer et déployer le par feu
Créer le firewall sur firewall-builder puis le déployer
- Ajouter les vm dans le groupe "Virtual Machine" de firewall builder
- Ajouter les serveurs dans le groupe "Servers Applicatifs" de firewall builder
[modifier] Installation paquets clients ( MYSQL / MARIADB )
Client :
apt-get install default-mysql-client
Serveur : Si le serveur MySQL doit être installé sur la machine :
apt-get install default-mysql-server
UTF-8 client / serveur
sed -i -e '/\[client\]/{n;n;/$/a \
default-character-set = utf8
}' \
-e '/\[mysqld\]/a \
character_set_server = utf8\
collation_server = utf8_general_ci' \
-e '/\[mysql\]/a \
default-character-set = utf8' /etc/mysql/my.cnf
[modifier] Serveur de cache DNS local
- Suivre la procédure Bind
[modifier] Monitoring / Supervision
- Installer et configurer Snmp
- Installer et configurer le client NRPE pour Debian
[modifier] Sauvegarde
- Installer et configurer Bacula#Debian
[modifier] Comptes utilisateurs
- Créer les comptes utilisateurs pour les accès du client (voir clés SSH publiques sur serveur Penta)
