2eed3caf2c3403e88b4aecedc9b998af695914e8
Guides/Installation-machine-physique.md
| ... | ... | @@ -2,7 +2,7 @@ |
| 2 | 2 | |
| 3 | 3 | ## Avant de commencer ## |
| 4 | 4 | Ce guide décrit toutes les étapes qui doivent être réalisées au niveau software sur une nouvelle machine physique. Il se veut suffisant à lui même, mais tous les services sont en général décrits de manière plus complète dans d'autres pages de ce wiki. |
| 5 | -De plus, bien qu'Ansible soit disponible pour réaliser la plupart de ces étapes, il est conseillé à tous les administrateurs de le faire eux-même au moins une fois. Rien ne remplace la pratique ;-) |
|
| 5 | +**De plus, bien qu'Ansible soit disponible pour réaliser la plupart de ces étapes, il est conseillé à tous les administrateurs de le faire eux-même au moins une fois. Rien ne remplace la pratique ;-)** |
|
| 6 | 6 | |
| 7 | 7 | Quelques points, en dehors de ce guide, sont à considérer : |
| 8 | 8 | * Avant d'installer un nouveau système sur une nouvelle, il convient de la tester : disques, mémoire, ... |
| ... | ... | @@ -12,9 +12,11 @@ Quelques points, en dehors de ce guide, sont à considérer : |
| 12 | 12 | |
| 13 | 13 | ## Table des partitions |
| 14 | 14 | |
| 15 | +*TODO* |
|
| 16 | + |
|
| 15 | 17 | ## Réseau |
| 16 | -Configuration en ip fixe IMPÉRATIVE, pas de DHCP ! En effet, si un reboot accidentel survient à un moment où le serveur dhcp est indisponible (exemple :longue coupure de courant), l'interface ne sera pas configurée et le serveur sera ainsi injoignable. |
|
| 17 | -Dans le /etc/resolv.conf : |
|
| 18 | +**Configuration en ip fixe IMPÉRATIVE, pas de DHCP !** En effet, si un reboot accidentel survient à un moment où le serveur dhcp est indisponible (exemple : longue coupure de courant), l'interface ne sera pas configurée et le serveur sera ainsi injoignable. |
|
| 19 | +Dans le `/etc/resolv.conf` : |
|
| 18 | 20 | |
| 19 | 21 | options timeout:1 |
| 20 | 22 | search adm.resel.fr adm.rennes.resel.fr resel.fr rennes.resel.fr |
| ... | ... | @@ -22,8 +24,9 @@ Dans le /etc/resolv.conf : |
| 22 | 24 | nameserver 172.22.2.32 |
| 23 | 25 | nameserver 172.23.2.229 |
| 24 | 26 | |
| 27 | + |
|
| 25 | 28 | ## Les paquets indispensables |
| 26 | - Il faut pouvoir se connecter à distance sur la machine et permettre à certaines personnes autorisées de pouvoir passer root, et pouvoir laisser un programme tourner, meme déconnecté (utile en cas de compilation, ou si on perd la connexion de façon accidentelle) : |
|
| 29 | + Il faut pouvoir se connecter à distance sur la machine et permettre à certaines personnes autorisées de pouvoir passer *root*, et pouvoir laisser un programme tourner, même déconnecté (utile en cas de compilation, ou si on perd la connexion de façon accidentelle) : |
|
| 27 | 30 | ``` |
| 28 | 31 | apt-get install ssh sudo tmux vim postfix ntp ntpdate |
| 29 | 32 | ``` |
| ... | ... | @@ -44,7 +47,7 @@ apt-get install build-essential linux-header linux-source git patchutils |
| 44 | 47 | [TODO: vérifier le nom des paquets] |
| 45 | 48 | |
| 46 | 49 | ### Configuration de sshd |
| 47 | - Voici les options qui doivent apparaître impérativement dans /etc/ssh/sshd_config : |
|
| 50 | + Voici les options qui doivent apparaître impérativement dans `/etc/ssh/sshd_config` : |
|
| 48 | 51 | |
| 49 | 52 | ``` |
| 50 | 53 | Protocol 2 |
| ... | ... | @@ -54,23 +57,27 @@ StrictModes yes |
| 54 | 57 | PermitEmptyPasswords no |
| 55 | 58 | AllowGroups sshusers |
| 56 | 59 | ``` |
| 57 | -Et bien sûr, créer le groupe sshusers et ajouter les administrateurs humains dans le groupe sshusers. |
|
| 60 | +Et bien sûr, créer le groupe `sshusers` et ajouter les administrateurs humains dans le groupe `sshusers`. |
|
| 58 | 61 | |
| 59 | 62 | ### Gestion du temps |
| 60 | -Le client ntp (Network Time Protocol) permet aux différents pc du ResEl d'être à la même heure, ce qui est bien utile lorsqu'un problème survient et que l'on doit étudier les logs. On préfère installer un serveur de temps local sur chaque serveur, ce qui présente l'avantage d'une synchronisation continue. |
|
| 63 | +Voir aussi : [Le NTP au ResEl](Services/NTP) |
|
| 61 | 64 | |
| 62 | -Le serveur de temps du ResEl est disponible à l'adresse ntp.resel.fr. Il faut modifier la variable server dans /etc/ntp.conf : |
|
| 65 | +Le client NTP (Network Time Protocol) permet aux différents pc du ResEl d'être à la même heure, ce qui est bien utile lorsqu'un problème survient et que l'on doit étudier les logs. On préfère installer un serveur de temps local sur chaque serveur, ce qui présente l'avantage d'une synchronisation continue. |
|
| 63 | 66 | |
| 67 | +Le serveur de temps du ResEl est disponible à l'adresse ntp.resel.fr. Il faut modifier la variable server dans `/etc/ntp.conf` : |
|
| 68 | +``` |
|
| 64 | 69 | server ntp.resel.fr iburst dynamic |
| 65 | - |
|
| 70 | +``` |
|
| 66 | 71 | [TODO: Second serveur de temps ?] |
| 67 | 72 | |
| 68 | 73 | ### Serveur de mail |
| 69 | - Il faut dans tous les cas configurer le serveur mail, afin de faire suivre les mails donnant le résultat des commandes programmées (crontab), etc. Les écrans debconf de exim4 ou postfix permettent de configurer facilement un serveur qui se contente d'envoyer des mails, il s'agit d'un « smarthost ». Les mails sont à faire suivre au serveur de courrier du resel. Le serveur smtp ne doit pas écouter sur l'interface eth0, ce n'est pas nécessaire. En éditant /etc/aliases, les mails destinés au root local sont généralement transmis à root@<machine>.resel.fr. |
|
| 74 | +Voir aussi : [Gestions des mails machines](Services/Postfix) |
|
| 75 | + Il faut dans tous les cas configurer le serveur mail, afin de faire suivre les mails donnant le résultat des commandes programmées (crontab), etc. Les écrans debconf de exim4 ou postfix permettent de configurer facilement un serveur qui se contente d'envoyer des mails, il s'agit d'un « smarthost ». Les mails sont à faire suivre au serveur de courrier du ResEl. Le serveur SMTP ne doit pas écouter sur l'interface eth0, ce n'est pas nécessaire. En éditant `/etc/aliases`, les mails destinés au root local sont généralement transmis à root@<machine>.resel.fr. |
|
| 76 | + |
|
| 70 | 77 | *Exemple pour Postfix* : internet with smarthost, avec un relais smtp.maisel.enst-bretagne.fr et l'envoi des mails root locaux à root@…, ainsi que les mails de security vers security@…. Il convient de modifier /etc/postfix/main.cf et mettre en crochets [pegase.adm.maisel.enst-bretagne.fr] pour éviter d'utiliser la résolution du MX. |
| 71 | 78 | |
| 72 | 79 | ### Log des événements |
| 73 | - Le ResEl utilise LogCheck pour surveiller l'activité sur le serveur. Installer syslog-ng (qui remplace rsyslog ou syslogd qui est installé par défaut), et dans /etc/syslog-ng/syslog-ng.conf, ajouter le paragraphe suivant à la fin du fichier pour envoyer les logs vers veronica : |
|
| 80 | + Le ResEl utilise LogCheck pour surveiller l'activité sur le serveur. Installer syslog-ng (qui remplace rsyslog ou syslogd qui est installé par défaut), et dans `/etc/syslog-ng/syslog-ng.conf`, ajouter le paragraphe suivant à la fin du fichier pour envoyer les logs vers veronica : |
|
| 74 | 81 | |
| 75 | 82 | ``` |
| 76 | 83 | ######################################### |
| ... | ... | @@ -92,6 +99,8 @@ sudo systemctl restart syslog-ng |
| 92 | 99 | TODO: Il y a un rsyslog sur 2-3 machines. Se décider, harmoniser. |
| 93 | 100 | |
| 94 | 101 | ## Monitoring |
| 102 | +Voir aussi : [Monitoring/Icinga](Monitoring/Icinga) |
|
| 103 | + |
|
| 95 | 104 | **Icinga2 :** Ajouter un fichier dans la configuration de Icinga2 sur le master eris, dans /etc/icinga2/zones.d/<campus> et reload icinga2. |
| 96 | 105 | ``` |
| 97 | 106 | sudo icinga2 daemon --validate |
| ... | ... | @@ -104,21 +113,21 @@ sudo apt-get install munin-node munin-plugins-extra |
| 104 | 113 | sudo ln -s /usr/share/munin/plugins/apt /etc/munin/plugins/apt |
| 105 | 114 | ``` |
| 106 | 115 | |
| 107 | -Dans le fichier de configuration /etc/munin/munin-node.conf, enlever l'écoute sur toutes les interfaces (host *), et à la place spécifier l'IP dans la zone admin et le port 4949. Il faut aussi permettre à Eris ou Cadillac de contacter la machine, donc ajouter (à adapter si la machine n'a pas d'interface dans le 997) : |
|
| 116 | +Dans le fichier de configuration `/etc/munin/munin-node.conf`, enlever l'écoute sur toutes les interfaces (host *), et à la place spécifier l'IP dans la zone admin et le port 4949. Il faut aussi permettre à Eris ou Cadillac de contacter la machine, donc ajouter (à adapter si la machine n'a pas d'interface dans le 997) : |
|
| 108 | 117 | ``` |
| 109 | 118 | allow ^172\.22\.2\.87$ |
| 110 | 119 | ``` |
| 111 | 120 | |
| 112 | -Ajouter ce qu'il faut grapher dans /etc/munin/plugins/ (typiquement, des symlinks vers /usr/share/munin/plugins -- attention, pour les interfaces réseaux par exemple le nom du lien est important). |
|
| 121 | +Ajouter ce qu'il faut grapher dans `/etc/munin/plugins/` (typiquement, des symlinks vers `/usr/share/munin/plugins` -- attention, pour les interfaces réseaux par exemple le nom du lien est important). |
|
| 113 | 122 | |
| 114 | -Sur DGSI, ajouter la machine à la liste de celles qu'il faut scanner, dans /etc/munin/munin.conf. |
|
| 123 | +Sur DGSI, ajouter la machine à la liste de celles qu'il faut scanner, dans `/etc/munin/munin.conf`. |
|
| 115 | 124 | |
| 116 | 125 | **Attention**, le plugin APT est (encore) buggué, voir le ticket résolu à ce sujet. |
| 117 | 126 | |
| 118 | -## Mises à jours |
|
| 127 | +## Mises à jour |
|
| 119 | 128 | Installer apticron, apt-listchanges et apt-listbugs. |
| 120 | 129 | |
| 121 | -* apticron, éditer le fichier /etc/apticron/apticron.conf, |
|
| 130 | +* apticron, éditer le fichier `/etc/apticron/apticron.conf`, |
|
| 122 | 131 | ``` |
| 123 | 132 | EMAIL="update-debian@resel.fr" |
| 124 | 133 | SYSTEM=" nom_de_la_machine : description de la machine " |
| ... | ... | @@ -152,20 +161,22 @@ deb-src http://security.debian.org/ jessie/updates main |
| 152 | 161 | |
| 153 | 162 | ## BackupPC |
| 154 | 163 | |
| 164 | +*TODO* |
|
| 165 | + |
|
| 155 | 166 | ## S.M.A.R.T. |
| 156 | 167 | Les données S.M.A.R.T. (Self-Monitoring, Analysis and Reporting Technology) permettent aux disques durs et SSD de remonter de nombreux indicateurs sur leur durée de vie, leurs cycles de fonctionnement, leur usage,... |
| 157 | 168 | Sur Linux, un programme permettant de récupérer ces informations est smartmontools : |
| 158 | 169 | ``` |
| 159 | 170 | apt-get install smartmontools |
| 160 | 171 | ``` |
| 161 | -Pour l'activer sur le disque */dev/sdX*, lancer : |
|
| 172 | +Pour l'activer sur le disque `/dev/sdX`, lancer : |
|
| 162 | 173 | ``` |
| 163 | 174 | smartctl --smart=on --offlineauto=on --saveauto=on /dev/sdX |
| 164 | 175 | ``` |
| 165 | 176 | |
| 166 | - Pour activer le daemon il faut décommenter "start_smartd=yes" dans /etc/default/smartmontools. |
|
| 177 | + Pour activer le daemon il faut décommenter "start_smartd=yes" dans `/etc/default/smartmontools`. |
|
| 167 | 178 | |
| 168 | -Il faut également éditer le fichier de configuration */etc/smartd.conf*, commenter la ligne commençant par DEVICESCAN et ajouter une ligne par disque. On peut par exemple surveiller tous les attributs et programmer un test court par jour (à 05h) et un test long par semaine (le mardi à 05h, en faible affluence), en cas d'erreur un mail sera envoyé à root. |
|
| 179 | +Il faut également éditer le fichier de configuration `/etc/smartd.conf`, commenter la ligne commençant par DEVICESCAN et ajouter une ligne par disque. On peut par exemple surveiller tous les attributs et programmer un test court par jour (à 05h) et un test long par semaine (le mardi à 05h, en faible affluence), en cas d'erreur un mail sera envoyé à root. |
|
| 169 | 180 | ``` |
| 170 | 181 | /dev/sda -a -o on -S on -s (S/../.././05|L/../../6/05) -m root |
| 171 | 182 | /dev/sdb -a -o on -S on -s (S/../.././05|L/../../6/05) -m root |
| ... | ... | @@ -195,8 +206,8 @@ Passer ISCONFIGURED à yes dans /etc/default/apcupsd |
| 195 | 206 | |
| 196 | 207 | Tester la connexion : *apcaccess* |
| 197 | 208 | |
| 198 | -#### TODOs |
|
| 199 | -* Mise en forme, |
|
| 209 | +#### TODO (rédacteur) |
|
| 210 | +* Mise en forme |
|
| 200 | 211 | * Réorganisation (install paquets / config, séparation machine physique / virtuelle) |
| 201 | 212 | * Débat rsyslog / syslog-ng (?) -> ELK (projet en cours) |
| 202 | 213 | * Lien BackupPC |
| ... | ... | \ No newline at end of file |