7fe6912e9f688bcba0d6a715392a60299fe652b8
Guides/Installation-machine-physique.md
| ... | ... | @@ -2,6 +2,7 @@ |
| 2 | 2 | |
| 3 | 3 | ## Avant de commencer ## |
| 4 | 4 | Ce guide décrit toutes les étapes qui doivent être réalisées au niveau software sur une nouvelle machine physique. Il se veut suffisant à lui même, mais tous les services sont en général décrits de manière plus complète dans d'autres pages de ce wiki. |
| 5 | + |
|
| 5 | 6 | **De plus, bien qu'Ansible soit disponible pour réaliser la plupart de ces étapes, il est conseillé à tous les administrateurs de le faire eux-même au moins une fois. Rien ne remplace la pratique ;-)** |
| 6 | 7 | |
| 7 | 8 | Quelques points, en dehors de ce guide, sont à considérer : |
| ... | ... | @@ -10,6 +11,7 @@ Quelques points, en dehors de ce guide, sont à considérer : |
| 10 | 11 | * Configurer l'IDRAC/ipmi si possible, |
| 11 | 12 | * Renseigner les informations de la machine dans le LDAP. |
| 12 | 13 | |
| 14 | + |
|
| 13 | 15 | ## Table des partitions |
| 14 | 16 | |
| 15 | 17 | *TODO* |
| ... | ... | @@ -46,7 +48,7 @@ apt-get install build-essential linux-header linux-source git patchutils |
| 46 | 48 | ``` |
| 47 | 49 | [TODO: vérifier le nom des paquets] |
| 48 | 50 | |
| 49 | -### Configuration de sshd |
|
| 51 | +## Configuration de sshd |
|
| 50 | 52 | Voici les options qui doivent apparaître impérativement dans `/etc/ssh/sshd_config` : |
| 51 | 53 | |
| 52 | 54 | ``` |
| ... | ... | @@ -59,7 +61,7 @@ AllowGroups sshusers |
| 59 | 61 | ``` |
| 60 | 62 | Et bien sûr, créer le groupe `sshusers` et ajouter les administrateurs humains dans le groupe `sshusers`. |
| 61 | 63 | |
| 62 | -### Gestion du temps |
|
| 64 | +## Gestion du temps |
|
| 63 | 65 | Voir aussi : [Le NTP au ResEl](Services/NTP) |
| 64 | 66 | |
| 65 | 67 | Le client NTP (Network Time Protocol) permet aux différents pc du ResEl d'être à la même heure, ce qui est bien utile lorsqu'un problème survient et que l'on doit étudier les logs. On préfère installer un serveur de temps local sur chaque serveur, ce qui présente l'avantage d'une synchronisation continue. |
| ... | ... | @@ -70,13 +72,22 @@ server ntp.resel.fr iburst dynamic |
| 70 | 72 | ``` |
| 71 | 73 | [TODO: Second serveur de temps ?] |
| 72 | 74 | |
| 75 | + |
|
| 76 | + |
|
| 77 | +## Monitoring |
|
| 78 | +Voir aussi : [le monitoring au ResEl](Monitoring) |
|
| 79 | + |
|
| 73 | 80 | ### Serveur de mail |
| 74 | 81 | Voir aussi : [Gestions des mails machines](Services/Postfix) |
| 82 | + |
|
| 75 | 83 | Il faut dans tous les cas configurer le serveur mail, afin de faire suivre les mails donnant le résultat des commandes programmées (crontab), etc. Les écrans debconf de exim4 ou postfix permettent de configurer facilement un serveur qui se contente d'envoyer des mails, il s'agit d'un « smarthost ». Les mails sont à faire suivre au serveur de courrier du ResEl. Le serveur SMTP ne doit pas écouter sur l'interface eth0, ce n'est pas nécessaire. En éditant `/etc/aliases`, les mails destinés au root local sont généralement transmis à root@<machine>.resel.fr. |
| 76 | 84 | |
| 77 | 85 | *Exemple pour Postfix* : internet with smarthost, avec un relais smtp.maisel.enst-bretagne.fr et l'envoi des mails root locaux à root@…, ainsi que les mails de security vers security@…. Il convient de modifier /etc/postfix/main.cf et mettre en crochets [pegase.adm.maisel.enst-bretagne.fr] pour éviter d'utiliser la résolution du MX. |
| 78 | 86 | |
| 87 | + |
|
| 79 | 88 | ### Log des événements |
| 89 | +Voir aussi [Monitoring/Syslog](Monitoring/Syslog) |
|
| 90 | + |
|
| 80 | 91 | Le ResEl utilise LogCheck pour surveiller l'activité sur le serveur. Installer syslog-ng (qui remplace rsyslog ou syslogd qui est installé par défaut), et dans `/etc/syslog-ng/syslog-ng.conf`, ajouter le paragraphe suivant à la fin du fichier pour envoyer les logs vers veronica : |
| 81 | 92 | |
| 82 | 93 | ``` |
| ... | ... | @@ -96,10 +107,9 @@ Puis relancer le service : |
| 96 | 107 | sudo systemctl restart syslog-ng |
| 97 | 108 | ``` |
| 98 | 109 | |
| 99 | -TODO: Il y a un rsyslog sur 2-3 machines. Se décider, harmoniser. |
|
| 110 | +*TODO: Il y a un rsyslog sur 2-3 machines. Se décider, harmoniser.* |
|
| 111 | + |
|
| 100 | 112 | |
| 101 | -## Monitoring |
|
| 102 | -Voir aussi : [le monitoring au ResEl](Monitoring) |
|
| 103 | 113 | |
| 104 | 114 | ### Icinga2 |
| 105 | 115 | Voir aussi : [Monitoring/Icinga](Monitoring/Icinga) |
| ... | ... | @@ -110,6 +120,7 @@ sudo icinga2 daemon --validate |
| 110 | 120 | sudo systemctl restart icinga2 |
| 111 | 121 | ``` |
| 112 | 122 | |
| 123 | + |
|
| 113 | 124 | ### Munin |
| 114 | 125 | Voir aussi : [Monitoring/Munin](Monitoring/Munin) |
| 115 | 126 | |
| ... | ... | @@ -140,6 +151,8 @@ Sur DGSI, ajouter la machine à la liste de celles qu'il faut scanner, dans `/et |
| 140 | 151 | |
| 141 | 152 | *[Attention, le plugin APT est (encore) buggué, voir le ticket résolu à ce sujet.](https://trac.resel.fr/ticket/584)* |
| 142 | 153 | |
| 154 | + |
|
| 155 | + |
|
| 143 | 156 | ## Mises à jour |
| 144 | 157 | Installer apticron, apt-listchanges et apt-listbugs. |
| 145 | 158 | |
| ... | ... | @@ -180,6 +193,8 @@ deb-src http://security.debian.org/ jessie/updates main |
| 180 | 193 | *TODO* |
| 181 | 194 | |
| 182 | 195 | ## S.M.A.R.T. |
| 196 | +Voir aussi [Monitoring/S.M.A.R.T.](Monitoring/SMART) |
|
| 197 | + |
|
| 183 | 198 | Les données S.M.A.R.T. (Self-Monitoring, Analysis and Reporting Technology) permettent aux disques durs et SSD de remonter de nombreux indicateurs sur leur durée de vie, leurs cycles de fonctionnement, leur usage,... |
| 184 | 199 | Sur Linux, un programme permettant de récupérer ces informations est smartmontools : |
| 185 | 200 | ``` |
| ... | ... | @@ -199,6 +214,8 @@ Il faut également éditer le fichier de configuration `/etc/smartd.conf`, comme |
| 199 | 214 | ``` |
| 200 | 215 | |
| 201 | 216 | ## Onduleurs |
| 217 | +Voir aussi [Monitoring/S.M.A.R.T.](Monitoring/Onduleurs) |
|
| 218 | + |
|
| 202 | 219 | Si la machine est une machine physique il faut qu'elle écoute un onduleur pour pouvoir s'éteindre en toute sécurité. |
| 203 | 220 | |
| 204 | 221 | Il faut commencer par mettre le tableau des Onduleurs à jour et définir une priorité à la machine. Il faut ensuite installer *apcupsd* : |
| ... | ... | @@ -207,20 +224,25 @@ apt-get install apcupsd |
| 207 | 224 | ``` |
| 208 | 225 | Puis le configurer : |
| 209 | 226 | |
| 210 | -Passer ISCONFIGURED à yes dans /etc/default/apcupsd |
|
| 211 | -Éditer le fichier de conf /etc/apcupsd/apcupsd.conf et changer les paramètres suivants : |
|
| 212 | - |
|
| 227 | +Passer ISCONFIGURED à yes dans `/etc/default/apcupsd` |
|
| 228 | +Éditer le fichier de conf `/etc/apcupsd/apcupsd.conf` et changer les paramètres suivants : |
|
| 229 | +``` |
|
| 213 | 230 | UPSCABLE smart |
| 214 | 231 | UPSTYPE net |
| 215 | 232 | DEVICE 172.22.2.8 #L'IP du serveur correspondant à l'onduleur sur lequel la machine est branché |
| 216 | 233 | |
| 217 | 234 | BATTERYLEVEL 50 #Le niveau correspondant à la priorité de la machine |
| 218 | 235 | MINUTES 6 #Le temps correspondant à la priorité de la machine |
| 236 | +``` |
|
| 219 | 237 | |
| 220 | 238 | Relancer le daemon : |
| 221 | 239 | ``` sudo systemctl restart apcupsd ``` |
| 222 | 240 | |
| 223 | - Tester la connexion : *apcaccess* |
|
| 241 | + Tester la connexion : `apcaccess` |
|
| 242 | + |
|
| 243 | + |
|
| 244 | +**Normalement votre serveur à ce moment devrait être parfaitement fonctionnel et prêt à l'emploi.** |
|
| 245 | + |
|
| 224 | 246 | |
| 225 | 247 | #### TODO (rédacteur) |
| 226 | 248 | * Mise en forme |