Zawsze gdy instaluje nowy serwer (czy to wirtualka do zabawy czy serwer dla klienta) po głowie chodzą mi dwie rzeczy, “jakie narzędzia jeszcze doinstalować (typu nmap, mtr itd.)” i “czy aby o czymś nie zapomniałem”. Może kiedyś (czyli pewnie nigdy) zrobie z tego ładnego PDFa do wydruku ale na razie:
- /var i /home na LVM (minimum, dodatkowo można katalog z bazą, logi, www, maile spool itd., cokolwiek co generuje dużo danych
- Zainstalować: ulubiony edytor,bzip2,screen,gcc,libncurses5-dev, mc(czasami sie przydaje, zwlaszcza jak developrzy maja dostep do serva), sudo, skonfigurować sudoers
Jeżeli serwer będzie używany przez zwykłych userów uruchomić pam_cracklib - Narzędzia sieciowe: bwm-ng iftop nmap tcpdump
- Ustawić synchronizację czasu (*ntpd)
- Firewall (ustawic tek żeby przepuszczał ssh bezwarunkowo)
- Zainstalować serwer pocztowy, ustawić alias, wysłać maila testowego
- Zainstalować openssh-server (i wyłączyć logowanie na roota, lub
PermitRootLogin without-password) - Zainstalować potrzebne usługi
- Zainstalować monitoring i backup
- Reboot i sprawdzamy czy wszystko startuje poprawnie po restarcie
- Wyłączyć i włączyć uslugi, sprawdzić czy monitoring działa poprawnie
- Wykonać backup i przywrócić z niego pliki, sprawdzić czy wszystko ok.
- Jeżeli mamy RAID1/5/6 wyjąc dysk, zrestartować, sprawdzić czy wstaje, włożyć, sprawdzi czy przywraca poprawnie
13 ResponsesLeave a comment ?
1. wszystko na LVM za wyjątkiem boot, wygodniej i czasem się przydaje.
2. +skonfigurowac politykę haseł, bo inaczej zdarzają się tacy, co mają hasło ,,a”.
4. openntpd
7. Jeśli polityka bezpieczeństwa pozwala, to PermitRootLogin without-password i pokonfigurować odpowiednio klucze.
8.1 ipmi, omsa, nrpe, klient backupowy (czymkolwiek jest).
/ wolę zostawiać na fizycznej partycji żeby system nie wymagał initrd do bootowania a /usr /lib /bin i /sbin zwykle nie rosną zwykle podczas użytkowania serwera więc 20G-40G zwykle starcza z zapasem
Co do 2, jak serwer ma dużo userów wolę odpalić “john the ripper” co jakiś czas ;].
a serwer ntp to wg. mnie overkill (chyba że jeden na sieć dla paru innych serwerów)
Nam np. często lubi urosnąć /usr/local (przy zmianie wersji aplikacji, albo gdy ktoś nie doszacował rozrostu logów).
Jan Rozpruwacz jest takim działaniem po fakcie, lepiej użyć pam_passwdqc (mój ulubiony, bo ma swoje odpowiedniki również na *BSD) czy tez pam_cracklib i wtedy user na dzień dobry ma utrudnione tworzenie trywialnych haseł. Dodatkowo takie moduły często można podłaczyć pod słownik i wtedy jest całkiem przewalone :)
ntpd — xntpd jest krowiasty, owszem. openntpd jest malutki i koryguje date na bieżąco, więc nie ma skoków czasu, jak się zegar rozjeżdża (czego niektóre aplikacje po prostu nie lubią, a co nas kiedyś w dupę ugryzło).
to mozna wrzucic ntpdate co godzine jak sie rozjezdza i dalej overall mniej roboty niz z serwerem ntp ;] ale jak kto woli, byleby sync był ;]
Po dzisiejszym wieczorze dodałbym jeszcze:
- jeśli robisz serwer pod konkretną aplikację, która produkuje dużo plików/logów/whateverów, na potrzeby jej obszaru roboczego wydziel osobny filesystem. To samo dotyczy logów aplikacji.
ntpdate zmienia czas _skokowo_, nie spowalniając/przyspieszając zegar systemowy. Wrażliwej aplikacji wystarczy cofnąć zegarek o sekundę i może się zbuntować (a w aplikacjach, nazwijmy je wysokiego ryzyka, np. finansowych, nawet jeśli im samym nic się nie stanie, skokowa zmiana czasu jest niedopuszczalna). A z openntpd roboty nie ma żadnej: ustawić flagę -s na starcie, podać serwer czasu, fire and forget (zresztą xnptd, jak pamiętam, też nie jest jakoś wymagający w tej kwestii).
Tak też robię zwykle, a potem podłączam mój skrypt do autoresize (musze go kiedyć “uładnić” i gdzieś wystawić) i spokój. ;]
mozna ustawic ntpdate zeby uzywal adjtime i wtedy bedzie plynnie.
Przy większej farmie przychodzi mi jeszcze do głowy SNMP (czytaj: zaczyna mnie wkurzać aktualizacja/rekonfiguracja check_openmanage na kilkudziesięciu serwerach ;)), poza tym są takie platformy (np. Windows), które sprawdzisz tylko przez SNMP — ujednolicenie sposobu sprawdzania stanu na różnych plaftormach też upraszcza robotę.
Wiem, można to rozwiązać za pomocą cfengine czy puppeta (też można dodać, jeśli ktoś używa), ale jakoś mi z nimi nie po drodze.
Ano można, chociaż “oskrypcenie” (albo w najprostrzym wypadku dsh + klucze publiczne) przyda się też do innych rzeczy.
Ja dorobiłem się kilku plików ‘autoyast’ – standardowych ustawień instalacyjnych pod różne zastosowania. Wszystkie dodatkowe rzeczy o których mówisz można włączyć/przełączyć przez odpowiednie switche lub skryptu POST-Install.
A jeżeli chodzi o systemy które tego nie supportują – to obrazowanie. Jeden generalny obraz systemu plus skrypt do customizacji najczęściej zmienianych elementów (hostname,ip, regeneneracja kluczy, polityka haseł itp).
Dzięki Clonezilli i mechanizmowi PXE mogę odtwarzanie trwa okolo 4-5 minut (poniżej minuty na nowszych serwerch ;)
Sam powoli mam zamiar stawiać takiego, ale z drugiej strony nie instaluje tyle Linuksów miesięcznie żeby miało to większy sens. Chociaż moze wygoda przeważy ;)
Mówisz o skrypcie czy o profilach autoyast? Bo jeżeli to drugie to służę pomocą ;)
Mówię o bootowaniu z sieci :). Preferuję Debiana więc jeżeli już to kombinowałbym z tym ;]
Kombinowałem, wykładałem, zarabiałem itp.
http://marcinbojko.wordpress.com/tag/drbl/
Masz tam link do prezentacji z DRBl’a, stawia się go błyskawicznie, w razie czego służę gotową maszyną wirtualna.