12618
Comment:
|
12728
|
Deletions are marked like this. | Additions are marked like this. |
Line 2: | Line 2: |
Dette er gruppen som tar seg av drift av NUUGs servere og netttjenester. Kontaktsiden for NUUG inneholder mer informasjon om driftsgruppen. | Dette er gruppen som tar seg av drift av NUUGs servere og nettjenester. Kontaktsiden for NUUG inneholder mer informasjon om driftsgruppen. |
Line 150: | Line 150: |
Se også: [[https://wiki.nuug.no/grupper/sysadmin/liste-over-maskiner | Liste over maskinene til NUUG ]]. |
Systemadministrasjonsgruppen (Driftsgruppen)
Dette er gruppen som tar seg av drift av NUUGs servere og nettjenester. Kontaktsiden for NUUG inneholder mer informasjon om driftsgruppen.
E-post adresse |
drift@nuug.no |
E-postliste |
|
Listearkiv |
|
Wikiside |
Medlemmer
Gruppeleder |
|
Deltakere |
Adrian Kjær Dalhaug, Anders Nordby, Peter N.M. Hansteen, Petter Reinholdtsen, Martin Langsjøen, Johnny A Solbu, Hans-Petter Fjeld, Thomas Gramstad, Marius Halden |
Rutiner
IP-numre
Rutinen for å få nye IP-numre er å ta kontakt med USIT og be om å få et nytt IP-nummer, hvis vi ikke kan gjenbruke noen av de gamle vi har fått utdelt før. NUUG deler subnett med andre aktører, og har hittil hatt adresser i subnettet 158.36.191.128/25. Kontaktadresse for dette hos USIT er hostmaster@usit.uio.no.
Se også: Oversikt over NUUGs IP-adresser.
Nerdhaven
Fra høsten 2019 kan sudo brukes til "alt" på nerdhaven. Nye sysadmin-brukere legges inn i wheel-gruppen og kan bruke sudo. De trenger da ikke å vite root-passordet.
Endre gruppetilhørighet for bruker
Nerdhaven kjører FreeBSD og har derfor ikke moduser, som er en Linux-kommando. På FreeBSD brukes kommandoen pw. Eksempel: For å legge brukeren delfin til wheel-gruppen:
sudo pw group mod wheel -m delfin
Bruk id delfin for å sjekke hvilke grupper delfin er medlem av.
Endre sudoers-fila
For å endre sudoers-fila må spesialkommandoen visudo brukes. Den bruker et spesielt oppsett og i utgangspunktet editoren vi.
Det er mulig å sette opp editor-miljøvariable slik at visudo vil bruke Emacs. I bash gjøres det slik:
VISUAL=emacs; export VISUAL EDITOR=emacs; export emacs
Gjør følgende for å redigere sudoers på nerdhaven:
(1) cd /usr/local/etc/ (Andre maskiner kan ha sudoers-fila i en annen katalog. Bruk evt kommandoen locate sudoers) (2) sudo cp sudoers old-backup-sudoers (3) visudo (uten filnavn) (NB: Må gjøres som root. Bruk evt sudo su) (Rediger. Lagre fila og gå ut av editor.) (4) visudo -c (Gjøres for å sjekke at det ikke kommer noen feilmelding. OBS: Dersom det kommer feilmelding innebærer det at sudoers-fila ikke virker lenger! Feilen må enten rettes opp med en gang, eller kopier tilbake backup-kopien fra punkt (2)!)
Tips/Bruk
Se her for tips og bruk av programvare på nerdhaven. Trenger du konto? Send en mail til drift at nuug.no med din offentlige SSH-nøkkel.
Opprette nye brukere
(Fra høsten 2019 tildeles ikke nye brukere på nerdhaven. Nerdhaven er gammel og skal om mulig skiftes ut. Oppskriften for ny bruker nedenfor kan imidlertid brukes på andre maskiner.)
De som skal ha konto sender mail til drift at nuug.no (eller sysadmin (at) rt.nuug.no for å sikre at ønsket ikke blir glemt) med offentlig SSH-nøkkel og forslag til brukernavn. Offentlig SSH-nøkkel kan f eks være fila id_rsa.pub (gitt bruk av RSA). Denne må av admin omgjøres (med cat som angitt nedenfor) til fila authorized_keys og legges inn på den nye brukerens område i katalogen .ssh og så må både katalogen og alle filer i katalogen endres eier (chown) og endres filbeskyttelse som angitt nedenfor.
Bruk adduser for å opprette brukere. Svar 'bash' på spørsmål om shell, og 'no' på spørsmål om "Use password-based authentication?", og velg default-verdier på resten. Når brukeren er opprettet legges ssh-nøkkelen (altså fila, f eks id_rsa.pub) inn som den følgende fila hos den nye brukeren: ~user/.ssh/authorized_keys og dette må gjøres med cat-kommandoen:
adduser cd ~user/ mkdir ~user/.ssh cat id_rsa.pub > .ssh/authorized_keys chown user:user .ssh .ssh/authorized_keys chmod og-rwx .ssh .ssh/authorized_keys
Oppsett av RT-mailadresser
Mailadresser som rutes inn i RT er listet opp i /etc/mail/aliases og i /usr/local/etc/postfix/virtual. Kjør newaliases ; postmap /usr/local/etc/postfix/virtual etter å ha oppdatert filene.
Oppsett av RT-kø
Kø opprettes i RT via webgrensesnittet, og køoppsettet gis rettigheter som beskrevet på UiOs webside om RT-oppsett. Merk at køer ikke kan slettes, kun kobles ut, så en bør være konservativ når det gjelder å opprette nye køer.
Oppdatere NUUG-adresser som styret@ og valgkomite@
Rediger nerdhaven:/etc/aliases.nuug og kjør kommandoen newaliases. (OBS: /etc/ må ikke forveksles med /usr/local/etc/ og heller ikke med ~/etc/ !)
Mailman-vedlikehold
Mailman-installasjonen ligger under /usr/local/mailman. Gå dit først.
(Her kommer info om oppgradering av Mailman-versjon.)
Ny liste i Mailman
Opprette ny liste under @nuug.no:
# bin/newlist <listenavn>
Dette legger blant annet inn alias i /usr/local/mailman/data/aliases. Når en liste flyttes fra majordomo til mailman, så må en huske å fjerne aliasene i /etc/aliases.majordomo. Ved migrering kan det også være lurt å sjekke /usr/local/majordomo/lists/<listenavn>.config opp mot mailman-oppsettet.
Om listen skal være under et annet domene (eks. nobug.no):
# bin/newlist --emailhost=nobug.no <listenavn>
Listenavn blir bruker-delen i epost-adressen. For andre domener enn nuug.no må det lages aliaser fra det andre domenet til nuug.no.
URL er http://lists.nuug.no/.
Endre url for en liste:
Eks. endre url fra "http://naavaerende.url/" til "http://ny.url/".
# bin/withlist -l -i <listenavn> > m.web_page_url # Vis nåværende url 'http://naavaerende.url/' > m.web_page_url = 'http://ny.url/' # Sett ny url > m.Save() # Lagre endringen > exit() # Avslutt
Migrering av mailinglistearkiv
Når mailinglister flyttes fra majordomo til mailman er det fint å beholde mailinglistearkivet. Da kan følgende formular brukes (eksemplet er listen nuug-commits):
cd /usr/local/mailman cat /usr/local/majordomo/lists/nuug-commits.archive/nuug-commits.archive.0* \ > /usr/local/mailman/archives/private/nuug-commits.mbox/nuug-commits.mbox chmod g+w /usr/local/mailman/archives/private/nuug-commits.mbox/nuug-commits.mbox bin/arch --wipe nuug-commits
Se også: Majordomo og mysql-auth.
Vedlikehold av KVM
vert.nuug.no er virtualiseringsverten til NUUG. GUI-verktøyet virt-manager og kommandolinjeverktøyet virsh er gode inngangsporter til vedlikehold. Se blant annet
Informasjon om NUUGs maskinpark
Se også: Liste over maskinene til NUUG.
master.nuug.no er en SUN V20z
- Kontakter: 2 x SCSI, 3 x firewire, 1 x USB, 2 x TP-ethernet + managementport.
SCSI-kontroller: LSI Logic MegaRAID SCSI 320-2X
- ATAboy2 RAID-hylle med 14 x 180 GiB IDE-disker (USIT raid 58). Har supportkontrakt ut januar 2008.
- Koblet til ekstern SCSI-kontakt 0. Hyllen er satt opp som A02/RAID0 i MegaRAID-biosen for å gjøre den synlig for FreeBSD.
- En ubrukt IBM eserver xseries 345 står i RACK-et.
vert.nuug.no er en Dell PowerEdge R510 kjøpt sommeren 2011.
2 x Dell StorageVault MD1000 med SAS-disker og tilhørende PERC 6 RAID-kontroller.
Koble seg til NUUGs SQL-tjener
NUUG har en PostgreSQL-tjener til bruk for NUUG-prosjekter. Den gir tilgang til utvalgte maskiner og brukere (spør sysadmin@rt.nuug.no om tilgang), og en kan koble seg opp f.eks. slik:
SSLMODE=required psql -h sqldb.nuug.no -U <brukernavn> <dbname>
Ny bruker for bounceweb aka approve.nuug.no
Konsulter /usr/local/etc/apache/vhost.conf, legg merke til linjen "AddExternalAuth ApproveAuth /home/www/bounceweb/mysql-auth.pl".
- Få passordhash
$ perl -le 'print crypt($PASSWORD,$SALT)'
- Opprett bruker
mysql> USE lists; mysql> INSERT INTO users (userid,username,passwd) VALUES('$USERID','$USERNAME','$HASH');
- Gi bruker tilgang til lister
mysql> SELECT * FROM lists; #For å se mulige list-id mysql> INSERT INTO acl (userid,listid) VALUES('$USERID','$LISTID'); #En rad per listid\brukerid-par
SSL-cert
Det er bobkare som har ordnet med sertifikatene, det står litt om certet og hva som har vaert gjort med det for aa passe med webserveroppsett etc. i ~bob/sslcertificate/README
For let's encrypt cert på nerdhaven se /letsencrypt.
Spamvask (spamd + exim+spamassassin+clamav) på portal.nuug.no
portal.nuug.no er en VM på vert, som kjører OpenBSD 6.8 (installert av Peter Hansteen) og har som primærformål å kjøre OpenBSD spamd (se http://man.openbsd.org/spamd, http://home.nuug.no/~peter/pf/en/spamd.html og http://bsdly.blogspot.no/2013/05/keep-smiling-waste-spammers-time.html )
Config-endringer:
/etc/pf.conf - kommentarer begynner med # - se etter start og slutt for blokken med spamd(8) - relevante linjer og kommentarene
/etc/rc.conf.local - rediger spamd_flags= i samsvar med spamd(8)
/etc/mail/spamd.conf - rediger i samsvar med spamd.conf(5)
/etc/mail/nospamd - se pf.conf -- denne er en liste over adresser som skal ledes utenom spamd(8) sine forsinkelser. Vedlikeholdes ved å kjøre et script som er beskrevet i artikkelen https://bsdly.blogspot.com/2018/11/goodness-enumerated-by-robots-or.html
/etc/exim/configure - legg inn domenet i domainlist relay_to_domains
- dette er en kolon-separert liste der en kan bruke backslash (\) som fortsettelsestegn for å hindre at linjene blir for lange. Formatet skulle være forståelig, men det er gjerne tryggest å kopiere nest siste oppføring og bare endre kopien til sitt domenenavn og listen route_list under router mimesbronn - søk etter mimesbronn og se den semikolon-delte listen route_list. For hvert domene trenges
- 1) domenenavn 2) navn på maskin portal skal sende videre til etter spamvask
Også her kan det være fornuftig å kopiere nest siste oppføring og redigere kopien med sin egen info. Og helt til slutt, når configure er redigert og lagret, last konfigurasjonen på nytt:
$ doas rcctl reload exim
Først da er domenet riktig konfigurert for spamvask via portal.
Husk og så på å sende melding om hva du har gjort (hvilke domener som er lagt til) i epost til drift@nuug.no . Note fra Peter: Noe av bakgrunnen for at jeg vil ha varsel om endring er at jeg her på bruket har en spamd.alloweddomains basert på innholdet i disse listene, noe vi meget vel kan innføre også på portal (se under GREYTRAPPING i man 8 spamd) for ekstra beskyttelse mot de som tror vi er åpne relay.
Spamassassin-regler: Disse er definert i /etc/mail/spamassassin/local.cf. Se etter reglene som allerede finnes, og sjekk for all del spamassassin-dokumentasjonen om du er i tvil om noe, og når du mener det er verd å sette endringene ut i livet,
$ doas rcctl reload spamassassin
Planet NUUG
lever på nerdhaven, config fil /usr/local/etc/planet/examples/basic/config.ini
Planet er flyttet til hotell, config fil er '/srv/http/planet.nuug.no/config.ini'.
Den oppdateres hvert femtende minutt via cron, crontab finnes i '/etc/cron.d/planetnuug'.
Manuelt oppdatere adict/web
Brukere med tilgang kan kjøre sudo push-web for å oppdatere nettsiden eller sudo push-adict for å oppdatere adict.