Differences between revisions 54 and 55

Systemadministrasjonsgruppen

Dette er gruppen som tar seg av drift av NUUGs servere og netttjenester. Kontaktsiden for NUUG inneholder mer informasjon om driftsgruppen.

E-post adresse	drift@nuug.no sysadmin@rt.nuug.no (request-tracker)
E-postliste	http://lists.nuug.no/mailman/listinfo/aktive
Listearkiv	http://lists.nuug.no/pipermail/aktive/
Wikiside	http://wiki.nuug.no/grupper/sysadmin

Medlemer

Gruppeleder	MariusHalden
Deltakere	Anders Nordby, Peter N.M. Hansteen, Petter Reinholdtsen, Morten A. Middelthon, Jarle Bjørgeengen, Hans-Petter Fjeld, Marius Halden

Rutiner

N/A

Tips/Bruk

Se her for tips og bruk av programvare på nerdhaven. Trenger du konto? Send en mail til drift at nuug.no med din offentlige SSH-nøkkel.

Opprette nye brukere på nerdhaven

De som skal ha konto sender mail til drift at nuug.no (eller sysadmin (at) rt.nuug.no for å sikre at ønsket ikke blir glemt) med offentlig SSH-nøkkel og forslag til brukernavn.

Bruk adduser for å opprette brukere. Svar 'bash' på spørsmål om shell, og 'no' på spørsmål om "Use password-based authentication?", og vel default-verdier på resten. Når brukeren er opprettet legges ssh-nøkkelen inn i ~user/.ssh/authorized_keys.

adduser cd ~user/ mkdir ~user/.ssh cat > .ssh/authorized_keys chown user:user .ssh .ssh/authorized_keys chmod og-rwx .ssh .ssh/authorized_keys

Oppsett av RT-mailadresser

Mailadresser som rutes inn i RT er listet opp i /etc/mail/aliases og i /usr/local/etc/postfix/virtual. Kjør newaliases ; postmap /usr/local/etc/postfix/virtual etter å ha oppdatert filene.

Oppsett av RT-kø

Kø opprettes i RT via webgrensesnittet, og køoppsettet gis rettigheter som beskrevet på UiOs webside om RT-oppsett. Merk at køer ikke kan slettes, kun kobles ut, så en bør være konseverativ når det gjelder å opprette nye køer.

Oppdatere NUUG-adresser som styret@ og valgkomite@

Rediger nerdhaven:/etc/aliases.nuug og kjør kommandoen newaliases.

Mailman-vedlikehold

Mailman-installasjonen ligger under /usr/local/mailman. Gå dit først.

Opprette listen under @nuug.no:

# bin/newlist <listenavn>

Dette legger blant annet inn alias i /usr/local/mailman/data/aliases. Når en liste flyttes fra majordomo til mailman, så må en huske å fjerne aliasene i /etc/aliases.majordomo. Ved migrering kan det også være lurt å sjekke /usr/local/majordomo/lists/<listenavn>.config opp mot mailman-oppsettet.

Om listen skal være under et annet domene (eks. nobug.no):

# bin/newlist --emailhost=nobug.no <listenavn>

Listenavn blir bruker-delen i epost-adressen. For andre domener enn nuug.no må det lages aliaser fra det andre domenet til nuug.no.

URL er http://lists.nuug.no/.

Endre url for en liste:

Eks. endre url fra "http://nåværende.url/" til "http://ny.url/".

# bin/withlist -l -i <listenavn>
> m.web_page_url                     # Vis nåværende url
'http://nåværende.url/'
> m.web_page_url = 'http://ny.url/'  # Sett ny url
> m.Save()                           # Lagre endringen
> exit()                             # Avslutt

Migrering av mailinglistearkiv

Når mailinglister flyttes fra majordomo til mailman er det fint å beholde mailinglistearkivet. Da kan følgende formular brukes (eksemplet er listen nuug-commits):

cd /usr/local/mailman cat /usr/local/majordomo/lists/nuug-commits.archive/nuug-commits.archive.0* \   > /usr/local/mailman/archives/private/nuug-commits.mbox/nuug-commits.mbox chmod g+w /usr/local/mailman/archives/private/nuug-commits.mbox/nuug-commits.mbox bin/arch --wipe nuug-commits

Vedlikehold av KVM

vert.nuug.no er virtualiseringsverten til NUUG. GUI-verktøyet virt-manager og kommandolinjeverktøyet virsh er gode inngangsporter til vedlikehold. Se blant annet

Informasjon om NUUGs maskinpark

master.nuug.no er en SUN V20z
- Kontakter: 2 x SCSI, 3 x firewire, 1 x USB, 2 x TP-ethernet + managementport.
- SCSI-kontroller: LSI Logic MegaRAID SCSI 320-2X
ATAboy2 RAID-hylle med 14 x 180 GiB IDE-disker (USIT raid 58). Har supportkontrakt ut januar 2008.
- Koblet til ekstern SCSI-kontakt 0. Hyllen er satt opp som A02/RAID0 i MegaRAID-biosen for å gjøre den synlig for FreeBSD.
En ubrukt IBM eserver xseries 345 står i RACK-et.
vert.nuug.no er en Dell PowerEdge R510 kjøpt sommeren 2011.
2 x Dell StorageVault MD1000 med SAS-disker og tilhørende PERC 6 RAID-kontroller.

Koble seg til NUUGs SQL-tjener

NUUG har en PostgreSQL-tjener til bruk for NUUG-prosjekter. Den gir tilgang til utvalgte maskiner og brukere (spør sysadmin@rt.nuug.no om tilgang), og en kan koble seg opp f.eks. slik:

SSLMODE=required psql -h sqldb.nuug.no -U <brukernavn> <dbname>

Ny bruker for bounceweb

Få passordhash

$ perl -le 'print crypt($PASSWORD,substr($PASSWORD,0,2))'

Opprett bruker

mysql> USE lists;
mysql> INSERT INTO users (userid,username,passwd) VALUES('$USERID','$USERNAME','$HASH');

Gi bruker tilgang til lister

mysql> SELECT * FROM lists; #For å se mulige list-id
mysql> INSERT INTO acl (userid,listid) VALUES('$USERID','$LISTID'); #En rad per listid\brukerid-par

SSL-cert

Det er bobkare som har ordnet med sertifikatene, det står litt om certet og hva som har vaert gjort med det for aa passe med webserveroppsett etc. i ~bob/sslcertificate/README

For let's encrypt cert på nerdhaven se /letsencrypt.

Spamvask (spamd + exim+spamassassin+clamav) på portal.nuug.no

portal.nuug.no er en VM på vert, som kjører OpenBSD 5.3 (installert av Peter Hansteen) og har som primærformål å kjøre OpenBSD spamd (se http://www.openbsd.org/cgi-bin/man.cgi?query=spamd&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html, http://home.nuug.no/~peter/pf/en/spamd.html og http://bsdly.blogspot.no/2013/05/keep-smiling-waste-spammers-time.html )

Config-endringer:

/etc/pf.conf - kommentarer begynner med # - se etter start og slutt for blokken med spamd(8) - relevante linjer og kommetarene

/etc/rc.conf.local - rediger spamd_flags= i samsvar med spamd(8)

/etc/mail/spamd.conf - rediger i samsvar med spamd.conf(5)

/etc/mail/nospamd - se pf.conf -- denne er en liste over adresser som skal ledes utenom spamd(8) sine forsinkelser.

/etc/exim/configure - legg inn domenet i domainlist relay_to_domains
- dette er en kolon- separert liste der en kan bruke backslash (\) som fortsettelsestegn for å hindre at linjene blir for lange. Formatet skulle være forståelig, men det er gjerne tryggest å kopiere nest siste oppføring og bare endre kopien til sitt domenenavn og listen route_list under router mimesbronn - søk etter mimesbronn og se den semikolon-delte listen route_list. For hvert domene trengs

1) domenenavn 2) navn på maskin portal skal sende videre til etter spamvask

Også her kan det være fornuftig å kopiere nest siste oppføring og redigere kopien med sin egen info. Og helt til slutt, når configure er redigert og lagret, last konfigurasjonen på nytt:

$ sudo /etc/rc.d/exim reload

Først da er domenet riktig konfigurert for spamvask via portal.

Husk og så på å sende melding om hva du har gjort (hvilke domener som er lagt til) i epost til drift@nuug.no. Note fra Peter: Noe av bakgrunnen for at jeg vil ha varsel om endring er at jeg her på bruket har en spamd.alloweddomains basert på innholdet i disse listene, noe vi meget vel kan innføre også på portal (se under GREYTRAPPING i man 8 spamd) for ekstra beskyttelse mot de som tror vi er åpne relay.

Planet NUUG

lever på nerdhaven, config fil /usr/local/etc/planet/examples/basic/config.ini

Planet er flyttet til hotell, config fil er '/srv/http/planet.nuug.no/config.ini'.

Den oppdateres hvert femtende minutt via cron, crontab finnes i '/etc/cron.d/planetnuug'.

Manuelt oppdatere adict/web

Brukere med tilgang kan kjøre sudo push-web for å oppdatere nettsiden eller sudo push-adict for å oppdatere adict.

Backup

Backup kjøres automatisk fra manager en gang i døgnet. For å ta backup av en maskin må følgende gjøres på manager og maskinen det skal taes backup av.

På maskinen

Sett femte kolonne i fstab for alle diskene som skal dumpes til 1 eller høyere.

La backupsh@manager.skolelinux.no logge på som root på den aktuelle maskinen. SSH-nøkkelen kan finnes i ~backupsh/.ssh/id_rsa.pub på manager.

På manager

Lag ZFS volum og sett rettigheter. Siden backupjobben kjører som brukeren backupsh på manager er det viktig at den har tilgang til volumet man lager.

zfs create nuugh1/backup/$host
chown backupsh:backupsh /nuugh1/backup/$host

Legg til maskinen i listen over maskiner det taes backup av.

echo "$host" >> /nuugh1/backup.sh/conf/computers.unix

Hvis det trengs kan man lage preexec og postexec script for maskinen. Disse heter i så fall /nuugh1/backup.sh/conf/preexec.$host og /nuugh1/backup.sh/conf/postexec.$host og må være kjørbare.

-  ⇤ ← Revision 54 as of 2016-12-05 19:52:06 → 
  Size: 8972
  Editor: MariusHalden
  Comment:
+   ← Revision 55 as of 2016-12-06 11:26:25 → ⇥
  Size: 10005
  Editor: MariusHalden
  Comment:
-Deletions are marked like this.
+Additions are marked like this.
 Line 163:
+== Backup ==
Backup kjøres automatisk fra manager en gang i døgnet. For å ta backup av en maskin må følgende gjøres på manager og maskinen det skal taes backup av.

=== På maskinen ===
Sett femte kolonne i fstab for alle diskene som skal dumpes til 1 eller høyere.

La backupsh@manager.skolelinux.no logge på som root på den aktuelle maskinen. SSH-nøkkelen kan finnes i ~backupsh/.ssh/id_rsa.pub på manager.

=== På manager ===
Lag ZFS volum og sett rettigheter. Siden backupjobben kjører som brukeren backupsh på manager er det viktig at den har tilgang til volumet man lager.
{{{
zfs create nuugh1/backup/$host
chown backupsh:backupsh /nuugh1/backup/$host
}}}

Legg til maskinen i listen over maskiner det taes backup av.
{{{
echo "$host" >> /nuugh1/backup.sh/conf/computers.unix
}}}

Hvis det trengs kan man lage preexec og postexec script for maskinen. Disse heter i så fall {{{/nuugh1/backup.sh/conf/preexec.$host}}} og {{{/nuugh1/backup.sh/conf/postexec.$host}}} og må være kjørbare.