8972
Comment:
|
9382
oppdater OpenBSD-versjon + moderne man-link
|
Deletions are marked like this. | Additions are marked like this. |
Line 11: | Line 11: |
== Medlemer == | == Medlemmer == |
Line 25: | Line 25: |
Bruk {{{adduser}}} for å opprette brukere. Svar 'bash' på spørsmål om shell, og 'no' på spørsmål om "Use password-based authentication?", og vel default-verdier på resten. Når brukeren er opprettet legges ssh-nøkkelen inn i {{{~user/.ssh/authorized_keys}}}. | Bruk {{{adduser}}} for å opprette brukere. Svar 'bash' på spørsmål om shell, og 'no' på spørsmål om "Use password-based authentication?", og velg default-verdier på resten. Når brukeren er opprettet legges ssh-nøkkelen inn i {{{~user/.ssh/authorized_keys}}}. |
Line 34: | Line 34: |
Kø opprettes i RT via webgrensesnittet, og køoppsettet gis rettigheter som beskrevet på [[http://www.usit.uio.no/it/rt/oppsett_i_rt.html#rettigheter|UiOs webside om RT-oppsett]]. Merk at køer ikke kan slettes, kun kobles ut, så en bør være konseverativ når det gjelder å opprette nye køer. | Kø opprettes i RT via webgrensesnittet, og køoppsettet gis rettigheter som beskrevet på [[http://www.usit.uio.no/it/rt/oppsett_i_rt.html#rettigheter|UiOs webside om RT-oppsett]]. Merk at køer ikke kan slettes, kun kobles ut, så en bør være konservativ når det gjelder å opprette nye køer. |
Line 97: | Line 97: |
== Ny bruker for bounceweb == | == Ny bruker for bounceweb aka approve.nuug.no == Konsulter /usr/local/etc/apache/vhost.conf, legg merke til linjen "AddExternalAuth ApproveAuth /home/www/bounceweb/mysql-auth.pl". |
Line 101: | Line 103: |
$ perl -le 'print crypt($PASSWORD,substr($PASSWORD,0,2))' | $ perl -le 'print crypt($PASSWORD,$SALT)' |
Line 121: | Line 123: |
'''portal.nuug.no''' er en VM på '''vert''', som kjører [[http://www.openbsd.org/|OpenBSD 5.3]] (installert av Peter Hansteen) og har som primærformål å kjøre OpenBSD spamd (se http://www.openbsd.org/cgi-bin/man.cgi?query=spamd&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html, http://home.nuug.no/~peter/pf/en/spamd.html og http://bsdly.blogspot.no/2013/05/keep-smiling-waste-spammers-time.html ) | '''portal.nuug.no''' er en VM på '''vert''', som kjører [[http://www.openbsd.org/|OpenBSD 6.4]] (installert av Peter Hansteen) og har som primærformål å kjøre OpenBSD spamd (se http://man.openbsd.org/spamd, http://home.nuug.no/~peter/pf/en/spamd.html og http://bsdly.blogspot.no/2013/05/keep-smiling-waste-spammers-time.html ) |
Line 133: | Line 135: |
'''/etc/exim/configure''' - legg inn domenet i ''domainlist relay_to_domains<<BR>>'' - dette er en kolon- separert liste der en kan bruke backslash (\) som fortsettelsestegn for å hindre at linjene blir for lange. Formatet skulle være forståelig, men det er gjerne tryggest å kopiere ''nest siste'' oppføring og bare endre kopien til sitt domenenavn og listen ''route_list'' under ''router mimesbronn'' - søk etter ''mimesbronn'' og se den semikolon-delte listen ''route_list''. For hvert domene trengs 1) domenenavn 2) navn på maskin portal skal sende videre til etter spamvask Også her kan det være fornuftig å kopiere nest siste oppføring og redigere kopien med sin egen info. Og helt til slutt, når configure er redigert og lagret, last konfigurasjonen på nytt: |
'''/etc/exim/configure''' - legg inn domenet i ''domainlist relay_to_domains<<BR>>'' - dette er en kolon- separert liste der en kan bruke backslash (\) som fortsettelsestegn for å hindre at linjene blir for lange. Formatet skulle være forståelig, men det er gjerne tryggest å kopiere ''nest siste'' oppføring og bare endre kopien til sitt domenenavn og listen ''route_list'' under ''router mimesbronn'' - søk etter ''mimesbronn'' og se den semikolon-delte listen ''route_list''. For hvert domene trengs . 1) domenenavn 2) navn på maskin portal skal sende videre til etter spamvask Også her kan det være fornuftig å kopiere nest siste oppføring og redigere kopien med sin egen info. Og helt til slutt, når configure er redigert og lagret, last konfigurasjonen på nytt: |
Line 146: | Line 142: |
$ sudo /etc/rc.d/exim reload | $ doas rcctl reload exim |
Line 150: | Line 146: |
Husk og så på å sende melding om hva du har gjort (hvilke domener som er lagt til) i epost til drift@nuug.no. '''Note fra Peter:''' Noe av bakgrunnen for at jeg vil ha varsel om endring er at jeg her på bruket har en ''spamd.alloweddomains'' basert på innholdet i disse listene, noe vi meget vel kan innføre også på portal (se under GREYTRAPPING i man 8 spamd) for ekstra beskyttelse mot de som tror vi er åpne relay. |
Husk og så på å sende melding om hva du har gjort (hvilke domener som er lagt til) i epost til drift@nuug.no . '''Note fra Peter:''' Noe av bakgrunnen for at jeg vil ha varsel om endring er at jeg her på bruket har en ''spamd.alloweddomains'' basert på innholdet i disse listene, noe vi meget vel kan innføre også på portal (se under GREYTRAPPING i man 8 spamd) for ekstra beskyttelse mot de som tror vi er åpne relay. |
Line 153: | Line 148: |
'''Spamassassin-regler:''' Disse er definert i ''/etc/mail/spamassassin/local.cf''. Se etter reglene som allerede finnes, og sjekk for all del spamassassin-dokumentasjonen om du er i tvil om noe, og når du mener det er verd å sette endringene ut i livet, | |
Line 154: | Line 150: |
{{{ $ doas rcctl reload spamassassin }}} |
|
Line 163: | Line 162: |
== Backup == [[grupper/sysadmin/backup|Hvordan gjøre backup og restore]] |
Systemadministrasjonsgruppen
Dette er gruppen som tar seg av drift av NUUGs servere og netttjenester. Kontaktsiden for NUUG inneholder mer informasjon om driftsgruppen.
E-post adresse |
drift@nuug.no |
E-postliste |
|
Listearkiv |
|
Wikiside |
Medlemmer
Gruppeleder |
|
Deltakere |
Anders Nordby, Peter N.M. Hansteen, Petter Reinholdtsen, Morten A. Middelthon, Jarle Bjørgeengen, Hans-Petter Fjeld, Marius Halden |
Rutiner
N/A
Tips/Bruk
Se her for tips og bruk av programvare på nerdhaven. Trenger du konto? Send en mail til drift at nuug.no med din offentlige SSH-nøkkel.
Opprette nye brukere på nerdhaven
De som skal ha konto sender mail til drift at nuug.no (eller sysadmin (at) rt.nuug.no for å sikre at ønsket ikke blir glemt) med offentlig SSH-nøkkel og forslag til brukernavn.
Bruk adduser for å opprette brukere. Svar 'bash' på spørsmål om shell, og 'no' på spørsmål om "Use password-based authentication?", og velg default-verdier på resten. Når brukeren er opprettet legges ssh-nøkkelen inn i ~user/.ssh/authorized_keys.
adduser cd ~user/ mkdir ~user/.ssh cat > .ssh/authorized_keys chown user:user .ssh .ssh/authorized_keys chmod og-rwx .ssh .ssh/authorized_keys
Oppsett av RT-mailadresser
Mailadresser som rutes inn i RT er listet opp i /etc/mail/aliases og i /usr/local/etc/postfix/virtual. Kjør newaliases ; postmap /usr/local/etc/postfix/virtual etter å ha oppdatert filene.
Oppsett av RT-kø
Kø opprettes i RT via webgrensesnittet, og køoppsettet gis rettigheter som beskrevet på UiOs webside om RT-oppsett. Merk at køer ikke kan slettes, kun kobles ut, så en bør være konservativ når det gjelder å opprette nye køer.
Oppdatere NUUG-adresser som styret@ og valgkomite@
Rediger nerdhaven:/etc/aliases.nuug og kjør kommandoen newaliases.
Mailman-vedlikehold
Mailman-installasjonen ligger under /usr/local/mailman. Gå dit først.
Opprette listen under @nuug.no:
# bin/newlist <listenavn>
Dette legger blant annet inn alias i /usr/local/mailman/data/aliases. Når en liste flyttes fra majordomo til mailman, så må en huske å fjerne aliasene i /etc/aliases.majordomo. Ved migrering kan det også være lurt å sjekke /usr/local/majordomo/lists/<listenavn>.config opp mot mailman-oppsettet.
Om listen skal være under et annet domene (eks. nobug.no):
# bin/newlist --emailhost=nobug.no <listenavn>
Listenavn blir bruker-delen i epost-adressen. For andre domener enn nuug.no må det lages aliaser fra det andre domenet til nuug.no.
URL er http://lists.nuug.no/.
Endre url for en liste:
Eks. endre url fra "http://nåværende.url/" til "http://ny.url/".
# bin/withlist -l -i <listenavn> > m.web_page_url # Vis nåværende url 'http://nåværende.url/' > m.web_page_url = 'http://ny.url/' # Sett ny url > m.Save() # Lagre endringen > exit() # Avslutt
Migrering av mailinglistearkiv
Når mailinglister flyttes fra majordomo til mailman er det fint å beholde mailinglistearkivet. Da kan følgende formular brukes (eksemplet er listen nuug-commits):
cd /usr/local/mailman cat /usr/local/majordomo/lists/nuug-commits.archive/nuug-commits.archive.0* \ > /usr/local/mailman/archives/private/nuug-commits.mbox/nuug-commits.mbox chmod g+w /usr/local/mailman/archives/private/nuug-commits.mbox/nuug-commits.mbox bin/arch --wipe nuug-commits
Vedlikehold av KVM
vert.nuug.no er virtualiseringsverten til NUUG. GUI-verktøyet virt-manager og kommandolinjeverktøyet virsh er gode inngangsporter til vedlikehold. Se blant annet
Informasjon om NUUGs maskinpark
master.nuug.no er en SUN V20z
- Kontakter: 2 x SCSI, 3 x firewire, 1 x USB, 2 x TP-ethernet + managementport.
SCSI-kontroller: LSI Logic MegaRAID SCSI 320-2X
- ATAboy2 RAID-hylle med 14 x 180 GiB IDE-disker (USIT raid 58). Har supportkontrakt ut januar 2008.
- Koblet til ekstern SCSI-kontakt 0. Hyllen er satt opp som A02/RAID0 i MegaRAID-biosen for å gjøre den synlig for FreeBSD.
- En ubrukt IBM eserver xseries 345 står i RACK-et.
vert.nuug.no er en Dell PowerEdge R510 kjøpt sommeren 2011.
2 x Dell StorageVault MD1000 med SAS-disker og tilhørende PERC 6 RAID-kontroller.
Koble seg til NUUGs SQL-tjener
NUUG har en PostgreSQL-tjener til bruk for NUUG-prosjekter. Den gir tilgang til utvalgte maskiner og brukere (spør sysadmin@rt.nuug.no om tilgang), og en kan koble seg opp f.eks. slik:
SSLMODE=required psql -h sqldb.nuug.no -U <brukernavn> <dbname>
Ny bruker for bounceweb aka approve.nuug.no
Konsulter /usr/local/etc/apache/vhost.conf, legg merke til linjen "AddExternalAuth ApproveAuth /home/www/bounceweb/mysql-auth.pl".
- Få passordhash
$ perl -le 'print crypt($PASSWORD,$SALT)'
- Opprett bruker
mysql> USE lists; mysql> INSERT INTO users (userid,username,passwd) VALUES('$USERID','$USERNAME','$HASH');
- Gi bruker tilgang til lister
mysql> SELECT * FROM lists; #For å se mulige list-id mysql> INSERT INTO acl (userid,listid) VALUES('$USERID','$LISTID'); #En rad per listid\brukerid-par
SSL-cert
Det er bobkare som har ordnet med sertifikatene, det står litt om certet og hva som har vaert gjort med det for aa passe med webserveroppsett etc. i ~bob/sslcertificate/README
For let's encrypt cert på nerdhaven se /letsencrypt.
Spamvask (spamd + exim+spamassassin+clamav) på portal.nuug.no
portal.nuug.no er en VM på vert, som kjører OpenBSD 6.4 (installert av Peter Hansteen) og har som primærformål å kjøre OpenBSD spamd (se http://man.openbsd.org/spamd, http://home.nuug.no/~peter/pf/en/spamd.html og http://bsdly.blogspot.no/2013/05/keep-smiling-waste-spammers-time.html )
Config-endringer:
/etc/pf.conf - kommentarer begynner med # - se etter start og slutt for blokken med spamd(8) - relevante linjer og kommetarene
/etc/rc.conf.local - rediger spamd_flags= i samsvar med spamd(8)
/etc/mail/spamd.conf - rediger i samsvar med spamd.conf(5)
/etc/mail/nospamd - se pf.conf -- denne er en liste over adresser som skal ledes utenom spamd(8) sine forsinkelser.
/etc/exim/configure - legg inn domenet i domainlist relay_to_domains
- dette er en kolon- separert liste der en kan bruke backslash (\) som fortsettelsestegn for å hindre at linjene blir for lange. Formatet skulle være forståelig, men det er gjerne tryggest å kopiere nest siste oppføring og bare endre kopien til sitt domenenavn og listen route_list under router mimesbronn - søk etter mimesbronn og se den semikolon-delte listen route_list. For hvert domene trengs
- 1) domenenavn 2) navn på maskin portal skal sende videre til etter spamvask
Også her kan det være fornuftig å kopiere nest siste oppføring og redigere kopien med sin egen info. Og helt til slutt, når configure er redigert og lagret, last konfigurasjonen på nytt:
$ doas rcctl reload exim
Først da er domenet riktig konfigurert for spamvask via portal.
Husk og så på å sende melding om hva du har gjort (hvilke domener som er lagt til) i epost til drift@nuug.no . Note fra Peter: Noe av bakgrunnen for at jeg vil ha varsel om endring er at jeg her på bruket har en spamd.alloweddomains basert på innholdet i disse listene, noe vi meget vel kan innføre også på portal (se under GREYTRAPPING i man 8 spamd) for ekstra beskyttelse mot de som tror vi er åpne relay.
Spamassassin-regler: Disse er definert i /etc/mail/spamassassin/local.cf. Se etter reglene som allerede finnes, og sjekk for all del spamassassin-dokumentasjonen om du er i tvil om noe, og når du mener det er verd å sette endringene ut i livet,
$ doas rcctl reload spamassassin
Planet NUUG
lever på nerdhaven, config fil /usr/local/etc/planet/examples/basic/config.ini
Planet er flyttet til hotell, config fil er '/srv/http/planet.nuug.no/config.ini'.
Den oppdateres hvert femtende minutt via cron, crontab finnes i '/etc/cron.d/planetnuug'.
Manuelt oppdatere adict/web
Brukere med tilgang kan kjøre sudo push-web for å oppdatere nettsiden eller sudo push-adict for å oppdatere adict.