|
Size: 10483
Comment:
|
Size: 10839
Comment: https://video.nuug.no:1443/
|
| Deletions are marked like this. | Additions are marked like this. |
| Line 1: | Line 1: |
| = Systemadministrasjonsgruppen = Dette er gruppen som tar seg av drift av NUUGs servere og netttjenester. Kontaktsiden for NUUG inneholder mer informasjon om driftsgruppen. |
= Systemadministrasjonsgruppen (Driftsgruppen) = Dette er gruppen som tar seg av drift av NUUGs servere og nettjenester. Kontaktsiden for NUUG inneholder mer informasjon om driftsgruppen. |
| Line 4: | Line 4: |
| ||'''E-postliste''' ||http://lists.nuug.no/mailman/listinfo/aktive || ||'''Listearkiv''' ||http://lists.nuug.no/pipermail/aktive/ || ||'''Wikiside''' ||http://wiki.nuug.no/grupper/sysadmin || |
||'''E-postliste''' ||https://lists.nuug.no/mailman/listinfo/aktive || ||'''Listearkiv''' ||https://lists.nuug.no/mailman/private/aktive/ || ||'''Wikiside''' ||https://wiki.nuug.no/grupper/sysadmin || ||'''Driftsmedlemmer''' ||https://nuug.no/kontakt.shtml#drift || |
| Line 11: | Line 12: |
| == Medlemmer == ||'''Gruppeleder''' ||MariusHalden || ||'''Deltakere''' ||[[http://pgp.cs.uu.nl/stats/00835956.html|Anders Nordby]], Peter N.M. Hansteen, [[http://pgp.cs.uu.nl/stats/2A30D729.html|Petter Reinholdtsen]], Morten A. Middelthon, [[http://pgp.cs.uu.nl/stats/2D53B498.html|Jarle Bjørgeengen]], [[http://pgp.cs.uu.nl/stats/C3750307.html|Hans-Petter Fjeld]], [[http://gramstad.no/|Thomas Gramstad]], [[http://pgp.cs.uu.nl/stats/54096B8C.html|Marius Halden]] || |
<<TableOfContents>> |
| Line 17: | Line 15: |
| === IP-numre === Rutinen for å få nye IP-numre er å ta kontakt med USIT og be om å få et nytt IP-nummer, hvis vi ikke kan gjenbruke noen av de gamle vi har fått utdelt før. NUUG deler subnett med andre aktører, og har hittil hatt adresser i subnettet 158.36.191.128/25. Kontaktadresse for dette hos USIT er hostmaster@usit.uio.no . |
|
| Line 18: | Line 18: |
| Fra høsten 2019 kan sudo brukes til "alt" på nerdhaven. Nye sysadmin-brukere legges inn i wheel-gruppen og kan bruke sudo. De trenger da ikke å vite root-passordet. | Se også: [[https://wiki.nuug.no/grupper/sysadmin/IpOversikt|Oversikt over NUUGs IP-adresser]]. |
| Line 20: | Line 20: |
| === Endre gruppetilhørighet for bruker === | == IRC == NUUG har kanalen #nuug på irc.oftc.net. Se også [[IRC_retningslinjer]]. |
| Line 22: | Line 23: |
| Nerdhaven kjører FreeBSD og har derfor ikke moduser, som er en Linux-kommando. På FreeBSD brukes kommadoen pw. Eksempel: For å legge brukeren delfin til wheel-gruppen: | = Gitlab = Det er satt opp en gitlab-instans som skal overta oppgaven som nå brukes av cvs. Se [[grupper/sysadmin/gitlab|gitlab]] |
| Line 24: | Line 26: |
| sudo pw group mod wheel -m delfin | = Nerdhaven = '''''11 mars 2022 kl 18:00 ble nerdhaven stengt for godt. Alt ble flyttet over til geekbay.'''''<<BR>> Innholdet i /home ble kopiert i sin helhet over til geekbay, resten ligger i mappen {{{/root/fra-nerdhaven}}} |
| Line 26: | Line 29: |
| id delfin (for å sjekke hvilke grupper delfin er medlem av) | = Geekbay = == Endre sudoers-fila == For å endre sudoers-fila må spesialkommandoen {{{visudo}}} brukes. Den bruker et spesielt oppsett og i utgangspunktet editoren vi.<<BR>> visudo redigerer sudoers-filen på en sikker måte. visudo låser sudoers-filen mot flere samtidige redigeringer, utfører grunnleggende gyldighetskontroller og sjekker for syntaksfeil før den lagrer den redigerte filen. |
| Line 28: | Line 33: |
| === Endre sudoers-fila === For å endre sudoers-fila må spesialkommandoen visudo brukes. Den bruker et spesielt oppsett og i utgangspunktet editoren vi. Det er mulig å sette opp visudo til å bruke Emacs. I bash gjøres det slik: VISUAL=emacs; export VISUAL EDITOR=emacs; export emacs Gjør følgende for å redigere sudoers: (1) cd /usr/local/etc/ (2) sudo cp sudoers old-backup-sudoers (3) visudo (uten filnavn) Gjør endringer. Lagre fila og gå ut av editor. (4) visudo -c (for å sjekke at det ikke kommer noen feilmelding) == Tips/Bruk == Se [[grupper/sysadmin/tips/|her]] for tips og bruk av programvare på nerdhaven. Trenger du konto? Send en mail til drift at nuug.no med din offentlige SSH-nøkkel. == Opprette nye brukere på nerdhaven == De som skal ha konto sender mail til drift at nuug.no (eller sysadmin (at) rt.nuug.no for å sikre at ønsket ikke blir glemt) med offentlig SSH-nøkkel og forslag til brukernavn. Bruk {{{adduser}}} for å opprette brukere. Svar 'bash' på spørsmål om shell, og 'no' på spørsmål om "Use password-based authentication?", og velg default-verdier på resten. Når brukeren er opprettet legges ssh-nøkkelen inn i {{{~user/.ssh/authorized_keys}}}. |
Det er mulig å sette opp editor-miljøvariable slik at visudo vil bruke Emacs. I bash gjøres det slik: |
| Line 59: | Line 36: |
| adduser cd ~user/ mkdir ~user/.ssh cat > .ssh/authorized_keys chown user:user .ssh .ssh/authorized_keys chmod og-rwx .ssh .ssh/authorized_keys |
VISUAL=emacs; export VISUAL EDITOR=emacs; export emacs |
| Line 66: | Line 38: |
| == Oppsett av RT-mailadresser == Mailadresser som rutes inn i RT er listet opp i /etc/mail/aliases og i /usr/local/etc/postfix/virtual. Kjør {{{newaliases ; postmap /usr/local/etc/postfix/virtual}}} etter å ha oppdatert filene. |
== Tips/Bruk == Se [[grupper/sysadmin/tips/|her]] for tips og bruk av programvare på geekbay. Trenger du konto? Send en mail til {{{drift at nuug.no}}} med din offentlige SSH-nøkkel. |
| Line 69: | Line 41: |
| == Oppsett av RT-kø == Kø opprettes i RT via webgrensesnittet, og køoppsettet gis rettigheter som beskrevet på [[http://www.usit.uio.no/it/rt/oppsett_i_rt.html#rettigheter|UiOs webside om RT-oppsett]]. Merk at køer ikke kan slettes, kun kobles ut, så en bør være konservativ når det gjelder å opprette nye køer. |
== Opprette brukere fra nerdhaven == Ved flytting fra nerdhaven ble det oppdaget at passorddatabasen på BSD-maskinen ikke var kompatibel med Linux sin shadow-fil. Siden alle brukere derfor må få nye passord ble det bestemt å forsøke å rydde i brukerlista, slik at kun de som bruker kontoene sine blir opprettet. |
| Line 72: | Line 44: |
| == Oppdatere NUUG-adresser som styret@ og valgkomite@ == Rediger nerdhaven:/etc/aliases.nuug og kjør kommandoen {{{newaliases}}}. |
Når en nerdhaven-bruker ber om å få konto på geekbay skal vedkommende få samme brukernavn som han hadde på nerdhaven. Listen over nerdhaven-kontoer ligger i filen {{{/root/fra-nerdhaven/passwd}}}<<BR>> Det finnes et script som kjøres som automatiserer opprettelse av brukernavn og korrekte eierskap på brukerens hjemmekatalog og mailspool-fil gjenopprettes.<<BR>> Scriptet er {{{nerdhaven-bruker.sh}}} og ligger i {{{/root/}}}. Ved opprettelse av bruker som hadde konto på nerdhaven kjøres derfor følgende kommando: {{{ /root/nerdhaven-bruker.sh brukernavn }}} == Opprette nye brukere == De som skal ha konto sender mail til ''drift at nuug.no'' (eller ''sysadmin (at) rt.nuug.no'' for å sikre at ønsket ikke blir glemt) med offentlig SSH-nøkkel (hvis de har det) og forslag til brukernavn. Offentlig SSH-nøkkel kan f eks være fila {{{id_rsa.pub}}} (gitt bruk av RSA). Denne må av admin omgjøres (med {{{cat}}} som angitt nedenfor) til fila {{{authorized_keys}}} og legges inn på den nye brukerens område i katalogen {{{.ssh}}} og så må både katalogen og alle filer i katalogen endres eier ({{{chown}}}) og endres filbeskyttelse som angitt nedenfor. Bruk {{{adduser}}} for å opprette brukere. Svar 'bash' på spørsmål om shell, og 'no' på spørsmål om "Use password-based authentication?", og velg standard-verdier på resten. Når brukeren er opprettet legges ssh-nøkkelen (altså fila, f eks {{{id_rsa.pub}}}) inn som den følgende fila hos den nye brukeren: {{{~user/.ssh/authorized_keys}}} og dette må gjøres med {{{cat}}}-kommandoen: {{{ adduser brukernavn sudo -u user mkdir -m 700 ~user/.ssh sudo -u user cat id_rsa.pub > ~user/.ssh/authorized_keys }}} == Oppdatere NUUG-adresser (e-post-aliaser) == Rediger /etc/aliases på geekbay og kjør kommandoen {{{newaliases}}}. |
| Line 76: | Line 65: |
| Mailman-installasjonen ligger under /usr/local/mailman. Gå dit først. Opprette listen under @nuug.no: |
=== Ny liste i Mailman === Opprette ny liste under @nuug.no: |
| Line 81: | Line 69: |
| # bin/newlist <listenavn> | # newlist <listenavn> |
| Line 83: | Line 71: |
| Dette legger blant annet inn alias i /usr/local/mailman/data/aliases. Når en liste flyttes fra majordomo til mailman, så må en huske å fjerne aliasene i /etc/aliases.majordomo. Ved migrering kan det også være lurt å sjekke /usr/local/majordomo/lists/<listenavn>.config opp mot mailman-oppsettet. | Dette legger blant annet inn alias i /var/lib/mailman/data/aliases. |
| Line 88: | Line 76: |
| # bin/newlist --emailhost=nobug.no <listenavn> | # newlist --emailhost=nobug.no <listenavn> |
| Line 92: | Line 80: |
| URL er http://lists.nuug.no/. | URL er https://lists.nuug.no/. |
| Line 94: | Line 82: |
| '''Endre url for en liste:''' Eks. endre url fra "http://nåværende.url/" til "http://ny.url/". |
=== Endre url for en liste: === Eks. endre url fra "https://naavaerende.url/" til "https://ny.url/". |
| Line 99: | Line 86: |
| # bin/withlist -l -i <listenavn> | # withlist -l -i <listenavn> |
| Line 101: | Line 88: |
| 'http://nåværende.url/' > m.web_page_url = 'http://ny.url/' # Sett ny url |
'https://naavaerende.url/' > m.web_page_url = 'https://ny.url/' # Sett ny url |
| Line 106: | Line 93: |
| === Migrering av mailinglistearkiv === Når mailinglister flyttes fra majordomo til mailman er det fint å beholde mailinglistearkivet. Da kan følgende formular brukes (eksemplet er listen nuug-commits): {{{ cd /usr/local/mailman cat /usr/local/majordomo/lists/nuug-commits.archive/nuug-commits.archive.0* \ > /usr/local/mailman/archives/private/nuug-commits.mbox/nuug-commits.mbox chmod g+w /usr/local/mailman/archives/private/nuug-commits.mbox/nuug-commits.mbox bin/arch --wipe nuug-commits }}} == Vedlikehold av KVM == |
= Vedlikehold av KVM = |
| Line 118: | Line 99: |
| == Informasjon om NUUGs maskinpark == | = Informasjon om NUUGs maskinpark = Se også: [[https://wiki.nuug.no/grupper/sysadmin/hardware|Liste over maskinene til NUUG]]. |
| Line 128: | Line 111: |
| == Koble seg til NUUGs SQL-tjener == | = Koble seg til NUUGs SQL-tjener = |
| Line 133: | Line 116: |
| == Ny bruker for bounceweb aka approve.nuug.no == Konsulter /usr/local/etc/apache/vhost.conf, legg merke til linjen "AddExternalAuth ApproveAuth /home/www/bounceweb/mysql-auth.pl". |
= SSL-cert = På geekbay har Solbu fikset automatisk letsencrypt-sertifikater via certbot. Se [[/letsencrypt]]. |
| Line 136: | Line 119: |
| 1. Få passordhash {{{ $ perl -le 'print crypt($PASSWORD,$SALT)' }}} 2. Opprett bruker {{{ mysql> USE lists; mysql> INSERT INTO users (userid,username,passwd) VALUES('$USERID','$USERNAME','$HASH'); }}} 3. Gi bruker tilgang til lister {{{ mysql> SELECT * FROM lists; #For å se mulige list-id mysql> INSERT INTO acl (userid,listid) VALUES('$USERID','$LISTID'); #En rad per listid\brukerid-par }}} == SSL-cert == Det er bobkare som har ordnet med sertifikatene, det står litt om certet og hva som har vaert gjort med det for aa passe med webserveroppsett etc. i ~bob/sslcertificate/README For let's encrypt cert på nerdhaven se [[/letsencrypt]]. == Spamvask (spamd + exim+spamassassin+clamav) på portal.nuug.no == '''portal.nuug.no''' er en VM på '''vert''', som kjører [[http://www.openbsd.org/|OpenBSD 6.4]] (installert av Peter Hansteen) og har som primærformål å kjøre OpenBSD spamd (se http://man.openbsd.org/spamd, http://home.nuug.no/~peter/pf/en/spamd.html og http://bsdly.blogspot.no/2013/05/keep-smiling-waste-spammers-time.html ) |
= Spamvask (spamd + exim+spamassassin+clamav) på portal.nuug.no = '''portal.nuug.no''' er en VM på '''vert''', som kjører [[http://www.openbsd.org/|OpenBSD 7.1]] (installert av Peter Hansteen) og har som primærformål å kjøre OpenBSD spamd (se http://man.openbsd.org/spamd, http://home.nuug.no/~peter/pf/en/spamd.html og http://bsdly.blogspot.no/2013/05/keep-smiling-waste-spammers-time.html ) |
| Line 163: | Line 124: |
| '''/etc/pf.conf''' - kommentarer begynner med # - se etter start og slutt for blokken med spamd(8) - relevante linjer og kommetarene | '''/etc/pf.conf''' - kommentarer begynner med # - se etter start og slutt for blokken med spamd(8) - relevante linjer og kommentarene |
| Line 169: | Line 130: |
| '''/etc/mail/nospamd''' - se pf.conf -- denne er en liste over adresser som skal ledes utenom spamd(8) sine forsinkelser. | '''/etc/mail/nospamd''' - se pf.conf -- denne er en liste over adresser som skal ledes utenom spamd(8) sine forsinkelser. Vedlikeholdes ved å kjøre et script som er beskrevet i artikkelen https://bsdly.blogspot.com/2018/11/goodness-enumerated-by-robots-or.html |
| Line 171: | Line 132: |
| '''/etc/exim/configure''' - legg inn domenet i ''domainlist relay_to_domains<<BR>>'' - dette er en kolon- separert liste der en kan bruke backslash (\) som fortsettelsestegn for å hindre at linjene blir for lange. Formatet skulle være forståelig, men det er gjerne tryggest å kopiere ''nest siste'' oppføring og bare endre kopien til sitt domenenavn og listen ''route_list'' under ''router mimesbronn'' - søk etter ''mimesbronn'' og se den semikolon-delte listen ''route_list''. For hvert domene trengs | '''/etc/exim/configure''' - legg inn domenet i ''domainlist relay_to_domains<<BR>>'' - dette er en kolon-separert liste der en kan bruke backslash (\) som fortsettelsestegn for å hindre at linjene blir for lange. Formatet skulle være forståelig, men det er gjerne tryggest å kopiere ''nest siste'' oppføring og bare endre kopien til sitt domenenavn og listen ''route_list'' under ''router mimesbronn'' - søk etter ''mimesbronn'' og se den semikolon-delte listen ''route_list''. For hvert domene trenges |
| Line 184: | Line 145: |
| '''Spamassassin-regler:''' Disse er definert i ''/etc/mail/spamassassin/local.cf''. Se etter reglene som allerede finnes, og sjekk for all del spamassassin-dokumentasjonen om du er i tvil om noe, og når du mener det er verd å sette endringene ut i livet, | '''Spamassassin-regler:''' Disse er definert i ''/etc/mail/spamassassin/local.cf''. Det er også lagt inn et større regelsett laget og vedlikeholdt av Kevin A. McGrail, https://www.pccc.com/downloads/SpamAssassin/contrib/KAM.cf . Se etter reglene som allerede finnes, og sjekk for all del spamassassin-dokumentasjonen om du er i tvil om noe, og når du mener det er verd å sette endringene ut i livet, |
| Line 189: | Line 152: |
| == Planet NUUG == | = Planet NUUG = |
| Line 196: | Line 159: |
| == Manuelt oppdatere adict/web == Brukere med tilgang kan kjøre {{{sudo push-web}}} for å oppdatere nettsiden eller {{{sudo push-adict}}} for å oppdatere adict. |
= Manuelt oppdatere adict/web = Brukere med tilgang kan kjøre {{{sudo push-web}}} for å oppdatere nettsiden og adict. |
| Line 199: | Line 162: |
| == Backup == | = Backup = |
| Line 201: | Line 164: |
= Filebrowser - video.nuug.no = URL: https://video.nuug.no:1443/ Admin creds: ssh:\\root@video.nuug.no\root\filebrowser.txt (til å lage egen admin-bruker) Installert av atluxity på etterspørsel av Malinux i video-gruppa for enklere opplastning og håndtering av video-filer. systemd-service: /etc/systemd/system/filebrowser.service nginx-config: /etc/nginx/sites-available/filebrowser Systemd-service spawner tjeneste på 127.0.0.1:8080, nginx sørger for tls via proxy-pass fra egen site-config på port 1443, utnytter samme tls-sertifikat som ellers. NFS-mount har blitt endret til å gjøre no_root_squash, også er filebrowser satt opp til å kjøre "chmod g+w" på fil etter opplastning. |
Systemadministrasjonsgruppen (Driftsgruppen)
Dette er gruppen som tar seg av drift av NUUGs servere og nettjenester. Kontaktsiden for NUUG inneholder mer informasjon om driftsgruppen.
E-post adresse |
drift@nuug.no |
E-postliste |
|
Listearkiv |
|
Wikiside |
|
Driftsmedlemmer |
Contents
Rutiner
IP-numre
Rutinen for å få nye IP-numre er å ta kontakt med USIT og be om å få et nytt IP-nummer, hvis vi ikke kan gjenbruke noen av de gamle vi har fått utdelt før. NUUG deler subnett med andre aktører, og har hittil hatt adresser i subnettet 158.36.191.128/25. Kontaktadresse for dette hos USIT er hostmaster@usit.uio.no .
Se også: Oversikt over NUUGs IP-adresser.
IRC
NUUG har kanalen #nuug på irc.oftc.net. Se også IRC_retningslinjer.
Gitlab
Det er satt opp en gitlab-instans som skal overta oppgaven som nå brukes av cvs. Se gitlab
Nerdhaven
11 mars 2022 kl 18:00 ble nerdhaven stengt for godt. Alt ble flyttet over til geekbay.
Innholdet i /home ble kopiert i sin helhet over til geekbay, resten ligger i mappen /root/fra-nerdhaven
Geekbay
Endre sudoers-fila
For å endre sudoers-fila må spesialkommandoen visudo brukes. Den bruker et spesielt oppsett og i utgangspunktet editoren vi.
visudo redigerer sudoers-filen på en sikker måte. visudo låser sudoers-filen mot flere samtidige redigeringer, utfører grunnleggende gyldighetskontroller og sjekker for syntaksfeil før den lagrer den redigerte filen.
Det er mulig å sette opp editor-miljøvariable slik at visudo vil bruke Emacs. I bash gjøres det slik:
VISUAL=emacs; export VISUAL EDITOR=emacs; export emacs
Tips/Bruk
Se her for tips og bruk av programvare på geekbay. Trenger du konto? Send en mail til drift at nuug.no med din offentlige SSH-nøkkel.
Opprette brukere fra nerdhaven
Ved flytting fra nerdhaven ble det oppdaget at passorddatabasen på BSD-maskinen ikke var kompatibel med Linux sin shadow-fil. Siden alle brukere derfor må få nye passord ble det bestemt å forsøke å rydde i brukerlista, slik at kun de som bruker kontoene sine blir opprettet.
Når en nerdhaven-bruker ber om å få konto på geekbay skal vedkommende få samme brukernavn som han hadde på nerdhaven. Listen over nerdhaven-kontoer ligger i filen /root/fra-nerdhaven/passwd
Det finnes et script som kjøres som automatiserer opprettelse av brukernavn og korrekte eierskap på brukerens hjemmekatalog og mailspool-fil gjenopprettes.
Scriptet er nerdhaven-bruker.sh og ligger i /root/.
Ved opprettelse av bruker som hadde konto på nerdhaven kjøres derfor følgende kommando:
/root/nerdhaven-bruker.sh brukernavn
Opprette nye brukere
De som skal ha konto sender mail til drift at nuug.no (eller sysadmin (at) rt.nuug.no for å sikre at ønsket ikke blir glemt) med offentlig SSH-nøkkel (hvis de har det) og forslag til brukernavn. Offentlig SSH-nøkkel kan f eks være fila id_rsa.pub (gitt bruk av RSA). Denne må av admin omgjøres (med cat som angitt nedenfor) til fila authorized_keys og legges inn på den nye brukerens område i katalogen .ssh og så må både katalogen og alle filer i katalogen endres eier (chown) og endres filbeskyttelse som angitt nedenfor.
Bruk adduser for å opprette brukere. Svar 'bash' på spørsmål om shell, og 'no' på spørsmål om "Use password-based authentication?", og velg standard-verdier på resten. Når brukeren er opprettet legges ssh-nøkkelen (altså fila, f eks id_rsa.pub) inn som den følgende fila hos den nye brukeren: ~user/.ssh/authorized_keys og dette må gjøres med cat-kommandoen:
adduser brukernavn sudo -u user mkdir -m 700 ~user/.ssh sudo -u user cat id_rsa.pub > ~user/.ssh/authorized_keys
Oppdatere NUUG-adresser (e-post-aliaser)
Rediger /etc/aliases på geekbay og kjør kommandoen newaliases.
Mailman-vedlikehold
Ny liste i Mailman
Opprette ny liste under @nuug.no:
# newlist <listenavn>
Dette legger blant annet inn alias i /var/lib/mailman/data/aliases.
Om listen skal være under et annet domene (eks. nobug.no):
# newlist --emailhost=nobug.no <listenavn>
Listenavn blir bruker-delen i epost-adressen. For andre domener enn nuug.no må det lages aliaser fra det andre domenet til nuug.no.
URL er https://lists.nuug.no/.
Endre url for en liste:
Eks. endre url fra "https://naavaerende.url/" til "https://ny.url/".
# withlist -l -i <listenavn> > m.web_page_url # Vis nåværende url 'https://naavaerende.url/' > m.web_page_url = 'https://ny.url/' # Sett ny url > m.Save() # Lagre endringen > exit() # Avslutt
Vedlikehold av KVM
vert.nuug.no er virtualiseringsverten til NUUG. GUI-verktøyet virt-manager og kommandolinjeverktøyet virsh er gode inngangsporter til vedlikehold. Se blant annet
Informasjon om NUUGs maskinpark
Se også: Liste over maskinene til NUUG.
master.nuug.no er en SUN V20z
- Kontakter: 2 x SCSI, 3 x firewire, 1 x USB, 2 x TP-ethernet + managementport.
SCSI-kontroller: LSI Logic MegaRAID SCSI 320-2X
- ATAboy2 RAID-hylle med 14 x 180 GiB IDE-disker (USIT raid 58). Har supportkontrakt ut januar 2008.
- Koblet til ekstern SCSI-kontakt 0. Hyllen er satt opp som A02/RAID0 i MegaRAID-biosen for å gjøre den synlig for FreeBSD.
- En ubrukt IBM eserver xseries 345 står i RACK-et.
vert.nuug.no er en Dell PowerEdge R510 kjøpt sommeren 2011.
2 x Dell StorageVault MD1000 med SAS-disker og tilhørende PERC 6 RAID-kontroller.
Koble seg til NUUGs SQL-tjener
NUUG har en PostgreSQL-tjener til bruk for NUUG-prosjekter. Den gir tilgang til utvalgte maskiner og brukere (spør sysadmin@rt.nuug.no om tilgang), og en kan koble seg opp f.eks. slik:
SSLMODE=required psql -h sqldb.nuug.no -U <brukernavn> <dbname>
SSL-cert
På geekbay har Solbu fikset automatisk letsencrypt-sertifikater via certbot. Se /letsencrypt.
Spamvask (spamd + exim+spamassassin+clamav) på portal.nuug.no
portal.nuug.no er en VM på vert, som kjører OpenBSD 7.1 (installert av Peter Hansteen) og har som primærformål å kjøre OpenBSD spamd (se http://man.openbsd.org/spamd, http://home.nuug.no/~peter/pf/en/spamd.html og http://bsdly.blogspot.no/2013/05/keep-smiling-waste-spammers-time.html )
Config-endringer:
/etc/pf.conf - kommentarer begynner med # - se etter start og slutt for blokken med spamd(8) - relevante linjer og kommentarene
/etc/rc.conf.local - rediger spamd_flags= i samsvar med spamd(8)
/etc/mail/spamd.conf - rediger i samsvar med spamd.conf(5)
/etc/mail/nospamd - se pf.conf -- denne er en liste over adresser som skal ledes utenom spamd(8) sine forsinkelser. Vedlikeholdes ved å kjøre et script som er beskrevet i artikkelen https://bsdly.blogspot.com/2018/11/goodness-enumerated-by-robots-or.html
/etc/exim/configure - legg inn domenet i domainlist relay_to_domains
- dette er en kolon-separert liste der en kan bruke backslash (\) som fortsettelsestegn for å hindre at linjene blir for lange. Formatet skulle være forståelig, men det er gjerne tryggest å kopiere nest siste oppføring og bare endre kopien til sitt domenenavn og listen route_list under router mimesbronn - søk etter mimesbronn og se den semikolon-delte listen route_list. For hvert domene trenges
- 1) domenenavn 2) navn på maskin portal skal sende videre til etter spamvask
Også her kan det være fornuftig å kopiere nest siste oppføring og redigere kopien med sin egen info. Og helt til slutt, når configure er redigert og lagret, last konfigurasjonen på nytt:
$ doas rcctl reload exim
Først da er domenet riktig konfigurert for spamvask via portal.
Husk og så på å sende melding om hva du har gjort (hvilke domener som er lagt til) i epost til drift@nuug.no . Note fra Peter: Noe av bakgrunnen for at jeg vil ha varsel om endring er at jeg her på bruket har en spamd.alloweddomains basert på innholdet i disse listene, noe vi meget vel kan innføre også på portal (se under GREYTRAPPING i man 8 spamd) for ekstra beskyttelse mot de som tror vi er åpne relay.
Spamassassin-regler: Disse er definert i /etc/mail/spamassassin/local.cf. Det er også lagt inn et større regelsett laget og vedlikeholdt av Kevin A. McGrail, https://www.pccc.com/downloads/SpamAssassin/contrib/KAM.cf .
Se etter reglene som allerede finnes, og sjekk for all del spamassassin-dokumentasjonen om du er i tvil om noe, og når du mener det er verd å sette endringene ut i livet,
$ doas rcctl reload spamassassin
Planet NUUG
lever på nerdhaven, config fil /usr/local/etc/planet/examples/basic/config.ini
Planet er flyttet til hotell, config fil er '/srv/http/planet.nuug.no/config.ini'.
Den oppdateres hvert femtende minutt via cron, crontab finnes i '/etc/cron.d/planetnuug'.
Manuelt oppdatere adict/web
Brukere med tilgang kan kjøre sudo push-web for å oppdatere nettsiden og adict.
Backup
Hvordan gjøre backup og restore
Filebrowser - video.nuug.no
URL: https://video.nuug.no:1443/ Admin creds: ssh:\\root@video.nuug.no\root\filebrowser.txt (til å lage egen admin-bruker)
Installert av atluxity på etterspørsel av Malinux i video-gruppa for enklere opplastning og håndtering av video-filer.
systemd-service: /etc/systemd/system/filebrowser.service nginx-config: /etc/nginx/sites-available/filebrowser
Systemd-service spawner tjeneste på 127.0.0.1:8080, nginx sørger for tls via proxy-pass fra egen site-config på port 1443, utnytter samme tls-sertifikat som ellers. NFS-mount har blitt endret til å gjøre no_root_squash, også er filebrowser satt opp til å kjøre "chmod g+w" på fil etter opplastning.