Differences between revisions 69 and 70
Revision 69 as of 2019-09-04 00:23:00
Size: 10483
Comment:
Revision 70 as of 2019-09-04 00:24:07
Size: 10482
Comment:
Deletions are marked like this. Additions are marked like this.
Line 43: Line 43:

Gjør
endringer.
Lagre fila og gå ut av editor.
(Rediger. Lagre fila og gå ut av editor.)
Line 48: Line 46:
(for å sjekke at det ikke kommer noen feilmelding) (Gjøres for å sjekke at det ikke kommer noen feilmelding)

Systemadministrasjonsgruppen

Dette er gruppen som tar seg av drift av NUUGs servere og netttjenester. Kontaktsiden for NUUG inneholder mer informasjon om driftsgruppen.

E-post adresse

drift@nuug.no
sysadmin@rt.nuug.no (request-tracker)

E-postliste

http://lists.nuug.no/mailman/listinfo/aktive

Listearkiv

http://lists.nuug.no/pipermail/aktive/

Wikiside

http://wiki.nuug.no/grupper/sysadmin

Medlemmer

Gruppeleder

MariusHalden

Deltakere

Anders Nordby, Peter N.M. Hansteen, Petter Reinholdtsen, Morten A. Middelthon, Jarle Bjørgeengen, Hans-Petter Fjeld, Thomas Gramstad, Marius Halden

Rutiner

Fra høsten 2019 kan sudo brukes til "alt" på nerdhaven. Nye sysadmin-brukere legges inn i wheel-gruppen og kan bruke sudo. De trenger da ikke å vite root-passordet.

Endre gruppetilhørighet for bruker

Nerdhaven kjører FreeBSD og har derfor ikke moduser, som er en Linux-kommando. På FreeBSD brukes kommadoen pw. Eksempel: For å legge brukeren delfin til wheel-gruppen:

sudo pw group mod wheel -m delfin

id delfin (for å sjekke hvilke grupper delfin er medlem av)

Endre sudoers-fila

For å endre sudoers-fila må spesialkommandoen visudo brukes. Den bruker et spesielt oppsett og i utgangspunktet editoren vi.

Det er mulig å sette opp visudo til å bruke Emacs. I bash gjøres det slik:

VISUAL=emacs; export VISUAL EDITOR=emacs; export emacs

Gjør følgende for å redigere sudoers:

(1) cd /usr/local/etc/

(2) sudo cp sudoers old-backup-sudoers

(3) visudo (uten filnavn) (Rediger. Lagre fila og gå ut av editor.)

(4) visudo -c (Gjøres for å sjekke at det ikke kommer noen feilmelding)

Tips/Bruk

Se her for tips og bruk av programvare på nerdhaven. Trenger du konto? Send en mail til drift at nuug.no med din offentlige SSH-nøkkel.

Opprette nye brukere på nerdhaven

De som skal ha konto sender mail til drift at nuug.no (eller sysadmin (at) rt.nuug.no for å sikre at ønsket ikke blir glemt) med offentlig SSH-nøkkel og forslag til brukernavn.

Bruk adduser for å opprette brukere. Svar 'bash' på spørsmål om shell, og 'no' på spørsmål om "Use password-based authentication?", og velg default-verdier på resten. Når brukeren er opprettet legges ssh-nøkkelen inn i ~user/.ssh/authorized_keys.

adduser
cd ~user/ 
mkdir ~user/.ssh 
cat > .ssh/authorized_keys 
chown user:user .ssh .ssh/authorized_keys 
chmod og-rwx .ssh .ssh/authorized_keys

Oppsett av RT-mailadresser

Mailadresser som rutes inn i RT er listet opp i /etc/mail/aliases og i /usr/local/etc/postfix/virtual. Kjør newaliases ; postmap /usr/local/etc/postfix/virtual etter å ha oppdatert filene.

Oppsett av RT-kø

Kø opprettes i RT via webgrensesnittet, og køoppsettet gis rettigheter som beskrevet på UiOs webside om RT-oppsett. Merk at køer ikke kan slettes, kun kobles ut, så en bør være konservativ når det gjelder å opprette nye køer.

Oppdatere NUUG-adresser som styret@ og valgkomite@

Rediger nerdhaven:/etc/aliases.nuug og kjør kommandoen newaliases.

Mailman-vedlikehold

Mailman-installasjonen ligger under /usr/local/mailman. Gå dit først.

Opprette listen under @nuug.no:

# bin/newlist <listenavn>

Dette legger blant annet inn alias i /usr/local/mailman/data/aliases. Når en liste flyttes fra majordomo til mailman, så må en huske å fjerne aliasene i /etc/aliases.majordomo. Ved migrering kan det også være lurt å sjekke /usr/local/majordomo/lists/<listenavn>.config opp mot mailman-oppsettet.

Om listen skal være under et annet domene (eks. nobug.no):

# bin/newlist --emailhost=nobug.no <listenavn>

Listenavn blir bruker-delen i epost-adressen. For andre domener enn nuug.no må det lages aliaser fra det andre domenet til nuug.no.

URL er http://lists.nuug.no/.

Endre url for en liste:

Eks. endre url fra "http://nåværende.url/" til "http://ny.url/".

# bin/withlist -l -i <listenavn>
> m.web_page_url                     # Vis nåværende url
'http://nåværende.url/'
> m.web_page_url = 'http://ny.url/'  # Sett ny url
> m.Save()                           # Lagre endringen
> exit()                             # Avslutt

Migrering av mailinglistearkiv

Når mailinglister flyttes fra majordomo til mailman er det fint å beholde mailinglistearkivet. Da kan følgende formular brukes (eksemplet er listen nuug-commits):

cd /usr/local/mailman cat /usr/local/majordomo/lists/nuug-commits.archive/nuug-commits.archive.0* \   > /usr/local/mailman/archives/private/nuug-commits.mbox/nuug-commits.mbox chmod g+w /usr/local/mailman/archives/private/nuug-commits.mbox/nuug-commits.mbox bin/arch --wipe nuug-commits

Vedlikehold av KVM

vert.nuug.no er virtualiseringsverten til NUUG. GUI-verktøyet virt-manager og kommandolinjeverktøyet virsh er gode inngangsporter til vedlikehold. Se blant annet

Informasjon om NUUGs maskinpark

Koble seg til NUUGs SQL-tjener

NUUG har en PostgreSQL-tjener til bruk for NUUG-prosjekter. Den gir tilgang til utvalgte maskiner og brukere (spør sysadmin@rt.nuug.no om tilgang), og en kan koble seg opp f.eks. slik:

  • SSLMODE=required psql -h sqldb.nuug.no -U <brukernavn> <dbname>

Ny bruker for bounceweb aka approve.nuug.no

Konsulter /usr/local/etc/apache/vhost.conf, legg merke til linjen "AddExternalAuth ApproveAuth /home/www/bounceweb/mysql-auth.pl".

  1. Få passordhash

$ perl -le 'print crypt($PASSWORD,$SALT)'
  1. Opprett bruker

mysql> USE lists;
mysql> INSERT INTO users (userid,username,passwd) VALUES('$USERID','$USERNAME','$HASH');
  1. Gi bruker tilgang til lister

mysql> SELECT * FROM lists; #For å se mulige list-id
mysql> INSERT INTO acl (userid,listid) VALUES('$USERID','$LISTID'); #En rad per listid\brukerid-par

SSL-cert

Det er bobkare som har ordnet med sertifikatene, det står litt om certet og hva som har vaert gjort med det for aa passe med webserveroppsett etc. i ~bob/sslcertificate/README

For let's encrypt cert på nerdhaven se /letsencrypt.

Spamvask (spamd + exim+spamassassin+clamav) på portal.nuug.no

portal.nuug.no er en VM på vert, som kjører OpenBSD 6.4 (installert av Peter Hansteen) og har som primærformål å kjøre OpenBSD spamd (se http://man.openbsd.org/spamd, http://home.nuug.no/~peter/pf/en/spamd.html og http://bsdly.blogspot.no/2013/05/keep-smiling-waste-spammers-time.html )

Config-endringer:

/etc/pf.conf - kommentarer begynner med # - se etter start og slutt for blokken med spamd(8) - relevante linjer og kommetarene

/etc/rc.conf.local - rediger spamd_flags= i samsvar med spamd(8)

/etc/mail/spamd.conf - rediger i samsvar med spamd.conf(5)

/etc/mail/nospamd - se pf.conf -- denne er en liste over adresser som skal ledes utenom spamd(8) sine forsinkelser.

/etc/exim/configure - legg inn domenet i domainlist relay_to_domains
- dette er en kolon- separert liste der en kan bruke backslash (\) som fortsettelsestegn for å hindre at linjene blir for lange. Formatet skulle være forståelig, men det er gjerne tryggest å kopiere nest siste oppføring og bare endre kopien til sitt domenenavn og listen route_list under router mimesbronn - søk etter mimesbronn og se den semikolon-delte listen route_list. For hvert domene trengs

  • 1) domenenavn 2) navn på maskin portal skal sende videre til etter spamvask

Også her kan det være fornuftig å kopiere nest siste oppføring og redigere kopien med sin egen info. Og helt til slutt, når configure er redigert og lagret, last konfigurasjonen på nytt:

$ doas rcctl reload exim

Først da er domenet riktig konfigurert for spamvask via portal.

Husk og så på å sende melding om hva du har gjort (hvilke domener som er lagt til) i epost til drift@nuug.no . Note fra Peter: Noe av bakgrunnen for at jeg vil ha varsel om endring er at jeg her på bruket har en spamd.alloweddomains basert på innholdet i disse listene, noe vi meget vel kan innføre også på portal (se under GREYTRAPPING i man 8 spamd) for ekstra beskyttelse mot de som tror vi er åpne relay.

Spamassassin-regler: Disse er definert i /etc/mail/spamassassin/local.cf. Se etter reglene som allerede finnes, og sjekk for all del spamassassin-dokumentasjonen om du er i tvil om noe, og når du mener det er verd å sette endringene ut i livet,

$ doas rcctl reload spamassassin

Planet NUUG

lever på nerdhaven, config fil /usr/local/etc/planet/examples/basic/config.ini

Planet er flyttet til hotell, config fil er '/srv/http/planet.nuug.no/config.ini'.

Den oppdateres hvert femtende minutt via cron, crontab finnes i '/etc/cron.d/planetnuug'.

Manuelt oppdatere adict/web

Brukere med tilgang kan kjøre sudo push-web for å oppdatere nettsiden eller sudo push-adict for å oppdatere adict.

Backup

Hvordan gjøre backup og restore

grupper/sysadmin (last edited 2023-06-30 12:29:00 by HansPetterFjeld)