Differences between revisions 90 and 91
Revision 90 as of 2019-09-25 16:17:42
Size: 11768
Comment:
Revision 91 as of 2019-09-25 16:18:12
Size: 11768
Comment:
Deletions are marked like this. Additions are marked like this.
Line 67: Line 67:
Bruk {{{adduser}}} for å opprette brukere. Svar 'bash' på spørsmål om shell, og 'no' på spørsmål om "Use password-based authentication?", og velg default-verdier på resten. Når brukeren er opprettet legges ssh-nøkkelen (altså fila, f eks {{{id_rsa.pub}}}) inn som den følgende fila hos den nye brukeren: {{{~user/.ssh/authorized_keys}}} og dette må gjøres med {{{cat}}}-kommandoen. Bruk {{{adduser}}} for å opprette brukere. Svar 'bash' på spørsmål om shell, og 'no' på spørsmål om "Use password-based authentication?", og velg default-verdier på resten. Når brukeren er opprettet legges ssh-nøkkelen (altså fila, f eks {{{id_rsa.pub}}}) inn som den følgende fila hos den nye brukeren: {{{~user/.ssh/authorized_keys}}} og dette må gjøres med {{{cat}}}-kommandoen:

Systemadministrasjonsgruppen

Dette er gruppen som tar seg av drift av NUUGs servere og netttjenester. Kontaktsiden for NUUG inneholder mer informasjon om driftsgruppen.

E-post adresse

drift@nuug.no
sysadmin@rt.nuug.no (request-tracker)

E-postliste

http://lists.nuug.no/mailman/listinfo/aktive

Listearkiv

http://lists.nuug.no/pipermail/aktive/

Wikiside

http://wiki.nuug.no/grupper/sysadmin

Medlemmer

Gruppeleder

MariusHalden

Deltakere

Anders Nordby, Peter N.M. Hansteen, Petter Reinholdtsen, Morten A. Middelthon, Jarle Bjørgeengen, Hans-Petter Fjeld, Thomas Gramstad, Marius Halden

Rutiner

Fra høsten 2019 kan sudo brukes til "alt" på nerdhaven. Nye sysadmin-brukere legges inn i wheel-gruppen og kan bruke sudo. De trenger da ikke å vite root-passordet.

Endre gruppetilhørighet for bruker

Nerdhaven kjører FreeBSD og har derfor ikke moduser, som er en Linux-kommando. På FreeBSD brukes kommandoen pw. Eksempel: For å legge brukeren delfin til wheel-gruppen:

sudo pw group mod wheel -m delfin

Bruk id delfin for å sjekke hvilke grupper delfin er medlem av.

Endre sudoers-fila

For å endre sudoers-fila må spesialkommandoen visudo brukes. Den bruker et spesielt oppsett og i utgangspunktet editoren vi.

Det er mulig å sette opp editor-miljøvariable slik at visudo vil bruke Emacs. I bash gjøres det slik:

VISUAL=emacs; export VISUAL EDITOR=emacs; export emacs

Gjør følgende for å redigere sudoers på nerdhaven:

(1) cd /usr/local/etc/

(Andre maskiner kan ha sudoers-fila i en annen katalog. Bruk evt kommandoen locate sudoers)

(2) sudo cp sudoers old-backup-sudoers

(3) visudo (uten filnavn) (NB: Må gjøres som root. Bruk evt sudo su) 
(Rediger. Lagre fila og gå ut av editor.)

(4) visudo -c
(Gjøres for å sjekke at det ikke kommer noen feilmelding.
OBS: Dersom det kommer feilmelding innebærer det at sudoers-fila ikke virker lenger! Feilen må enten rettes opp
med en gang, eller kopier tilbake backup-kopien fra punkt (2)!)

Tips/Bruk

Se her for tips og bruk av programvare på nerdhaven. Trenger du konto? Send en mail til drift at nuug.no med din offentlige SSH-nøkkel.

Opprette nye brukere

(Fra høsten 2019 tildeles ikke nye brukere på nerdhaven. Nerdhaven er gammel og skal om mulig skiftes ut. Oppskriften for ny bruker nedenfor kan imidlertid brukes på andre maskiner.)

De som skal ha konto sender mail til drift at nuug.no (eller sysadmin (at) rt.nuug.no for å sikre at ønsket ikke blir glemt) med offentlig SSH-nøkkel og forslag til brukernavn. Offentlig SSH-nøkkel kan f eks være fila id_rsa.pub (gitt bruk av RSA). Denne må av admin omgjøres (med cat som angitt nedenfor) til fila authorized_keys og legges inn på den nye brukerens område i katalogen .ssh og så må både katalogen og alle filer i katalogen endres eier (chown) og endres filbeskyttelse som angitt nedenfor.

Bruk adduser for å opprette brukere. Svar 'bash' på spørsmål om shell, og 'no' på spørsmål om "Use password-based authentication?", og velg default-verdier på resten. Når brukeren er opprettet legges ssh-nøkkelen (altså fila, f eks id_rsa.pub) inn som den følgende fila hos den nye brukeren: ~user/.ssh/authorized_keys og dette må gjøres med cat-kommandoen:

adduser
cd ~user/ 
mkdir ~user/.ssh 
cat id_rsa.pub > .ssh/authorized_keys 
chown user:user .ssh .ssh/authorized_keys 
chmod og-rwx .ssh .ssh/authorized_keys

Oppsett av RT-mailadresser

Mailadresser som rutes inn i RT er listet opp i /etc/mail/aliases og i /usr/local/etc/postfix/virtual. Kjør newaliases ; postmap /usr/local/etc/postfix/virtual etter å ha oppdatert filene.

Oppsett av RT-kø

Kø opprettes i RT via webgrensesnittet, og køoppsettet gis rettigheter som beskrevet på UiOs webside om RT-oppsett. Merk at køer ikke kan slettes, kun kobles ut, så en bør være konservativ når det gjelder å opprette nye køer.

Oppdatere NUUG-adresser som styret@ og valgkomite@

Rediger nerdhaven:/etc/aliases.nuug og kjør kommandoen newaliases. (OBS: /etc/ må ikke forveksles med /usr/local/etc/ og heller ikke med ~/etc/ !)

Mailman-vedlikehold

Mailman-installasjonen ligger under /usr/local/mailman. Gå dit først.

(Her kommer info om oppgradering av Mailman-versjon.)

Ny liste i Mailman

Opprette ny liste under @nuug.no:

# bin/newlist <listenavn>

Dette legger blant annet inn alias i /usr/local/mailman/data/aliases. Når en liste flyttes fra majordomo til mailman, så må en huske å fjerne aliasene i /etc/aliases.majordomo. Ved migrering kan det også være lurt å sjekke /usr/local/majordomo/lists/<listenavn>.config opp mot mailman-oppsettet.

Om listen skal være under et annet domene (eks. nobug.no):

# bin/newlist --emailhost=nobug.no <listenavn>

Listenavn blir bruker-delen i epost-adressen. For andre domener enn nuug.no må det lages aliaser fra det andre domenet til nuug.no.

URL er http://lists.nuug.no/.

Endre url for en liste:

Eks. endre url fra "http://naavaerende.url/" til "http://ny.url/".

# bin/withlist -l -i <listenavn>
> m.web_page_url                     # Vis nåværende url
'http://naavaerende.url/'
> m.web_page_url = 'http://ny.url/'  # Sett ny url
> m.Save()                           # Lagre endringen
> exit()                             # Avslutt

Migrering av mailinglistearkiv

Når mailinglister flyttes fra majordomo til mailman er det fint å beholde mailinglistearkivet. Da kan følgende formular brukes (eksemplet er listen nuug-commits):

cd /usr/local/mailman cat /usr/local/majordomo/lists/nuug-commits.archive/nuug-commits.archive.0* \   > /usr/local/mailman/archives/private/nuug-commits.mbox/nuug-commits.mbox chmod g+w /usr/local/mailman/archives/private/nuug-commits.mbox/nuug-commits.mbox bin/arch --wipe nuug-commits

Vedlikehold av KVM

vert.nuug.no er virtualiseringsverten til NUUG. GUI-verktøyet virt-manager og kommandolinjeverktøyet virsh er gode inngangsporter til vedlikehold. Se blant annet

Informasjon om NUUGs maskinpark

Koble seg til NUUGs SQL-tjener

NUUG har en PostgreSQL-tjener til bruk for NUUG-prosjekter. Den gir tilgang til utvalgte maskiner og brukere (spør sysadmin@rt.nuug.no om tilgang), og en kan koble seg opp f.eks. slik:

  • SSLMODE=required psql -h sqldb.nuug.no -U <brukernavn> <dbname>

Ny bruker for bounceweb aka approve.nuug.no

Konsulter /usr/local/etc/apache/vhost.conf, legg merke til linjen "AddExternalAuth ApproveAuth /home/www/bounceweb/mysql-auth.pl".

  1. Få passordhash

$ perl -le 'print crypt($PASSWORD,$SALT)'
  1. Opprett bruker

mysql> USE lists;
mysql> INSERT INTO users (userid,username,passwd) VALUES('$USERID','$USERNAME','$HASH');
  1. Gi bruker tilgang til lister

mysql> SELECT * FROM lists; #For å se mulige list-id
mysql> INSERT INTO acl (userid,listid) VALUES('$USERID','$LISTID'); #En rad per listid\brukerid-par

SSL-cert

Det er bobkare som har ordnet med sertifikatene, det står litt om certet og hva som har vaert gjort med det for aa passe med webserveroppsett etc. i ~bob/sslcertificate/README

For let's encrypt cert på nerdhaven se /letsencrypt.

Spamvask (spamd + exim+spamassassin+clamav) på portal.nuug.no

portal.nuug.no er en VM på vert, som kjører OpenBSD 6.4 (installert av Peter Hansteen) og har som primærformål å kjøre OpenBSD spamd (se http://man.openbsd.org/spamd, http://home.nuug.no/~peter/pf/en/spamd.html og http://bsdly.blogspot.no/2013/05/keep-smiling-waste-spammers-time.html )

Config-endringer:

/etc/pf.conf - kommentarer begynner med # - se etter start og slutt for blokken med spamd(8) - relevante linjer og kommentarene

/etc/rc.conf.local - rediger spamd_flags= i samsvar med spamd(8)

/etc/mail/spamd.conf - rediger i samsvar med spamd.conf(5)

/etc/mail/nospamd - se pf.conf -- denne er en liste over adresser som skal ledes utenom spamd(8) sine forsinkelser.

/etc/exim/configure - legg inn domenet i domainlist relay_to_domains
- dette er en kolon-separert liste der en kan bruke backslash (\) som fortsettelsestegn for å hindre at linjene blir for lange. Formatet skulle være forståelig, men det er gjerne tryggest å kopiere nest siste oppføring og bare endre kopien til sitt domenenavn og listen route_list under router mimesbronn - søk etter mimesbronn og se den semikolon-delte listen route_list. For hvert domene trenges

  • 1) domenenavn 2) navn på maskin portal skal sende videre til etter spamvask

Også her kan det være fornuftig å kopiere nest siste oppføring og redigere kopien med sin egen info. Og helt til slutt, når configure er redigert og lagret, last konfigurasjonen på nytt:

$ doas rcctl reload exim

Først da er domenet riktig konfigurert for spamvask via portal.

Husk og så på å sende melding om hva du har gjort (hvilke domener som er lagt til) i epost til drift@nuug.no . Note fra Peter: Noe av bakgrunnen for at jeg vil ha varsel om endring er at jeg her på bruket har en spamd.alloweddomains basert på innholdet i disse listene, noe vi meget vel kan innføre også på portal (se under GREYTRAPPING i man 8 spamd) for ekstra beskyttelse mot de som tror vi er åpne relay.

Spamassassin-regler: Disse er definert i /etc/mail/spamassassin/local.cf. Se etter reglene som allerede finnes, og sjekk for all del spamassassin-dokumentasjonen om du er i tvil om noe, og når du mener det er verd å sette endringene ut i livet,

$ doas rcctl reload spamassassin

Planet NUUG

lever på nerdhaven, config fil /usr/local/etc/planet/examples/basic/config.ini

Planet er flyttet til hotell, config fil er '/srv/http/planet.nuug.no/config.ini'.

Den oppdateres hvert femtende minutt via cron, crontab finnes i '/etc/cron.d/planetnuug'.

Manuelt oppdatere adict/web

Brukere med tilgang kan kjøre sudo push-web for å oppdatere nettsiden eller sudo push-adict for å oppdatere adict.

Backup

Hvordan gjøre backup og restore

grupper/sysadmin (last edited 2019-09-25 16:18:12 by ThomasGramstad)