Serverrichtlinien

Aus Hochschule Darmstadt - Fachschaft Informatik Wiki
Wechseln zu: Navigation, Suche

Diese Seite beschreibt wie die Server der Fachschaft zu installieren/warten sind.

Inhaltsverzeichnis

[Bearbeiten] Generell

[Bearbeiten] Hostname

  • /etc/hostname sollte den vollen hostname (inklusive .fbihome.de) enthalten.

[Bearbeiten] Serverüberwachung

[Bearbeiten] Nagios

  • Installation von nagios-nrpe-server und nagios-plugins-basic (Nagios)
    • bigbrother.fbihome.de den Zugriff erlauben:
      allowed_hosts=141.100.40.83
    • An Server-Interface binden
aptitude install nagios-nrpe-server nagios-plugins-basic
sed -i /etc/nagios/nrpe.cfg -e 's/^allowed_hosts/allowed_hosts=141.100.40.83/g' -e 's/^command/#&/g'
cat >/etc/nagios/nrpe_local.cfg <<EOF
command[check_users]=/usr/lib/nagios/plugins/check_users -w 5 -c 10
command[check_load]=/usr/lib/nagios/plugins/check_load -w 15,10,5 -c 30,25,20
command[check_disk]=/usr/lib/nagios/plugins/check_disk -w 20% -c 10% -p /dev/sda1
command[check_zombie_procs]=/usr/lib/nagios/plugins/check_procs -w 5 -c 10 -s Z
command[check_total_procs]=/usr/lib/nagios/plugins/check_procs -w 150 -c 200
command[check_apt]=/usr/lib/nagios/plugins/check_apt
EOF
    • Software-Raid
      • Eintragen in die hostgroup mdraid auf bigbrother.fbihome.de
      • Überprüfen der MD-Devices:
        command[check_softwareraid]=/usr/local/lib/nagios/plugins/check_md_raid
        Quelle: [1]

[Bearbeiten] Logfiles

  • Installation von logcheck und logcheck-database

[Bearbeiten] USV

Die Server hängen an zwei USVs. Für die große USV ist der Stud1 der Master-Server. Für die kleine USV ist der Stud0 der Master-Server.

Package: apcupsd Konfiguration:

UPSCABLE ether
upstype net
device 192.168.10.x:3551


[Bearbeiten] E-Mail

Alle Server sollen über unseren Mail-Server nach draußen senden. Als Daemon dafür eignet sich nullmailer perfekt.

cat /etc/hostname > /etc/mailname
echo "admin@fbihome.de" > /etc/nullmailer/adminaddr
echo "mail.fbihome.de" > /etc/nullmailer/remotes

[Bearbeiten] Backup

Backup wird automatisch im Pull-Verfahren von den Servern gezogen. Dafür muss der Backup-Server sich gegenüber dem zu sicherenden Server authentifizieren. Dies geschieht über einen SSH-Public Key. Dabei wird über ein Skript validiert, dass nur Rsync verwendet werden kann:

from="141.100.40.97",command="/usr/local/sbin/validate-rsync" ssh-rsa AAAAB[..]VEKKKk= Backup-Key (Rsync)

Der Key muss immer von einer sicheren Quelle genommen werden - aus diesem Grund ist er auch nicht im Wiki zu finden

Hier das Validierungsskript - /usr/local/sbin/validate-rsync

#!/bin/sh
 
case "$SSH_ORIGINAL_COMMAND" in
*\&*)
echo "Rejected"
;;
*\(*)
echo "Rejected"
;;
*\{*)
echo "Rejected"
;;
*\;*)
echo "Rejected"
;;
*\<*)
echo "Rejected"
;;
*\`*)
echo "Rejected"
;;
*\|*)
echo "Rejected"
;;
rsync\ --server*)
$SSH_ORIGINAL_COMMAND
;;
*)
echo "Rejected"
;;
esac

[Bearbeiten] Debian

[Bearbeiten] Standardkonfigurationen

aptitude install less psmisc vim apt-dater-host heirloom-mailx nullmailer

[Bearbeiten] Apt

  • Anlegen von /etc/apt/apt.conf.d/11periodic und /etc/apt/apt.conf.d/90norecommends:
cat >/etc/apt/apt.conf.d/11periodic <<EOF
APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Download-Upgradeable-Packages "1";
APT::Periodic::Unattended-Upgrade "1";
APT::Periodic::AutocleanInterval "1";
Unattended-Upgrade::Package-Blacklist {};
Unattended-Upgrade::Mail "admin@fbihome.de";
Unattended-Upgrade::Automatic-Reboot "false";
EOF
 
echo 'APT::install-Recommends "0";' > /etc/apt/apt.conf.d/90norecommends
echo 'APT::Default-Release "stable";' > /etc/apt/apt.conf.d/50default
 
cat > /etc/apt/sources.list <<EOF
deb http://ftp.fbi.h-da.de/debian/ squeeze main contrib non-free
deb-src http://ftp.fbi.h-da.de/debian/ squeeze main contrib non-free
 
deb http://security.debian.org/ squeeze/updates main contrib non-free
deb-src http://security.debian.org/ squeeze/updates main contrib non-free
 
deb http://ftp.fbi.h-da.de/debian/ testing main contrib non-free
deb-src http://ftp.fbi.h-da.de/debian/ testing main contrib non-free
 
deb http://security.debian.org/ testing/updates main contrib non-free
deb-src http://security.debian.org/ testing/updates main contrib non-free
 
deb http://ftp.fbi.h-da.de/debian/ unstable main contrib non-free
deb-src http://ftp.fbi.h-da.de/debian/ unstable main contrib non-free
 
deb http://ftp.fbi.h-da.de/debian/ experimental main contrib non-free
deb-src http://ftp.fbi.h-da.de/debian/ experimental main contrib non-free
EOF

[Bearbeiten] Nagios

  • Eintragen in die hostgroup debian auf bigbrother.fbihome.de
  • Überprüfen von Updates:
    command[check_apt]=/usr/lib/nagios/plugins/check_apt

[Bearbeiten] IPv6

cat >> "$TARGET"/etc/sysctl.conf <<EOF
 
# disable IPv6 autoconfiguration
net.ipv6.conf.default.accept_ra = 0
net.ipv6.conf.all.accept_ra = 0
EOF
Meine Werkzeuge