Innhold
1???Forord
Viktig
Debian og Ubuntu tilbys uten annen form for support fra USIT enn minimumskravene for en driftet maskin. Dvs at det er et PXE-tilbud, som gir en maskin konfigurert med det helt grunnleggende som kreves for ? f? koble til kablet nett p? UiO. Det er ingen sentral st?tte for annet enn dette, og all support for?vrig (feks. for applikasjoner) m? hentes lokalt! Driftsopplegget er i f?rste h?nd laget for ? st?tte USIT sine tjenere som av diverse grunner ikke kan benytte RHEL. Det er av denne grunn begrenset med st?tte for forskjellige tjenerroller.
Man m? alts? beregne ? selv administrere og supportere en slik maskin. USIT vil besvare henvendelser hvis man kan, men har ingen ressurser til feils?king eller tilpasning av programvare eller annet!
Vi ber deg om ? lese igjennom hele dette dokumentet f?r installasjon.
1.1???Debian og Ubuntu-versjoner
Distribusjoner som st?ttes av USIT er:
- Debian stable (p.t. Debian 11.x "Bullseye")
- Ubuntu stable (p.t. 20.04 LTS "Focal")
Det forutsettes at du kan f?lge siste "stable"-versjon.
1.2???APT-repoer
Alle apt-repoer du legger inn selv skal plasseres i /etc/apt/sources.list.d/ - katalogen.
/etc/apt/sources.list kan og vil bli overskrevet av driftsautomatikken.
1.3???Debian og Ubuntu som tjener
I utgangspunktet skal RHEL benyttes som tjenermaskin. Seksjon for serverdrift (SSD) har kun kapasitet til ? drifte én plattform. Debian og Ubuntu kan kun brukes som tjener dersom det er behov for programvare som ikke fungerer eller lett lar seg sette opp p? RHEL.
Merk at kun cf-engine roller som er n?dendig for USIT sine tjenere er implementert, slik at sikkerhetsmekanismer som m? p? plass for f.eks. samba filtjenere ikke er tilstede.
1.4???Debian og Ubuntu som skrivebordsmaskin
Debian og Ubuntu fungerer utmerket som skrivebordsmaskin p? UiO. USIT har f?tt p? plass det meste av driftsopplegget du vil finne p? Fedora. Tilgjengelighet til vitenskapelig programvare som f.eks. Matlab er likevel begrenset ettersom USIT ikke har kapasitet til ? teste og tilpasse programvaren til flere enn én Linux-distribusjon.
2???Installasjon via PXE
Installasjon tilbys kun via PXE. Dersom du av ulike grunner m? installere fra andre medier, s? kan du likevel USIT-ifisere distribusjonen. Beskrivelse finner du lenger nede p? denne siden.
P? samme m?te som for RHEL og Fedora m? alle maskiner DNS registreres. Installasjonen legger opp til ? bruke DHCP. Maskinen m? derfor v?re registrert med fast IP adresse i mreg med f?lgende kommando:
dhcp assoc <maskinnavn> <MAC>
Se Dokumentasjon av mreg for detaljer.
Dersom det er behov for ? installere en b?rbar maskin som ikke skal st? p? fastnett, m? PXE-konfigurasjonen i DHCP oppdateres for ? tillate Debian under installasjon. Ta kontakt med SSD <usit-gsd at usit.uio.no> og be dem om ? legge inn "debian" i PXE-poolen p? nettet ditt.
NB: Vi har ikke lagt opp til PXE-installasjon av tjenermaskiner. Ta kontakt med USIT dersom du har behov for dette.
Under installasjon vil du bli spurt om ? fylle inn noen UiO-spesifikke innstillinger:
site-admin skal alltid fylles inn slik at USIT kan kontakte deg dersom det er behov for kritiske sikkerhetsoppdateringer e.l.
primary-user b?r fylles inn dersom du ikke har laget automatisering av tilgang i cf-engine
laptop oppretter filen "/etc/uio/flag/laptop" p? maskinen. Alle brukere som logger inn vil f? lokalt hjemmeomr?de. I tillegg vil primary-user bli meldt inn i sudo gruppen.
Dersom du kun ?nsker lokalt hjemmeomr?de, anbefaler vi at dette gj?res fra mreg:
mreg> policy host_add homedir_override maskinnavn.uio.no
3???Tilgangsstyring
Tilgangsstyring anbefaler vi at du gj?r via cf-engine. Se inputs/math.cf for eksempel p? institutt-tilpasning av RHEL. Denne kan enkelt endres til ogs? ? fungere p? Debian og Ubuntu.
NB: Vi er i ferd med ? implementere pam_access p? Debian. Dette betyr at driftsopplegget for tilgangsstyring blir identisk for RHEL8 og Debian/Ubuntu. Se pam_access for detaljer.
4???Unattended-upgrades
Installasjon av oppdateringer skjer én gang i d?gnet. Alle pakker oppdateres automatisk.
I noen tilfeller er det n?dvendig ? blokkere automatiske oppdateringer. Dette gj?res ved ? lage en svarteliste:
root@nav-prod06:/etc/apt/apt.conf.d# cat 70unattended-upgrades-nettdrift
Unattended-Upgrade::Package-Blacklist {
"nav";
};
4.1???Pin-priorities
Av sikkerhetsgrunner har vi satt h?yere prioritet p? de offisielle repoene til distribusjonen for ? unng? at de offisielle pakkene blir overskrevet av pakker fra tredjeparts-repoer.
Vi ber om at du ikke setter h?yere prioritet p? tredjeparts apt repoer da dette utgj?r en sikkerhetsrisiko.
5???Diverse tips
5.1???Str?msparing
Dersom du har planer om ? logge p? Debian/Ubuntu-maskinen din hjemmefra, kan det v?re lurt ? sl? av str?msparingsfunksjonen. Dette gj?res med kommandoen:
sudo systemctl mask sleep.target suspend.target hibernate.target hybrid-sleep.target
5.2???tcpwrappers
Debian bruker fremdeles tcpwrappers. Dersom du skal logge deg p? hjemmefra, m? du tillate p?logging i /etc/hosts.allow i tillegg til pam_access.
Vi anbefaler ikke at du ?pner for verden, men i stedenfor heller ?pner for internettleverand?ren du bruker. Her er et eksempel med AS2119 (Telenor):
apt install bgpq3 -y bgpq3 AS2119 | sed -e '/^no/d;s/ip prefix-list NN permit \(.*\)$/ALL: \1/;' >>/etc/hosts.allow bgpq3 -6 AS2119 | sed -e '/^no/d;s/ipv6 prefix-list NN permit \(.*::\)\(.*\)/ALL: [\1]\2/' >>/etc/hosts.allow
6???USIT-ifisering av eksisterende installasjoner
For ? v?re tilkoblet kablet nett (inklusive 802.1x) skal uio-cfengine v?re installert:
Installasjon p? Debian 11 ("bullseye") gj?res ved ? kj?re disse kommandoene som root:
curl --silent http://deb.uio.no/debian/archive-key.asc > /etc/apt/trusted.gpg.d/deb-usit-$(date +%Y).asc echo deb http://deb.uio.no/debian $(lsb_release -cs) main >> /etc/apt/sources.list apt update apt install etckeeper apt install uio-cfengine
Tilsvarende for Ubuntu 20.04 ("focal"), men da med linje to byttet ut med denne:
echo 'deb http://deb.uio.no/debian focal main' >> /etc/apt/sources.list
I tillegg til uio-cfengine skal filen /etc/uio/conf/site-admin opprettes. Filen skal inneholde en linje med epostadressen til administrator (helst en epostliste).
Postfix skal installeres, og m? v?re konfigurert som f?lger:
apt purge postfix -y echo "postfix postfix/relayhost string smtp.uio.no" | debconf-set-selections echo "postfix postfix/main_mailer_type select Satellite system" | debconf-set-selections echo "postfix postfix/mailname string ulrik.uio.no" | debconf-set-selections echo "postfix postfix/root_address string root@usit.uio.no" | debconf-set-selections apt install postfix -y /usr/sbin/postconf -e 'mydestination=$myhostname, localhost'