Innhold
1 Forord
Viktig
Debian og Ubuntu tilbys uten annen form for support fra USIT enn minimumskravene for en driftet maskin. Dvs at det er et PXE-tilbud, som gir en maskin konfigurert med det helt grunnleggende som kreves for å få koble til kablet nett på UiO. Det er ingen sentral støtte for annet enn dette, og all support forøvrig (feks. for applikasjoner) må hentes lokalt! Driftsopplegget er i første hånd laget for å støtte USIT sine tjenere som av diverse grunner ikke kan benytte RHEL. Det er av denne grunn begrenset med støtte for forskjellige tjenerroller.
Man må altså beregne å selv administrere og supportere en slik maskin. USIT vil besvare henvendelser hvis man kan, men har ingen ressurser til feilsøking eller tilpasning av programvare eller annet!
Vi ber deg om å lese igjennom hele dette dokumentet før installasjon.
1.1 Debian og Ubuntu-versjoner
Distribusjoner som støttes av USIT er:
- Debian stable (p.t. Debian 11.x "Bullseye")
- Ubuntu stable (p.t. 20.04 LTS "Focal")
Det forutsettes at du kan følge siste "stable"-versjon.
1.2 APT-repoer
Alle apt-repoer du legger inn selv skal plasseres i /etc/apt/sources.list.d/ - katalogen.
/etc/apt/sources.list kan og vil bli overskrevet av driftsautomatikken.
1.3 Debian og Ubuntu som tjener
I utgangspunktet skal RHEL benyttes som tjenermaskin. Seksjon for serverdrift (SSD) har kun kapasitet til å drifte én plattform. Debian og Ubuntu kan kun brukes som tjener dersom det er behov for programvare som ikke fungerer eller lett lar seg sette opp på RHEL.
Merk at kun cf-engine roller som er nødendig for USIT sine tjenere er implementert, slik at sikkerhetsmekanismer som må på plass for f.eks. samba filtjenere ikke er tilstede.
1.4 Debian og Ubuntu som skrivebordsmaskin
Debian og Ubuntu fungerer utmerket som skrivebordsmaskin på UiO. USIT har fått på plass det meste av driftsopplegget du vil finne på Fedora. Tilgjengelighet til vitenskapelig programvare som f.eks. Matlab er likevel begrenset ettersom USIT ikke har kapasitet til å teste og tilpasse programvaren til flere enn én Linux-distribusjon.
2 Installasjon via PXE
Installasjon tilbys kun via PXE. Dersom du av ulike grunner må installere fra andre medier, så kan du likevel USIT-ifisere distribusjonen. Beskrivelse finner du lenger nede på denne siden.
På samme måte som for RHEL og Fedora må alle maskiner DNS registreres. Installasjonen legger opp til å bruke DHCP. Maskinen må derfor være registrert med fast IP adresse i mreg med følgende kommando:
dhcp assoc <maskinnavn> <MAC>
Se Dokumentasjon av mreg for detaljer.
Dersom det er behov for å installere en bærbar maskin som ikke skal stå på fastnett, må PXE-konfigurasjonen i DHCP oppdateres for å tillate Debian under installasjon. Ta kontakt med SSD <usit-gsd at usit.uio.no> og be dem om å legge inn "debian" i PXE-poolen på nettet ditt.
NB: Vi har ikke lagt opp til PXE-installasjon av tjenermaskiner. Ta kontakt med USIT dersom du har behov for dette.
Under installasjon vil du bli spurt om å fylle inn noen UiO-spesifikke innstillinger:
site-admin skal alltid fylles inn slik at USIT kan kontakte deg dersom det er behov for kritiske sikkerhetsoppdateringer e.l.
primary-user bør fylles inn dersom du ikke har laget automatisering av tilgang i cf-engine
laptop oppretter filen "/etc/uio/flag/laptop" på maskinen. Alle brukere som logger inn vil få lokalt hjemmeområde. I tillegg vil primary-user bli meldt inn i sudo gruppen.
Dersom du kun ønsker lokalt hjemmeområde, anbefaler vi at dette gjøres fra mreg:
mreg> policy host_add homedir_override maskinnavn.uio.no
3 Tilgangsstyring
Tilgangsstyring anbefaler vi at du gjør via cf-engine. Se inputs/math.cf for eksempel på institutt-tilpasning av RHEL. Denne kan enkelt endres til også å fungere på Debian og Ubuntu.
NB: Vi er i ferd med å implementere pam_access på Debian. Dette betyr at driftsopplegget for tilgangsstyring blir identisk for RHEL8 og Debian/Ubuntu. Se pam_access for detaljer.
4 Unattended-upgrades
Installasjon av oppdateringer skjer én gang i døgnet. Alle pakker oppdateres automatisk.
I noen tilfeller er det nødvendig å blokkere automatiske oppdateringer. Dette gjøres ved å lage en svarteliste:
root@nav-prod06:/etc/apt/apt.conf.d# cat 70unattended-upgrades-nettdrift
Unattended-Upgrade::Package-Blacklist {
"nav";
};
4.1 Pin-priorities
Av sikkerhetsgrunner har vi satt høyere prioritet på de offisielle repoene til distribusjonen for å unngå at de offisielle pakkene blir overskrevet av pakker fra tredjeparts-repoer.
Vi ber om at du ikke setter høyere prioritet på tredjeparts apt repoer da dette utgjør en sikkerhetsrisiko.
5 Diverse tips
5.1 Strømsparing
Dersom du har planer om å logge på Debian/Ubuntu-maskinen din hjemmefra, kan det være lurt å slå av strømsparingsfunksjonen. Dette gjøres med kommandoen:
sudo systemctl mask sleep.target suspend.target hibernate.target hybrid-sleep.target
5.2 tcpwrappers
Debian bruker fremdeles tcpwrappers. Dersom du skal logge deg på hjemmefra, må du tillate pålogging i /etc/hosts.allow i tillegg til pam_access.
Vi anbefaler ikke at du åpner for verden, men i stedenfor heller åpner for internettleverandøren du bruker. Her er et eksempel med AS2119 (Telenor):
apt install bgpq3 -y bgpq3 AS2119 | sed -e '/^no/d;s/ip prefix-list NN permit \(.*\)$/ALL: \1/;' >>/etc/hosts.allow bgpq3 -6 AS2119 | sed -e '/^no/d;s/ipv6 prefix-list NN permit \(.*::\)\(.*\)/ALL: [\1]\2/' >>/etc/hosts.allow
6 USIT-ifisering av eksisterende installasjoner
For å være tilkoblet kablet nett (inklusive 802.1x) skal uio-cfengine være installert:
Installasjon på Debian 11 ("bullseye") gjøres ved å kjøre disse kommandoene som root:
curl --silent http://deb.uio.no/debian/archive-key.asc > /etc/apt/trusted.gpg.d/deb-usit-$(date +%Y).asc echo deb http://deb.uio.no/debian $(lsb_release -cs) main >> /etc/apt/sources.list apt update apt install etckeeper apt install uio-cfengine
Tilsvarende for Ubuntu 20.04 ("focal"), men da med linje to byttet ut med denne:
echo 'deb http://deb.uio.no/debian focal main' >> /etc/apt/sources.list
I tillegg til uio-cfengine skal filen /etc/uio/conf/site-admin opprettes. Filen skal inneholde en linje med epostadressen til administrator (helst en epostliste).
Postfix skal installeres, og må være konfigurert som følger:
apt purge postfix -y echo "postfix postfix/relayhost string smtp.uio.no" | debconf-set-selections echo "postfix postfix/main_mailer_type select Satellite system" | debconf-set-selections echo "postfix postfix/mailname string ulrik.uio.no" | debconf-set-selections echo "postfix postfix/root_address string root@usit.uio.no" | debconf-set-selections apt install postfix -y /usr/sbin/postconf -e 'mydestination=$myhostname, localhost'