Installasjon av Debian og Ubuntu

Dette dokumentet beskriver installasjon av Debian og Ubuntu på UiO

1   Forord

Viktig

Debian og Ubuntu tilbys uten annen form for support fra USIT enn minimumskravene for en driftet maskin. Dvs at det er et PXE-tilbud, som gir en maskin konfigurert med det helt grunnleggende som kreves for å få koble til kablet nett på UiO. Det er ingen sentral støtte for annet enn dette, og all support forøvrig (feks. for applikasjoner) må hentes lokalt! Driftsopplegget er i første hånd laget for å støtte USIT sine tjenere som av diverse grunner ikke kan benytte RHEL. Det er av denne grunn begrenset med støtte for forskjellige tjenerroller.

Man må altså beregne å selv administrere og supportere en slik maskin. USIT vil besvare henvendelser hvis man kan, men har ingen ressurser til feilsøking eller tilpasning av programvare eller annet!

Vi ber deg om å lese igjennom hele dette dokumentet før installasjon.

1.1   Debian og Ubuntu-versjoner

Distribusjoner som støttes av USIT er:

  • Debian stable (p.t. Debian 10.x "Buster")
  • Ubuntu stable (p.t. 20.04 LTS "Focal")

Det forutsettes at du kan følge siste "stable"-versjon.

1.2   APT-repoer

Alle apt-repoer du legger inn selv skal plasseres i /etc/apt/sources.list.d/ - katalogen.

/etc/apt/sources.list kan og vil bli overskrevet av driftsautomatikken.

1.3   Debian og Ubuntu som tjener

I utgangspunktet skal RHEL benyttes som tjenermaskin. Seksjon for serverdrift (SSD) har kun kapasitet til å drifte én plattform. Debian og Ubuntu kan kun brukes som tjener dersom det er behov for programvare som ikke fungerer eller lett lar seg sette opp på RHEL.

Merk at kun cf-engine roller som er nødendig for USIT sine tjenere er implementert, slik at sikkerhetsmekanismer som må på plass for f.eks. samba filtjenere ikke er tilstede.

1.4   Debian og Ubuntu som skrivebordsmaskin

Debian og Ubuntu fungerer utmerket som skrivebordsmaskin på UiO. USIT har fått på plass det meste av driftsopplegget du vil finne på Fedora. Tilgjengelighet til vitenskapelig programvare som f.eks. Matlab er likevel begrenset ettersom USIT ikke har kapasitet til å teste og tilpasse programvaren til flere enn én Linux-distribusjon.

2   Installasjon via PXE

Installasjon tilbys kun via PXE. Dersom du av ulike grunner må installere fra andre medier, så kan du likevel USIT-ifisere distribusjonen. Beskrivelse finner du lenger nede på denne siden.

På samme måte som for RHEL og Fedora må alle maskiner DNS registreres. Installasjonen legger opp til å bruke DHCP. Maskinen må derfor være registrert med fast IP adresse i mreg med følgende kommando:

dhcp assoc <maskinnavn> <MAC>

Se Dokumentasjon av mreg for detaljer.

Dersom det er behov for å installere en bærbar maskin som ikke skal stå på fastnett, må PXE-konfigurasjonen i DHCP oppdateres for å tillate Debian under installasjon. Ta kontakt med SSD <usit-gsd at usit.uio.no> og be dem om å legge inn "debian" i PXE-poolen på nettet ditt.

NB: Vi har ikke lagt opp til PXE-installasjon av tjenermaskiner. Ta kontakt med USIT dersom du har behov for dette.

Under installasjon vil du bli spurt om å fylle inn noen UiO-spesifikke innstillinger:

site-admin skal alltid fylles inn slik at USIT kan kontakte deg dersom det er behov for kritiske sikkerhetsoppdateringer e.l.

primary-user bør fylles inn dersom du ikke har laget automatisering av tilgang i cf-engine

gnome-desktop installerer wayland og gnome-desktop

laptop oppretter filen "/etc/uio/flag/laptop" på maskinen. Alle brukere som logger inn vil få lokalt hjemmeområde. I tillegg vil primary-user bli meldt inn i sudo gruppen.

Dersom du kun ønsker lokalt hjemmeområde, anbefaler vi at dette gjøres fra mreg:

mreg> policy host_add homedir_override maskinnavn.uio.no

Ytteligere tilgangsstyring anbefaler vi at du gjør via cf-engine. Se inputs/math.cf for eksempel på institutt-tilpasning av RHEL. Denne kan enkelt endres til også å fungere på Debian og Ubuntu.

3   Unattended-upgrades

Installasjon av oppdateringer skjer én gang i døgnet. Dersom du legger inn egne apt-repoer må du vurdere om pakker fra disse repoene skal oppdateres automatisk. Dette er spesielt viktig dersom det er potensielle sikkerhetshull i programvaren du installerer. Standard-mønster for automatisk oppdatering på Debian er:

root@obiwan:/etc/apt# cat apt.conf.d/51unattended-upgrades-usit
// Under CFENGINE control
// Do not edit
Unattended-Upgrade::Origins-Pattern {
      // Codename based matching:
      // This will follow the migration of a release through different
      // archives (e.g. from testing to stable and later oldstable).
      "o=${distro_id},n=${distro_codename}";
      "o=${distro_id},n=${distro_codename}-security";
      "o=${distro_id},n=${distro_codename}-updates";
      "o=${distro_id}ESM,n=${distro_codename}";
      // elastic.co
      "o=elastic,n=stable";
      // zabbix
      "o=Zabbix";
      // google LLC (aka google-chrome)
      "o=Google LLC,n=stable";
      // UiO
      "o=University of Oslo,c=main";
};

Tilsvarende fil finner du på Ubuntu. Dersom du overstyrer automatisk oppdatering, ber vi om at du inkluderer de offisielle repoene slik at distribusjonen holdes oppdatert.

I noen tilfeller er det nødvendig å blokkere automatiske oppdateringer. Dette gjøres ved å lage en svarteliste:

root@nav-prod06:/etc/apt/apt.conf.d# cat 70unattended-upgrades-nettdrift
Unattended-Upgrade::Package-Blacklist {
      "nav";
};

3.1   Pin-priorities

Av sikkerhetsgrunner har vi satt høyere prioritet på de offisielle repoene til distribusjonen for å unngå at de offisielle pakkene blir overskrevet av pakker fra tredjeparts-repoer.:

root@obiwan:/etc/apt/preferences.d# cat 90-usit-prefer-official-package
#
#
# UNDER CFENGINE CONTROL
# CHANGES WILL BE OVERWRITTEN
#
# Do not let any 3rd party repo overwrite the official distributed package
# (unless the user overrides this setting)
Package: *
Pin: release o=Debian
Pin-Priority: 600

Vi ber om at du ikke setter høyere prioritet på tredjeparts apt repoer da dette utgjør en sikkerhetsrisiko.

4   Diverse tips

4.1   Strømsparing

Dersom du har planer om å logge på Debian/Ubuntu-maskinen din hjemmefra, kan det være lurt å slå av strømsparingsfunksjonen. Dette gjøres med kommandoen:

sudo systemctl mask sleep.target suspend.target hibernate.target hybrid-sleep.target

4.2   tcpwrappers

Debian bruker fremdeles tcpwrappers. Dersom du skal logge deg på hjemmefra, må du endre på /etc/hosts.allow.

Vi anbefaler ikke at du åpner for verden, men i stedenfor heller åpner for internettleverandøren du bruker. Her er et eksempel med AS2119 (Telenor):

apt install bgpq3 -y
bgpq3 AS2119 | sed -e '/^no/d;s/ip prefix-list NN permit \(.*\)$/ALL: \1/;' >>/etc/hosts.allow
bgpq3 -6 AS2119 | sed -e '/^no/d;s/ipv6 prefix-list NN permit \(.*::\)\(.*\)/ALL: [\1]\2/' >>/etc/hosts.allow

5   USIT-ifisering av eksisterende installasjoner

For å være tilkoblet kablet nett (inklusive 802.1x) skal uio-cfengine være installert:

Installasjon på Debian 10 ("buster") gjøres ved å kjøre disse kommandoene som root:

curl --silent http://deb.uio.no/debian/archive-key.asc | apt-key add
echo 'deb http://deb.uio.no/debian buster main' >> /etc/apt/sources.list
apt update
apt install usit-archive-keyring etckeeper
apt install uio-cfengine

Tilsvarende for Ubuntu 18.04 ("bionic"), men da med linje to byttet ut med denne:

echo 'deb http://deb.uio.no/debian bionic main' >> /etc/apt/sources.list

I tillegg til uio-cfengine skal filen /etc/uio/conf/site-admin opprettes. Filen skal inneholde en linje med epostadressen til administrator (helst en epostliste).

Postfix skal installeres, og må være konfigurert som følger:

apt purge postfix -y
echo "postfix postfix/relayhost string smtp.uio.no" | debconf-set-selections
echo "postfix postfix/main_mailer_type select Satellite system" | debconf-set-selections
echo "postfix postfix/mailname string ulrik.uio.no" | debconf-set-selections
echo "postfix postfix/root_address string root@usit.uio.no" | debconf-set-selections
apt install postfix -y
/usr/sbin/postconf -e 'mydestination=$myhostname, localhost'

Vi anbefaler at root-passordet settes til 'x' i /etc/passwd og at dere benytter sudo for root-tilgang.

Av Andreas Dobloug
Publisert 12. mars 2020 09:20 - Sist endret 24. apr. 2020 07:18