You are here: Foswiki>IT Web>ItServices>LinuxSelbstadministriert (11 Jan 2024, BodoUserTopic)Edit Attach
Fachbereichsportal - Ticketsystem Request Tracker - Anleitungen - Personen

Fachbereich Mathematik und Informatik, IT-Dienst

Was muss man beachten wenn man selbstadministrierte Linux-Rechner betreibt.

IT-staff arbeitsfähig auf selbstverwalteten Linux-Rechnern

Laut IT-Sicherheitsrichtlinie der FU muss sich IT-Staff als Administratoren auf den Rechnern anmelden können.

Der/die für die Maschine Verantwortliche muss...

  • seinen Account an support@mi.fu-berlin.de kommunizieren (Nutzernamen, welcher das System betreuen wird)
  • Login für Admin-User per ssh-key sicherstellen (siehe unten).
  • ssh root Passwort-Login verbieten
  • passwortlose Gast-Accounts unterbinden
  • Datensicherung klären
  • das System aktuell halten
  • root-mails per /etc/aliases auf den Maschinen-Verantworlichen umleiten (mit vim oder nano die aliases bearbeiten und unter root: eigene Mail hinterlegen)

Anforderungen

  • korrekte /etc/resolv.conf - empfohlen imp.fu-berlin.de im Suchpfad
  • keine leeren Passworte
  • vernünftige Passwort-Policy
  • Liste der angebotenen Dienste (mit Portnummer) an support@mi.fu-berlin.de senden
    • auth gegen FU oder selbst
  • keine unnötigen Dienste anbieten

notwendige Programme

  • Minimum: sudo openssh-server rsync tmux vim wget dnsutils
  • sinnvolle Werkzeuge: etckeeper hdparm htop iotop lsof lynx netcat-openbsd nmap smartmontools
    • dlocate # falls es ein Debian oder Debian-Derivat ist
  • optional aber sinnvoll:
    • libpam-krb5 # um mit ZEDAT-Passworten zu authentisieren
    • libpam-ldap,libnss-ldap # um unsere Gruppen und User zu nutzen
  • auch noch ganz nett: wake on lan auf Desktop-Maschinen im BIOS einstellen

notwendige Dateien

Admin-keys und weitere wichtige Dateien liegen im Paket imp-admin-keys von unserem Repository:
https://debian.imp.fu-berlin.de/ oder direkt als Paket https://debian.imp.fu-berlin.de/pool/main/i/imp-admin-keys/ .

Darin enthalten sind
  • /usr/local/home # admin-homes mit ssh-keys der Admins
  • script das per adduser folgende Dateien bearbeitet:
    • /etc/passwd
    • /etc/shadow
    • /etc/sudoers
    • /etc/group # sinnvoll mit der aktuellen /etc/group vergleichen

Es reicht, wenn der ssh-Zugriff über diese keys aus dem 160.45.113.0/25er-Netz erlaubt wird.

cut-and-paste für Dummies

für Debian-basierte Systeme (Debian, *Ubuntu, Mint,...)

Als root auf der selbstadministrierten Maschine:

# ab hier bitte weiter mit bash
sudo /bin/bash

# signing keyring holen
wget -O - https://debian.imp.fu-berlin.de/imp-debian-repo.asc | gpg --dearmor > /usr/share/keyrings/imp-debian-repo-keyring.gpg

# Sources.list Datei anlegen
echo "deb  [ signed-by=/usr/share/keyrings/imp-debian-repo-keyring.gpg arch=amd64 ]   http://debian.imp.fu-berlin.de/ stable main" >/etc/apt/sources.list.d/imp.list

# Paketlisten aktualisieren
apt-get update

# admin-keys einfahren und noch fehlende Basis-Pakete installieren
apt-get install imp-admin-keys

für nicht Debian-basierte Systeme

detail Code aufklappen

Ab hier gibt es Tips für sinnvolle Ergänzungen:

detail Code aufklappen

Sicherstellen der Aktualität des Debian-Systems

Automatische Updates oder per E-Mail informieren lassen

Drucken

siehe: https://www.mi.fu-berlin.de/w/IT/ItServicesDruckserverFollowme#unter_Linux

Kommentare

 
Edit  | Attach | Print version | History: r73 < r72 < r71 < r70 | Backlinks | View wiki text | Edit wiki text | More topic actions
Topic revision: r73 - 11 Jan 2024, BodoUserTopic - This page was cached on 02 May 2025 - 13:35.

This site is powered by FoswikiCopyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding Foswiki? Send feedback