Fachbereich Mathematik und Informatik, IT-Dienst

Was muss man beachten wenn man selbstadministrierte Linux-Rechner betreibt.

IT-staff arbeitsfähig auf selbstverwalteten Linux-Rechnern

Der/die für die Maschine Verantwortliche muss…

• seinen Account an support@mi.fu-berlin.de kommunizieren (Nutzernamen, welcher das System betreuen wird)
• Login für Admin-User per ssh-key sicherstellen (siehe unten).
• ssh root Passwort-Login verbieten
• passwortlose Gast-Accounts unterbinden
• Datensicherung klären
• das System aktuell halten
• root-mails per /etc/aliases auf den Maschinen-Verantworlichen umleiten (mit vim oder nano die aliases bearbeiten und unter root: eigene Mail hinterlegen)

Anforderungen

• korrekte /etc/resolv.conf - empfohlen imp.fu-berlin.de im Suchpfad
• keine leeren Passworte
• vernünftige Passwort-Policy
• Liste der angebotenen Dienste (mit Portnummer) an support@mi.fu-berlin.de senden
  • auth gegen FU oder selbst
• keine unnötigen Dienste anbieten

notwendige Programme

• Minimum: sudo openssh-server rsync tmux vim wget dnsutils
• sinnvolle Werkzeuge: etckeeper hdparm htop iotop lsof lynx netcat-openbsd nmap smartmontools
  • dlocate # falls es ein Debian oder Debian-Derivat ist
• optional aber sinnvoll:
  • libpam-krb5 # um mit ZEDAT-Passworten zu authentisieren
  • libpam-ldap,libnss-ldap # um unsere Gruppen und User zu nutzen
• auch noch ganz nett: wake on lan auf Desktop-Maschinen im BIOS einstellen

notwendige Dateien

• /usr/local/home # admin-homes mit ssh-keys der Admins
• script das per adduser folgende Dateien bearbeitet:
  • /etc/passwd
  • /etc/shadow
  • /etc/sudoers
  • /etc/group # sinnvoll mit der aktuellen /etc/group vergleichen

Es reicht, wenn der ssh-Zugriff über diese keys aus dem 160.45.113.0/25er-Netz erlaubt wird.

cut-and-paste für Dummies

für Debian-basierte Systeme (Debian, *Ubuntu, Mint,...)

Als root auf der selbstadministrierten Maschine:

# ab hier bitte weiter mit bash
sudo /bin/bash

# signing keyring holen
wget -O - https://debian.imp.fu-berlin.de/imp-debian-repo.asc | gpg --dearmor > /usr/share/keyrings/imp-debian-repo-keyring.gpg

# Sources.list Datei anlegen
echo "deb  [ signed-by=/usr/share/keyrings/imp-debian-repo-keyring.gpg arch=amd64 ]   http://debian.imp.fu-berlin.de/ stable main" >/etc/apt/sources.list.d/imp.list

# Paketlisten aktualisieren
apt-get update

# admin-keys einfahren und noch fehlende Basis-Pakete installieren
apt-get install imp-admin-keys

für nicht Debian-basierte Systeme

Code aufklappen Code zuklappen

## absolutes Minimum an Programmen, hier in debian syntax
# install sudo openssh-server rsync wget alien

# temp-Verzeichnis zum sauberen Arbeiten
# verschwindet nach dem nächsten Reboot
mkdir /tmp/selfadmin
cd /tmp/selfadmin

# Debian Paket von unserem webserver holen
# siehe https://debian.imp.fu-berlin.de/pool/main/i/imp-admin-keys/

# wandeln in ein tar archiv falls man debian pakete nicht installieren kann
alien -t --scripts imp-admin-keys*.deb

# tar dateien auspacken
tar xvf imp-admin-keys*.tgz

# admin-user generieren
install/doinst.sh configure

# passwortloses sudo für die Gruppe adm (die user haben kein Passwort)
echo "%adm ALL = (ALL) NOPASSWD: ALL" > /etc/sudoers.d/99_admin-imp

Ab hier gibt es Tips für sinnvolle Ergänzungen:

Code aufklappen Code zuklappen

# wichtige basisdienste
apt-get install etckeeper smartmontools

# weitere Werkzeuge
apt-get install byobu dlocate hdparm htop iotop lsof lynx netcat-openbsd procps strace

# Netzwerktools zur Diagnose
apt-get install dnsutils ngrep nmap nmon tshark

# unter vmware sollte diese paket installiert werden:
apt-get install open-vm-tools

Sicherstellen der Aktualität des Debian-Systems

• https://wiki.debian.org/UnattendedUpgrades

• https://packages.debian.org/de/apticron

Drucken

Links

• Debian CDs
• IT-Sicherheitsrichtlinie
• Drucken: https://www.zedat.fu-berlin.de/Tip4U_Print
• https://www.mi.fu-berlin.de/w/Tec/WebHome
• https://wiki.debian.org/UnattendedUpgrades
• https://packages.debian.org/de/apticron
• https://packages.debian.org/de/fail2ban http://de.wikipedia.org/wiki/Fail2ban # abwehr von passwort-cracker-angriffen

Kommentare