Forskjell mellom versjoner av «Bitraf-ws2»
| Linje 108: | Linje 108: | ||
%installers ALL=(ALL) NOPASSWD: APT, APT_GET, PKCON | %installers ALL=(ALL) NOPASSWD: APT, APT_GET, PKCON | ||
| − | For å tillate installasjon av programvare via Gnome Software i GUIet, er det lagt opp policyendring i '''polkit'''. | + | For å tillate installasjon av programvare via Gnome Software i GUIet, er det lagt opp policyendring i '''polkit'''. Denne ligger i /etc/polkit-1/localauthority/20-org.d/org.freedesktop.packagekit.pkla og inneholder følgende |
| + | |||
| + | [Allow installers to upgrade the system] | ||
| + | Identity=unix-group:installers | ||
| + | Action=org.freedesktop.packagekit.package-install;org.freedesktop.packagekit.package-reinstall;org.freedesktop.packagekit.system-update;org.freedesktop.packagekit.upgrade-system | ||
| + | ResultAny=no | ||
| + | ResultInactive=no | ||
| + | ResultActive=yes | ||
== Feilsøking etc == | == Feilsøking etc == | ||
Revisjonen fra 27. feb. 2023 kl. 15:45
Innhold
Bitraf-ws2 - "ny" fellesmaskin for Bitraf med Debian
Bitraf har allerede Bitraf-ws1, men trenger litt flere på grunn av mye trafikk. Den forhenværende Bitraf-ws1 er litt gammel, men har fremdeles 32GB minne og et greit grafikkort, så denne settes opp som Bitraf-ws2 for bruk med Linux aleine, der Bitraf-ws1 er satt opp med både Windows og Debian GNU/Linux.
Maskinvare
| Kabinett | Fractal Design Core 1000 Tower |
| Hovedkort | Asus M5A78L-M/USB3 |
| Prosessor | AMD FX-6300 (6-core)[10] |
| Minne | 32 GB |
| SSD1 | 240GB OCZ/Toshiba Trion SSDs |
| SSD2 | 120GB Kingston/Phison Driven SSDs |
Oppsett av Linux
Det er installert Debian Bullseye 11 for x86-64. Denne er satt opp med tilgjengelige grafiske grensesnitt med Gnome som standard, men med fritt valg av andre fra login-menyen, for på denne måten å kunne dekke flest mulig behov.
Filsystemer
Debian er installert på den store SSD-en med LVM og éi volumgruppe, bitrafws2-vg. Den lille disken har også fått ei volumgruppe med gamle data i tilfelle noen skulle få behov for noe derfra. Filsystemstørrelsene under er avrundet til nærmeste gibibyte (GiB, som i 2^30 bytes).
| VG | LV | Filsystem | Størrelse (GiB) | Montert | Valg |
|---|---|---|---|---|---|
| bitrafws2-vg | root | ext4 | 23 | / | |
| bitrafws2-vg | home | ext4 | 50 | /home | |
| bitrafws2-vg | swap01 | swap | 4 | swap | |
| bitrafws2-vg | tmp | ext4 | 2 | /tmp | |
| bitrafws2-vg | var | ext4 | 9 | /var | |
| bitrafws2-vg | ledig plass | ext4 | 135 | ||
| lille | gammelhome | ext4 | 30 | /mnt/gammelhome | Kun lesbar - slettes 2023-07-01 |
| lille | ledig plass | ext4 | 82 |
Blokkering av ssh
For bruker bitraf, er inngående ssh blokkert i /etc/ssh/sshd_config.d/01-deny-bitraf.conf. Dette er på grunn av at bitrafs passord er enkelt og kjent av mange. fail2ban er også lagt inn for å stoppe eventuelle bruteforce-forsøk på å komme seg inn via ssh. Denne er konfigurert videre fra standard i /etc/fail2ban/jail.d/bitraf.conf.
sudo-tilgang for å kunne installere programvare
Bruker bitraf har vanlig passord, men ikke blankotilgang til sudo. Bruker bitrafadmin har admintilgang og et passord kjent for IT-avdelinga. Det er imidlertid lagt opp tilgang til å kunne legge inn ny programvare fra eksisterende repoer som en vanlig bruker, gitt at brukeren har fått denne rettigheten. I skrivende stund, gjelder dette kun debian-repoene main, non-free, contrib, non-free-firmware, samt Debian Backports. Tilgangen er gitt til gruppa installers, der bitraf er medlem. Løsningen åpner for å på sikt kunne bruke egen innlogging per bruker.
Følgende er lagt inn i /etc/sudoers.d/01bitraf
Cmnd_Alias APT = /usr/bin/apt install *, /usr/bin/apt update, /usr/bin/apt upgrade, /usr/bin/apt dist-upgrade, /usr/bin/apt full-upgrade, /usr/bin/apt search *, /usr/bin/apt show *, /usr/bin/apt list * Cmnd_Alias APT_GET = /usr/bin/apt-get install *, /usr/bin/apt-get update, /usr/bin/apt-get upgrade, /usr/bin/apt-get dist-upgrade, /usr/bin/apt-get full-upgrade, /usr/bin/apt-get search *, /usr/bin/apt check *, /usr/bin/apt download * Cmnd_Alias PKCON = /usr/bin/pkcon install *, /usr/bin/pkcon download *, /usr/bin/pkcon refresh, /usr/bin/pkcon resolve *, /usr/bin/pkcon get-updates *, /usr/bin/pkcon get-distro-upgrades %installers ALL=(ALL) NOPASSWD: APT, APT_GET, PKCON
For å tillate installasjon av programvare via Gnome Software i GUIet, er det lagt opp policyendring i polkit. Denne ligger i /etc/polkit-1/localauthority/20-org.d/org.freedesktop.packagekit.pkla og inneholder følgende
[Allow installers to upgrade the system] Identity=unix-group:installers Action=org.freedesktop.packagekit.package-install;org.freedesktop.packagekit.package-reinstall;org.freedesktop.packagekit.system-update;org.freedesktop.packagekit.upgrade-system ResultAny=no ResultInactive=no ResultActive=yes
Feilsøking etc
Dvaleproblemer
Maskina mister kontakten med skjermen (DVI, ikke testa annet) etter dvale, så alt av slikt er skrudd av med
# systemctl mask sleep.target suspend.target hibernate.target hybrid-sleep.target
