Forskjell mellom versjoner av «Bitraf-ws2»
(Ny side: = "Ny" fellesmaskin for Bitraf med Debian = Bitraf har allerede Bitraf-ws1, men trenger litt flere på grunn av mye trafikk. Den forhenværende Bitraf-ws1 er litt gammel, men har fre…) |
(→Filsystemer) |
||
(9 mellomliggende revisjoner av samme bruker vises ikke) | |||
Linje 1: | Linje 1: | ||
− | = " | + | = Bitraf-ws2 - "ny" fellesmaskin for Bitraf med Debian = |
Bitraf har allerede [[Bitraf-ws1]], men trenger litt flere på grunn av mye trafikk. Den forhenværende Bitraf-ws1 er litt gammel, men har fremdeles 32GB minne og et greit grafikkort, så denne settes opp som Bitraf-ws2 for bruk med Linux aleine, der Bitraf-ws1 er satt opp med både Windows og Debian GNU/Linux. | Bitraf har allerede [[Bitraf-ws1]], men trenger litt flere på grunn av mye trafikk. Den forhenværende Bitraf-ws1 er litt gammel, men har fremdeles 32GB minne og et greit grafikkort, så denne settes opp som Bitraf-ws2 for bruk med Linux aleine, der Bitraf-ws1 er satt opp med både Windows og Debian GNU/Linux. | ||
Linje 25: | Linje 25: | ||
== Oppsett av Linux == | == Oppsett av Linux == | ||
− | Det er installert Debian Bullseye 11 for x86-64. Denne er satt opp med tilgjengelige grafiske grensesnitt med Gnome som standard, men med fritt valg av andre fra login-menyen, for på denne måten å kunne dekke flest mulig behov. Debian er installert på den store SSD-en med LVM og éi volumgruppe, '''bitrafws2-vg'''. Den lille disken har også fått ei volumgruppe med gamle data i tilfelle noen skulle få behov for noe derfra. Filsystemstørrelsene under er avrundet til nærmeste gibibyte (GiB, som i 2^30 bytes). | + | Det er installert Debian Bullseye 11 for x86-64. Denne er satt opp med tilgjengelige grafiske grensesnitt med Gnome som standard, men med fritt valg av andre fra login-menyen, for på denne måten å kunne dekke flest mulig behov. |
+ | |||
+ | === Filsystemer === | ||
+ | Debian er installert på den store SSD-en med LVM og éi volumgruppe, '''bitrafws2-vg'''. Den lille disken har også fått ei volumgruppe med gamle data i tilfelle noen skulle få behov for noe derfra. Filsystemstørrelsene under er avrundet til nærmeste gibibyte (GiB, som i 2^30 bytes). | ||
{|class="wikitable" | {|class="wikitable" | ||
Linje 45: | Linje 48: | ||
|home | |home | ||
|ext4 | |ext4 | ||
− | | | + | |108 |
|/home | |/home | ||
| | | | ||
Linje 73: | Linje 76: | ||
|''ledig plass'' | |''ledig plass'' | ||
|ext4 | |ext4 | ||
− | | | + | |75 |
| | | | ||
| | | | ||
Linje 82: | Linje 85: | ||
|30 | |30 | ||
|/mnt/gammelhome | |/mnt/gammelhome | ||
− | | | + | |Kun lesbar - slettes 2023-07-01 |
|- | |- | ||
|lille | |lille | ||
Linje 92: | Linje 95: | ||
|} | |} | ||
− | + | I tillegg til filsystemene over, har vi Bitrafs Dropbox-konto. Denne synkroniseres til '''/home/bitraf/Bitraf Dropbox/Bit Raf''' og holder for øyeblikket rundt 16GB | |
− | |||
− | |||
− | + | === Blokkering av ssh === | |
+ | For bruker '''bitraf''', er inngående ssh blokkert i /etc/ssh/sshd_config.d/01-deny-bitraf.conf. Dette er på grunn av at '''bitraf'''s passord er enkelt og kjent av mange. fail2ban er også lagt inn for å stoppe eventuelle bruteforce-forsøk på å komme seg inn via ssh. Denne er konfigurert videre fra standard i /etc/fail2ban/jail.d/bitraf.conf. | ||
− | + | === sudo-tilgang for å kunne installere programvare === | |
− | Bruker '''bitraf''' har vanlig passord, men ikke blankotilgang til sudo. Det er imidlertid lagt opp tilgang til å kunne legge inn ny programvare fra eksisterende repoer. I skrivende stund, gjelder dette kun debian-repoene '''main''', '''non-free''', '''contrib''', '''non-free-firmware''', samt '''Backports'''. Tilgangen er gitt til gruppa '''installers''', der '''bitraf''' er medlem. Løsningen åpner for å på sikt kunne bruke egen innlogging per bruker. | + | Bruker '''bitraf''' har vanlig passord, men ikke blankotilgang til sudo. Bruker '''bitrafadmin''' har admintilgang og et passord kjent for IT-avdelinga. Det er imidlertid lagt opp tilgang til å kunne legge inn ny programvare fra eksisterende repoer som en vanlig bruker, gitt at brukeren har fått denne rettigheten. I skrivende stund, gjelder dette kun debian-repoene '''main''', '''non-free''', '''contrib''', '''non-free-firmware''', samt '''Debian Backports'''. Tilgangen er gitt til gruppa '''installers''', der '''bitraf''' er medlem. Løsningen åpner for å på sikt kunne bruke egen innlogging per bruker. |
Følgende er lagt inn i /etc/sudoers.d/01bitraf | Følgende er lagt inn i /etc/sudoers.d/01bitraf | ||
Linje 108: | Linje 110: | ||
%installers ALL=(ALL) NOPASSWD: APT, APT_GET, PKCON | %installers ALL=(ALL) NOPASSWD: APT, APT_GET, PKCON | ||
− | For å tillate installasjon av programvare via Gnome Software i GUIet, er det lagt opp policyendring i polkit. | + | For å tillate installasjon av programvare via Gnome Software i GUIet, er det lagt opp policyendring i '''polkit'''. Denne ligger i /etc/polkit-1/localauthority/20-org.d/org.freedesktop.packagekit.pkla og inneholder følgende |
+ | |||
+ | [Allow installers to upgrade the system] | ||
+ | Identity=unix-group:installers | ||
+ | Action=org.freedesktop.packagekit.package-install;org.freedesktop.packagekit.package-reinstall;org.freedesktop.packagekit.system-update;org.freedesktop.packagekit.upgrade-system | ||
+ | ResultAny=no | ||
+ | ResultInactive=no | ||
+ | ResultActive=yes | ||
+ | |||
+ | == Feilsøking etc == | ||
+ | === Dvaleproblemer === | ||
+ | Maskina mister kontakten med skjermen (DVI, ikke testa annet) etter dvale, så alt av slikt er skrudd av med | ||
+ | |||
+ | # systemctl mask sleep.target suspend.target hibernate.target hybrid-sleep.target |
Nåværende revisjon fra 28. feb. 2023 kl. 23:40
Innhold
Bitraf-ws2 - "ny" fellesmaskin for Bitraf med Debian
Bitraf har allerede Bitraf-ws1, men trenger litt flere på grunn av mye trafikk. Den forhenværende Bitraf-ws1 er litt gammel, men har fremdeles 32GB minne og et greit grafikkort, så denne settes opp som Bitraf-ws2 for bruk med Linux aleine, der Bitraf-ws1 er satt opp med både Windows og Debian GNU/Linux.
Maskinvare
Kabinett | Fractal Design Core 1000 Tower |
Hovedkort | Asus M5A78L-M/USB3 |
Prosessor | AMD FX-6300 (6-core)[10] |
Minne | 32 GB |
SSD1 | 240GB OCZ/Toshiba Trion SSDs |
SSD2 | 120GB Kingston/Phison Driven SSDs |
Oppsett av Linux
Det er installert Debian Bullseye 11 for x86-64. Denne er satt opp med tilgjengelige grafiske grensesnitt med Gnome som standard, men med fritt valg av andre fra login-menyen, for på denne måten å kunne dekke flest mulig behov.
Filsystemer
Debian er installert på den store SSD-en med LVM og éi volumgruppe, bitrafws2-vg. Den lille disken har også fått ei volumgruppe med gamle data i tilfelle noen skulle få behov for noe derfra. Filsystemstørrelsene under er avrundet til nærmeste gibibyte (GiB, som i 2^30 bytes).
VG | LV | Filsystem | Størrelse (GiB) | Montert | Valg |
---|---|---|---|---|---|
bitrafws2-vg | root | ext4 | 23 | / | |
bitrafws2-vg | home | ext4 | 108 | /home | |
bitrafws2-vg | swap01 | swap | 4 | swap | |
bitrafws2-vg | tmp | ext4 | 2 | /tmp | |
bitrafws2-vg | var | ext4 | 9 | /var | |
bitrafws2-vg | ledig plass | ext4 | 75 | ||
lille | gammelhome | ext4 | 30 | /mnt/gammelhome | Kun lesbar - slettes 2023-07-01 |
lille | ledig plass | ext4 | 82 |
I tillegg til filsystemene over, har vi Bitrafs Dropbox-konto. Denne synkroniseres til /home/bitraf/Bitraf Dropbox/Bit Raf og holder for øyeblikket rundt 16GB
Blokkering av ssh
For bruker bitraf, er inngående ssh blokkert i /etc/ssh/sshd_config.d/01-deny-bitraf.conf. Dette er på grunn av at bitrafs passord er enkelt og kjent av mange. fail2ban er også lagt inn for å stoppe eventuelle bruteforce-forsøk på å komme seg inn via ssh. Denne er konfigurert videre fra standard i /etc/fail2ban/jail.d/bitraf.conf.
sudo-tilgang for å kunne installere programvare
Bruker bitraf har vanlig passord, men ikke blankotilgang til sudo. Bruker bitrafadmin har admintilgang og et passord kjent for IT-avdelinga. Det er imidlertid lagt opp tilgang til å kunne legge inn ny programvare fra eksisterende repoer som en vanlig bruker, gitt at brukeren har fått denne rettigheten. I skrivende stund, gjelder dette kun debian-repoene main, non-free, contrib, non-free-firmware, samt Debian Backports. Tilgangen er gitt til gruppa installers, der bitraf er medlem. Løsningen åpner for å på sikt kunne bruke egen innlogging per bruker.
Følgende er lagt inn i /etc/sudoers.d/01bitraf
Cmnd_Alias APT = /usr/bin/apt install *, /usr/bin/apt update, /usr/bin/apt upgrade, /usr/bin/apt dist-upgrade, /usr/bin/apt full-upgrade, /usr/bin/apt search *, /usr/bin/apt show *, /usr/bin/apt list * Cmnd_Alias APT_GET = /usr/bin/apt-get install *, /usr/bin/apt-get update, /usr/bin/apt-get upgrade, /usr/bin/apt-get dist-upgrade, /usr/bin/apt-get full-upgrade, /usr/bin/apt-get search *, /usr/bin/apt check *, /usr/bin/apt download * Cmnd_Alias PKCON = /usr/bin/pkcon install *, /usr/bin/pkcon download *, /usr/bin/pkcon refresh, /usr/bin/pkcon resolve *, /usr/bin/pkcon get-updates *, /usr/bin/pkcon get-distro-upgrades %installers ALL=(ALL) NOPASSWD: APT, APT_GET, PKCON
For å tillate installasjon av programvare via Gnome Software i GUIet, er det lagt opp policyendring i polkit. Denne ligger i /etc/polkit-1/localauthority/20-org.d/org.freedesktop.packagekit.pkla og inneholder følgende
[Allow installers to upgrade the system] Identity=unix-group:installers Action=org.freedesktop.packagekit.package-install;org.freedesktop.packagekit.package-reinstall;org.freedesktop.packagekit.system-update;org.freedesktop.packagekit.upgrade-system ResultAny=no ResultInactive=no ResultActive=yes
Feilsøking etc
Dvaleproblemer
Maskina mister kontakten med skjermen (DVI, ikke testa annet) etter dvale, så alt av slikt er skrudd av med
# systemctl mask sleep.target suspend.target hibernate.target hybrid-sleep.target