Forskjell mellom versjoner av «Bitraf-ws2»

Fra Bitraf
Hopp til navigering Hopp til søk
(Oppsett av Linux)
(Filsystemer)
 
(8 mellomliggende revisjoner av samme bruker vises ikke)
Linje 1: Linje 1:
= "Ny" fellesmaskin for Bitraf med Debian =
+
= Bitraf-ws2 - "ny" fellesmaskin for Bitraf med Debian =
 
Bitraf har allerede [[Bitraf-ws1]], men trenger litt flere på grunn av mye trafikk. Den forhenværende Bitraf-ws1 er litt gammel, men har fremdeles 32GB minne og et greit grafikkort, så denne settes opp som Bitraf-ws2 for bruk med Linux aleine, der Bitraf-ws1 er satt opp med både Windows og Debian GNU/Linux.
 
Bitraf har allerede [[Bitraf-ws1]], men trenger litt flere på grunn av mye trafikk. Den forhenværende Bitraf-ws1 er litt gammel, men har fremdeles 32GB minne og et greit grafikkort, så denne settes opp som Bitraf-ws2 for bruk med Linux aleine, der Bitraf-ws1 er satt opp med både Windows og Debian GNU/Linux.
  
Linje 26: Linje 26:
 
== Oppsett av Linux ==
 
== Oppsett av Linux ==
 
Det er installert Debian Bullseye 11 for x86-64. Denne er satt opp med tilgjengelige grafiske grensesnitt med Gnome som standard, men med fritt valg av andre fra login-menyen, for på denne måten å kunne dekke flest mulig behov.  
 
Det er installert Debian Bullseye 11 for x86-64. Denne er satt opp med tilgjengelige grafiske grensesnitt med Gnome som standard, men med fritt valg av andre fra login-menyen, for på denne måten å kunne dekke flest mulig behov.  
 +
 
=== Filsystemer ===
 
=== Filsystemer ===
 
Debian er installert på den store SSD-en med LVM og éi volumgruppe, '''bitrafws2-vg'''. Den lille disken har også fått ei volumgruppe med gamle data i tilfelle noen skulle få behov for noe derfra. Filsystemstørrelsene under er avrundet til nærmeste gibibyte (GiB, som i 2^30 bytes).
 
Debian er installert på den store SSD-en med LVM og éi volumgruppe, '''bitrafws2-vg'''. Den lille disken har også fått ei volumgruppe med gamle data i tilfelle noen skulle få behov for noe derfra. Filsystemstørrelsene under er avrundet til nærmeste gibibyte (GiB, som i 2^30 bytes).
Linje 47: Linje 48:
 
|home
 
|home
 
|ext4
 
|ext4
|50
+
|108
 
|/home
 
|/home
 
|
 
|
Linje 75: Linje 76:
 
|''ledig plass''
 
|''ledig plass''
 
|ext4
 
|ext4
|135
+
|75
 
|
 
|
 
|
 
|
Linje 84: Linje 85:
 
|30
 
|30
 
|/mnt/gammelhome
 
|/mnt/gammelhome
|Ikke skrivbar - slettes 2023-07-01
+
|Kun lesbar - slettes 2023-07-01
 
|-
 
|-
 
|lille
 
|lille
Linje 94: Linje 95:
 
|}
 
|}
  
=== Tilpasninger ===
+
I tillegg til filsystemene over, har vi Bitrafs Dropbox-konto. Denne synkroniseres til '''/home/bitraf/Bitraf Dropbox/Bit Raf''' og holder for øyeblikket rundt 16GB
==== Dvaleproblemer ====
 
Maskina mister kontakten med skjermen (DVI, ikke testa annet) etter dvale, så alt av slikt er skrudd av med
 
  
# systemctl mask sleep.target suspend.target hibernate.target hybrid-sleep.target
+
=== Blokkering av ssh ===
 +
For bruker '''bitraf''', er inngående ssh blokkert i /etc/ssh/sshd_config.d/01-deny-bitraf.conf. Dette er på grunn av at '''bitraf'''s passord er enkelt og kjent av mange. fail2ban er også lagt inn for å stoppe eventuelle bruteforce-forsøk på å komme seg inn via ssh. Denne er konfigurert videre fra standard i /etc/fail2ban/jail.d/bitraf.conf.
  
==== sudo-tilgang for å kunne installere programvare ====
+
=== sudo-tilgang for å kunne installere programvare ===
Bruker '''bitraf''' har vanlig passord, men ikke blankotilgang til sudo. Det er imidlertid lagt opp tilgang til å kunne legge inn ny programvare fra eksisterende repoer. I skrivende stund, gjelder dette kun debian-repoene '''main''', '''non-free''', '''contrib''', '''non-free-firmware''', samt '''Backports'''. Tilgangen er gitt til gruppa '''installers''', der '''bitraf''' er medlem. Løsningen åpner for å på sikt kunne bruke egen innlogging per bruker.
+
Bruker '''bitraf''' har vanlig passord, men ikke blankotilgang til sudo. Bruker '''bitrafadmin''' har admintilgang og et passord kjent for IT-avdelinga. Det er imidlertid lagt opp tilgang til å kunne legge inn ny programvare fra eksisterende repoer som en vanlig bruker, gitt at brukeren har fått denne rettigheten. I skrivende stund, gjelder dette kun debian-repoene '''main''', '''non-free''', '''contrib''', '''non-free-firmware''', samt '''Debian Backports'''. Tilgangen er gitt til gruppa '''installers''', der '''bitraf''' er medlem. Løsningen åpner for å på sikt kunne bruke egen innlogging per bruker.
  
 
Følgende er lagt inn i /etc/sudoers.d/01bitraf
 
Følgende er lagt inn i /etc/sudoers.d/01bitraf
Linje 110: Linje 110:
 
  %installers ALL=(ALL) NOPASSWD: APT, APT_GET, PKCON
 
  %installers ALL=(ALL) NOPASSWD: APT, APT_GET, PKCON
  
For å tillate installasjon av programvare via Gnome Software i GUIet, er det lagt opp policyendring i polkit. Dette fungerer i skrivende stund (2023-02-26 21:30) ikke.
+
For å tillate installasjon av programvare via Gnome Software i GUIet, er det lagt opp policyendring i '''polkit'''. Denne ligger i /etc/polkit-1/localauthority/20-org.d/org.freedesktop.packagekit.pkla og inneholder følgende
 +
 
 +
[Allow installers to upgrade the system]
 +
Identity=unix-group:installers
 +
Action=org.freedesktop.packagekit.package-install;org.freedesktop.packagekit.package-reinstall;org.freedesktop.packagekit.system-update;org.freedesktop.packagekit.upgrade-system
 +
ResultAny=no
 +
ResultInactive=no
 +
ResultActive=yes
 +
 
 +
== Feilsøking etc ==
 +
=== Dvaleproblemer ===
 +
Maskina mister kontakten med skjermen (DVI, ikke testa annet) etter dvale, så alt av slikt er skrudd av med
 +
 
 +
# systemctl mask sleep.target suspend.target hibernate.target hybrid-sleep.target

Nåværende revisjon fra 28. feb. 2023 kl. 23:40

Bitraf-ws2 - "ny" fellesmaskin for Bitraf med Debian

Bitraf har allerede Bitraf-ws1, men trenger litt flere på grunn av mye trafikk. Den forhenværende Bitraf-ws1 er litt gammel, men har fremdeles 32GB minne og et greit grafikkort, så denne settes opp som Bitraf-ws2 for bruk med Linux aleine, der Bitraf-ws1 er satt opp med både Windows og Debian GNU/Linux.

Maskinvare

Kabinett Fractal Design Core 1000 Tower
Hovedkort Asus M5A78L-M/USB3
Prosessor AMD FX-6300 (6-core)[10]
Minne 32 GB
SSD1 240GB OCZ/Toshiba Trion SSDs
SSD2 120GB Kingston/Phison Driven SSDs

Oppsett av Linux

Det er installert Debian Bullseye 11 for x86-64. Denne er satt opp med tilgjengelige grafiske grensesnitt med Gnome som standard, men med fritt valg av andre fra login-menyen, for på denne måten å kunne dekke flest mulig behov.

Filsystemer

Debian er installert på den store SSD-en med LVM og éi volumgruppe, bitrafws2-vg. Den lille disken har også fått ei volumgruppe med gamle data i tilfelle noen skulle få behov for noe derfra. Filsystemstørrelsene under er avrundet til nærmeste gibibyte (GiB, som i 2^30 bytes).

VG LV Filsystem Størrelse (GiB) Montert Valg
bitrafws2-vg root ext4 23 /
bitrafws2-vg home ext4 108 /home
bitrafws2-vg swap01 swap 4 swap
bitrafws2-vg tmp ext4 2 /tmp
bitrafws2-vg var ext4 9 /var
bitrafws2-vg ledig plass ext4 75
lille gammelhome ext4 30 /mnt/gammelhome Kun lesbar - slettes 2023-07-01
lille ledig plass ext4 82

I tillegg til filsystemene over, har vi Bitrafs Dropbox-konto. Denne synkroniseres til /home/bitraf/Bitraf Dropbox/Bit Raf og holder for øyeblikket rundt 16GB

Blokkering av ssh

For bruker bitraf, er inngående ssh blokkert i /etc/ssh/sshd_config.d/01-deny-bitraf.conf. Dette er på grunn av at bitrafs passord er enkelt og kjent av mange. fail2ban er også lagt inn for å stoppe eventuelle bruteforce-forsøk på å komme seg inn via ssh. Denne er konfigurert videre fra standard i /etc/fail2ban/jail.d/bitraf.conf.

sudo-tilgang for å kunne installere programvare

Bruker bitraf har vanlig passord, men ikke blankotilgang til sudo. Bruker bitrafadmin har admintilgang og et passord kjent for IT-avdelinga. Det er imidlertid lagt opp tilgang til å kunne legge inn ny programvare fra eksisterende repoer som en vanlig bruker, gitt at brukeren har fått denne rettigheten. I skrivende stund, gjelder dette kun debian-repoene main, non-free, contrib, non-free-firmware, samt Debian Backports. Tilgangen er gitt til gruppa installers, der bitraf er medlem. Løsningen åpner for å på sikt kunne bruke egen innlogging per bruker.

Følgende er lagt inn i /etc/sudoers.d/01bitraf

Cmnd_Alias APT = /usr/bin/apt install *, /usr/bin/apt update, /usr/bin/apt upgrade, /usr/bin/apt dist-upgrade, /usr/bin/apt full-upgrade, /usr/bin/apt search *, /usr/bin/apt show *, /usr/bin/apt list *
Cmnd_Alias APT_GET = /usr/bin/apt-get install *, /usr/bin/apt-get update, /usr/bin/apt-get upgrade, /usr/bin/apt-get dist-upgrade, /usr/bin/apt-get full-upgrade, /usr/bin/apt-get search *, /usr/bin/apt check *, /usr/bin/apt download *
Cmnd_Alias PKCON = /usr/bin/pkcon install *, /usr/bin/pkcon download *, /usr/bin/pkcon refresh, /usr/bin/pkcon resolve *, /usr/bin/pkcon get-updates *, /usr/bin/pkcon get-distro-upgrades

%installers ALL=(ALL) NOPASSWD: APT, APT_GET, PKCON

For å tillate installasjon av programvare via Gnome Software i GUIet, er det lagt opp policyendring i polkit. Denne ligger i /etc/polkit-1/localauthority/20-org.d/org.freedesktop.packagekit.pkla og inneholder følgende

[Allow installers to upgrade the system]
Identity=unix-group:installers
Action=org.freedesktop.packagekit.package-install;org.freedesktop.packagekit.package-reinstall;org.freedesktop.packagekit.system-update;org.freedesktop.packagekit.upgrade-system
ResultAny=no
ResultInactive=no
ResultActive=yes

Feilsøking etc

Dvaleproblemer

Maskina mister kontakten med skjermen (DVI, ikke testa annet) etter dvale, så alt av slikt er skrudd av med

# systemctl mask sleep.target suspend.target hibernate.target hybrid-sleep.target