Bitraf-ws2 - "ny" fellesmaskin for Bitraf med Debian

Bitraf har allerede Bitraf-ws1, men trenger litt flere på grunn av mye trafikk. Den forhenværende Bitraf-ws1 er litt gammel, men har fremdeles 32GB minne og et greit grafikkort, så denne settes opp som Bitraf-ws2 for bruk med Linux aleine, der Bitraf-ws1 er satt opp med både Windows og Debian GNU/Linux.

Maskinvare

Oppsett av Linux

Det er installert Debian Bullseye 11 for x86-64. Denne er satt opp med tilgjengelige grafiske grensesnitt med Gnome som standard, men med fritt valg av andre fra login-menyen, for på denne måten å kunne dekke flest mulig behov.

Filsystemer

Debian er installert på den store SSD-en med LVM og éi volumgruppe, bitrafws2-vg. Den lille disken har også fått ei volumgruppe med gamle data i tilfelle noen skulle få behov for noe derfra. Filsystemstørrelsene under er avrundet til nærmeste gibibyte (GiB, som i 2^30 bytes).

I tillegg til filsystemene over, har vi Bitrafs Dropbox-konto. Denne synkroniseres til /home/bitraf/Bitraf Dropbox/Bit Raf og holder for øyeblikket rundt 16GB

Blokkering av ssh

For bruker bitraf, er inngående ssh blokkert i /etc/ssh/sshd_config.d/01-deny-bitraf.conf. Dette er på grunn av at bitrafs passord er enkelt og kjent av mange. fail2ban er også lagt inn for å stoppe eventuelle bruteforce-forsøk på å komme seg inn via ssh. Denne er konfigurert videre fra standard i /etc/fail2ban/jail.d/bitraf.conf.

sudo-tilgang for å kunne installere programvare

Bruker bitraf har vanlig passord, men ikke blankotilgang til sudo. Bruker bitrafadmin har admintilgang og et passord kjent for IT-avdelinga. Det er imidlertid lagt opp tilgang til å kunne legge inn ny programvare fra eksisterende repoer som en vanlig bruker, gitt at brukeren har fått denne rettigheten. I skrivende stund, gjelder dette kun debian-repoene main, non-free, contrib, non-free-firmware, samt Debian Backports. Tilgangen er gitt til gruppa installers, der bitraf er medlem. Løsningen åpner for å på sikt kunne bruke egen innlogging per bruker.

Følgende er lagt inn i /etc/sudoers.d/01bitraf

Cmnd_Alias APT = /usr/bin/apt install *, /usr/bin/apt update, /usr/bin/apt upgrade, /usr/bin/apt dist-upgrade, /usr/bin/apt full-upgrade, /usr/bin/apt search *, /usr/bin/apt show *, /usr/bin/apt list *
Cmnd_Alias APT_GET = /usr/bin/apt-get install *, /usr/bin/apt-get update, /usr/bin/apt-get upgrade, /usr/bin/apt-get dist-upgrade, /usr/bin/apt-get full-upgrade, /usr/bin/apt-get search *, /usr/bin/apt check *, /usr/bin/apt download *
Cmnd_Alias PKCON = /usr/bin/pkcon install *, /usr/bin/pkcon download *, /usr/bin/pkcon refresh, /usr/bin/pkcon resolve *, /usr/bin/pkcon get-updates *, /usr/bin/pkcon get-distro-upgrades

%installers ALL=(ALL) NOPASSWD: APT, APT_GET, PKCON

For å tillate installasjon av programvare via Gnome Software i GUIet, er det lagt opp policyendring i polkit. Denne ligger i /etc/polkit-1/localauthority/20-org.d/org.freedesktop.packagekit.pkla og inneholder følgende

[Allow installers to upgrade the system]
Identity=unix-group:installers
Action=org.freedesktop.packagekit.package-install;org.freedesktop.packagekit.package-reinstall;org.freedesktop.packagekit.system-update;org.freedesktop.packagekit.upgrade-system
ResultAny=no
ResultInactive=no
ResultActive=yes

Feilsøking etc

Dvaleproblemer

Maskina mister kontakten med skjermen (DVI, ikke testa annet) etter dvale, så alt av slikt er skrudd av med

# systemctl mask sleep.target suspend.target hibernate.target hybrid-sleep.target

Historikk

6. mars 2023

Reinstallert med Debian 11.6 Bullseye, uten Windows.

10. august 2025

Oppgradert til Debian 12 Bookworm etter at det hadde blitt nevnt på slack noen ganger at den begynte å henge etter. Maskina har liten disk, bare 120GB, så hvis noen har noe liggende, kom gjerne med det. Den bør også oppgraderes til Debian 13 Trixie, men siden denne kom lørdag 9. august, så kan det kanskje vente litt for å få unna barnesykdommene.