|
Taille: 3105
Commentaire: la base à savoir
|
Taille: 9659
Commentaire:
|
| Texte supprimé. | Texte ajouté. |
| Ligne 4: | Ligne 4: |
| * intégration : plus de 20.000 logiciels directement disponibles * suivi de sécurité assuré sur tous les paquets, qui plus est très simple à mettre en oeuvre |
* intégration : près de 20.000 logiciels directement disponibles * suivi de sécurité assuré sur tous les paquets, très simple à mettre en oeuvre Debian peut également être utilisée comme système d'exploitation pour les postes clients, cependant [[Ubuntu]] est recommandée à ce niveau. |
| Ligne 9: | Ligne 11: |
| La version recommandée est ''Debian GNU/Linux 4.0'', alias ''Debian Etch'' ou tout simplement ''Etch''. | La version actuelle est ''Debian GNU/Linux 4.0'', alias ''Debian Etch'' ou tout simplement ''Etch''. |
| Ligne 11: | Ligne 13: |
| La procédure d'installation est décrite ici : http://www.debian.org/releases/stable/installmanual | La procédure d'installation sur un nouveau serveur est décrite ici : http://www.debian.org/releases/stable/installmanual. |
| Ligne 13: | Ligne 15: |
| Les détails concernant l'utilisation et l'installation de Etch à l'AUF sont ici : [:/Etch:] | Quelques recommandations spécifiques à l'AUF : * '''Avant''' l'installation : mettre la machine à l'heure UTC (temps universel) dans le BIOS (même si ''ntp'' s'en charge ensuite, il faut au moins vérifier que votre machine n'est pas en avance dans le temps, sous peine de soucis) ; * Utiliser le système [[LVM]] pour le partitionnement des serveurs. Voir aussi [[Partitionnement| quelques conseils sur la partitionnement d'un serveur]] ; * Installer un système minimal ("système standard") ; * Faire l'installation sur un réseau non accessible depuis Internet. Ne rendre la machine disponible sur le réseau qu'après avoir testé que tout va bien<<FootNote(un serveur avec ssh activé et un mot de passe root trop simple sera piraté automatiquement en quelques heures, par des "robots" pirates qui scannent les machines en permanence... anecdote vécue !)>>. |
| Ligne 15: | Ligne 21: |
| == Quelles sources de paquet utiliser == | === Mise à jour depuis Debian Sarge (3.1) === |
| Ligne 17: | Ligne 23: |
| Les '''seules''' sources nécessaires à l'AUF sont les suivantes : | Toutes les machines qui utilisent encore Debian Sarge doivent être mises à jour vers Etch : la version Sarge de Debian n'est plus maintenue. Les détails concernant la mise à jour de Sarge vers Etch à l'AUF sont ici : [[/Etch]]. Bien évidemment, il faut lire ces informations '''avant''' de faire la mise à jour... |
| Ligne 19: | Ligne 25: |
| * Sources officielles : {{{ # depuis le pays le plus "proche" (au niveau réseau IP) ou depuis son miroir local : deb http://ftp.XX.debian.org/debian etch main contrib non-free |
== A faire juste après l'installation de base ("système standard") == Petit mémo des choses à faire dans le cadre de l'installation de Debian Etch à l'AUF : 1. Vérifier les sources de paquets dans `/etc/apt/sources.list` : voir ci-dessous, section "Quelles sources de paquet utiliser ?". 1. Vérifier la configuration réseau et le nommage : 1. faire d'abord un `# ifdown eth0` : cela arrête le client DHCP lancé sur l'interface (au cas où) 1. `/etc/network/interfaces` : régler l'adressage IP, qui est statique pour un serveur 1. `/etc/hostname` : petit nom de la machine 1. `/etc/hosts` : relation entre IP et le nom de la machine 1. `/etc/resolv.conf` : indication de l'IP du serveur DNS à utiliser 1. Faire une première mise à jour : `# aptitude update ; aptitude upgrade` 1. Installer le noyau correspondant au modèle de processeur : * soit `aptitude install linux-image-686` pour la famille Intel Pentium * soit `aptitude install linux-image-k7` pour la famille AMD Athlon ... puis rebooter la machine sur ce nouveau noyau. Au reboot vérifier le réseau et le nommage. 1. Installation des systèmes de base : 1. `sudo` : ajouter votre compte utilisateur dans le ''sudoers'' 1. `ssh` : une fois votre clé publique copiée, supprimer l'accès par mot de passe voire l'accès ''root'' direct. Fermer l'accès ssh à un groupe d'utilisateur crée pour l'occasion (typiquement `sysadmin` ou `ssh`) 1. `ntp` : indiquer le serveur NTP local dans ntp.conf (ou laisser tel quel si la machine sera le serveur NTP local) 1. Installer quelques outils de diagnostic réseau : `iproute`, `mtr`, `trafshow`, `tcpdump`/`tshark`, `dig`, ... ''(à compléter)'' 1. Installer les utilitaires de base : `less`, `vim`, `emacs`, `manpages-fr`, ... ''(à compléter)'' 1. Installer `apticron` et `apt-listchanges` : voir ci-dessous, section "Mise à jour régulière". 1. Créer un `/etc/motd.tail` avec `toilet -f big nomduserveur` pour tenter d'éviter une fausse manip' sur le mauvais serveur un jour de réveil difficile ou lors d'une opération tard dans la nuit ou dans la moiteur d'après-midi sans sieste (suivant votre style de vie) Il est également fortement recommandé d'installer au plus tôt : * suivi des logs avec [[LogcheckLogwatch| logcheck]], afin de l'adapter au fur et à mesure de la mise en place du serveur ; * suivi de configuration avec [[Git/SuiviDeConfiguration]], pour le suivi des modification de configuration dès le début de la vie de la machine. Si elle est destinée à devenir un serveur en production, il faut penser à y configurer la messagerie, au moins faire en sorte que les messages destinés à `root@la-machine` vous parviennent. Sur un serveur non destiné à la messagrie nous conseillons de conserver le MTA de Debian par défaut (exim4-daemon-light), qui est léger et efficace. Sa re-configuration se fait avec `# dpkg-reconfigure exim4-config`. On peut dire qu'à partir de là, la machine est "prête". == Quelles sources de paquet utiliser ? == Il ne faut utiliser que les dépôts officiels, la source ''volatile'' et, uniquement en cas de besoin impératif, ''backports.org''. Toute autre source de paquet doit être d'abord discutée avec les autres techniciens de l'AUF. Supprimer les sources de type ''deb-src'', elles ne sont pas utiles sur un serveur. De même, à moins d'un problème de débit, supprimer également les sources de type ''cdrom'' qui requièrent la présence auprès du serveur. Les '''seules''' sources de paquet Debian nécessaires dans le cadre AUF sont donc les suivantes : * Sources officielles : (pour construire un miroir local, voir sur la page [[Miroir]]) {{{ # depuis le pays le plus "proche" (au sens réseau Internet) ou depuis son miroir local : deb http://ftp.XX.debian.org/debian etch main contrib |
| Ligne 25: | Ligne 70: |
| * Source de sécurité http://www.debian.org/security/ {{{ # sources de sécurité : LIGNE OBLIGATOIRE SUR TOUT SERVEUR deb http://security.debian.org etch/updates main contrib non-free # sources de sécurité depuis un miroir (ne remplace jamais la ligne ci-dessus !!) deb http://miroir-local/debian-security etch/updates main contrib non-free |
* Source de sécurité : voir http://www.debian.org/security/ {{{ # sources de sécurité depuis un miroir, si vous en avez un. NB : ne remplace jamais la ligne ci-dessous !! deb http://miroir-local/debian-security etch/updates main contrib # sources de sécurité : LIGNE OBLIGATOIRE SUR TOUT SERVEUR, même si vous avez un miroir local deb http://security.debian.org etch/updates main contrib |
| Ligne 34: | Ligne 79: |
| {{{ | {{{ |
| Ligne 36: | Ligne 81: |
| deb http://volatile.debian.org/debian-volatile etch/volatile main contrib non-free | deb http://volatile.debian.org/debian-volatile etch/volatile main contrib |
| Ligne 39: | Ligne 84: |
| * Source «backports» (uniquement en cas de totale nécessité !) : voir http://backports.org/ | * Source «backports» (uniquement en cas de nécessité, parlez-en d'abord sur la liste <<MailTo(discussion-technique@auf.org)>>) : voir http://backports.org/ |
| Ligne 41: | Ligne 86: |
| * Les sources du [[DépôtAPT|dépôt de paquets AUF]] qui concernent Etch : {{{ # Dépôts AUF, voir http://wiki.auf.org/wikiteki/DépôtAPT # Source commune de paquets AUF (à faire : aptitude update ; aptitude install auf-keyring ; aptitude update) deb http://apt.auf.org/ etch auf # Source VoIP AUF (uniquement pour les serveurs destinés à cet usage : Asterisk ou auto-configuration des téléphones) # deb http://apt.auf.org/ etch voip # Source RPVv2 AUF (uniquement pour les serveurs destinés à cet usage : noeuds OpenVPN) # deb http://apt.auf.org/ etch rpv2 }}} |
|
| Ligne 46: | Ligne 101: |
| La procédure de mise à jour régulière est simplissime : {{{aptitude update ; aptitude upgrade}}} | La procédure de mise à jour régulière est simplissime : {{{ # aptitude update ; aptitude upgrade}}} |
| Ligne 49: | Ligne 106: |
| * indispensable : '''apt-listchanges'''. Lors d'un ''upgrade'', après téléchargement des nouveaux paquets et avant la mise à jour proprment dit, apt-listchanges donne la liste les modifications qui vont être opérées (extraites des changelogs.Debian). Il est alors possible de refuser la mise à jour, par exemple si elle est jugée trop risquée. Sinon, si la mise à jour est confirmée, un courriel contenant la liste des modifications est envoyé, pour mémoire. * indispensable : '''apticron'''. C'est un script qui se lance régulièrement (via cron) et envoie un courriel donnant la liste des mises à jour disponibles. * la liste Debian Security Announces (DSA) : il faut vous y abonner pour connaître les détails des mises à jour disponibles. Voir sur http://www.debian.org/security/ |
* indispensable : '''`apt-listchanges`'''. Lors d'un ''upgrade'', après téléchargement des nouveaux paquets et avant la mise à jour proprement dit, apt-listchanges donne la liste des modifications qui vont être opérées (extraites des changelogs.Debian). Il est alors possible de refuser la mise à jour, par exemple si elle est jugée trop risquée. Sinon, si la mise à jour est confirmée, un courriel contenant la liste des modifications est envoyé, pour mémoire. * indispensable : '''`apticron`'''. C'est un script qui se lance régulièrement (via cron) et envoie un courriel donnant la liste des mises à jour disponibles. * la liste Debian Security Announces (DSA) : vous '''devez''' vous y abonner pour connaître les détails des mises à jour disponibles. Voir sur http://www.debian.org/security/ (abonnements sur http://lists.debian.org/debian-security-announce/). |
| Ligne 55: | Ligne 112: |
| A lire entièrement avant de migrer de Sarge vers Etch : la page [:/Etch:]. | A lire entièrement avant de migrer de Sarge vers Etch : la page [[/Etch]]. |
| Ligne 60: | Ligne 118: |
| * Quelques [:/Astuces:] | * Maintenir un [[Miroir| miroir]] d'une archive Debian (et Ubuntu) * Quelques [[/Astuces]] concernant Debian = Préparer la prochaine migration Debian = Les logiciels libres évoluant rapidement (pour devenir toujours meilleurs) chaque nouvelle version de Debian implique la disparition de plusieurs d'entre-eux. Il s'agit généralement de logiciels obsolètes ou qui ne sont plus maintenus soit par leur(s) auteur(s) soit par Debian même. Ils sont tout d'abord déclarés dépréciés puis ne sont ensuite plus disponible dans les versions suivantes de Debian. Pour préparer la migration vers Lenny, la prochaine version après Etch, il faut donc effectuer au moins les travaux suivant au plus tôt : * [[Apache/De13Vers20|migrer de Apache 1 vers Apache 2]] * [[PHP/De4Vers5|migrer de PHP 4 vers PHP 5]] ---- [[CatégorieRecommandationsARI]] ---- ''Notes de bas de page :'' |
Debian GNU/Linux (http://www.debian.org) est le système d'exploitation recommandé pour tous les serveurs de l'AUF.
Les raisons de ce choix sont, entre autres et dans le désordre :
- intégration : près de 20.000 logiciels directement disponibles
- suivi de sécurité assuré sur tous les paquets, très simple à mettre en oeuvre
Debian peut également être utilisée comme système d'exploitation pour les postes clients, cependant Ubuntu est recommandée à ce niveau.
Installer Debian GNU/Linux
La version actuelle est Debian GNU/Linux 4.0, alias Debian Etch ou tout simplement Etch.
La procédure d'installation sur un nouveau serveur est décrite ici : http://www.debian.org/releases/stable/installmanual.
Quelques recommandations spécifiques à l'AUF :
Avant l'installation : mettre la machine à l'heure UTC (temps universel) dans le BIOS (même si ntp s'en charge ensuite, il faut au moins vérifier que votre machine n'est pas en avance dans le temps, sous peine de soucis) ;
Utiliser le système LVM pour le partitionnement des serveurs. Voir aussi quelques conseils sur la partitionnement d'un serveur ;
- Installer un système minimal ("système standard") ;
Faire l'installation sur un réseau non accessible depuis Internet. Ne rendre la machine disponible sur le réseau qu'après avoir testé que tout va bien1.
Mise à jour depuis Debian Sarge (3.1)
Toutes les machines qui utilisent encore Debian Sarge doivent être mises à jour vers Etch : la version Sarge de Debian n'est plus maintenue. Les détails concernant la mise à jour de Sarge vers Etch à l'AUF sont ici : /Etch. Bien évidemment, il faut lire ces informations avant de faire la mise à jour...
A faire juste après l'installation de base ("système standard")
Petit mémo des choses à faire dans le cadre de l'installation de Debian Etch à l'AUF :
Vérifier les sources de paquets dans /etc/apt/sources.list : voir ci-dessous, section "Quelles sources de paquet utiliser ?".
- Vérifier la configuration réseau et le nommage :
faire d'abord un # ifdown eth0 : cela arrête le client DHCP lancé sur l'interface (au cas où)
/etc/network/interfaces : régler l'adressage IP, qui est statique pour un serveur
/etc/hostname : petit nom de la machine
/etc/hosts : relation entre IP et le nom de la machine
/etc/resolv.conf : indication de l'IP du serveur DNS à utiliser
Faire une première mise à jour : # aptitude update ; aptitude upgrade
- Installer le noyau correspondant au modèle de processeur :
soit aptitude install linux-image-686 pour la famille Intel Pentium
soit aptitude install linux-image-k7 pour la famille AMD Athlon
- .. puis rebooter la machine sur ce nouveau noyau. Au reboot vérifier le réseau et le nommage.
- Installation des systèmes de base :
sudo : ajouter votre compte utilisateur dans le sudoers
ssh : une fois votre clé publique copiée, supprimer l'accès par mot de passe voire l'accès root direct. Fermer l'accès ssh à un groupe d'utilisateur crée pour l'occasion (typiquement sysadmin ou ssh)
ntp : indiquer le serveur NTP local dans ntp.conf (ou laisser tel quel si la machine sera le serveur NTP local)
Installer quelques outils de diagnostic réseau : iproute, mtr, trafshow, tcpdump/tshark, dig, ... (à compléter)
Installer les utilitaires de base : less, vim, emacs, manpages-fr, ... (à compléter)
Installer apticron et apt-listchanges : voir ci-dessous, section "Mise à jour régulière".
Créer un /etc/motd.tail avec toilet -f big nomduserveur pour tenter d'éviter une fausse manip' sur le mauvais serveur un jour de réveil difficile ou lors d'une opération tard dans la nuit ou dans la moiteur d'après-midi sans sieste (suivant votre style de vie)
Il est également fortement recommandé d'installer au plus tôt :
suivi des logs avec logcheck, afin de l'adapter au fur et à mesure de la mise en place du serveur ;
suivi de configuration avec Git/SuiviDeConfiguration, pour le suivi des modification de configuration dès le début de la vie de la machine.
Si elle est destinée à devenir un serveur en production, il faut penser à y configurer la messagerie, au moins faire en sorte que les messages destinés à root@la-machine vous parviennent. Sur un serveur non destiné à la messagrie nous conseillons de conserver le MTA de Debian par défaut (exim4-daemon-light), qui est léger et efficace. Sa re-configuration se fait avec # dpkg-reconfigure exim4-config.
On peut dire qu'à partir de là, la machine est "prête".
Quelles sources de paquet utiliser ?
Il ne faut utiliser que les dépôts officiels, la source volatile et, uniquement en cas de besoin impératif, backports.org. Toute autre source de paquet doit être d'abord discutée avec les autres techniciens de l'AUF. Supprimer les sources de type deb-src, elles ne sont pas utiles sur un serveur. De même, à moins d'un problème de débit, supprimer également les sources de type cdrom qui requièrent la présence auprès du serveur.
Les seules sources de paquet Debian nécessaires dans le cadre AUF sont donc les suivantes :
Sources officielles : (pour construire un miroir local, voir sur la page Miroir)
# depuis le pays le plus "proche" (au sens réseau Internet) ou depuis son miroir local : deb http://ftp.XX.debian.org/debian etch main contrib
Source de sécurité : voir http://www.debian.org/security/
# sources de sécurité depuis un miroir, si vous en avez un. NB : ne remplace jamais la ligne ci-dessous !! deb http://miroir-local/debian-security etch/updates main contrib # sources de sécurité : LIGNE OBLIGATOIRE SUR TOUT SERVEUR, même si vous avez un miroir local deb http://security.debian.org etch/updates main contrib
Source «volatile» (obligatoires, notamment sur système avec anti-virus/anti-spam) : voir http://www.debian.org/volatile/
# debian-volatile deb http://volatile.debian.org/debian-volatile etch/volatile main contrib
Source «backports» (uniquement en cas de nécessité, parlez-en d'abord sur la liste <discussion-technique@auf.org>) : voir http://backports.org/
Les sources du dépôt de paquets AUF qui concernent Etch :
# Dépôts AUF, voir http://wiki.auf.org/wikiteki/DépôtAPT # Source commune de paquets AUF (à faire : aptitude update ; aptitude install auf-keyring ; aptitude update) deb http://apt.auf.org/ etch auf # Source VoIP AUF (uniquement pour les serveurs destinés à cet usage : Asterisk ou auto-configuration des téléphones) # deb http://apt.auf.org/ etch voip # Source RPVv2 AUF (uniquement pour les serveurs destinés à cet usage : noeuds OpenVPN) # deb http://apt.auf.org/ etch rpv2
Mettre à jour Debian GNU/Linux
Mise à jour régulière
La procédure de mise à jour régulière est simplissime :
# aptitude update ; aptitude upgrade
Divers outils annexes sont utiles voire indispensables pour mieux suivre les mises à jour :
indispensable : apt-listchanges. Lors d'un upgrade, après téléchargement des nouveaux paquets et avant la mise à jour proprement dit, apt-listchanges donne la liste des modifications qui vont être opérées (extraites des changelogs.Debian). Il est alors possible de refuser la mise à jour, par exemple si elle est jugée trop risquée. Sinon, si la mise à jour est confirmée, un courriel contenant la liste des modifications est envoyé, pour mémoire.
indispensable : apticron. C'est un script qui se lance régulièrement (via cron) et envoie un courriel donnant la liste des mises à jour disponibles.
la liste Debian Security Announces (DSA) : vous devez vous y abonner pour connaître les détails des mises à jour disponibles. Voir sur http://www.debian.org/security/ (abonnements sur http://lists.debian.org/debian-security-announce/).
Mise à jour lors de la sortie d'une nouvelle version
A lire entièrement avant de migrer de Sarge vers Etch : la page /Etch.
D'une manière plus générale, consulter les notes de publication : http://www.debian.org/releases/stable/releasenotes
Divers
Préparer la prochaine migration Debian
Les logiciels libres évoluant rapidement (pour devenir toujours meilleurs) chaque nouvelle version de Debian implique la disparition de plusieurs d'entre-eux. Il s'agit généralement de logiciels obsolètes ou qui ne sont plus maintenus soit par leur(s) auteur(s) soit par Debian même. Ils sont tout d'abord déclarés dépréciés puis ne sont ensuite plus disponible dans les versions suivantes de Debian.
Pour préparer la migration vers Lenny, la prochaine version après Etch, il faut donc effectuer au moins les travaux suivant au plus tôt :
Notes de bas de page :
un serveur avec ssh activé et un mot de passe root trop simple sera piraté automatiquement en quelques heures, par des "robots" pirates qui scannent les machines en permanence... anecdote vécue ! (1)