Modifications entre les versions 26 et 27
Version 26 à la date du 2010-04-15 09:14:31
Taille: 9476
Éditeur: ZoserBiziki
Commentaire: s/upgrade/safe-upgrade/g
Version 27 à la date du 2011-01-17 01:23:54
Taille: 9654
Commentaire: petite mise à jour pour préparer l'accueil de Squeeze…
Texte supprimé. Texte ajouté.
Ligne 14: Ligne 14:
 * '''Avant l'installation, dans le BIOS''' : 
  * mettre la machine à l'heure UTC (temps universel, TU) même si ''ntp'' s'en charge ensuite, il faut au moins vérifier que votre machine n'est pas en avance dans le temps, ça pourrait causer des soucis. 
  * vérifier que la machine n'est pas «overclockée», que les paramètres ne sont pas poussés «à fond». Certains BIOS proposent un choix «failsafe» recommandé pour les serveurs 24h/24.
 * '''Avant l'installation, dans le BIOS''' :
  * mettre la machine à l'heure UTC (temps universel, TU) même si `ntp` s'en charge ensuite, il faut au moins vérifier que votre machine n'est pas en avance dans le temps, ça pourrait causer des soucis.
  * vérifier que la machine n'est pas ''overclockée'' (utilisé au delà de ses capacités de fonctionnement normales), que les paramètres ne sont pas poussés « à fond ». Certains BIOS proposent un choix ''failsafe'' recommandé pour les serveurs 24h/24.
Ligne 21: Ligne 21:
 * Faire l'installation sur un réseau non accessible depuis Internet. Ne rendre la machine disponible sur le réseau qu'après avoir testé que tout va bien<<FootNote(un serveur avec ssh activé et un mot de passe root trop simple sera piraté automatiquement en quelques heures, par des "robots" pirates qui scannent les machines en permanence... anecdote vécue !)>>.  * Faire l'installation sur un réseau non accessible depuis Internet. Ne rendre la machine disponible sur le réseau qu'après avoir testé que tout va bien<<FootNote(un serveur avec ssh activé et un mot de passe root trop simple sera piraté automatiquement en quelques heures, par des « robots » pirates qui scannent les machines en permanence... anecdote vécue !)>>.
Ligne 23: Ligne 23:
== A faire juste après l'installation de base ("système standard") == == A faire juste après l'installation de base (« système standard ») ==
Ligne 27: Ligne 27:
 1. Vérifier les sources de paquets dans `/etc/apt/sources.list` : voir ci-dessous, section "Quelles sources de paquet utiliser ?".  1. Vérifier les sources de paquets dans `/etc/apt/sources.list` : voir ci-dessous, section « Quelles sources de paquet utiliser ? ».
Ligne 36: Ligne 36:
  1. `sudo` : ajouter votre compte utilisateur dans le ''sudoers''
  1. `ssh` : une fois votre clé publique copiée, supprimer l'accès par mot de passe voire l'accès ''root'' direct. Fermer l'accès ssh à un groupe d'utilisateur crée pour l'occasion (typiquement `sysadmin` ou `ssh`)
  1. `sudo` : ajouter votre compte utilisateur dans `/etc/sudoers`
  1. `ssh` : une fois votre clé publique copiée, supprimer l'accès par mot de passe voire l'accès `root` direct. Fermer l'accès SSH à un groupe d'utilisateur crée pour l'occasion (typiquement `sysadmin` ou `ssh`)
Ligne 41: Ligne 41:
 1. Installer `apticron` et `apt-listchanges` : voir ci-dessous, section "Mise à jour régulière".  1. Installer `apticron` et `apt-listchanges` : voir ci-dessous, section « Mise à jour régulière ».
Ligne 48: Ligne 48:
Si la machine destinée à devenir un serveur en production, il faut penser à y configurer la messagerie, au moins faire en sorte que les messages destinés à `root@la-machine` vous parviennent. Sur un serveur non destiné à la messagrie nous conseillons de conserver le MTA de Debian par défaut (exim4-daemon-light), qui est léger et efficace. Sa re-configuration se fait avec `# dpkg-reconfigure exim4-config`.  Si la machine destinée à devenir un serveur en production, il faut penser à y configurer la messagerie, au moins faire en sorte que les messages destinés à `root@la-machine` vous parviennent. Sur un serveur non destiné à la messagrie nous conseillons de conserver le MTA de Debian par défaut (exim4-daemon-light), qui est léger et efficace. Sa re-configuration se fait avec `# dpkg-reconfigure exim4-config`.
Ligne 50: Ligne 50:
On peut dire qu'à partir de là, la machine est "prête".  On peut dire qu'à partir de là, la machine est « prête ».
Ligne 60: Ligne 60:
# depuis le pays le plus "proche" (au sens réseau Internet) ou depuis son miroir local : # depuis le pays le plus « proche » (au sens réseau Internet) ou depuis son miroir local :
Ligne 72: Ligne 72:
 * Source «volatile» (obligatoires, notamment sur système avec anti-virus/anti-spam) : voir http://www.debian.org/volatile/  * Source « volatile » (obligatoires, notamment sur système avec anti-virus/anti-spam) : voir http://www.debian.org/volatile/
Ligne 78: Ligne 78:
 * Source «backports» (uniquement en cas de nécessité, parlez-en d'abord sur la liste <<MailTo(discussion-technique@auf.org)>>) : voir http://backports.org/  * Source « backports » (uniquement en cas de nécessité, parlez-en d'abord sur la liste <<MailTo(discussion-technique@auf.org)>>) : voir http://backports.org/
Ligne 93: Ligne 93:
La procédure de mise à jour régulière est simplissime :  La procédure de mise à jour régulière est simplissime :
Ligne 97: Ligne 97:
Divers outils annexes sont utiles voire indispensables pour mieux suivre les mises à jour :  Divers outils annexes sont utiles voire indispensables pour mieux suivre les mises à jour :
Ligne 114: Ligne 114:
Depuis Sarge : si vos machines sont encore en Sarge... il va vraiment falloir commencer à vous inquiéter sérieusement, la version Sarge de Debian n'est plus maintenue depuis longtemps. Il faut au moins passer en Etch. Les détails concernant la mise à jour de Sarge vers Etch à l'AUF sont ici : [[/Etch]] Si vos machines sont encore en Sarge ou Etch... il va vraiment falloir commencer à vous inquiéter sérieusement, les versions Sarge et Etch de Debian ne sont plus maintenues depuis longtemps. Il faut absolument passer en Lenny. Les détails concernant la mise à jour de Sarge vers Etch à l'AUF sont sur [[/Etch]] et celles concernant la mise à jour de Etch vers Lenny à l'AuF sont sur [[/Lenny]].

Debian GNU/Linux (http://www.debian.org) est le système d'exploitation recommandé pour tous les serveurs de l'AUF (pour les postes clients : Ubuntu). Les raisons de ce choix sont principalement :

  • intégration : près de 20.000 logiciels directement disponibles
  • suivi de sécurité assuré sur tous les paquets, très simple à mettre en oeuvre

Installer Debian GNU/Linux

La version actuelle est Debian GNU/Linux 5.0, alias Debian Lenny ou tout simplement Lenny.

La procédure d'installation sur un nouveau serveur est décrite ici : http://www.debian.org/releases/stable/installmanual.

Quelques recommandations spécifiques à l'AUF :

  • Avant l'installation, dans le BIOS :

    • mettre la machine à l'heure UTC (temps universel, TU) même si ntp s'en charge ensuite, il faut au moins vérifier que votre machine n'est pas en avance dans le temps, ça pourrait causer des soucis.

    • vérifier que la machine n'est pas overclockée (utilisé au delà de ses capacités de fonctionnement normales), que les paramètres ne sont pas poussés « à fond ». Certains BIOS proposent un choix failsafe recommandé pour les serveurs 24h/24.

    • pour un serveur 24h/24, s'assurer que la configuration demande à démarrer automatiquement quand le courant revient.
    • s'il s'agit d'une machine avec des disques SATA, activer le protocole AHCI (s'il est disponible).
  • Partitions : utiliser le système LVM pour le partitionnement des serveurs, si possible sur des disques RAID1 (miroir) logiciel. Voir aussi quelques conseils sur la partitionnement d'un serveur ;

  • Installer un système minimal : sélectionner le choix système standard proposé lors de l'installation, et aucun autre ;

  • Faire l'installation sur un réseau non accessible depuis Internet. Ne rendre la machine disponible sur le réseau qu'après avoir testé que tout va bien1.

A faire juste après l'installation de base (« système standard »)

Petit mémo des choses à faire dans le cadre de l'installation de Debian Lenny à l'AUF :

  1. Vérifier les sources de paquets dans /etc/apt/sources.list : voir ci-dessous, section « Quelles sources de paquet utiliser ? ».

  2. Vérifier la configuration réseau et le nommage :
    1. faire d'abord un # ifdown eth0 : cela arrête le client DHCP lancé sur l'interface (au cas où)

    2. /etc/network/interfaces : régler l'adressage IP, qui est statique pour un serveur

    3. /etc/hostname : petit nom de la machine

    4. /etc/hosts : relation entre IP et le nom de la machine

    5. /etc/resolv.conf : indication de l'IP du serveur DNS à utiliser

  3. Faire une première mise à jour : # aptitude update ; aptitude safe-upgrade

  4. Installation des systèmes de base :
    1. sudo : ajouter votre compte utilisateur dans /etc/sudoers

    2. ssh : une fois votre clé publique copiée, supprimer l'accès par mot de passe voire l'accès root direct. Fermer l'accès SSH à un groupe d'utilisateur crée pour l'occasion (typiquement sysadmin ou ssh)

    3. ntp : indiquer le serveur NTP local dans ntp.conf (ou laisser tel quel si la machine sera le serveur NTP local)

  5. Installer quelques outils de diagnostic réseau : iproute, mtr, trafshow, tcpdump/tshark, dig, ... (à compléter)

  6. Installer les utilitaires de base : less, vim, manpages-fr, ... (à compléter)

  7. Installer apticron et apt-listchanges : voir ci-dessous, section « Mise à jour régulière ».

  8. pour faire joli : créer un /etc/motd.tail avec toilet -f big nomduserveur pour tenter d'éviter une manipulation sur le mauvais serveur un jour de réveil difficile ou lors d'une opération tard dans la nuit ou dans la moiteur d'après-midi sans sieste (suivant votre style de vie)

Il est également fortement recommandé d'installer :

  • suivi des logs avec logcheck, afin de l'adapter au fur et à mesure de la mise en place du serveur ;

  • suivi de configuration avec Git/SuiviDeConfiguration, pour le suivi des modification de configuration dès le début de la vie de la machine.

Si la machine destinée à devenir un serveur en production, il faut penser à y configurer la messagerie, au moins faire en sorte que les messages destinés à root@la-machine vous parviennent. Sur un serveur non destiné à la messagrie nous conseillons de conserver le MTA de Debian par défaut (exim4-daemon-light), qui est léger et efficace. Sa re-configuration se fait avec # dpkg-reconfigure exim4-config.

On peut dire qu'à partir de là, la machine est « prête ».

Quelles sources de paquet utiliser ?

Il ne faut utiliser que les dépôts officiels, la source volatile et, uniquement en cas de besoin impératif, backports.org. Toute autre source de paquet doit être d'abord discutée avec les autres techniciens de l'AUF. Supprimer les sources de type deb-src, elles ne sont pas utiles sur un serveur. De même, à moins d'un problème de débit, supprimer également les sources de type cdrom qui requièrent la présence auprès du serveur.

Les seules sources de paquet Debian nécessaires dans le cadre AUF sont donc les suivantes :

  • Sources officielles : (pour construire un miroir local, voir sur la page Miroir)

    # depuis le pays le plus « proche » (au sens réseau Internet) ou depuis son miroir local :
    deb http://ftp.XX.debian.org/debian lenny main
  • Source de sécurité : voir http://www.debian.org/security/

    # sources de sécurité depuis un miroir, si vous en avez un. NB : ne remplace jamais la ligne ci-dessous !!
    deb http://miroir-local/debian-security lenny/updates main
    # sources de sécurité : LIGNE OBLIGATOIRE SUR TOUT SERVEUR, même si vous avez un miroir local
    deb http://security.debian.org lenny/updates main
  • Source « volatile » (obligatoires, notamment sur système avec anti-virus/anti-spam) : voir http://www.debian.org/volatile/

    # debian-volatile
    deb http://volatile.debian.org/debian-volatile lenny/volatile main
  • Source « backports » (uniquement en cas de nécessité, parlez-en d'abord sur la liste <discussion-technique@auf.org>) : voir http://backports.org/

  • Les sources du dépôt de paquets AUF qui concernent Lenny :

    # Dépôts AUF, voir http://wiki.auf.org/wikiteki/DépôtAPT
    # Source commune de paquets AUF (à faire : aptitude update ; aptitude install auf-keyring ; aptitude update)
    deb http://apt.auf.org/ lenny auf
    # Source VoIP AUF (uniquement pour les serveurs destinés à cet usage : Asterisk ou auto-configuration des téléphones)
    # deb http://apt.auf.org/ etch voip

Mettre à jour Debian GNU/Linux

Mise à jour régulière

La procédure de mise à jour régulière est simplissime :

  • # aptitude update ; aptitude safe-upgrade

Divers outils annexes sont utiles voire indispensables pour mieux suivre les mises à jour :

  • indispensable : apt-listchanges. Lors d'un upgrade, après téléchargement des nouveaux paquets et avant la mise à jour proprement dit, apt-listchanges donne la liste des modifications qui vont être opérées (extraites des changelogs.Debian). Il est alors possible de refuser la mise à jour, par exemple si elle est jugée trop risquée. Sinon, si la mise à jour est confirmée, un courriel contenant la liste des modifications est envoyé, pour mémoire.

  • indispensable : apticron. C'est un script qui se lance régulièrement (via cron) et envoie un courriel donnant la liste des mises à jour disponibles.

  • la liste Debian Security Announces (DSA) : vous devez vous y abonner pour connaître les détails des mises à jour disponibles. Voir sur http://www.debian.org/security/ (abonnements sur http://lists.debian.org/debian-security-announce/).

Mise à jour lors de la sortie d'une nouvelle version

A lire entièrement avant de migrer de Sarge vers Etch : la page /Etch.

A lire entièrement avant de migrer de Etch vers Lenny : la page /Lenny.

D'une manière plus générale, consulter les notes de publication : http://www.debian.org/releases/stable/releasenotes

Mise à jour depuis Debian Etch (4.0) ou Sarge (3.1)

Si vous êtes à l'aise avec Linux, Debian et avec vos serveurs, vous pouvez migrer vers Lenny. Les détails concernant la mise à jour de Etch vers Lenny à l'AUF sont ici : /Lenny. Il faut lire ces informations avant de faire la mise à jour. A noter deux systèmes à mettre absolument à jour : migrer de Apache 1 vers Apache 2 et migrer de PHP 4 vers PHP 5

Si vos machines sont encore en Sarge ou Etch... il va vraiment falloir commencer à vous inquiéter sérieusement, les versions Sarge et Etch de Debian ne sont plus maintenues depuis longtemps. Il faut absolument passer en Lenny. Les détails concernant la mise à jour de Sarge vers Etch à l'AUF sont sur /Etch et celles concernant la mise à jour de Etch vers Lenny à l'AuF sont sur /Lenny.

Liens divers

  • Maintenir un miroir d'une archive Debian (et Ubuntu)

  • Quelques /Astuces concernant Debian


CatégorieRecommandationsARI


Notes de bas de page :

  1. un serveur avec ssh activé et un mot de passe root trop simple sera piraté automatiquement en quelques heures, par des « robots » pirates qui scannent les machines en permanence... anecdote vécue ! (1)

Debian (dernière édition le 2019-11-05 15:54:48 par JeanChristopheAndré)