Modifications entre les versions 1 et 11 (s'étendant sur 10 versions)
Version 1 à la date du 2007-02-02 13:28:07
Taille: 654
Éditeur: JeanChristopheAndré
Commentaire: pour commencer...
Version 11 à la date du 2007-12-28 13:30:10
Taille: 4714
Éditeur: JeanChristopheAndré
Commentaire: petite sécurité supplémentaire (normalement pas utile, mais... ne mange pas de pain)
Texte supprimé. Texte ajouté.
Ligne 1: Ligne 1:
Cette page présente les modèles de configuration à mettre en place dans la [:ZAP:Zone Asie-Pacifique]. Cette page présente les modèles de configuration à mettre en place dans la [:ZAP:Zone Asie-Pacifique], autrement dit l'infrastructure système standard selon JeanChristopheAndré.

= Le serveur =

== La configuration matérielle ==
 * CPU avec >= 1 Mo de cache pour plus d'efficacité
 * RAM : au strict minimum 1 Go, le maximum étant le mieux (Linux supportant 64 Go sans problème)
 * Disques ATA (IDE/PATA ou SATA) pour le système et les partages de fichiers (web, ftp, nfs, ...) => pas indispensable d'être efficace car le cache disque en RAM compensera
 * Disques SCSI pour les gros volumes de données d'accès aléatoire rapide : courriels en Maildir et bases de données avec accès fréquents
 * Boîtier rack entre 2U et 4U pour éviter le matériel et les câbles qui traînent (attention aux ajouts de cartes d'extension quand < 3U)

== L'installation du système ==
 * [:Debian/Etch:Debian GNU/Linux "Etch" 4.0] : le choix d'excellence, discutable mais non négociable ! ;-)
 * Partitionnement en deux parties (tant que grub ne supporte pas directement LVM) :
  * 64 Mo sur `/dev/sd[ab]1`, de type ''Linux raid autodetect'' (code `fd`)
  * le reste sur `/dev/sd[ab]2`, de type ''Linux raid autodetect'' (code `fd`)
 * RAID logiciel de niveau 1 : sécurisation en fonctionnement
  * réunir les partitions de 64 Mo dans `/dev/md0`, le formater en `ext3` pour `/boot`
  * réunir les autres partitions dans `/dev/md1`, de type ''Linux LVM'' (code `8e`)
 * LVM : souplesse de gestion de l'espace disque
  * 500 Mo pour `/` : presque rien ici car tous les services sont dans des serveurs virtuels
  * 1 Go pour le swap : ne devrait pas être utilisé, juste là en réserve pour avoir le temps d'intervenir en cas de souci
 * [:OpenVZ:] : consolidation des serveurs et isolation des services
 * configurer le service de monitorage des ensembles RAID (paquet `mdadm`)
 * configurer le service de monitorage des disques S.M.A.R.T. (paquet `smartmontools`)

== Les services ==
 * La sécurité des données :
  * premier niveau de panne en fonctionnement assuré par le RAID logiciel
  * sauvegarde quotidienne avec historique avec `backuppc`, depuis un autre serveur avec un peu de RAM mais surtout de la puissance CPU (calcul de MD5 + compression) et de l'espace disque ATA (pas besoin d'accès efficace ici)
  * sauvegarde hebdomadaire des données de `backuppc` sur un disque externe type USB2
Ligne 7: Ligne 37:
  * détection des spams avec `spamassassin`
  * détection des virus avec `clamav`		   * détection des spams avec `spamassassin`
   * détection des virus avec `clamav`
Ligne 12: Ligne 42:
  * scripts PHP avec `php4`, `libapache2-mod-php4`   * scripts PHP avec `php5`, `libapache2-mod-php5`
Ligne 18: Ligne 48:

= Le poste client =
 * système d'exploitation Ubuntu "Gutsy Gibbon" 7.10
  * nom de machine dynamique : supprimer `/etc/hostname` pour prendre le nom via DHCP
  * synchronisation d'heure :
   * mettre `NTPDATE_USE_NTP_CONF=no` dans `/etc/default/ntpdate`
   * ajouter `request ntp-servers;` dans `/etc/dhcp3/dhclient.conf`
  * montages NFS :
   * installer `autofs` et ajouter `/nfs /etc/auto.nfs --timeout=3600` dans `/etc/auto.master`
   * mettre les lignes suivantes dans `/etc/auto.nfs` :
   {{{
home-share -fstype=nfs,hard,intr,nolock,noatime,nosuid,nodev,proto=tcp nfs:/home/share
srv-share -fstype=nfs,hard,intr,nolock,noatime,nosuid,nodev,proto=tcp nfs:/srv/share
}}}
   * faire un lien de `/srv/share` vers `/nfs/srv-share` et de `/home/server` vers `/nfs/home-share`
   * relancer le « service » autofs
  * imprimante PDF via cups-pdf :
   * changer `Out ${HOME}/PDF` en `Out ${HOME}/Bureau` dans `/etc/cups/cups-pdf.conf`
   * changer `Label 0` en `Label 1` dans `/etc/cups/cups-pdf.conf` pour éviter les écrasements
   * changer `@{HOME}/PDF/` en `@{HOME}/Bureau/` dans `/etc/apparmor.d/usr.sbin.cupsd`
   * mettre `@{HOMEDIRS}=/home/local/ /home/server/ /nfs/home-share/` dans `/etc/apparmor.d/tunables/home`
   * relancer le « service » apparmor
  * configurer pour le [:Projet/Reflets/InstallationClientReflets:Projet Reflets]
  * droits d'accès par défaut (chez nous on travaille par groupes) :
   * remplacer `umask 022` par `umask 002` à la fin de `/etc/profile`
   * ajouter `umask 002` dans chaque `~/.bashrc`
 * gestion des courriels :
  * thunderbird avec courriers sortants forcés en UTF-8
  * enigmail pour le support GnuPGP, PGP et PGP/MIME

Cette page présente les modèles de configuration à mettre en place dans la [:ZAP:Zone Asie-Pacifique], autrement dit l'infrastructure système standard selon JeanChristopheAndré.

Le serveur

La configuration matérielle

  • CPU avec >= 1 Mo de cache pour plus d'efficacité

  • RAM : au strict minimum 1 Go, le maximum étant le mieux (Linux supportant 64 Go sans problème)

  • Disques ATA (IDE/PATA ou SATA) pour le système et les partages de fichiers (web, ftp, nfs, ...) => pas indispensable d'être efficace car le cache disque en RAM compensera

  • Disques SCSI pour les gros volumes de données d'accès aléatoire rapide : courriels en Maildir et bases de données avec accès fréquents

  • Boîtier rack entre 2U et 4U pour éviter le matériel et les câbles qui traînent (attention aux ajouts de cartes d'extension quand < 3U)

L'installation du système

  • [:Debian/Etch:Debian GNU/Linux "Etch" 4.0] : le choix d'excellence, discutable mais non négociable ! ;-)

  • Partitionnement en deux parties (tant que grub ne supporte pas directement LVM) :

    • 64 Mo sur /dev/sd[ab]1, de type Linux raid autodetect (code fd)

    • le reste sur /dev/sd[ab]2, de type Linux raid autodetect (code fd)

  • RAID logiciel de niveau 1 : sécurisation en fonctionnement

    • réunir les partitions de 64 Mo dans /dev/md0, le formater en ext3 pour /boot

    • réunir les autres partitions dans /dev/md1, de type Linux LVM (code 8e)

  • LVM : souplesse de gestion de l'espace disque

    • 500 Mo pour / : presque rien ici car tous les services sont dans des serveurs virtuels

    • 1 Go pour le swap : ne devrait pas être utilisé, juste là en réserve pour avoir le temps d'intervenir en cas de souci
  • [:OpenVZ:] : consolidation des serveurs et isolation des services

  • configurer le service de monitorage des ensembles RAID (paquet mdadm)

  • configurer le service de monitorage des disques S.M.A.R.T. (paquet smartmontools)

Les services

  • La sécurité des données :
    • premier niveau de panne en fonctionnement assuré par le RAID logiciel

    • sauvegarde quotidienne avec historique avec backuppc, depuis un autre serveur avec un peu de RAM mais surtout de la puissance CPU (calcul de MD5 + compression) et de l'espace disque ATA (pas besoin d'accès efficace ici)

    • sauvegarde hebdomadaire des données de backuppc sur un disque externe type USB2

  • La gestion des courriels :

    • service de boîte aux lettres avec dovecot (IMAP, IMAPS, POP3, POP3S)

    • service de transfert/livraison avec postfix (SMTP, SMTPS)

    • service de filtrage (spams, virus, ...) avec amavid-new

      • détection des spams avec spamassassin

      • détection des virus avec clamav

  • Le web :
    • service avec apache2 (HTTP, HTTPS)

    • scripts PHP avec php5, libapache2-mod-php5

  • Proxy/cache :

    • service avec squid

    • surveillance avec squidview

    • statistiques avec calamaris

Le poste client

  • système d'exploitation Ubuntu "Gutsy Gibbon" 7.10

    • nom de machine dynamique : supprimer /etc/hostname pour prendre le nom via DHCP

    • synchronisation d'heure :

      • mettre NTPDATE_USE_NTP_CONF=no dans /etc/default/ntpdate

      • ajouter request ntp-servers; dans /etc/dhcp3/dhclient.conf

    • montages NFS :

      • installer autofs et ajouter /nfs /etc/auto.nfs --timeout=3600 dans /etc/auto.master

      • mettre les lignes suivantes dans /etc/auto.nfs : 

        home-share      -fstype=nfs,hard,intr,nolock,noatime,nosuid,nodev,proto=tcp    nfs:/home/share
srv-share       -fstype=nfs,hard,intr,nolock,noatime,nosuid,nodev,proto=tcp    nfs:/srv/share

      • faire un lien de /srv/share vers /nfs/srv-share et de /home/server vers /nfs/home-share

      • relancer le « service » autofs
    • imprimante PDF via cups-pdf :

      • changer Out ${HOME}/PDF en Out ${HOME}/Bureau dans /etc/cups/cups-pdf.conf

      • changer Label 0 en Label 1 dans /etc/cups/cups-pdf.conf pour éviter les écrasements

      • changer @{HOME}/PDF/ en @{HOME}/Bureau/ dans /etc/apparmor.d/usr.sbin.cupsd

      • mettre @{HOMEDIRS}=/home/local/ /home/server/ /nfs/home-share/ dans /etc/apparmor.d/tunables/home

      • relancer le « service » apparmor

    • configurer pour le [:Projet/Reflets/InstallationClientReflets:Projet Reflets]

    • droits d'accès par défaut (chez nous on travaille par groupes) :

      • remplacer umask 022 par umask 002 à la fin de /etc/profile

      • ajouter umask 002 dans chaque ~/.bashrc

  • gestion des courriels :
    • thunderbird avec courriers sortants forcés en UTF-8
    • enigmail pour le support GnuPGP, PGP et PGP/MIME

ZAP/ModèlesDeConfiguration (dernière édition le 2009-11-11 10:48:53 par DoanManhHa)