Modifications entre les versions 11 et 22 (s'étendant sur 11 versions)
Version 11 à la date du 2007-12-28 13:30:10
Taille: 4714
Commentaire: petite sécurité supplémentaire (normalement pas utile, mais... ne mange pas de pain)
Version 22 à la date du 2009-02-24 10:41:42
Taille: 5882
Commentaire: grmbl…
Texte supprimé. Texte ajouté.
Ligne 1: Ligne 1:
Cette page présente les modèles de configuration à mettre en place dans la [:ZAP:Zone Asie-Pacifique], autrement dit l'infrastructure système standard selon JeanChristopheAndré. Cette page présente les modèles de configuration à mettre en place dans la [[ZAP|Zone Asie-Pacifique]], autrement dit l'infrastructure système standard selon JeanChristopheAndré.
Ligne 3: Ligne 3:
= Justification de cette page =

Pourquoi faire des pages décrivant des modèles de configuration à appliquer dans notre région alors qu'il y a déjà des pages décrivant cela de façon générale, donc indépendamment de l'implantation ?

Le problème est simple : nous n'avons pas encore de configuration commune sur laquelle nous sommes absolument tous d'accord. Il faut donc se concerter sur les corrections à apporter pour se mettre d'accord. Or, quelle meilleure façon que de commencer par chacun présenter sa propre vision des choses !? Il est alors beaucoup plus facile ensuite, ayant une vision globale, de trouver un terrain d'entente pour une configuration utilisable par nous tous.

<<Anchor(serveur)>>
Ligne 13: Ligne 20:
 * [:Debian/Etch:Debian GNU/Linux "Etch" 4.0] : le choix d'excellence, discutable mais non négociable ! ;-)  * [[Debian/Etch|Debian GNU/Linux "Etch" 4.0]] : le choix d'excellence, discutable mais non négociable ! ;-)
Ligne 21: Ligne 28:
  * 500 Mo pour `/` : presque rien ici car tous les services sont dans des serveurs virtuels   * 700 Mo pour `/` : presque rien ici car tous les services sont dans des serveurs virtuels
Ligne 23: Ligne 30:
 * [:OpenVZ:] : consolidation des serveurs et isolation des services  * [[OpenVZ]] : consolidation des serveurs et isolation des services
Ligne 26: Ligne 33:
 * s'assurer de bien utiliser grub pour le boot (plus pratique en cas de souci)
 * installer `memtest86+` et `stress` pour des tests intensifs du matériel
 * installer quelques outils de base : `openssh-server screen less mtr-tiny`
Ligne 49: Ligne 59:
<<Anchor(client)>>
Ligne 53: Ligne 64:
   * mettre `NTPDATE_USE_NTP_CONF=no` dans `/etc/default/ntpdate`    . {{{
s
ed -i '/^NTPDATE_USE_NTP_CONF/s/=.*/=no/' /etc/default/ntpdate
}}}
Ligne 62: Ligne 75:
   * faire un lien de `/srv/share` vers `/nfs/srv-share` et de `/home/server` vers `/nfs/home-share`
Ligne 64: Ligne 76:
   * faire un lien symbolique de `/srv/share` vers `/nfs/srv-share` et de `/home/server` vers `/nfs/home-share`
   {{{
# exemple spécifique au BAP :
ln -s /nfs/home-share /home/server
ln -s /nfs/srv-share /srv/share
}}}
Ligne 67: Ligne 85:
## sed -i '/^#\?Label /s/^.*$/Label 1/' /etc/cups/cups-pdf.conf
Ligne 68: Ligne 87:
   * mettre `@{HOMEDIRS}=/home/local/ /home/server/ /nfs/home-share/` dans `/etc/apparmor.d/tunables/home`    * mettre `@{HOMEDIRS}=/home/*/ /nfs/home*/` dans `/etc/apparmor.d/tunables/home`
Ligne 70: Ligne 89:
  * configurer pour le [:Projet/Reflets/InstallationClientReflets:Projet Reflets]   * configurer pour le [[Projet/Reflets/InstallationClientReflets|Projet Reflets]]

Cette page présente les modèles de configuration à mettre en place dans la Zone Asie-Pacifique, autrement dit l'infrastructure système standard selon JeanChristopheAndré.

Justification de cette page

Pourquoi faire des pages décrivant des modèles de configuration à appliquer dans notre région alors qu'il y a déjà des pages décrivant cela de façon générale, donc indépendamment de l'implantation ?

Le problème est simple : nous n'avons pas encore de configuration commune sur laquelle nous sommes absolument tous d'accord. Il faut donc se concerter sur les corrections à apporter pour se mettre d'accord. Or, quelle meilleure façon que de commencer par chacun présenter sa propre vision des choses !? Il est alors beaucoup plus facile ensuite, ayant une vision globale, de trouver un terrain d'entente pour une configuration utilisable par nous tous.

Le serveur

La configuration matérielle

  • CPU avec >= 1 Mo de cache pour plus d'efficacité

  • RAM : au strict minimum 1 Go, le maximum étant le mieux (Linux supportant 64 Go sans problème)
  • Disques ATA (IDE/PATA ou SATA) pour le système et les partages de fichiers (web, ftp, nfs, ...) => pas indispensable d'être efficace car le cache disque en RAM compensera

  • Disques SCSI pour les gros volumes de données d'accès aléatoire rapide : courriels en Maildir et bases de données avec accès fréquents
  • Boîtier rack entre 2U et 4U pour éviter le matériel et les câbles qui traînent (attention aux ajouts de cartes d'extension quand < 3U)

L'installation du système

  • Debian GNU/Linux "Etch" 4.0 : le choix d'excellence, discutable mais non négociable ! ;-)

  • Partitionnement en deux parties (tant que grub ne supporte pas directement LVM) :
    • 64 Mo sur /dev/sd[ab]1, de type Linux raid autodetect (code fd)

    • le reste sur /dev/sd[ab]2, de type Linux raid autodetect (code fd)

  • RAID logiciel de niveau 1 : sécurisation en fonctionnement
    • réunir les partitions de 64 Mo dans /dev/md0, le formater en ext3 pour /boot

    • réunir les autres partitions dans /dev/md1, de type Linux LVM (code 8e)

  • LVM : souplesse de gestion de l'espace disque
    • 700 Mo pour / : presque rien ici car tous les services sont dans des serveurs virtuels

    • 1 Go pour le swap : ne devrait pas être utilisé, juste là en réserve pour avoir le temps d'intervenir en cas de souci
  • OpenVZ : consolidation des serveurs et isolation des services

  • configurer le service de monitorage des ensembles RAID (paquet mdadm)

  • configurer le service de monitorage des disques S.M.A.R.T. (paquet smartmontools)

  • s'assurer de bien utiliser grub pour le boot (plus pratique en cas de souci)
  • installer memtest86+ et stress pour des tests intensifs du matériel

  • installer quelques outils de base : openssh-server screen less mtr-tiny

Les services

  • La sécurité des données :
    • premier niveau de panne en fonctionnement assuré par le RAID logiciel
    • sauvegarde quotidienne avec historique avec backuppc, depuis un autre serveur avec un peu de RAM mais surtout de la puissance CPU (calcul de MD5 + compression) et de l'espace disque ATA (pas besoin d'accès efficace ici)

    • sauvegarde hebdomadaire des données de backuppc sur un disque externe type USB2

  • La gestion des courriels :
    • service de boîte aux lettres avec dovecot (IMAP, IMAPS, POP3, POP3S)

    • service de transfert/livraison avec postfix (SMTP, SMTPS)

    • service de filtrage (spams, virus, ...) avec amavid-new

      • détection des spams avec spamassassin

      • détection des virus avec clamav

  • Le web :
    • service avec apache2 (HTTP, HTTPS)
    • scripts PHP avec php5, libapache2-mod-php5

  • Proxy/cache :
    • service avec squid

    • surveillance avec squidview

    • statistiques avec calamaris

Le poste client

  • système d'exploitation Ubuntu "Gutsy Gibbon" 7.10
    • nom de machine dynamique : supprimer /etc/hostname pour prendre le nom via DHCP

    • synchronisation d'heure :
      • sed -i '/^NTPDATE_USE_NTP_CONF/s/=.*/=no/' /etc/default/ntpdate
      • ajouter request ntp-servers; dans /etc/dhcp3/dhclient.conf

    • montages NFS :
      • installer autofs et ajouter /nfs /etc/auto.nfs --timeout=3600 dans /etc/auto.master

      • mettre les lignes suivantes dans /etc/auto.nfs :

        home-share      -fstype=nfs,hard,intr,nolock,noatime,nosuid,nodev,proto=tcp    nfs:/home/share
        srv-share       -fstype=nfs,hard,intr,nolock,noatime,nosuid,nodev,proto=tcp    nfs:/srv/share
      • relancer le « service » autofs
      • faire un lien symbolique de /srv/share vers /nfs/srv-share et de /home/server vers /nfs/home-share

        # exemple spécifique au BAP :
        ln -s /nfs/home-share /home/server
        ln -s /nfs/srv-share /srv/share
    • imprimante PDF via cups-pdf :
      • changer Out ${HOME}/PDF en Out ${HOME}/Bureau dans /etc/cups/cups-pdf.conf

      • changer Label 0 en Label 1 dans /etc/cups/cups-pdf.conf pour éviter les écrasements

  • changer @{HOME}/PDF/ en @{HOME}/Bureau/ dans /etc/apparmor.d/usr.sbin.cupsd

  • mettre @{HOMEDIRS}=/home/*/ /nfs/home*/ dans /etc/apparmor.d/tunables/home

  • relancer le « service » apparmor
  • configurer pour le Projet Reflets

  • droits d'accès par défaut (chez nous on travaille par groupes) :
    • remplacer umask 022 par umask 002 à la fin de /etc/profile

    • ajouter umask 002 dans chaque ~/.bashrc

  • gestion des courriels :
    • thunderbird avec courriers sortants forcés en UTF-8
    • enigmail pour le support GnuPGP, PGP et PGP/MIME

ZAP/ModèlesDeConfiguration (dernière édition le 2009-11-11 10:48:53 par DoanManhHa)