Tipy při instalaci stroje na FI

Zde se můžete dočíst několik tipů, jak správně nastavit počítač na FI. Uvedené tipy pomohou zvýšit rychlost, efektivitu nebo bezpečnost vašeho stroje. Jakékoli náměty na vylepšení či rozšíření této stránky směřujte na unix(atsign)fi(dot)muni(dot)cz.

Obecná doporučení

Následující sekce se týká jak osobních počítačů, tak serverů. Většina doporučení platí také pro virtuální stroje.

Zvažte oddělení systémových a uživatelských dat

Při rozdělení disku zvažte, zda nechcete připojit /home na samostatný oddíl. Výhodou může být jednodušší přeinstalace systému, nevýhodou méně efektivní využití diskové kapacity.

Pro svůj účet na stroji použijte fakultní login

Tiskové úlohy musí být zasílány z uživatelského účtu, kterého login je shodný s vaším fakultním loginem. Proto silně doporučujeme nastavit si takový login, jaký používáte na FI. Podrobnosti najdete v dokumentaci tisku na FI.

Používejte DHCP

Pro konfiguraci sítě použijte DHCP, ne statickou konfiguraci. Výhodou je možnost centrální správy a snadnější hromadné změny. Konfiguraci DHCP pro vámi spravovaná zařízení lze nastavit ve Fakultní administrativě ve Správě zařízení (případné doplnění/úpravy seznamu provedou na požádání unixoví správci). V případě zájmu konfigurace IPv6 prosím také kontaktujte unixové správce.

Nastavte si lokální zrcadlo distribuce

Pokud je zrcadlo vaší distribuce dostupné na FI – ftp.linux.cz, nastavte si tento server jako mirror. Návod hledejte v dokumentaci k vaší distribuci. Pokud ji nezrcadlíme a používáte ji u více strojů, můžete zkusit poslat žádost o zrcadlení na ftp-admin(atsign)fi(dot)muni(dot)cz.

Nastavte automatické bezpečnostní aktualizace

Pro zvýšení bezpečnosti strojů je důležité instalovat bezpečnostní aktualizace, které napravují zjištěné zranitelnosti. Toto lze automatizovat, avšak způsob se v závislosti na distribuci liší. Třeba v Ubuntu popisuje postup článek AutomaticSecurityUpdates a pro Fedory zas článek AutoUpdates.

Poznámka: V Ubuntu je toto zapnuté už po instalaci. A asi i v dalších distribucích.

Fakultní ssh_known_hosts

Pokud se budete ze svého stroje přihlašovat na jiné fakultní stroje přes SSH, můžete si pro vyšší bezpečnost a pohodlí stáhnout veřejné klíče fakultních strojů z centrálního úložiště (případně použít skript pro automatické stahování). Podrobnosti naleznete zde: SSH Known Hosts.

Konfigurace mailového systému stroje

Váš stroj může v některých případech odesílat maily (aktualizace systému, chyby některých démonů). Při nesprávné konfiguraci můžou tyto maily dorazit unixovým správcům. Proto prosíme zkontrolujte svou konfiguraci dle našeho návodu.

Maily pak můžete v případě potřeby odesílat také přímo ze svého stroje (například příkazem mail, případně sendmail).

Konfigurace poštovního klienta

Potřebné informace naleznete v sekci Pošta v naší technické dokumentaci. Většina klientů je schopna zjistit si tuto konfiguraci automaticky.

Speciálně zmíníme jenom konfiguraci odesílaní mailů, kde je správnou konfigurací SMTP server relay.fi.muni.cz a port 465 (s protokolem SSL).

Synchronizace času

Pro zajištění přesného času na stroji ověřte, že máte nainstalovaného démona pro synchronizaci času (ntpd, chronyd) a použijte lokální NTP server time.fi.muni.cz. Detailnější návod lze najít zde: Přesný čas v síti FI.


Doporučení specifická pro servery

V této části najdete tipy, které naleznou uplatnění především u serverů.

Auto power-on

V BIOSu lze nastavit, aby se počítač sám znovu zapnul, pokud dojde z nějakého důvodu k přerušení napájení. U serverů může být toto žádoucí chování. Tato položka má obvykle název Restore on AC/Power Loss.

AHCI rozhraní disků

V BIOSu zkontrolujte, že pro SATA disky máte nastavené rozhraní AHCI. AHCI je standard, který podporuje například hot-swap disků. Naproti tomu starší standard IDE vyžaduje pro rozpoznání výměny disku operačním systémem restart systému.

Otestujte hardware

Některým pozdějším komplikacím lze předejít otestováním hardwaru ještě před uvedením do provozu.

Jak otestovat paměť najdete zde: Testování paměti: memtester.

Postup pro důkladné testování disků je následující:

  • Zjistěte název testovaného disku, seznam připojených disků získáte fdisk -l
  • Uložte si výstup smartctl -a /dev/sdX (nahraďte X něčím jiným)
  • Spusťte dlouhý SMART test smartctl -t long /dev/sdX
  • Test bude nějakou dobu běžet. Po dokončení si opět uložte výstup smartctl -a /dev/sdX a porovnejte se stavem před SMART testem.
  • Pokud máte magnetický disk, zkontrolujte špatné bloky. Pozor! Toto je destruktivní test, který Vám přepíše celý disk: badblocks -svw /dev/sdX
  • Nakonec zkontrolujte výstup dmesg a porovnejte aktuální výstup smartctl -a /dev/sdX s počátečním výstupem (například nástrojem vimdiff).

Konfigurace IPMI a sériové konzole

Některé servery jsou podle standardu IPMI vybaveny speciálním nezávislým procesorem, který je připojen k základní desce a hlavnímu procesoru a který umožňuje sledování a řízení hardwaru. Na tento stroj se lze připojit přes samostatnou IP adresu, často na dedikovaném síťovém rozhraní. Z obvyklých možností zmiňme ovládání napájení, sledování stavu stroje, konfigurace BIOSu a přístup k sériové konzoli operačního systému. Pokud to váš stroj podporuje (může vystupovat pod různými názvy: IPMI, iLO, iDRAC, BMC), doporučujeme využít tuto možnost a IPMI nakonfigurovat.

Jelikož se tato konfigurace liší u jednotlivých výrobců hardwaru a BIOSu, nelze zde podat obecný návod. Typicky je ale vhodné nastavit použití samostatného/dedikovaného ethernetového portu, síťovou konfiguraci získávat přes DHCP (adresy přidělujeme z bezpečnostních důvodů z neveřejného rozsahu dostupného jenom z dohodnutých strojů nebo části sítě FI). Někdy i stroj s jediným (sdíleným) ethernetovým portom může podporovat IPMI. V takovém případě lze pro IPMI typicky nastavit tagovaný VLAN – unixoví správci vám zabezpečí připojení na naší infrastruktuře.

V každém případě se ujistěte, že jste IPMI nenechali vystaveno do světa s výchozím heslem.

Samostatně se konfiguruje také sériová konzole, například následovně:

Console redirection........Serial Port 1
Failsafe Baud Rate.........115200
Remote Terminal Type.......VT100/VT220
Redirection After Boot.....Enabled

Aby byla funkční, je také potřeba správně nakonfigurovat GRUB/jádro. Obvykle stačí doplnit/upravit tyto parametry konfigurace GRUBu a pak spustit update-grub. Příklad, jak by mohla konfigurace vypadat:

GRUB_CMDLINE_LINUX="<původní parametry> console=tty0 console=ttyS0,115200n,8"
GRUB_TERMINAL="serial console"
# následující parametr je zde zalomen, ale v konfiguraci
# musí být uveden v jednom řádku
GRUB_SERIAL_COMMAND="serial --unit=0 --speed=115200;
    terminal --timeout=5 serial console"

Tady upozorňujeme, že číslování konzolí v BIOSu a v jádře se může lišit, tj. konzole v BIOSu jsou obvykle číslovány od 1, zatímco v jádře jsou číslovány od ttyS0.

Pokud budete chtít pomoci s konfigurací, můžete se obrátit na fakultní unixové správce.

Detekce hardwarových chyb MCE

Moderní procesory umožňují informovat OS o hardwarových chybách. V Linuxu lze tyto údaje získávat pomocí démona mcelog, který loguje zjištěné hardwarové chyby do souboru /var/log/mcelog nebo jej lze nakonfigurovat tak, aby na chyby reagoval.

Ukládání logů na syslog.fi.muni.cz

Z bezpečnostních důvodů je výhodné posílat logy také na centrální server. Další výhodou je možnost detekce problémů na úrovni fakultní sítě ze strany unix@fi. V případě zájmu se domluvte s unixovými správci.

Sledování disků přes SMART

S.M.A.R.T. je monitorovací systém pro pevné disky. O sledování se stará démon smartd, který je v balíčku smartmontools. V konfiguraci /etc/smartd.conf doporučujeme zakomentovat DEVICESCAN a pro každý disk přidat jeden řádek, např.

# ata/sata disky
/dev/sda -S on -d ata -o on -a -m MAIL -M once -s (S/../.././02|L/../../7/04)
/dev/sdb -S on -d ata -o on -a -m MAIL -M once -s (S/../.././03|L/../../7/05)

Řetězec MAIL nahraďte vhodnou mailovou adresou, kam budou zasílány informace o případných problémech (změna atributů indikujících selhávající disk nebo selhání self-testu). Tato konfigurace zahrnuje díky parametru -s to, že disk /dev/sda bude zkontrolován short self-testem každý den ve 2 hodiny ráno a long self-testem jednou za 7 dní ve 4 hodiny ráno. Sice tato zátěž není výrazná, ale doporučujeme spouštět testy pro jednotlivé disky v různé časy. Pro více podrobností viz dokumentaci příkazem man smartd.conf. Také nezapomeňte aktivovat démona, aby se spouštěl při startu systému.

Zakázat sudo běžným uživatelům

Pokud se na váš server budou přihlašovat další uživatelé pod svými účty, pravděpodobně jim nechcete dávat root přístup. V některých distribucích je totiž povoleno používat příkaz sudo pro běžné uživatele. Toto lze zkontrolovat a případně nastavit v /etc/sudoers příkazem visudo.

Nastavení webserveru a SSL

Pokud plánujete na stroji provozovat zabezpečené webové stránky, je vhodné věnovat pozornost správné a bezpečné konfiguraci SSL/TLS. O nastavení zabezpečeného připojení se dočtete na stránce Nastavení webserveru a SSL.

Odpovědný kontakt: unix(atsign)fi(dot)muni(dot)cz