Tipy při instalaci stroje na FI

Zde se můžete dočíst několik tipů, jak správně nastavit počítač na FI. Uvedené tipy pomohou zvýšit rychlost, efektivitu nebo bezpečnost vašeho stroje. Jakékoli náměty na vylepšení či rozšíření této stránky směřujte na unix@fi.

Obecná doporučení

Následující sekce se týká jak osobních počítačů, tak serverů. Většina doporučení platí také pro virtuální stroje.

Zvažte oddělení systémových a uživatelských dat

Při rozdělení disku zvažte, zda nechcete připojit /home na samostatný oddíl. Výhodou může být jednodušší přeinstalace systému, nevýhodou méně efektivní využití diskové kapacity.

Zvažte stejný login lokálního účtu jako fakultního účtu

Pokud máte v úmyslu konfigurovat fakultní tisk pomocí čistého IPP, je nutné mít lokální login shodný s loginem fakultního účtu. U ostatních možností (IPP + Kerberos nebo Samba) to nutné není.

Používejte DHCP

Pro konfiguraci sítě použijte DHCP, ne statickou konfiguraci. Výhodou je možnost centrální správy a snadnější hromadné změny. Konfiguraci DHCP pro vámi spravovaná zařízení lze nastavit ve Fakultní administrativě ve Správě zařízení (případné doplnění/úpravy seznamu provedou na požádání unixoví správci).

Přidělení IPv6 adresy

V případě zájmu o IPv6 vám rádi IPv6 adresu přidělíme (včetně její zavedení do DNS) a s konfigurací pomůžeme.

Nastavte si lokální zrcadlo distribuce

Pokud je zrcadlo vaší distribuce dostupné na FI – ftp.linux.cz, nastavte si tento server jako mirror. Návod hledejte v dokumentaci k vaší distribuci.

Pokud vaší distribuci nezrcadlíme a používáte ji u více strojů, můžete poslat žádost o zrcadlení na ftp-admin@fi.

Nastavte si automatické bezpečnostní aktualizace

Pro zvýšení bezpečnosti strojů je důležité instalovat bezpečnostní aktualizace, které napravují zjištěné zranitelnosti. Toto lze automatizovat, avšak způsob se v závislosti na distribuci liší. Třeba v Ubuntu popisuje postup článek AutomaticSecurityUpdates (zde jsou však zapnuté již po instalaci) a pro Fedory zas článek AutoUpdates.

Fakultní ssh_known_hosts

Pokud se budete ze svého stroje přihlašovat na jiné fakultní stroje přes SSH, můžete si pro vyšší bezpečnost a pohodlí stáhnout veřejné klíče fakultních strojů z centrálního úložiště (případně použít skript pro automatické stahování). Podrobnosti naleznete zde: SSH Known Hosts.

Konfigurace mailového systému stroje

Váš stroj může v některých případech odesílat maily (aktualizace systému, chyby některých démonů). Při nesprávné konfiguraci můžou tyto maily dorazit unixovým správcům. Proto, prosíme, zkontrolujte svou konfiguraci dle našeho návodu.

Maily pak můžete v případě potřeby odesílat také přímo ze svého stroje (například příkazem mail, případně sendmail).

Konfigurace poštovního klienta

Potřebné informace naleznete v sekci Pošta v naší technické dokumentaci. Většina klientů je schopna zjistit si tuto konfiguraci automaticky.

Speciálně zmíníme jenom konfiguraci odesílaní mailů, kde je správnou konfigurací SMTP server relay.fi.muni.cz a port 465 (s protokolem SSL).

Synchronizace času

Pro zajištění přesného času na stroji ověřte, že máte nainstalovaného démona pro synchronizaci času (ntpd, chronyd) a použijte lokální NTP server time.fi.muni.cz. Viz přesný čas v síti FI.

Perzistentní žurnál systemd

Pokud váš systém používá systemd, doporučujeme zabezpečit, aby se vám logy žurnálu ukládali perzistentně (tj. přežili restart stroje). Toho docílíte například nastavením Storage=persistent v souboru /etc/systemd/journald.conf a následným restartem žurnálovací služby: systemctl restart systemd-journald.

Zálohování dat

Pokud máte zájem, můžeme nastavit zálohování dat na vašem stroji k nám.

Pravidelné buzení přes Wake-on-LAN

Na požádání je možné zabezpečit pravidelné buzení stroje přes Wake-On-LAN.

Doporučení specifická pro servery

V této části najdete tipy, které naleznou uplatnění především u serverů.

Konzultujte s námi nákup serverů

Díky naším zkušenostem vám umíme pomoct se specifikací – pohlídáme důležité parametry a též ověříme, že server je vhodný do datacentra. Ještě před zadáním nákupu nás proto kontaktujte.

Auto power-on

V BIOSu lze nastavit, aby se počítač sám znovu zapnul, pokud dojde z nějakého důvodu k přerušení napájení. U serverů může být toto žádoucí chování. Tato položka má obvykle název Restore on AC/Power Loss.

AHCI rozhraní disků

V BIOSu zkontrolujte, že pro SATA disky máte nastavené rozhraní AHCI. AHCI je standard, který podporuje například hot-swap disků. Naproti tomu starší standard IDE vyžaduje pro rozpoznání výměny disku operačním systémem restart systému.

Otestujte hardware

Některým pozdějším komplikacím lze předejít otestováním hardwaru ještě před uvedením do provozu.

Jak otestovat paměť najdete zde: Testování paměti: memtester.

Postup pro důkladné testování disků je následující:

  • Zjistěte název testovaného disku, seznam připojených disků získáte fdisk -l
  • Uložte si výstup smartctl -a /dev/sdX (nahraďte X něčím jiným)
  • Spusťte dlouhý SMART test smartctl -t long /dev/sdX
  • Test bude nějakou dobu běžet. Po dokončení si opět uložte výstup smartctl -a /dev/sdX a porovnejte se stavem před SMART testem.
  • Pokud máte magnetický disk, zkontrolujte špatné bloky. Pozor! Toto je destruktivní test, který Vám přepíše celý disk: badblocks -sw /dev/sdX
  • Nakonec zkontrolujte výstup dmesg a porovnejte aktuální výstup smartctl -a /dev/sdX s počátečním výstupem (například nástrojem vimdiff).

Konfigurace vzdálené správy

Většina moderních serverů podporuje nějakou formu vzdálené správy, kterou silně doporučujeme využít. Viz naší stránku ohledně možností a konfigurace.

Detekce hardwarových chyb

Moderní procesory umožňují informovat OS o hardwarových chybách. Doporučujeme instalaci nástroje rasdaemon, který umožňuje aktivovat různé způsoby detekce problémů a také by měl v případě problému do systémového logu doplnit uživatelsky čitelnější informace, než jsou ty přímo od kernelu. (Používání mcelog namísto rasdaemon spíše nedoporučujeme, jelikož už zřejmě není vyvíjený.)

Ukládání logů na syslog.fi.muni.cz

Z bezpečnostních důvodů je výhodné posílat logy také na centrální server. Další výhodou je možnost detekce problémů na úrovni fakultní sítě ze strany unix@fi. V případě zájmu se domluvte s unixovými správci.

Sledování disků přes SMART

S.M.A.R.T. je monitorovací systém pro pevné disky. O sledování se stará démon smartd, který je v balíčku smartmontools. V konfiguraci /etc/smartd.conf doporučujeme zakomentovat DEVICESCAN a pro každý disk přidat jeden řádek, např.

# ata/sata disks
/dev/sda -S on -d ata -o on -a -m MAIL -M once -s (S/../.././02|L/../../7/04)
/dev/sdb -S on -d ata -o on -a -m MAIL -M once -s (S/../.././03|L/../../7/05)

Řetězec MAIL nahraďte vhodnou mailovou adresou, kam budou zasílány informace o případných problémech (změna atributů indikujících selhávající disk nebo selhání self-testu). Tato konfigurace zahrnuje díky parametru -s to, že disk /dev/sda bude zkontrolován short self-testem každý den ve 2 hodiny ráno a long self-testem jednou za 7 dní ve 4 hodiny ráno. Sice tato zátěž není výrazná, ale doporučujeme spouštět testy pro jednotlivé disky v různé časy. Pro více podrobností viz dokumentaci příkazem man smartd.conf. Také nezapomeňte aktivovat démona, aby se spouštěl při startu systému.

Zakázat sudo běžným uživatelům

Pokud se na váš server budou přihlašovat další uživatelé pod svými účty, pravděpodobně jim nechcete dávat root přístup. V některých distribucích je totiž povoleno používat příkaz sudo pro běžné uživatele. Toto lze zkontrolovat a případně nastavit v /etc/sudoers příkazem visudo.

Nastavení webserveru a SSL

Pokud plánujete na stroji provozovat zabezpečené webové stránky, je vhodné věnovat pozornost správné a bezpečné konfiguraci SSL/TLS. O nastavení zabezpečeného připojení se dočtete na stránce Nastavení webserveru a SSL.

Reakce v případě kernel panic

Pokud jde o důležitější stroj, za zvážení stojí nastavení volby sysctl kernel.panic, aby se stroj v případě paniky jádra sám pokusil restartovat a nezůstal v tomto stavu. Například:

echo 'kernel.panic = 60' >/etc/sysctl.d/panic.conf
sysctl -p /etc/sysctl.d/panic.conf

Sledování procesů

Občas se může hodit vědět zpětně zjistit, co se na stroji v daném čase dělo. Můžete vyzkoušet náš malý skript procesy.sh, který ukládá výstup příkazu top každých 20 sekund a uchovává tuto historii v hodinových souborech za posledních 24 hodin. Viz instalátor.

Monitoring

U serverů jsme schopni na požádání poskytnout monitoring služeb pomocí naší instance Nagiosu. K dispozici je však pouze možnost přijímání upozorňujících mailů, ne přístup k webovému rozhraní.

Příklady monitorovatelných služeb/věcí: dostupnost na ping, dostupnost SSH, HTTP(S), validita certifikátu TLS, IPMI, zaplnění disků, nadměrná zátěž (load), celkový stav služeb dle systemctl, správně nastavený čas, a pod.