The edit can be undone. Please check the comparison below to verify that this is what you want to do, and then publish the changes below to finish undoing the edit.
| Latest revision | Your text | ||
| Line 12: | Line 12: | ||
werden nicht verwendet. Die SSH-Keys aller Mitglieder des Teams sollten auf | werden nicht verwendet. Die SSH-Keys aller Mitglieder des Teams sollten auf | ||
allen Systemen vorhanden sein. Zu beachten ist, dass auf mehreren Systemen, die | allen Systemen vorhanden sein. Zu beachten ist, dass auf mehreren Systemen, die | ||
Keys nicht in /root/.ssh/authorized_keys sondern in /var/cache/ssh/root zu | Keys nicht in `/root/.ssh/authorized_keys` sondern in `/var/cache/ssh/root` zu | ||
finden sind. Die Beschreibung der Systeme sollte in jedem Fall die genaue | finden sind. Die Beschreibung der Systeme sollte in jedem Fall die genaue | ||
Pfadangabe angeben. | Pfadangabe angeben. | ||
| Line 18: | Line 18: | ||
su (zu root) ist auf allen Systemen deaktiviert, damit selbst bei Kenntnis des | su (zu root) ist auf allen Systemen deaktiviert, damit selbst bei Kenntnis des | ||
Root-Passworts kein Login ohne SSH-Key möglich ist. Um das zu erreichen ist | Root-Passworts kein Login ohne SSH-Key möglich ist. Um das zu erreichen ist | ||
pam_wheel.so in /etc/pam.d/su aktiviert. Die Gruppe wheel existiert auf | `pam_wheel.so` in `/etc/pam.d/su` aktiviert. Die Gruppe wheel existiert auf | ||
Debian standardmäßig nicht, damit hat sie auch keine Mitglieder ;-) | Debian standardmäßig nicht, damit hat sie auch keine Mitglieder ;-) | ||
| Line 27: | Line 27: | ||
= Kommunikation (IRC, Mail) = | = Kommunikation (IRC, Mail) = | ||
Die | Die Kommunikation läuft genau wie die normale Vereinskommunikation über | ||
Dort sollten Veränderungen am System besprochen oder zumindest erwähnt werden. | \#chaosdorf im OFTC. Dort sollten Veränderungen am System besprochen oder | ||
zumindest erwähnt werden. | |||
Die Mitglieder richten Anfragen an die Adresse <admin@chaosdorf.de>. Jedes | Die Mitglieder richten Anfragen an die Adresse <admin@chaosdorf.de>. Jedes | ||
| Line 38: | Line 39: | ||
[https://github.com/chaosdorf/chaosdorf-admin-toolkit Admin-Toolkit] | [https://github.com/chaosdorf/chaosdorf-admin-toolkit Admin-Toolkit] | ||
verwaltet. Ein Debianpaket aus einer "releaseten" Version (korrekter | verwaltet. Ein Debianpaket aus einer "releaseten" Version (korrekter | ||
Changelog und so) kann ganz normal mit git-buildpackage gebaut werden; für | Changelog und so) kann ganz normal mit `git-buildpackage` gebaut werden; für | ||
mal eben schnell was Bauen zum Testen am besten git-buildpackage | mal eben schnell was Bauen zum Testen am besten `git-buildpackage | ||
--git-export=WC --git-ignore-new -us -uc benutzen. | --git-export=WC --git-ignore-new -us -uc` benutzen. | ||
Das resultierende Debian-Paket wird dann auf allen Hosts installiert, dabei | Das resultierende Debian-Paket wird dann auf allen Hosts installiert, dabei | ||
| Line 47: | Line 48: | ||
= /etc = | = /etc = | ||
Zur Nachverfolgung der Änderungen wird /etc in Git mit Hilfe des Werkzeugs | Zur Nachverfolgung der Änderungen wird `/etc` in Git mit Hilfe des Werkzeugs | ||
etckeeper verwaltet. D.h. jede geänderte Datei in diesem Verzeichnis muss als | etckeeper verwaltet. D.h. jede geänderte Datei in diesem Verzeichnis muss als | ||
Commit mit einer passenden Commitnachricht festgehalten werden. | Commit mit einer passenden Commitnachricht festgehalten werden. | ||
etckeeper ist bei uns so konfiguriert, dass es bei uncomitteten Änderungen in | etckeeper ist bei uns so konfiguriert, dass es bei uncomitteten Änderungen in | ||
/etc die Installation oder Entfernung von Paketen unterbindet. | `/etc` die Installation oder Entfernung von Paketen unterbindet. | ||
= /usr/local = | = /usr/local = | ||
| Line 74: | Line 75: | ||
Die Checks werden per cron lokal ausgeführt, siehe das Verzeichnis | Die Checks werden per cron lokal ausgeführt, siehe das Verzeichnis | ||
nagios-passive im Admin-Toolkit. Sie sind im Icinga entsprechend als passive | `nagios-passive` im Admin-Toolkit. Sie sind im Icinga entsprechend als passive | ||
checks konfiguriert; wenn sie über 20 Minuten nicht aktualisiert wurden, | checks konfiguriert; wenn sie über 20 Minuten nicht aktualisiert wurden, | ||
gibt's Alarm. | gibt's Alarm. | ||
== Checks manuell ausführen == | == Checks manuell ausführen == | ||
`sh -x /usr/lib/nagios/run_checks 60` führt sämtliche Checks aus. Das Skript | |||
führt sämtliche Checks aus. Das Skript wartet dabei (da es eigentlich per cron läuft) bis zu 60 Sekunden. | wartet dabei (da es eigentlich per cron läuft) bis zu 60 Sekunden. | ||
= Wartungsfenster = | = Wartungsfenster = | ||
| Line 90: | Line 89: | ||
Reboots werden natürlich trotzdem angekündigt. | Reboots werden natürlich trotzdem angekündigt. | ||
Nach einem Reboot sammeln sich aus bisher unerfindlichen Gründen auf | Nach einem Reboot sammeln sich aus bisher unerfindlichen Gründen auf `vm` | ||
sshd-Zombieprozesse; daher bitte manuell dort einloggen und SSH restarten. | sshd-Zombieprozesse; daher bitte manuell dort einloggen und SSH restarten. | ||
[[Category:Administration]] | [[Category:Administration]] | ||