Drift/ToDo: Difference between revisions
(Seriellkonsoll- og konfigpushe-maskin) |
(Seriellkonsoll på decibel) |
||
| Line 38: | Line 38: | ||
ha noen andre brukere kan vi finne ut av litt på sikt. Vi kan jo starte | ha noen andre brukere kan vi finne ut av litt på sikt. Vi kan jo starte | ||
med root. | med root. | ||
== Andre småting == | == Andre småting == | ||
| Line 76: | Line 62: | ||
* Sett opp ny brukerweb på en debian stable-boks som blir patchet | * Sett opp ny brukerweb på en debian stable-boks som blir patchet | ||
* Lage lokalt debian/ubuntu-repos til PVV-spesifikke pakker | * Lage lokalt debian/ubuntu-repos til PVV-spesifikke pakker | ||
* Seriellkonsoll på [[Maskiner/Decibel|decibel]] og [[Drift/Seriellkonsoll|dokumentasjon av oppsett]]. | |||
Revision as of 15:06, 4 December 2010
Prosjektene er sortert etter rand()-verdi. Legg gjerne til andre prosjekter om du kommer på noen, dette er en idemyldrings-side :-)
Seriellkonsoll- og konfigpushe-maskin
I dag er det litt texas i seriellkonsollene til PVV. Det er forsøkt bøtet på ved å sette opp CNAMEs (tim-mgmt.pvv peker på flode.pvv, for eksempel), men dette er ikke bra nok. Først og fremst fordi det er kaotisk, men også fordi det er en sikkerhetsrisiko. Ved å eie en maskin får man plutselig fysisk tilgang til en annen.
En annen ting som har sikkerhetsmessige implikasjoner er rdist-master (eller i fremtiden puppet-master). Denne kjører på decibel nå, og har masse tilganger til alt mulig. Ikke bra. Dette foreslår jeg å flytte til maskinen med alle seriellkablene, siden begge deler stiller store krav til sikkerheten.
Jeg tenkte vi kunne sette opp en ny maskin til dette, litt som gamle Octopus vi hadde før. Siden denne maskinen også skal ha mange fangarmer, men også skal være litt mystisk og kul, foreslår jeg å kalle den cthulhu.pvv.ntnu.no.
Vi har fremdeles seriellport-kortene Octopus hadde. Disse ligger i en eske i hyllene til høyre for kjøleskapet, med mindre de har flyttet seg siden sist jeg så dem. Dette er to ISA-kort, så man trenger en maskin med ISA. herakles har så vidt jeg vet ISA-plasser, og ble nylig flyttet til koserommet.
Jeg foreslår å stappe inn serieport-kortene i den, installere en minimal utgave av et eller annet OS som er lett å sikkerhetsoppdatere (det er ikke så nøye hva den kjører, så lenge det patches), forske litt på seriellkonsoll-oppsett, og så montere den opp i serverrommet.
Maskinen bør ikke ha vanlige hjemmekataloger, for da går den i frø hver gang decibel dør, og da forsvinner litt av poenget med å ha en boks til å få liv i decibel fra. Den bør heller ikke ha alle mulige brukere, siden den kommer til å ha nøkler til alt mulig, og generelt bør være litt sikker. Om den skal ha innlogging med bare root eller om man skal ha noen andre brukere kan vi finne ut av litt på sikt. Vi kan jo starte med root.
Andre småting
- La exim defaulte til Maildir-levering
- Oppgrader spamassassin på decibel
- Innføre kerberos
- Sette opp secondary
- Kerberisere alle tjenester og maskiner
- Sette opp LDAP eller lokale filer slik at vi kan bli helt YP-fri
- Lag skikkelig pakke av mod_lisp til berners-lee
- Fikse ordentlig gpg-signering av reposet i /var/www/pvv/apt/, så apt slutter å skrike
- Fikse Maskiner/Nosferatu/backup
- Ta i bruk nye servere
- Nye hosts, nye tjenester
- Fase ut gamle maskiner og overføre tjenestene
- Få orden i sertifikatene (ordne skikkelig CACert for PVV)
Allerede utført
- Fiks fullbackupen
- Legg PVV-CA-sertifikatet i rdist
- Flytte databaseserverne (mysql og postgres) fra verden til en bedre boks (horisont).
- Test ut pkgsync på en debian/ubuntu-maskin
- Sett opp ny brukerweb på en debian stable-boks som blir patchet
- Lage lokalt debian/ubuntu-repos til PVV-spesifikke pakker
- Seriellkonsoll på decibel og dokumentasjon av oppsett.