Coses que passen

Avui he fer una nova posada en funcionament de un servidor Debian a un hosting per a una aplicació LAMP de una start-up amb la que estic envolicat.

Aquí poso un recordatori dels passos que he fet com a recordatori, primer les coses més generals:

Verificar fonts apt a /etc/apt/sources.list :

• Buscar un bon servidor servidor (un servidor oficial amb una bona velocitat)
• Assegurar qu es fan servir els noms de release (lenny) i no els genèrics (stable)
• Confirmar que les actualitzacions de seguretat estat activades

Desactivar la instalacio de paquests “Recommends”:

# echo 'APT::Install-Recommends "0";' > /etc/apt/apt.conf.d/90recommends

Actualitzar el sistema:

# aptitude update && aptitude dist-upgrade

Instal·lar programes i utilitats per al entorn:

# aptitude install vim ntp  screen most tree bzip2 unzip moreutils dnsutils htop pwgen telnet manpages strace curl tcpdump sudo

Configurar vim com a editor per defecte:

# update-alternatives --set editor /usr/bin/vim.basic

Instal·lar i configurar etckeeper (per a mantenir el /etc en control de versions):

# aptitude install etckeeper mercurial

Editar /etc/etckeeper/etckeeper.conf i seleccionar mercurial com a control de versio, descomentar:

VCS=hg

Iniciar etckeeper:

# etckeeper init
# etckeeper commit  "Initial commit"

Crear un usuari propi i afegir-lo com a sudoer :

# adduser ferran

# visudo # Editar i 

# etckeeper commit "Usuari ferran"

Per a l’aplicació que hem d’instal·lar necessitem gearman, subversion , php5-curl i supervisor:

# aptitude install gearman-server subversion php5-curl

supervisor no extisteix per a debian lenny, així que hem d’instal·lar la versio de testing i les dependències de backports.

# echo "deb http://www.backports.org/debian lenny-backports main contrib non-free" >> /etc/apt/sources.list

# wget -O - http://backports.org/debian/archive.key | apt-key add -

# aptitude update && aptitude -t lenny-backports install python-medusa python-pkg-resources python-support

# wget http://ftp.us.debian.org/debian/pool/main/p/python-meld3/python-meld3_0.6.5-3_amd64.deb

# wget http://ftp.us.debian.org/debian/pool/main/s/supervisor/supervisor_3.0a8-1_all.deb

# dpkg -i python-meld3_0.6.5-3_amd64.deb

# dpkg -i supervisor_3.0a8-1_all.deb

Ara falta instal·lar la llibreria de gearman per a php. Primer instal·lo requeriments:

# aptitude install php5-dev build-essential libevent-dev uuid-dev

Ara les llibreries C de gearman i el client de línia de comandes de gearman:

# wget http://launchpad.net/gearmand/trunk/0.13/+download/gearmand-0.13.tar.gz

# tar xvzf gearmand-0.13.tar.gz

# cd gearmand-0.13

# ./configure

# make

# make install

Esborro la versió instal·lada de gearmand, de moment vuil executar la del paquet debian:

# rm /usr/local/sbin/gearmand

Ara la llibreria php:

# wget http://pecl.php.net/get/gearman-0.7.0.tgz

# tar xvzf gearman-0.7.0.tgz

# cd gearman-0.7.0

# phpize

# ./configure

# make

# make install

Instal·lar el modul:

# echo "extension=gearman.so" > /etc/php5/conf.d/gearman.ini

# /etc/init.d/apache2 restart

# php5 -r "echo phpinfo();" | grep gearman

I ja està tot preparat per a instal·lar la aplicació.

Aquesta setmana un amic m’ha demanat que l’ajudi amb la postinstal·lació de un servidor per als seus projectes web.
Poso aquí una llista de les coses que he fet i que acostumo a fer al instal·lar un servidor, sense cap ordre concret

• Configuració de firewall , amb opció per a impedir “brute force attacks” al ssh
• Configura aliases, per enviar el correu de root a un usuari normal
• Instalar i configurar sudo
• Instal·lació de paquets vim, screen logcheck, rkhunter chrootkit
• Instal·lació de logcheck, rkhunter chrootkit, per a auditories de seguretat
• Instal·lació de ntp i ntpdate per a mantenir sincronitzada la hora
• Desactivar ftp i altres protocols n o segurs
• Pot fer falta remontar els discs amb opció noatime per a millorar el rendiment sobretot en aplicacions web
• Segur que em deixo algo….

Deixo com una cosa a part la configuració del servidor de correu i de la configuració dels usuaris amb LDAP, que es una cosa que en un servidor web no es necessària.

La setmana passada vaig fer la meva primera instal·lació de un linux amb software RAID + LVM. La instalació serà per a un servidor per a un client.

Gracies al instalador de Debian i a que m’havía llegit uns manuals va funcionar tot a la primera, només cal tenir en compte que la partició de boot no pot estar en LVM, pero si en RAID, per tant s’ha de separar cada disc en una partició petita per a boot i la resta per a fer un volum LVM.

El software RAID te l’avantatja sobre un RAID hardware que si tens algun problema amb l’ordinador, les unitats del RAID software es poden llegir a qualsevol altre ordinador, mentre que amb un RAID per hardware, si s’espatlla la controladora RAID, n’has d’aconseguir una altra per a poder recuperar la informació.

A partir d’ara faré totes les noves intalacións de servidor amb RAID software i LVM, però m’imagino que intentaré posar RAID5 enlloc de RAID1.

http://manpages.debian.net

La pagina en cuestió permet consultar totes les pagines man de paquets debian via web, sense necessitat de instalr el paquet.A més a més també te la utilitat apropos.

Aquesta pagina m’ha permes mirar si alguns programes em seran útils abans de instalar-los, així puc anar molt més rapid a l’hora d’evaluar posibles solucions a problemes.

La poso aquí per a recordar-la…

Amb la instalaico actual al nostre serivodr de correu, tenim el problema que quan es recarrega la base de dades de virus del clamd, el socket del calmd no esta opratiu i no es poden enviar ni rebre correus. Aquest problema esta reportat pero no esta arreglat fins a la versió 0.91 del clamav, que no esta a la versió estable de debian.

Es una ocasió per a utilitzar la versio de backports.

Per a fer servir backports:

1. Afegir a /etc/apt/sources.list.

deb http://www.backports.org/debian etch-backports main contrib non-free

2. Executar

apt-get update

3. Per a tenir les claus de verificacio del paquets

apt-get install debian-backports-keyring

Ara ja podem actualitzar a la versio 0.91 de clamav.

apt-get -t etch-backports install clamav-daemon clamav-freshclam

i problema solucionat, el servidor de correu ja no es queda mai inservible.