Coses que passen

Avui he fer una nova posada en funcionament de un servidor Debian a un hosting per a una aplicació LAMP de una start-up amb la que estic envolicat.

Aquí poso un recordatori dels passos que he fet com a recordatori, primer les coses més generals:

Verificar fonts apt a /etc/apt/sources.list :

• Buscar un bon servidor servidor (un servidor oficial amb una bona velocitat)
• Assegurar qu es fan servir els noms de release (lenny) i no els genèrics (stable)
• Confirmar que les actualitzacions de seguretat estat activades

Desactivar la instalacio de paquests “Recommends”:

# echo 'APT::Install-Recommends "0";' > /etc/apt/apt.conf.d/90recommends

Actualitzar el sistema:

# aptitude update && aptitude dist-upgrade

Instal·lar programes i utilitats per al entorn:

# aptitude install vim ntp  screen most tree bzip2 unzip moreutils dnsutils htop pwgen telnet manpages strace curl tcpdump sudo

Configurar vim com a editor per defecte:

# update-alternatives --set editor /usr/bin/vim.basic

Instal·lar i configurar etckeeper (per a mantenir el /etc en control de versions):

# aptitude install etckeeper mercurial

Editar /etc/etckeeper/etckeeper.conf i seleccionar mercurial com a control de versio, descomentar:

VCS=hg

Iniciar etckeeper:

# etckeeper init
# etckeeper commit  "Initial commit"

Crear un usuari propi i afegir-lo com a sudoer :

# adduser ferran

# visudo # Editar i 

# etckeeper commit "Usuari ferran"

Per a l’aplicació que hem d’instal·lar necessitem gearman, subversion , php5-curl i supervisor:

# aptitude install gearman-server subversion php5-curl

supervisor no extisteix per a debian lenny, així que hem d’instal·lar la versio de testing i les dependències de backports.

# echo "deb http://www.backports.org/debian lenny-backports main contrib non-free" >> /etc/apt/sources.list

# wget -O - http://backports.org/debian/archive.key | apt-key add -

# aptitude update && aptitude -t lenny-backports install python-medusa python-pkg-resources python-support

# wget http://ftp.us.debian.org/debian/pool/main/p/python-meld3/python-meld3_0.6.5-3_amd64.deb

# wget http://ftp.us.debian.org/debian/pool/main/s/supervisor/supervisor_3.0a8-1_all.deb

# dpkg -i python-meld3_0.6.5-3_amd64.deb

# dpkg -i supervisor_3.0a8-1_all.deb

Ara falta instal·lar la llibreria de gearman per a php. Primer instal·lo requeriments:

# aptitude install php5-dev build-essential libevent-dev uuid-dev

Ara les llibreries C de gearman i el client de línia de comandes de gearman:

# wget http://launchpad.net/gearmand/trunk/0.13/+download/gearmand-0.13.tar.gz

# tar xvzf gearmand-0.13.tar.gz

# cd gearmand-0.13

# ./configure

# make

# make install

Esborro la versió instal·lada de gearmand, de moment vuil executar la del paquet debian:

# rm /usr/local/sbin/gearmand

Ara la llibreria php:

# wget http://pecl.php.net/get/gearman-0.7.0.tgz

# tar xvzf gearman-0.7.0.tgz

# cd gearman-0.7.0

# phpize

# ./configure

# make

# make install

Instal·lar el modul:

# echo "extension=gearman.so" > /etc/php5/conf.d/gearman.ini

# /etc/init.d/apache2 restart

# php5 -r "echo phpinfo();" | grep gearman

I ja està tot preparat per a instal·lar la aplicació.

Moltes vegades al anar de viatge si porto un portàtil trobo puts de wifi que fan pagar. Aquest punts de wifi et donen accés a internet si pagues. Sembla que aquest punts de wifi impedeixen totes les connexions menys les connexions a DNS.

Aquest fet es pot aprofitar muntant un túnel IP sobre DNS, amb el programa nstx.

Com que s’acosten les vacances i pot ser que m’emporti el meu eeepc ja he fet el muntatge amb l’ajuda d’aquest HOWTO.

Només es necessari una mica de coneixement per configurar un DNS i les rutes en una Linux, i disposar de un servidor DNS i un altre servidor connectat a Internet. Ara ja ho tinc funcionant i només em falta provar-ho en un punt wifi de pago. Algú en coneix algun a prop ? espero no haver d’anar al aeroport a provar-ho.

Nova beta del sistema moblin, el linux de intel optimitzat per a mobils i netbooks.

Alucinant video de demostació.

Llàstima que amb el mou eeepc 701 no el pugui provar.

Una de les coses mes delicades a configurar remotament en un servidor es el firewall. Si fas algun fallo pots deixar el ordinador remot sense connexió de xarxa, es pot desconnectar la teva sessio remota i després estàs obligat a anar fisicament a on estès el servidor per a solucionar el problema.

Per a evitar això, tradicionalment obria una sessió remota amb screen (screen per a que si es perdia la connexió de xarxa no es perdés la sessió) i feia una cosa del tipus:

# shutdown -h +10

Missatge de difusió de ferran@eeepc
	(/dev/pts/0) a les 17:28 ...

S'aturarà el sistema a halt en 10 minuts

D’aquesta manera tenia 10 minuts per a fer els canvis al firewall, i si alguna cosa fallava el sistema es reiniciava i tornava a la posició inicial. Al acabar les modificacions, i si tot estava be, cancelava amb Ctrl+C elk shutdown i tot perfecte.

Aquest sistema, tot i que funciona es una mica agressiu, ja que si falla alguna cosa o et despistes provoques un reinici del servidor. Ultimamanet modificant un servidor remot, vaig tenir algun problema i el servidor es va reiniciar, no vaig esta gaire content i vaig trobar una solució millor. Abans de començar les modificacions, salvar el estat actual del firewall en un fitxer amb

# iptables-save > iptables.inicial

Després, i mentres es treballa, en una finestra de screen :

# while true ; do sleep 200 ; iptables-restore < iptables.inicial ; date ;

done

D’aquesta manera, reinicio el estat del firewall cada 200 segons, sense cap reiniciada, i no sense por de que es reinici el servidor accidentalment. Al acabar es pot cancelar aixó amb Ctrl+C i tit queda bé.

Aquesta setmana un amic m’ha demanat que l’ajudi amb la postinstal·lació de un servidor per als seus projectes web.
Poso aquí una llista de les coses que he fet i que acostumo a fer al instal·lar un servidor, sense cap ordre concret

• Configuració de firewall , amb opció per a impedir “brute force attacks” al ssh
• Configura aliases, per enviar el correu de root a un usuari normal
• Instalar i configurar sudo
• Instal·lació de paquets vim, screen logcheck, rkhunter chrootkit
• Instal·lació de logcheck, rkhunter chrootkit, per a auditories de seguretat
• Instal·lació de ntp i ntpdate per a mantenir sincronitzada la hora
• Desactivar ftp i altres protocols n o segurs
• Pot fer falta remontar els discs amb opció noatime per a millorar el rendiment sobretot en aplicacions web
• Segur que em deixo algo….

Deixo com una cosa a part la configuració del servidor de correu i de la configuració dels usuaris amb LDAP, que es una cosa que en un servidor web no es necessària.

La setmana passada vaig fer la meva primera instal·lació de un linux amb software RAID + LVM. La instalació serà per a un servidor per a un client.

Gracies al instalador de Debian i a que m’havía llegit uns manuals va funcionar tot a la primera, només cal tenir en compte que la partició de boot no pot estar en LVM, pero si en RAID, per tant s’ha de separar cada disc en una partició petita per a boot i la resta per a fer un volum LVM.

El software RAID te l’avantatja sobre un RAID hardware que si tens algun problema amb l’ordinador, les unitats del RAID software es poden llegir a qualsevol altre ordinador, mentre que amb un RAID per hardware, si s’espatlla la controladora RAID, n’has d’aconseguir una altra per a poder recuperar la informació.

A partir d’ara faré totes les noves intalacións de servidor amb RAID software i LVM, però m’imagino que intentaré posar RAID5 enlloc de RAID1.

Al final m’he comprat un eeepc, vaig anar al FNAC perque tenia un vale que em cadicava, vaig veure que nomes costava 199 € i me’l vaig comprar.

Es un ordinador que pel preu que te està molt be, es molt portables i te una velocitat acceptable, em sembal que es mes ràpid que el portàtil que tenia abans.

Un cop a casa, no vaig trigar gaire a instal·lar un nou sistema operatiu, ja que la versió del linux que portva no molava gaire. Vaig instal·lar el eeebuntu.

La interficie està molt be per a la petita pantalla que te. Ara l’estic fent servir per a escriure això i el faig servir a casa per anavegar per internet. He vist que hi ha una nova versió de ubuntu per al eeepc, la ubuntu-eee, un dia d’aquest la provaré, pero potser m’esperi a que surti la 8.10.

Un tutorial senzill per a configurar comptes de unix i samba des de LDAP.

Avui he instalat un nou detector de rootkits que he descobert rkhunter, aquest a diferencia del chrootkit, te una base de dades que s’actualitza de internet i aixi esta al dia, i al igual que el chkrootkit t’envia els reports per correiu. Espero que mai em detecti res ….

S’instala facilment amb

aptitude install rkhunter

i es pot fer un scan del sistema amb

rkhunter -c

I et dona un report amb colors molt bonic.

Com a rcordatori , per a passar de xxx.xxx.xxx.xxx:8888 a 192.168.0.2:80

/sbin/iptables -t nat -A PREROUTING -p tcp -i eth0 -d xxx.xxx.xxx.xxx –dport 8888 -j DNAT –to 192.168.0.2:80

/sbin/iptables -t nat -A POSTROUTING -p tcp -d 192.168.0.2 –dport 80 -j SNAT –to-source 192.168.0.1

/sbin/iptables -A FORWARD -p tcp -i eth0 -d 192.168.0.2 –dport 80 -j ACCEPT