LPS:CFEngine3/TODO

Z HelpDesk

Konfigurace

Věci, co bych chtěl do cfenginu zavést, ale papírky se mi ztrácejí:

  • použít DNS záznam 'IN SSHFP' pro servery v DNS, zapnout kontrolu v /etc/ssh/ssh_config (i na koncových stanicích) a CFEnginem kontrolovat, ze zaznam v DNS odpovídá tomu, co je na lokálním stroji, jinak varovat. Vytvářet klíče do souboru na AFS, např. příkazem:
    ssh-keygen -r `hostname --fqdn` >> /afs/.zcu.cz/common/etc/
    Bude to chtít nějaký skriptík, který zkontroluje duplicitu apod. Nutné domluvit s Alešem výměnný formát pro includování, odkázat se na IPv6
  • konfigurace /etc/resolv.conf pres fcopy, pozor, nerozlisuje se zatim privátní (kolejní/voip servery - jak detekovat?) a veřejné
  • zkusit vyuzit pro distribuci hesel tento program, tj. verejnym zasifrovat heslo, ulozit na serveru a klient si jej stahne k sobe, privatnim otevre a zkontroluje obsah. V datech by nemelo byt heslo jako takove, ale jeho hash
  • inteligentne nastavit /etc/openafs/cacheinfo (je treba upravit i v debconfu), nektere servery maji vlastni partition, jine ne, velikost cache musi mit velikost maximalne do cca 90% prostoru/partition, jinak nenabehne klient, asi by bylo vhodne to delat pres debconf
  • nainstalovat mcelog (projit konfiguraci), pripravit spolu se sondou do nagiosu
  • spoustet pravidelne (1x tydne/mesicne) long smart test pres vsechny HDD/SSD, chyby bude detekovat nagios. Je treba vyhnout se FC polim a zaroven zjistit, jestli se nejedna a specif. radic jako je MegaRAID, protoze se pouzivaji jine parametry a je mozne, ze test bude neuspesny, nektere SMART commandy ignoruje.
  • v /etc/nagios/nrpe.cfg musi byt vsechny '^command[...]=...' zakomentovane, použít vlastní konfigurák
  • pro services/changes pridat diff --ignore-matching-lines='^# CF3 - .*$' čímž je možné porovnávat zdrojove soubory s upravenymi templaty
  • /etc/default/rcS
  • hlidat, ze /etc/default/cfengine3 obsahuje start cfengine
  • do grubu (/etc/grub/...) pridat volby pro instalaci/shell z FAI, pouzivame distribucni jadro, tak by to nemel byt problem
  • hlidat ze v /etc/postfix/virtual je zaznam pro smerovani posty uzivatele 'root', pokud neni, pridat a zavolat postmap + reload server, pripadne /etc/postfix/go skript
  • kontrola, ze bezi mdadm --monitor a ze je aktivovana kontrola integrity sw raidu, pouze tam, kde se SW RAID pouziva (jinde odinstalovat?)
  • v update.cf je aktualne zakomentovan report s tim, v jake vetvi se stroj nachazi, idealni by bylo, kdyby reportoval pouze zmenu, ze prechazi z jedne vetve na druhou, ale jak to udelat
  • update.cf by nemel pouzivat externi skript jako module (takto se pouziva jen na serveru!), ale dostat to do cf3 bude opruz, ale nikoliv nemozne
  • /etc/ntp.conf dle RT#186029

Vize

  • jak udelat report, např. kde všude mame nekoho v /home/ ... napsat vlastni .cf a nejak vratit informaci na server, nasledne zobrazit treba pres web ... zkratka udelat takove prehledy
  • davat cfengine vsude (nejen do FAI:SRV), kde je wheezy, v soucasnosti do tridy TESTING, nutno vyrazne otestovat
  • vymena klicu pro baculu. Bacula pro overeni klienta vuci serveru pouziva "heslo", ktere je zapsane v konfiguracich, je vhodne, aby bylo pres vsechny stroje ruzne a v case se menilo, to lze v cfengine zaridit tak:
    • na bacula-serveru mit take zpristupneny masterfiles pro stahovani, do nej generovat info (klient-klic)
    • bacula-clienti si pres cf-agent z bacula-server stahnou informaci a upravit/opravit v nem heslo
    • ostatni konfigurace pro cf-engine je rizena z cf-serveru a to vcetne chovani cf3 na bacula-serveru

3.6

Citováno z „https://helpdesk.zcu.cz/index.php?title=LPS:CFEngine3/TODO&oldid=40900