LQPP/Systeminstallationsnotizen
< LQPP
Software
- Debian 5.05 stable (Lenny)
Maintainance
- configfiles in git: etckeeper
Sicherheit
Das Übliche
- Nur die nötigen Dienste
- portmapper aus
- ssh keyauth only, standardport
- kein logon für rollenaccounts (zB datenbankuser, liquid, etc)
- simple iptables firewall
- eingehend alles ausser dienste blocken
- ausgehende verbindungen die nicht vom webserver sind disablen
- ssh erlaubt
- https erlaubt
- debian updates erlaubt
- Security für iLo
Mehr als das Übliche
- tripwire: http://sourceforge.net/projects/tripwire/ (im debian repo vorhanden)
- datenbankpartition verschlüsseln
- Filesystemoptionen für encrypted partitions on /var and /var/lib (noexec,nodev,...)????
backup extern
syslog extern
Externes logging übernimmt die BundesIT. BundesIt wird um loganalyse gebeten.
Per syslog über $sichereskommunikationsmittel
- login
- sudo
- dienste neustarten
- alles ausser tiernahrung
monitoring extern
munin
Sicherheitsrisiko ist begrenzt, wenn kommunikation übernen sicheren kanal.
- pgsql: http://muninpgplugins.projects.postgresql.org/
- lighttpd: http://redmine.lighttpd.net/projects/lighttpd2/wiki/Howto_Munin
nagios
keine parameterübergabe zulassen.
- Postgresql nagiosplugin: http://pgfoundry.org/projects/nagiosplugins
- webserver plugin: http://exchange.nagios.org/directory/Plugins/Web-Servers/Apache/check_apachestatus_auto-(with-lighttpd-support)/details
Hardwaremonitoring
ilo treiber
wget ftp://ftp.hp.com/pub/softlib2/software1/pubsw-linux/p432475570/v49054/hp-ilo-8.2.0-236.sles9.i586.rpm
array diagnostics:
wget ftp://ftp.hp.com/pub/softlib2/software1/pubsw-linux/p1174222445/v59423/hpaducli-8.50-6.0.noarch.rpm
array config:
wget ftp://ftp.hp.com/pub/softlib2/software1/pubsw-linux/p414707558/v59422/hpacucli-8.50-6.0.noarch.rpm openIPMI: wget ftp://ftp.hp.com/pub/softlib2/software1/pubsw-linux/p1086993353/v49067/hp-OpenIPMI-8.2.0-285.sles9.i386.rpm
ipmi links:
- http://www.pseiko.nl/blog/349/munin-plugins-for-dell-ipmi-fan-speeds-and-temperatures
- http://en.wikipedia.org/wiki/Intelligent_Platform_Management_Interface
- lenny-cd: ftp://ftp.hp.com/pub/softlib2/software1/pubsw-linux/p1538177301/v45350/lenny-deliverables-20081028.iso
wget ftp://ftp.hp.com/pub/softlib2/software1/pubsw-linux/p1538177301/v45350/lenny-deliverables-20081028.iso mount -o loop lenny-deliverables-20081028.iso /cdrom apt-cdrom -m -d /mnt add apt-get install hp-health apt-get install hp-snmp-agents apt-get install hpsmh #access rules setzen apt-get install hp-smh-templates apt-get install hpacucli apt-get install cpqacuxe
Installog: http://lqpp.piratenpad.de/9