input/howto/new-machine.creole

   1 == setup/integrate a new machine ==
   2
   3 Note: this has recently been changed to rely more on [[puppet|howto/puppet-setup]].  If stuff breaks fix it.
   4
   5
   6 * install ssh if it isn't there already
   7 {{{
   8     apt-get install ssh
   9 }}}
  10
  11 * sane editor
  12 {{{
  13     apt-get install vim
  14 }}}
  15
  16 * sane locales: (make sure there is _no_ locale defined in /etc/environment and /etc/default/locale)
  17 {{{
  18    echo -n > /etc/environment
  19    echo -n > /etc/default/locale
  20 }}}
  21
  22 * make debconf the same on every host: - dialog, - high
  23 {{{
  24     apt-get install dialog &&
  25     echo "debconf debconf/priority        select high" | debconf-set-selections &&
  26     echo "debconf debconf/frontend        select Dialog" | debconf-set-selections
  27 }}}
  28
  29 * unless we want to keep it:
  30 {{{
  31     dpkg -l postfix | grep '^ii  postfix' && (dpkg --purge postfix && rm /etc/aliases)
  32 }}}
  33
  34 * on draghi, add the host to the ldap using ud-host.  Set the ssh key and the IP Address attributes.
  35
  36 * run generate, or wait until cron runs it for you
  37 {{{
  38     : :: draghi :: && sudo -u sshdist ud-generate && sudo -H ud-replicate
  39 }}}
  40
  41 * setup [[puppet|howto/puppet-setup]]  (run the puppet client two or three times until things converge.)
  42
  43
  44 * fix nsswitch for ud fu.  (you might have to restart sshd here)
  45 {{{
  46     sed -i -e 's/^passwd:\[[:space:]]\+compat$/passwd:         compat db/;
  47               s/^group:\[[:space:]]\+compat$/group:          db compat/;
  48               s/^shadow:\[[:space:]]\+compat$/shadow:         compat db/' \
  49         /etc/nsswitch.conf
  50     (cd / && env -i /etc/init.d/ssh restart)
  51 }}}
  52
  53 * install userdir-ldap
  54 {{{
  55     apt-get update && apt-get install userdir-ldap
  56 }}}
  57
  58 * on the host, run ud-replicate
  59 {{{
  60     echo draghi.debian.org,draghi,db.debian.org,db,82.195.75.106,::ffff:82.195.75.106 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAy1mAS0xIOZH9OrJZf1Wv9qYORv5Z5fmpF0o8Y4IMdS+ZzTjN1Sl8M77jaFTJbumJNs+n2CMcX8CoMemQEPBoRe20a5t3dExPQ3c7FNU0z+WIVFbu/oTTkAWGp5gCDwF3pg2QxUjqYc0X4jpv6pkisyvisij6V/VJ5G1hsIMuKqrCKYyyyiJJytfzSfRrBx2QvB5ZWQxhYeSYDoLDvuF31qUy4TLZ/HR3qZQ1cBrP9dCh5d+GQxdY9LuO6zjlnSyU64GHkyjYt3p03AKG4plD7WHX01bD0DQQ/NOFVwFhOZ63mePyridPuqBMFW39jBf4jSsewV95RE5VbY04+MY4XQ== root@draghi >> /etc/ssh/ssh_known_hosts &&
  61     ud-replicate
  62 }}}
  63
  64 * check if it worked:
  65 {{{
  66     id weasel
  67 }}}
  68
  69 * install debian.org which brings you shells and much other fun
  70 {{{
  71     apt-get install debian.org debian.org-recommended
  72 }}}
  73
  74 * in /etc/ssh/sshd_config:
  75 ** disable the DSA hostkey, so that it only does RSA
  76 ** remove old host keys:
  77 ** disable X11 forwarding
  78 ** Tell it to use alternate authorized_keys locations
  79 ** maybe link root's auth key there:
  80 {{{
  81     #| HostKey /etc/ssh/ssh_host_rsa_key
  82     #| X11Forwarding no
  83     #| AuthorizedKeysFile /etc/ssh/userkeys/%u
  84     #| AuthorizedKeysFile2 /var/lib/misc/userkeys/%u
  85
  86     cd /etc/ssh/ && rm -f ssh_host_dsa_key ssh_host_dsa_key.pub ssh_host_key ssh_host_key.pub &&
  87     mkdir -p /etc/ssh/userkeys && ln -s /root/.ssh/authorized_keys /etc/ssh/userkeys/root &&
  88     sed -i -e 's/^HostKey.*_dsa_key/# &/;
  89                s/^X11Forwarding yes/X11Forwarding no/;
  90                $ a AuthorizedKeysFile /etc/ssh/userkeys/%u
  91                $ a AuthorizedKeysFile2 /var/lib/misc/userkeys/%u' sshd_config &&
  92     (cd / && env -i /etc/init.d/ssh restart)
  93 }}}
  94
  95 * try to login using your user and ssh key.  you should get a homedir.
  96
  97 * try to become root using sudo.
  98
  99 * disable password auth with ssh (again: once you verified you can log in and become root using keys.)
 100 {{{
 101     #vi /etc/ssh/sshd_config
 102     #  | PasswordAuthentication no
 103
 104     sed -i -e 's/^PasswordAuthentication yes/PasswordAuthentication no/' /etc/ssh/sshd_config &&
 105     (cd / && env -i /etc/init.d/ssh restart)
 106 }}}
 107
 108 * make ca-certificates sane:  (choose to *not* trust new certs, and we only want the spi cert activated)
 109 {{{
 110     echo "ca-certificates ca-certificates/trust_new_crts  select no" | debconf-set-selections
 111     sed -i -e 's/^[^#!].*/!&/; s#^!spi-inc.org/spi-cacert-2008.crt#spi-inc.org/spi-cacert-2008.crt#' /etc/ca-certificates.conf
 112     dpkg-reconfigure ca-certificates
 113 }}}
 114
 115 * Add debian-admin@debian.org to root in /etc/aliases
 116 {{{
 117   if ! egrep '^root:' /etc/aliases > /dev/null; then
 118     echo "root: debian-admin@debian.org" >> /etc/aliases
 119   elif ! egrep '^root:.*debian-admin@debian.org' /etc/aliases > /dev/null; then
 120     sed -i -e 's/^root: .*/&, debian-admin@debian.org/' /etc/aliases
 121   fi
 122   newaliases
 123 }}}
 124
 125 * add to munin on spohr
 126 {{{
 127     : :: spohr :: && sudo vi /etc/munin/munin.conf
 128 }}}
 129
 130 * if it is a HP Proliant, or has other management fu, read [[howto/ilo-https]]
 131
 132 * edit dedication into in $DSA-PUPPET/modules/debian-org/misc/local.yaml
 133
 134 * add to nagios
 135
 136 -- weasel, Wed, 04 Jun 2008 20:52:56 +0200