input/howto/new-machine.creole

   1 == setup/integrate a new machine ==
   2
   3 Note: this has recently been changed to rely more on [[puppet|howto/puppet-setup]].  If stuff breaks fix it.
   4
   5
   6 * install ssh if it isn't there already
   7 {{{
   8     apt-get install ssh
   9 }}}
  10
  11 * sane locales: (make sure there is _no_ locale defined in /etc/environment and /etc/default/locale)
  12 {{{
  13    echo -n > /etc/environment
  14    echo -n > /etc/default/locale
  15 }}}
  16
  17 * make debconf the same on every host: - dialog, - high
  18 {{{
  19     apt-get install dialog &&
  20     echo "debconf debconf/priority        select high" | debconf-set-selections &&
  21     echo "debconf debconf/frontend        select Dialog" | debconf-set-selections
  22 }}}
  23
  24 * unless we want to keep it:
  25 {{{
  26     dpkg -l postfix | grep '^ii  postfix' && (dpkg --purge postfix && rm /etc/aliases)
  27 }}}
  28
  29 * on draghi, add the host to the ldap using ud-host.  Set the ssh key and the IP Address attributes.
  30
  31 * run generate, or wait until cron runs it for you
  32 {{{
  33     : :: draghi :: && sudo -u sshdist ud-generate && sudo -H ud-replicate
  34 }}}
  35
  36 * setup [[puppet|howto/puppet-setup]]  (run the puppet client two or three times until things converge.)
  37
  38
  39 * fix nsswitch for ud fu.  (you might have to restart sshd here)
  40 {{{
  41     sed -i -e 's/^passwd:\[[:space:]]\+compat$/passwd:         compat db/;
  42               s/^group:\[[:space:]]\+compat$/group:          db compat/;
  43               s/^shadow:\[[:space:]]\+compat$/shadow:         compat db/' \
  44         /etc/nsswitch.conf
  45     (cd / && env -i /etc/init.d/ssh restart)
  46 }}}
  47
  48 * install userdir-ldap
  49 {{{
  50     apt-get update && apt-get install userdir-ldap
  51 }}}
  52
  53 * on the host, run ud-replicate
  54 {{{
  55     echo draghi.debian.org,draghi,db.debian.org,db,82.195.75.106,::ffff:82.195.75.106 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAy1mAS0xIOZH9OrJZf1Wv9qYORv5Z5fmpF0o8Y4IMdS+ZzTjN1Sl8M77jaFTJbumJNs+n2CMcX8CoMemQEPBoRe20a5t3dExPQ3c7FNU0z+WIVFbu/oTTkAWGp5gCDwF3pg2QxUjqYc0X4jpv6pkisyvisij6V/VJ5G1hsIMuKqrCKYyyyiJJytfzSfRrBx2QvB5ZWQxhYeSYDoLDvuF31qUy4TLZ/HR3qZQ1cBrP9dCh5d+GQxdY9LuO6zjlnSyU64GHkyjYt3p03AKG4plD7WHX01bD0DQQ/NOFVwFhOZ63mePyridPuqBMFW39jBf4jSsewV95RE5VbY04+MY4XQ== root@draghi >> /etc/ssh/ssh_known_hosts &&
  56     ud-replicate
  57 }}}
  58
  59 * check if it worked:
  60 {{{
  61     id weasel
  62 }}}
  63
  64 * install debian.org which brings you shells and much other fun
  65 {{{
  66     apt-get install debian.org debian.org-recommended
  67 }}}
  68
  69 * in /etc/ssh/sshd_config:
  70 ** disable the DSA hostkey, so that it only does RSA
  71 ** remove old host keys:
  72 ** disable X11 forwarding
  73 ** Tell it to use alternate authorized_keys locations
  74 ** maybe link root's auth key there:
  75 {{{
  76     #| HostKey /etc/ssh/ssh_host_rsa_key
  77     #| X11Forwarding no
  78     #| AuthorizedKeysFile /etc/ssh/userkeys/%u
  79     #| AuthorizedKeysFile2 /var/lib/misc/userkeys/%u
  80
  81     cd /etc/ssh/ && rm -f ssh_host_dsa_key ssh_host_dsa_key.pub ssh_host_key ssh_host_key.pub &&
  82     mkdir -p /etc/ssh/userkeys && ln -s /root/.ssh/authorized_keys /etc/ssh/userkeys/root &&
  83     sed -i -e 's/^HostKey.*_dsa_key/# &/;
  84                s/^X11Forwarding yes/X11Forwarding no/;
  85                $ a AuthorizedKeysFile /etc/ssh/userkeys/%u
  86                $ a AuthorizedKeysFile2 /var/lib/misc/userkeys/%u' sshd_config &&
  87     (cd / && env -i /etc/init.d/ssh restart)
  88 }}}
  89
  90 * try to login using your user and ssh key.  you should get a homedir.
  91
  92 * try to become root using sudo.
  93
  94 * disable password auth with ssh (again: once you verified you can log in and become root using keys.)
  95 {{{
  96     #vi /etc/ssh/sshd_config
  97     #  | PasswordAuthentication no
  98
  99     sed -i -e 's/^PasswordAuthentication yes/PasswordAuthentication no/' /etc/ssh/sshd_config &&
 100     (cd / && env -i /etc/init.d/ssh restart)
 101 }}}
 102
 103 * make ca-certificates sane:  (choose to *not* trust new certs, and we only want the spi cert activated)
 104 {{{
 105     echo "ca-certificates ca-certificates/trust_new_crts  select no" | debconf-set-selections
 106     sed -i -e 's/^[^#!].*/!&/; s#^!spi-inc.org/spi-cacert-2008.crt#spi-inc.org/spi-cacert-2008.crt#' /etc/ca-certificates.conf
 107     dpkg-reconfigure ca-certificates
 108 }}}
 109
 110 * Add debian-admin@debian.org to root in /etc/aliases
 111 {{{
 112   if ! egrep '^root:' /etc/aliases > /dev/null; then
 113     echo "root: debian-admin@debian.org" >> /etc/aliases
 114   elif ! egrep '^root:.*debian-admin@debian.org' /etc/aliases > /dev/null; then
 115     sed -i -e 's/^root: .*/&, debian-admin@debian.org/' /etc/aliases
 116   fi
 117   newaliases
 118 }}}
 119
 120 * sane default editor
 121 {{{
 122     apt-get install vim && update-alternatives --set editor /usr/bin/vim.basic
 123 }}}
 124
 125 * add to munin on spohr
 126 {{{
 127     : :: spohr :: && sudo vi /etc/munin/munin.conf
 128 }}}
 129
 130 * if it is a HP Proliant, or has other management fu, read [[howto/ilo-https]]
 131
 132 * edit dedication into in $DSA-PUPPET/modules/debian-org/misc/local.yaml
 133
 134 * add to nagios
 135
 136 -- weasel, Wed, 04 Jun 2008 20:52:56 +0200