Inhaltsfilter-Server (bullseye)

Installation

Das Debian Edu Minimalsystem filter.intern installieren wir über die PXE-Installationsumgebung von Debian Edu / Skolelinux. Die Vorbereitung der VM Instanz werden hier für libVirt bzw. Ganeti beschrieben.

Die VM fährt hoch und bootet über PXE ins iPXE Bootmenü. Hier bitte den 64bit Installer auswählen.

Es startet der Debian (Edu) Installer im grafischen Modus:

Konfiguration

Nach dem Neustart der VM filter.intern sollte der Hostname des gestarteten Systems auf disklserver.intern gesetzt sein. Wird stattdessen ein Hostname angezeigt, der die MAC-Adresse der primären NIC des Systems enthält, hat die Eintragung des Systems in GOsa² nicht funktioniert. Bevor man weiter fortfahren kann, muss dieser Fehler behoben werden.

Zum aktuellen Zeitpunkt (Debian Edu 11.4 Release) kommt es bei der Installation eines Minimal-Profils zu einem Fehler. Es fehlt das DEB-Paket libpam-krb5. Dies muss nachinstalliert werden (vergl. Debian bug #1002299):

apt-get install libpam-krb5

Um als Admin-User (bzw. allgemein als LDAP-User) bei Anmeldung System eine Verbindung zum $HOME-Verzeichnis auf tjener.intern zu erhalten, muss eine /etc/krb5.keytab Datei auf filter.intern kopiert werden (welche die Principals für host/filter.intern und nfs/filter.intern enthält. Dies erfolgt über folgenden Befehlsaufruf:

root@filter:~# /usr/share/debian-edu-config/tools/copy-host-keytab 
Passwort für root@INTERN: 
filter.intern.keytab                                            100%  324     9.0KB/s   00:00    
root@filter:~# 

Danach sollte es möglich sein, sich mit einem LDAP-Benutzerkonto an filter.intern via Login TTY od. SSH einzuloggen.

Fine-Tuning der VM-Einstellungen

Paket-Quellen für ITZkS aktivieren

Für den Inhaltsfilter-Server gibt es ein eigenes Overlay-Paket, welches aus dem IT-Zukunft Schule Projekt-APT-Repository installiert wird:

root@filter:~# editor /etc/apt/sources.list.d/itzks.list

"""
deb http://packages.it-zukunft-schule.de/debian bullseye main contrib non-free
"""

root@filter:~#  apt-get --allow-insecure-repositories update && apt-get install itzks-keyring && apt-get update
root@filter:~#  apt-get install itzks-systems-common

Bei der Installation von itzks-systems-common wird das Kürzel der Schule / des Schulkundens abgefragt. Diese Kürzel sind im Paket hinterlegt. Es besteht die Möglichkeit, ein Kürzel für die eigene Schule zu beantragen. Bitte dafür Kontakt mit Mike Gabriel vom IT-Zukunft Schule Projekt aufnehmen.

Nach der Installation von itzks-systems-common dann folgenden Befehl aufrufen:

root@filter:~# itzks-systems.do_preseed
Preseeding ocsinventory-agent/tag to <SCHOOL>
Preseeding ocsinventory-agent/method to http
Preseeding ocsinventory-agent/server to inventory.it-zukunft-schule.de
Silently running dpkg-reconfigure on package ocsinventory-agent ... 
DONE.

Software nachinstallieren

Die weitere Software wird über die Installation des Meta- und Config-Pakets itzks-systems-filter installiert:

root@filter:~# sudo apt-get install itzks-systems-filter 

System konfigurieren

  1. Login als root

  2. Standard-Editor festlegen (an der Unix-Console)

    root@filter:~# update-alternatives --config editor

    Hier vim.basic auswählen.

  3. Das Programm Midnight Commander starten (Kommando: mc):

    • F9 drücken
    • Optionen -> Konfiguration: [x] Internen Editor benutzen

    • Optionen -> Einstellungen speichern

    • F10: Midnight Commander beenden
  4. Den Midnight Commander Editor (Kommando: mcedit) starten:

    • F9 drücken
    • Menüpunkt: Optionen -> Allgemein

    • "Backspace durch Tabs" auswählen
    • "Tabs mit Leerzeichen auffüllen" auswählen
    • "Return rückt automatisch ein" abwählen
    • mit "OK" bestätigen
    • F10: Editor beenden

Boot-Verzögerung bei Stromausfall

Debian Edu Systeme setzen beim Systemstart einen erreichbaren Hauptserver voraus. Für Debian Edu Server-VMs ergibt sich die Anforderung einer Boot-Verzögerung, die z.B. bei Stromausfall dafür sorgt, dass der Haupt-Server nach Neustart aller Systeme verfügbar ist.

Anstelle aufwendiger VM-Host Skripte wird eine Startverzögerung durch ein hohes Timeout im Bootloader GRUB erwirkt.

<user>@filter:/# diff -u /etc/default/grub.orig /etc/default/grub
--- /etc/default/grub.orig      2012-08-31 16:06:51.000000000 +0200
+++ /etc/default/grub   2012-08-31 16:06:59.000000000 +0200
@@ -2,7 +2,7 @@
 # /boot/grub/grub.cfg.
 
 GRUB_DEFAULT=0
-GRUB_TIMEOUT=5
+GRUB_TIMEOUT=600
 GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`
 GRUB_CMDLINE_LINUX_DEFAULT="quiet"
 GRUB_CMDLINE_LINUX=""

Danach muss die Konfigurationsänderung übernommen werden:

root@filter:~# update-grub

Nur Admin-User und Junior-Admins dürfen sich auf DISKLSERVER einloggen

Schul-Admins und IT-Dienstleister:innen tragen wir in der LDAP-Gruppe admins ein. Junior-Admins (z.B. Schüler:innen einer Computer-AG) tragen wir in der Gruppe jradmins ein.

/!\ Wichtig: Der Inhaltsfilter-Server darf ein Login nur für Dienstleister, Schul-Admins und Junior-Admins erlauben. Hierfür müssen die Dateien /etc/security/access.conf und /etc/pam.d/sshd angepasst werden:

--- /etc/security/access.conf.orig
+++ /etc/security/access.conf
@@ -120,3 +120,6 @@
 #
 # All other users should be denied to get access from all sources.
 #- : ALL : ALL
+
++ : admins jradmins root : ALL
+- : ALL : ALL

--- /etc/pam.d/sshd.orig        2012-07-30 17:51:12.000000000 +0200
+++ /etc/pam.d/sshd     2012-07-30 17:51:26.000000000 +0200
@@ -15,7 +15,7 @@
 
 # Uncomment and edit /etc/security/access.conf if you need to set complex
 # access limits that are hard to express in sshd_config.
-# account  required     pam_access.so
+account  required     pam_access.so
 
 # Standard Un*x authorization.
 @include common-account

Automatische Konfiguration via Puppet Agent

Wie jede Maschine in einem ITZkS-basierten Debian Edu Netzwerk, wird auf filter.intern wird Puppet verwaltet. D.h. alle weiteren Konfigurationsschritte sind mittels Puppet realisiert.

Hierzu muss der Puppet Agent einmalig ausgeführt werden:

root@filter:~# sudo -i
root@filter:~# http_proxy= https_proxy= puppet agent --test

Danach muss auf tjener.intern eine Freischaltung (Signierung) des Host(-Zertifikats) durchgeführt werden:

root@tjener:~# puppet ca sign filter.intern

Abschließend nochmal den Puppet Agent durchlaufen lassen und den Dienst auch aktivieren:

root@filter:~# http_proxy= https_proxy= puppet agent --test
root@filter:~# puppet agent --enable
root@filter:~# systemctl enable --now puppet

Proxy-Cache bereitstellen

Speicherplatz für Proxy-Cache bereit stellen

Zunächst muss der für den Proxy-Cache vorgesehene Festplattenplatz vorbereitet werden:

root@filter:~# fdisk /dev/sdb # eine Partition: sdb1, Partitionstyp: 8e
root@filter:~# pvcreate /dev/sdb1
root@filter:~# vgextend vg_system /dev/sdb1
root@filter:~# lvcreate vg_system -n srv -L 60G
root@filter:~# mkfs.ext4 /dev/vg_system/srv

Jetzt noch einen Eintrag in /etc/fstab anlegen:

--- /etc/fstab.orig     2012-07-31 13:31:19.000000000 +0200
+++ /etc/fstab  2012-07-31 13:34:46.000000000 +0200
@@ -10,6 +10,7 @@
 /dev/mapper/vg_system-root   /             ext4    errors=remount-ro 0       1
 # /boot was on /dev/vda1 during installation
 UUID=<blkid-/boot>           /boot         ext4    defaults        0       2
+/dev/mapper/vg_system-srv    /srv          ext4    defaults        0       2 
 /dev/mapper/vg_system-usr    /usr          ext4    defaults        0       2
 /dev/mapper/vg_system-var    /var          ext4    defaults        0       2
 /dev/mapper/vg_system-swap_1 none          swap    sw              0       0

... und zuletzt das Dateisystem mounten (unter der Voraussetzung, dass /srv keine Daten enthält):

root@filter:~# sudo mount /srv

Jetzt den Dienst squid installieren. Nach der Installation den Dienst anhalten, das Cache-Verzeichnis verschieben nach /srv und dann durch einen Symlink ersetzen:

root@filter:~# sudo apt-get install squid
root@filter:~# sudo invoke-rc.d squid stop
root@filter:~# mv /var/spool/squid/ /srv/squid_spool
root@filter:~# ln -s /srv/squid_spool/ /var/spool/squid
root@filter:~# sudo invoke-rc.d squid start

DLW Chroot via LTSP startbar machen

Desweiteren sind einige weitere manuelle Schritte nötig, um das DLW Chroot über PXE starbar zu machen.

Zunächst muss die NFS-Server Konfiguration von debian-edu-config deaktiviert werden. Hierfür müssen alle Zeilen in /etc/exports.d/edu.exports auskommentiert werden. Danach den NFS Kernel Server neustarten:

root@disklserver:~# invoke-rc.d nfs-kernel-server restart

Danach müssen folgende LTSP Befehle ausgeführt werden:

root@disklserver:~# ltsp ipxe
root@disklserver:~# ltsp kernel
root@disklserver:~# ltsp initrd
root@disklserver:~# ltsp nfs

DLW Squashfs Image

Es empfiehlt sich wegen der besseren Performanz, das DLW Chroot zu einem Squashfs Image umzuwandeln und dann das DLW Squashfs Image per PXE zu starten und nicht das DLW Chroot selbst.

Das Squashfs-Image (und auch die Aktualisierung der PXE-Umgebung) kann mit dem Skript itzks-update-disklserver-squashfs-images erfolgen:

root@disklserver:~# itzks-update-disklserver-squashfs-images
Running: mount -t tmpfs -o mode=0755 tmpfs /srv/tmp/tmp.b3kQRsMM76/tmpfs
Running: mount -t overlay -o upperdir=/srv/tmp/tmp.b3kQRsMM76/tmpfs/0/up,lowerdir=/srv/ltsp/dlw+amd64+bullseye,workdir=/srv/tmp/tmp.b3kQRsMM76/tmpfs/0/work /srv/tmp/tmp.b3kQRsMM76/tmpfs /srv/tmp/tmp.b3kQRsMM76/root/
Trying to acquire package management lock: /srv/ltsp/dlw+amd64+bullseye/var/lib/dpkg/lock
Cleaning up dlw+amd64+bullseye before mksquashfs...
Replacing /srv/tmp/tmp.b3kQRsMM76/root/etc/ssh/ssh_host_ecdsa_key
Replacing /srv/tmp/tmp.b3kQRsMM76/root/etc/ssh/ssh_host_ed25519_key
Replacing /srv/tmp/tmp.b3kQRsMM76/root/etc/ssh/ssh_host_rsa_key
Generating a RSA private key
..................+++++
.............................................................................................................................................................................................+++++
writing new private key to '/srv/tmp/tmp.b3kQRsMM76/root/etc/ssl/private/ssl-cert-snakeoil.key'
-----
Parallel mksquashfs: Using 4 processors
Creating 4.0 filesystem on /srv/ltsp/images/dlw+amd64+bullseye.img.tmp, block size 131072.
[========/                                                                                                ]  73160/855010   8% 

Der Vorgang (Squashfs Image bauen) dauert relativ lange und sollte ggf. in einem screen-Terminal ausgeführt werden.

Das Skript itzks-update-disklserver-squashfs-images aktualisiert am Ende auch die PXE-Startumgebung via LTSP, so dass nach Ausführen des Skripts das DLW Squashfs Image sofort zur Verfügung steht. So sieht die restliche Ausgabe des Skripts aus:

[========================================================================================================/] 855010/855010 100% 

Exportable Squashfs 4.0 filesystem, gzip compressed, data block size 131072
        compressed data, compressed metadata, compressed fragments,
        compressed xattrs, compressed ids
        duplicates are removed
Filesystem size 11555688.01 Kbytes (11284.85 Mbytes)
        44.34% of uncompressed filesystem size (26062824.09 Kbytes)
Inode table size 9220230 bytes (9004.13 Kbytes)
        27.71% of uncompressed inode table size (33277580 bytes)
Directory table size 9344774 bytes (9125.76 Kbytes)
        35.75% of uncompressed directory table size (26137271 bytes)
Number of duplicate files found 44541
Number of inodes 923305
Number of files 717670
Number of fragments 60650
Number of symbolic links  99322
Number of device nodes 0
Number of fifo nodes 0
Number of socket nodes 0
Number of directories 106313
Number of ids (unique uids + gids) 36
Number of uids 15
        root (0)
        statd (110)
        unknown (123)
        avahi (111)
        Debian-exim (105)
        _apt (100)
        man (6)
        unknown (120)
        unknown (127)
        tftp (115)
        nobody (65534)
        unknown (124)
        unknown (125)
        unknown (122)
        unknown (126)
Number of gids 28
        root (0)
        dip (30)
        ssl-cert (110)
        shadow (42)
        tftp (123)
        Debian-exim (114)
        lpadmin (112)
        messagebus (111)
        mail (8)
        saned (121)
        kvm (105)
        tty (5)
        games (60)
        input (104)
        unknown (132)
        utmp (43)
        staff (50)
        systemd-timesync (113)
        man (12)
        unknown (127)
        unknown (134)
        avahi (118)
        unknown (130)
        nogroup (65534)
        unknown (131)
        adm (4)
        render (106)
        unknown (133)
Running: ltsp kernel /srv/ltsp/images/dlw+amd64+bullseye.img
Running: mount -t tmpfs -o mode=0755 tmpfs /srv/tmp/tmp.e0ec2gJKPE/tmpfs
Running: mount -t squashfs -o ro /srv/ltsp/images/dlw+amd64+bullseye.img /srv/tmp/tmp.e0ec2gJKPE/tmpfs/0/looproot
Running: mount -t overlay -o upperdir=/srv/tmp/tmp.e0ec2gJKPE/tmpfs/0/up,lowerdir=/srv/tmp/tmp.e0ec2gJKPE/tmpfs/0/looproot,workdir=/srv/tmp/tmp.e0ec2gJKPE/tmpfs/0/work /srv/tmp/tmp.e0ec2gJKPE/tmpfs /srv/tmp/tmp.e0ec2gJKPE/root/
-rw-r--r-- 1 root root 71696536 27. Jul 15:55 /srv/tftp/ltsp/dlw+amd64+bullseye/initrd.img
-rw-r--r-- 1 root root  6846656 24. Jul 00:32 /srv/tftp/ltsp/dlw+amd64+bullseye/vmlinuz
Running: mount -t tmpfs -o mode=0755 tmpfs /srv/tmp/tmp.D1twk5zxrz/tmpfs
Running: mount -t overlay -o upperdir=/srv/tmp/tmp.D1twk5zxrz/tmpfs/0/up,lowerdir=/srv/ltsp/dlw+amd64+bullseye,workdir=/srv/tmp/tmp.D1twk5zxrz/tmpfs/0/work /srv/tmp/tmp.D1twk5zxrz/tmpfs /srv/tmp/tmp.D1twk5zxrz/root/
-rw-r--r-- 1 root root 71696536 27. Jul 15:55 /srv/tftp/ltsp/dlw+amd64+bullseye/initrd.img
-rw-r--r-- 1 root root  6846656 24. Jul 00:32 /srv/tftp/ltsp/dlw+amd64+bullseye/vmlinuz
311 Blöcke
Generated ltsp.img:
-rw-r--r-- 1 root root 159232 18. Sep 22:56 /srv/tftp/ltsp/ltsp.img
Installed /usr/share/ltsp/server/ipxe/ltsp.ipxe in /srv/tftp/ltsp/ltsp.ipxe
Skipped existing /srv/tftp/ltsp/memtest.0
memtest.efi not found, that iPXE menu won't work
Skipped existing /srv/tftp/ltsp/snponly.efi
Skipped existing /srv/tftp/ltsp/undionly.kpxe

Diskless Workstations via PXE anbieten

Schließlich muss das Booten als Diskless Workstation über PXE via LDAP angeboten werden. Hierfür muss folgendes LDAP-Snippet nach LDAP importiert werden:

dn: cn=diskless-workstation,cn=10.0.0.0,cn=intern,cn=dhcp,cn=tjener,ou=servers,[========/                                                                                                ]  73160/855010   8% ou=systems,dc=skole,dc=skolelinux,dc=no
dhcpStatements: next-server disklserver
cn: diskless-workstation
objectClass: top
objectClass: dhcpGroup
objectClass: dhcpOptions

Krb5 Host Keytab per SSH übertragen während Bootvorgang

Die DLWs übertragen beim Starten des System die krb5.keytab Datei für den DLW-Host von TJENER. Hierfür muss eine Vertrauensstellung via SSH aufgebaut werden für root@<dlw-host> -> debian-edu@tjener.intern.

Zuerst muss im DLW Chroot ein SSH priv/pub Schlüsselpaar erstellt werden:

root@disklserver:~# chroot /srv/ltsp/dlw+amd64+bullseye
root@disklserver:~# ssh-keygen # keine Passphrase hinterlegen!
root@disklserver:~# cat ~/.ssh/id_rsa.pub
<SSH-RSA pubkey>
root@disklserver:~# exit # chroot wieder verlassen

Zusätzlich muss im DLW Chroot noch eine known_hosts Datei abgelegt werden. Hierfür muss ein kleiner Umweg gegangen werden, da die DLW im Chroot keinen eigenen Host-Key liegen hat.

root@disklserver:~# mv /root/.ssh/known_hosts /root/.ssh/known_hosts.bak
root@disklserver:~# ssh -lroot tjener.intern
The authenticity of host 'tjener.intern (10.0.2.2)' can't be established.
ECDSA key fingerprint is SHA256:<HOST-FINGERPRINT>.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes 
Warning: Permanently added 'tjener.intern,10.0.2.2' (ECDSA) to the list of known hosts.
root@tjener.intern's password:

Den Host-Fingerprint von tjener.intern akzeptieren, ein Login auf TJENER ist nicht nötig (und sollte auch mit Passwort nicht funktionieren).

Danach die Datei /root/.ssh/known_hosts in das DLW Chroot kopieren und die vorige Version von known_hosts wieder herstellen:

root@disklserver:~# cp /root/.ssh/known_hosts /srv/ltsp/dlw+amd64+bullseye/root/.ssh/
root@disklserver:~# mv /root/.ssh/known_hosts.bak /root/.ssh/known_hosts

Den <SSH-RSA pubkey> jetzt via Copy+Paste übertragen nach debian-edu@tjener.intern:

root@tjener:~# su - debian-edu
$ bash
debian-edu@tjener:~$ mkdir .ssh
debian-edu@tjener:~$ editor ~/.ssh/authorized_keys

In ~debian-edu/.ssh/authorized_keys jetzt den <SSH-RSA pubkey> hineinkopieren. Speichern und Editor schließen.

Zuletzt muss jetzt das DLW Squashfs Image nochmal neu erstellt werden:

root@disklserver:~# ltsp image /srv/ltsp/dlw+amd64+bullseye

IT-Zukunft Schule: Technik/Installation/VM/FilterServer/bullseye (zuletzt geändert am 2022-11-21 23:02:28 durch MikeGabriel)