8. Cómo configurar el controlador del sistema

Tiempo estimado para completar la actividad: de 2 a 4 horas

Propietario del componente operable: OELCM

Perfil de habilidad: ingeniero de implementación

El caso de uso principal de esta máquina es interactuar con electrodomésticos físicos cuando los métodos principales no están disponibles. Por ejemplo, se puede conectar al puerto de la consola del conmutador si el dispositivo de arranque para la conectividad del conmutador no funciona correctamente.

Algunos socios de implementación eligen usar un servidor dentro de los racks principales del GDC y, luego, usar las instrucciones de recuperación del programa de inicio. Esto es necesario si el salón de CC prohíbe el uso de servidores, monitores, mouse o teclados con ruedas libres.

Plan A. CD o DVD en vivo

Un controlador del sistema se ejecuta en un CD o DVD completamente en vivo (medios ópticos).

  • No lo instales en un disco duro físico.

  • Este sistema no debe tener una unidad física.

  • Usa una imagen activa de Rocky que se haya verificado con un DTO.

  • No uses una memoria USB.

  • Debes actualizar estas imágenes a través del DTO con regularidad.

Instrucciones

  1. Graba el archivo en un CD o DVD.

  2. Configura el controlador del sistema para que se inicie desde un CD o DVD.

  3. Establece una dirección IP.

Plan B Instala el sistema operativo (SO)

El propósito de este documento es crear una estación de trabajo que cumpla con la Guía de implementación técnica de seguridad (STIG) y que tenga las herramientas de software necesarias para admitir Google Distributed Cloud (GDC) aislado.

Resumen

Un controlador del sistema es un carro de paro con una estación de trabajo, un teclado, un mouse y un monitor.

Requisitos

Revisa esta guía completa y verifica lo siguiente:

  • El oficial de transferencia de datos (DTO) está disponible durante la semana de instalación.
  • El equipo y los medios necesarios para la instalación incluyen lo siguiente:
    • Guía de herramientas de habilitación de Distributed Cloud
    • Dispositivos multimedia USB
    • Descargas de archivos, incluidos los archivos ISO del SO y los RPM de software adicional
    • Estación de trabajo, pantalla, teclado, mouse y cables.
  • Información de la red del SO de la consola de servicio:
    • Dirección IP
    • Máscara de subred
    • Puerta de enlace predeterminada
    • Información del DNS

Recursos identificados

  • Matriz de competencia de Distributed Cloud
DTO Ingeniero Escriba/Comunicaciones Instructor Runner/TL/TW
  • Roles del equipo de implementación de Distributed Cloud

Recursos adicionales

  • Descarga la guía de instalación del SO
  • Descarga el procedimiento de configuración de Minicom
  • Descarga las instrucciones de configuración del carro de emergencia para COW y edificios.

Crea medios de arranque

Completa esta tarea con el DTO antes de ir al sitio del cliente.

  1. Descarga el ISO de DVD de Rocky 8 o 9.

  2. Descarga paquetes de software adicionales:

    Paquete URL
    clamav (opcional) Rocky 8.x o Rocky 9.x
    clamav-data (opcional) Rocky 8.x o Rocky 9.x
    clamav-filesystem (opcional) Rocky 8.x o Rocky 9.x
    clamav-freshclam (opcional) Rocky 8.x o Rocky 9.x
    clamav-lib (opcional) Rocky 8.x o Rocky 9.x
    clamd (opcional) Rocky 8.x o Rocky 9.x
    código Rocky 8.x o Rocky 9.x
    google-chrome-stable_current Rocky 8.x o Rocky 9.x
    k9s Rocky 8.x o Rocky 9.x
    kubectl Rocky 8.x o Rocky 9.x
    liberation-fonts Rocky 8.x o Rocky 9.x
    libprelude Rocky 8.x o Rocky 9.x
    lm_sensors Rocky 8.x o Rocky 9.x
    lm_sensors_libs Rocky 8.x o Rocky 9.x
    lockdev Rocky 8.x o Rocky 9.x
    lrzsz Rocky 8.x o Rocky 9.x
    minicom Rocky 8.x o Rocky 9.x
    sysstat Rocky 8.x o Rocky 9.x

  3. Realiza el procedimiento de transferencia de software necesario para llevar los paquetes de software y la ISO al espacio seguro de la sala de CC.

  4. Escribe la imagen ISO en la unidad USB encriptada.

  5. Copia paquetes de software adicionales en la unidad USB encriptada.

    # Set variable to iso file downloaded
OS_ISO=Rocky-9.5-x86_64-dvd.iso

# cd to directory where iso and additional software rpms are stored

# Determine the device name of the USB drive.
sudo lsblk

# Set the device name of the USB drive.
echo "What is the device name of the USB drive? Provide full name for example /dev/sdX"
read USB_DEVICE
read -r -p "Proceeding will destroy existing data on ${USB_DEVICE}. Continue with formatting? [y/n] " response
case "$response" in
  [yY][eE][sS]|[yY])
      echo "Formatting USB drive with ${OS_ISO}..."
      ;;
  *)
      echo "Exiting..."
      exit 0
      ;;
esac

# Write ISO to USB drive
sudo dd if=${OS_ISO} of=${USB_DEVICE} bs=4M

echo "Copying additional software packages to USB drive"
sudo mkdir /mnt/usb
sudo mount ${USB_DEVICE} /mnt/usb
sudo mkdir /mnt/usb/opt/
sudo cp *.rpm /mnt/usb/opt/

# Unmount USB drive
sudo umount /mnt/usb
echo "Bootable media creation is complete."

Día de la instalación

Recuperar equipos del inventario o de la plataforma de carga y descarga Lleva el equipo al espacio de trabajo del centro de datos (CD). Continúa con la construcción del carro de paro para el controlador del sistema.

Prepara y construye equipos

  1. Cómo desembalar la estación de trabajo
  2. Verifica los números de serie
  3. Arma el carro de paro
    • Coloca la pantalla
    • Incluir teclado
    • Incluye mouse
    • Agrega aquí el folleto de configuración del controlador del sistema o el archivo PDF.
  4. Cómo conectar los cables a la estación de trabajo
    • Conecta el cable de la pantalla (VGA, HDMI, DisplayPort).
    • Conecta el mouse
    • Conecta el teclado
  5. Realiza la instalación del SO.
    • necesitará medios de DTO/DTA.

Instalación del SO

Se espera que el controlador del sistema, con teclado, monitor y mouse, esté configurado y listo para la instalación del SO.

Cómo iniciar desde un medio

  1. Inicia el controlador del sistema desde un medio de inicio.
  2. Selecciona Check Media and Install.
  3. Una vez que se cargue la GUI del instalador de Red Hat, selecciona lo siguiente en cada sección.

En la siguiente imagen, se muestra el mensaje inicial con las opciones de instalación del SO que el controlador del sistema muestra desde el medio de arranque.

Captura de pantalla del mensaje inicial de los medios de arranque

Figura 1. Mensaje inicial de los medios de arranque.

  • Se inició el medio ISO.

Captura de pantalla de la GUI del instalador

Figura 2. Selección de idioma para la instalación.

Localización

  1. Teclado: inglés (EE.UU.)
  2. Idioma: Inglés (EE.UU.)

Red y nombre de host

  1. Haz clic en Configurar en el dispositivo de red.
  2. En Configuración de IPv4, selecciona Manual.
  3. En Direcciones, haz clic en Agregar.
  4. Ingresa la dirección IP, la máscara de red y la puerta de enlace en los campos.
  5. Ingresa los servidores DNS.
  6. Haz clic en Guardar y, luego, en Listo.
  7. En Configuración de IPv4, selecciona Manual.
  8. En Direcciones, haz clic en Agregar.
  9. Ingresa la dirección IP, la máscara de red y la puerta de enlace en los campos.
  10. Ingresa los servidores DNS.
  11. Haz clic en Guardar y, luego, en Listo.

Captura de pantalla de las opciones de redes y nombre de host del instalador

Figura 3. Opciones de redes y nombres de host para la instalación.

Hora y fecha

  1. Haz clic en el ícono de configuración en la esquina superior derecha.
  2. Ingresa la dirección IP del conmutador de administración en el campo Nombre de host.
  3. Haz clic en Aceptar.
  4. Establece la región y la zona horaria.
  5. Haz clic en Listo.
  6. Ingresa la dirección IP del conmutador de administración en el campo Nombre de host.
  7. Haz clic en Aceptar.
  8. Establece la región y la zona horaria.
  9. Haz clic en Listo.

Captura de pantalla de las opciones de fecha y hora del instalador

Figura 4. Opciones de fecha y hora para la instalación

Software

  1. Selección de software: Estación de trabajo
  2. Complementos:

  3. Complementos:

    1. Servidores de red
    2. Herramientas del sistema
    3. Productividad en la oficina

En la siguiente imagen, se muestra la página SELECCIÓN DE SOFTWARE para la instalación. En la página, se muestran dos menús: uno para el entorno base, en el que se selecciona la opción Workstation. El otro menú es para el software adicional del entorno seleccionado, en el que se seleccionan las opciones Servidores de red y Herramientas del sistema.

Captura de pantalla de la selección de software del instalador

Figura 5. Entorno base y software adicional para la instalación.

  • Estación de trabajo seleccionada como entorno base
  • Servidores de red seleccionados como instalación de software adicional
  • Herramientas del sistema seleccionadas como instalación de software adicional
  • Se seleccionó Office Productivity como instalación de software adicional

Destino de instalación y partición de disco

En la siguiente imagen, se muestra la página INSTALLATION DESTINATION, en la que se selecciona un dispositivo de disco. En esta página, también se especifica la configuración de almacenamiento personalizada.

Captura de pantalla del destino de instalación del instalador

Figura 6. Selección del destino de instalación y la configuración de almacenamiento

  1. Selecciona SSD install target.

  2. Particionamiento personalizado:

    1. Crea el siguiente diseño de partición.
    2. Acepta el tipo de sistema de archivos predeterminado para cada partición.
    3. Modifica el grupo de volúmenes de LVM para usar todo el espacio restante en el disco.
  • El documento Scribe/Engineer indica que el sistema se particiona según la guía de instalación.

El ingeniero realiza una revisión manual para verificar el tamaño de las particiones y validar la existencia del directorio principal.

Para que el grupo de volúmenes se expanda y llene todo el SSD, hay un paso adicional después de definir las particiones.

  • Haz clic en el botón Volume Group: Modify en la ventana de partición.
  • Tamaño: "Lo más grande posible".
Sistema de archivos Tamaño Verificación de Scribe (si es otra actualización)
/boot 1 G
/boot/efi 0.5 G
/ 50 G
/tmp 8 G
/var 40 G
/var/log 20 G
/var/log/audit 20 G
/var/tmp 4 G
/opt/software-repo 100 G
/home Espacio restante

Política de seguridad

  1. Desplázate por la lista de políticas de seguridad disponibles.

    • Selecciona: DISA STIG with GUI.

    • Haz clic en Seleccionar perfil.

    • Esto aplica la política de seguridad seleccionada.

    • Desplázate por el resultado para ver si la política detectó algún error.

    • Lee la lista de cambios planificados en la Política de seguridad.

    • Si ves errores rojos, realiza cambios manuales para cumplir con los requisitos. Por lo general, se trata de problemas de partición de disco.

    • Asegúrate de que la política de seguridad esté activada.

  2. Durante este paso, el escriba debe estar junto al ingeniero.

En la siguiente imagen, se muestra la página POLÍTICA DE SEGURIDAD, en la que se selecciona DISA STIG con GUI para Red Hat Enterprise Linux 9 como el perfil. En esta página, también se muestra una descripción del perfil y el botón Select profile.

Captura de pantalla de la política de seguridad del instalador

Figura 7. Es la selección de perfil para la política de seguridad.

  • Se aplicó la política de seguridad sin errores.

User settings

  1. Configura el usuario root

    • Establece la contraseña raíz.
    • Registra la contraseña raíz en la unidad de medios encriptada después de que se complete la instalación.

  2. Configura la primera cuenta del operador

    • Establece el nombre de usuario para la cuenta de usuario del operador inicial.
    • Pídele al operador que seleccione su propia contraseña.
    • Marca "administrador" para que la cuenta se agregue al grupo %wheel.

En la siguiente imagen, se muestra la página CREATE USER de la instalación. En la página, se muestran los campos que debes completar, como nombre completo, nombre de usuario, contraseña y opciones avanzadas.

Captura de pantalla del instalador Create user

Figura 8. Son los campos con información para crear un usuario.

  • Se completó la configuración de los usuarios.
  • Las credenciales se verificaron y guardaron en un archivo de configuración encriptado.

Actualizar el sistema

  1. Volver a la pantalla principal
  2. Aparecerá el botón de actualización
  3. Cómo comenzar la instalación
  4. La actualización demorará un poco
  5. Actualiza el software antivirus con las definiciones actuales
  6. Accede con la cuenta creada
  7. Aparecerán las pantallas de acceso por primera vez

Cómo usar dispositivos USB con refuerzo de STIG

La capacidad de usar dispositivos USB en una máquina Linux con requisitos de STIG está muy limitada y requiere que se agreguen dispositivos individuales a una lista de entidades permitidas para su uso.

Los siguientes comandos permiten que los teclados y los mouses se muevan libremente entre los puertos USB físicos. Esto implica actualizar las reglas de usbguard.

  • Habilita el dispositivo de almacenamiento USB

  1. Quita el controlador falso de usb-storage:

    sudo rm /etc/modprobe.d/usb-storage.conf
Cómo habilitar de forma permanente un dispositivo USB nuevo

Para habilitar de forma permanente el uso de un dispositivo USB, debes modificar las reglas de usbguard.

  1. Antes de conectar físicamente un nuevo USB, inicia un usbguard watch para capturar la nueva cadena de identificador del dispositivo:

    sudo usbguard watch list-devices

  2. Conecta físicamente el dispositivo USB y copia el resultado:

    deny id 413c:301a serial "" name "Dell MS116 USB Optical Mouse" hash "kYdX3V8dJl2JDRpEA1mRTUMupUaUe4aGUUZcSr7r5EE=" parent-hash "bRXptnzyxb9ThCMx2AmE81vX4L0JJpn0YRy8OPD8K0A=" via-port "1-6.2" with-interface 03:01:02 with-connect-type "unknown

  3. Agrega una línea nueva a /etc/usbguard/rules.conf con la línea del identificador capturada del reloj:

    sudo vi /etc/usbguard/rules.conf

    allow id 413c:301a serial "" name "Dell MS116 USB Optical Mouse" hash "kYdX3V8dJl2JDRpEA1mRTUMupUaUe4aGUUZcSr7r5EE=" parent-hash "bRXptnzyxb9ThCMx2AmE81vX4L0JJpn0YRy8OPD8K0A=" with-interface 03:01:02 with-connect-type "unknown

  4. Reinicia el daemon de usbguard:

    sudo systemctl restart usbguard.service
Cómo habilitar temporalmente un dispositivo USB nuevo

  1. Conecta el nuevo dispositivo USB y determina qué número de dispositivo se le asignó:

    usbguard list-devices

    El dispositivo más nuevo suele ser la última línea de la lista. El número de dispositivo es el primer número de la línea:

    usbguard list-devices | tail -1 | awk '{print $1}'

  2. Usa usbguard para agregar a la lista de entidades permitidas la unidad USB segura:

    sudo usbguard allow-device ${USB_ID}

  3. Monta el almacenamiento USB resultante de la manera habitual:

    sudo lsblk # Determine the device name of the USB drive.
# Set the device name of the USB drive.
USB_DEVICE=/dev/sdX # replace X with the device number of the USB drive.

sudo mkdir /mnt/usb; chmod 555 /mnt/usb
sudo mount ${USB_DEVICE} /mnt/usb

  4. Ahora deberías ver que la unidad USB segura está montada.

    • El USB se activó correctamente.

Instala todas las herramientas

  • Inserta la unidad USB que contiene el software adicional.

    sudo lsblk # Determine the device name of the USB drive.
# Set the device name of the USB drive.
USB_DEVICE=/dev/sdX # replace X with the device name of the USB drive.

sudo mkdir /mnt/usb
sudo mount ${USB_DEVICE} /mnt/usb
sudo rpm -ihv /mnt/usb/opt/*.rpm
sudo umount /mnt/usb

Usa Minicom para acceder a las consolas en serie

El programa minicom es antiguo y supone que quieres conectarte a un módem telefónico cuando lo invocas. Debes cambiar la configuración predeterminada para usar un cable USB a serie.

  1. Inicia minicom en modo de configuración:

    sudo minicom -s

  2. Esto abrirá la TUI de configuración para que puedas cambiar los parámetros.

    En la siguiente imagen, se muestra la opción Configuración del puerto serie seleccionada en la IU de texto de configuración.

    Captura de pantalla de la configuración del puerto serie de Minicom

  3. Cambia el dispositivo serial a /dev/ttyUSB0 y la velocidad de transmisión (velocidad) según corresponda.

    En la siguiente imagen, se muestra el dispositivo serial configurado en /dev/ttyUSB0.

    Captura de pantalla del dispositivo serie Minicom

  4. Para guardar este cambio de forma permanente, usa Save setup as dfl.

  5. Selecciona Exit para salir del menú de configuración y acceder a la consola serial real.

    En la siguiente imagen, se muestra la opción Exit seleccionada en la IU de configuración basada en texto. Captura de pantalla de Minicom Exit

  6. Desde la conexión serial, usa las hiperteclas para cambiar la configuración y salir:

    CTRL+A, Z
X = exit minicom and return to bash shell
P = modify config settings

Configura la rotación del registro de Auditd

La configuración de STIG implica que auditd crea muchos registros. Si se queda sin espacio en el disco, es posible que apague el sistema y lo ejecute en modo de un solo usuario. Para evitar esto, configura una rotación del registro de registros de auditd. Dado que auditd no se puede reiniciar sin un reinicio, debes configurar tanto auditd como logrotate.

  1. Crea un archivo /etc/logrotate.d/auditlog nuevo

    cat << EOF | sudo tee /etc/logrotate.d/auditlog
/var/log/audit/audit.log.1
/var/log/audit/audit.log.2
/var/log/audit/audit.log.3
/var/log/audit/audit.log.4
/var/log/audit/audit.log.5
{
    missingok
    compress
}
EOF

  2. Modifica la configuración de /etc/audit/auditd.conf file's max_log_file:

    sudo vi /etc/audit/auditd.conf

  3. Cambia las líneas a la configuración actualizada:

    max_log_file = 1024
max_log_file_action = rotate

  4. Reinicia la estación de trabajo:

    sudo shutdown -r now

Wi-Fi

  1. Inhabilita la conexión Wi-Fi una vez que se complete la instalación a través de la interfaz de usuario (IU) o ejecutando la utilidad Nmcli nmcli radio wifi off.
  2. Confirma que el Wi-Fi esté inhabilitado o que el componente no exista.

Después de la instalación

Después de configurar el controlador del sistema, el siguiente paso es copiar los repositorios del medio de instalación al sistema de archivos local.

Configura el repositorio local de yum

Copia toda la distribución de Rocky Linux en el disco local para crear un repositorio local. Esto permite que el comando yum se pueda usar para instalar y actualizar software.

Cómo copiar contenido multimedia

  1. Activa los medios USB en /mnt/repo. Copia los repositorios de los medios con DTO en el directorio /opt/software-repo/. Si los directorios no existen, créalos.

    sudo lsblk # Determine the device name of the USB drive.
# Set the device name of the USB drive.
USB_DEVICE=/dev/sdX # replace X with the device name of the USB drive.

sudo mkdir -m 555 /mnt/usb
sudo mkdir -p /opt/software-repo/Rocky
sudo mount ${USB_DEVICE} /mnt/usb
sudo cp -a /mnt/usb/AppStream /opt/software-repo/Rocky
sudo cp -a /mnt/usb/BaseOS /opt/software-repo/Rocky

Crea un repositorio de medios local

Solo debes realizar los siguientes pasos una vez.

  1. Mueve todos los archivos .repo existentes de /etc/yum.repos.d/ a un directorio de copia de seguridad.

    sudo mkdir /root/repobackup
sudo mv /etc/yum.repos.d/* /root/repobackup/

  2. Crea archivos de repositorios locales

    cat << EOF | sudo tee /etc/yum.repos.d/local_Rocky-AppStream.repo
[appstream]
name=Rocky Linux $releasever - AppStream
#baseurl=http://dl.rockylinux.org/$contentdir/$releasever/AppStream/$basearch/os/
baseurl=file:///opt/software-repo/Rocky/AppStream
gpgcheck=1
enabled=1
countme=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-rockyofficial
EOF

cat << EOF | sudo tee /etc/yum.repos.d/local_Rocky-BaseOS.repo
[baseos]
name=Rocky Linux $releasever - BaseOS
#baseurl=http://dl.rockylinux.org/$contentdir/$releasever/BaseOS/$basearch/os/
baseurl=file:///opt/software-repo/Rocky/BaseOS
gpgcheck=1
enabled=1
countme=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-rockyofficial
EOF

sudo dnf clean all

Lista de tareas posteriores a la instalación

  • Se documentaron los problemas encontrados.
  • La credencial sensible se transfirió y documentó de forma segura.
  • Se actualizó correctamente la tarea de instalación del SO y las herramientas en el rastreador de tareas.
  • Lista de tareas posteriores a la configuración del controlador del sistema:
    • ip a # muestra la IP correcta
    • kubectl version
    • k9s version
    • minicom --help
    • tmux -V
    • chronyc sources