Cette page a été traduite par l'API Cloud Translation.

8. Configurer le contrôleur système

Durée estimée : 2 à 4 heures

Propriétaire du composant actionnable : OELCM

Profil de compétences : ingénieur de déploiement

Cette machine est principalement utilisée pour interagir avec des appareils physiques lorsque les méthodes principales ne sont pas disponibles. Par exemple, il peut être connecté au port de la console du commutateur si le programme d'amorçage de la connectivité du commutateur ne fonctionne pas.

Certains partenaires de déploiement choisissent d'utiliser un serveur dans les racks principaux du GDC, puis d'utiliser les instructions de récupération du programme d'amorçage ultérieurement. Cela est nécessaire si votre salle de données interdit les serveurs, écrans, souris ou claviers non fixés.

Forfait A. CD ou DVD Live

Un contrôleur système s'exécute sur un CD ou un DVD (support optique) entièrement live.

Ne l'installez pas sur un disque dur physique.
Ce système ne doit pas être équipé d'un lecteur physique.
Utilisez une image live Rocky approuvée par la DTO.
N'utilisez pas de clé USB.
Vous devez mettre à jour régulièrement ces images via le DTO.

Instructions

Gravez l'image sur un CD ou un DVD.
Configurez le contrôleur de votre système pour qu'il démarre à partir d'un CD ou d'un DVD.
Définissez une adresse IP.

Plan B. Installer un système d'exploitation

Ce document vise à créer un poste de travail conforme au guide d'implémentation technique de sécurité (STIG, Security Technical Implementation Guide) avec les outils logiciels nécessaires pour prendre en charge Google Distributed Cloud (GDC) air-gapped.

Résumé

Un contrôleur système est un chariot d'urgence équipé d'un poste de travail, d'un clavier, d'une souris et d'un écran.

Conditions préalables

Consultez ce guide complet et vérifiez les points suivants :

Un responsable du transfert de données est disponible pendant la semaine d'installation.
L'équipement et les supports requis pour l'installation sont les suivants :
- Guide des outils d'activation Distributed Cloud
- Support USB
- Téléchargements de fichiers, y compris les fichiers ISO de l'OS et les RPM de logiciels supplémentaires
- Poste de travail, écran, clavier, souris et câbles.
Informations réseau pour l'OS de la console de service :
- Adresse IP
- Masque de sous-réseau
- Passerelle par défaut
- Informations DNS

Ressources identifiées

Matrice de compétences Distributed Cloud

DTO	Engineer	Scribe/Comms	Formateur	Runner/TL/TW

Rôles de l'équipe de déploiement Distributed Cloud

Autres ressources

Télécharger le guide d'installation de l'OS
Télécharger la procédure de configuration de Minicom
Téléchargez les instructions de configuration du chariot d'urgence et du COW.

Créer un support de démarrage

Effectuez cette tâche à l'aide de DTO avant de vous rendre sur le site du client.

Téléchargez l'ISO du DVD Rocky 8 ou 9.

Téléchargez des packages logiciels supplémentaires :

Package	URL
clamav (facultatif)	Rocky 8.x / Rocky 9.x
clamav-data (facultatif)	Rocky 8.x / Rocky 9.x
clamav-filesystem (facultatif)	Rocky 8.x / Rocky 9.x
clamav-freshclam (facultatif)	Rocky 8.x / Rocky 9.x
clamav-lib (facultatif)	Rocky 8.x / Rocky 9.x
clamd (facultatif)	Rocky 8.x / Rocky 9.x
code	Rocky 8.x / Rocky 9.x
google-chrome-stable_current	Rocky 8.x / Rocky 9.x
k9s	Rocky 8.x / Rocky 9.x
kubectl	Rocky 8.x / Rocky 9.x
liberation-fonts	Rocky 8.x / Rocky 9.x
libprelude	Rocky 8.x / Rocky 9.x
lm_sensors	Rocky 8.x / Rocky 9.x
lm_sensors_libs	Rocky 8.x / Rocky 9.x
lockdev	Rocky 8.x / Rocky 9.x
lrzsz	Rocky 8.x / Rocky 9.x
minicom	Rocky 8.x / Rocky 9.x
sysstat	Rocky 8.x / Rocky 9.x

Effectuez la procédure de transfert de logiciel nécessaire pour importer les packages ISO et logiciels dans l'espace sécurisé de votre salle informatique.
Écrivez l'image ISO sur la clé USB chiffrée.

Copiez d'autres packages logiciels sur la clé USB chiffrée.

# Set variable to iso file downloaded
OS_ISO=Rocky-9.5-x86_64-dvd.iso

# cd to directory where iso and additional software rpms are stored

# Determine the device name of the USB drive.
sudo lsblk

# Set the device name of the USB drive.
echo "What is the device name of the USB drive? Provide full name for example /dev/sdX"
read USB_DEVICE
read -r -p "Proceeding will destroy existing data on ${USB_DEVICE}. Continue with formatting? [y/n] " response
case "$response" in
  [yY][eE][sS]|[yY])
      echo "Formatting USB drive with ${OS_ISO}..."
      ;;
  *)
      echo "Exiting..."
      exit 0
      ;;
esac

# Write ISO to USB drive
sudo dd if=${OS_ISO} of=${USB_DEVICE} bs=4M

echo "Copying additional software packages to USB drive"
sudo mkdir /mnt/usb
sudo mount ${USB_DEVICE} /mnt/usb
sudo mkdir /mnt/usb/opt/
sudo cp *.rpm /mnt/usb/opt/

# Unmount USB drive
sudo umount /mnt/usb
echo "Bootable media creation is complete."

Jour d'installation

Récupérez l'équipement dans l'inventaire ou sur le quai de chargement/déchargement. Placez l'équipement dans l'espace de travail "Centre de données" (CD). Passez à la création du chariot d'urgence pour le contrôleur système.

Préparer et construire l'équipement

Déballer la Workstation
Valider les numéros de série
Créer un panier d'urgence
- Fixer l'écran
- Inclure le clavier
- Inclure la souris
- Ajoutez ici la brochure ou le fichier PDF de configuration du contrôleur système.
Connecter les câbles à la station de travail
- Branchez le câble vidéo (VGA, HDMI, DisplayPort).
- Brancher la souris
- Brancher le clavier
Effectuer l'installation de l'OS
- aura besoin de supports de la part du DTO/DTA.

Installation de l'OS

Le contrôleur système, avec clavier, écran et souris, doit être configuré et prêt pour l'installation de l'OS.

Démarrer à partir d'un support

Démarrez le contrôleur système à partir d'un support de démarrage.
Sélectionnez Check Media and Install (Vérifier le support et installer).
Une fois l'interface utilisateur du programme d'installation Redhat chargée, sélectionnez les éléments suivants dans chaque section.

L'image suivante montre le message initial avec les options d'installation de l'OS que le contrôleur système affiche à partir du support de démarrage.

Capture d'écran du message initial du support de démarrage

Figure 1 : Message initial du support de démarrage.

Le support ISO a démarré.

Capture d'écran de l'interface utilisateur de l'installateur

Figure 2. Sélection de la langue pour l'installation.

Localisation

Clavier : anglais (États-Unis)
Langue : anglais (États-Unis)

Mise en réseau et nom d'hôte

Cliquez sur Configurer sur l'appareil réseau.
Dans Paramètres IPv4, sélectionnez Manuel.
Dans Adresses, cliquez sur Ajouter.
Saisissez l'adresse IP, le masque de réseau et la passerelle dans les champs.
Saisissez les serveurs DNS.
Cliquez sur Enregistrer, puis sur OK.
Dans Paramètres IPv4, sélectionnez Manuel.
Dans Adresses, cliquez sur Ajouter.
Saisissez l'adresse IP, le masque de réseau et la passerelle dans les champs.
Saisissez les serveurs DNS.
Cliquez sur Enregistrer, puis sur OK.

Capture d'écran des options de mise en réseau et de nom d'hôte de l'installateur

Figure 3. Options de mise en réseau et de noms d'hôte pour l'installation.

Date et heure

Cliquez sur l'icône Paramètres en haut à droite.
Saisissez l'adresse IP du commutateur de gestion dans le champ Nom d'hôte.
Cliquez sur OK.
Définissez la région et le fuseau horaire.
Cliquez sur OK.
Saisissez l'adresse IP du commutateur de gestion dans le champ Nom d'hôte.
Cliquez sur OK.
Définissez la région et le fuseau horaire.
Cliquez sur OK.

Capture d'écran des options de date et d'heure de l'installateur

Figure 4. Options de date et d'heure pour l'installation.

Logiciel

Sélection du logiciel : Workstation
Modules complémentaires :
Modules complémentaires :
1. Serveurs réseau
2. Outils système
3. Productivité au bureau

L'image suivante montre la page SOFTWARE SELECTION (SÉLECTION DE LOGICIELS) pour l'installation. La page affiche deux menus : l'un pour l'environnement de base, où l'option Workstation est sélectionnée. L'autre menu concerne les logiciels supplémentaires pour l'environnement sélectionné, où les options Serveurs réseau et Outils système sont sélectionnées.

Capture d'écran de la sélection de logiciel de l'installateur

Figure 5. Environnement de base et logiciel supplémentaire pour l'installation.

Station de travail sélectionnée comme environnement de base
Serveurs réseau sélectionnés comme logiciel supplémentaire à installer
Outils système sélectionnés comme logiciel supplémentaire à installer
Productivité Office sélectionnée comme logiciel supplémentaire à installer

Destination de l'installation et partitionnement du disque

L'image suivante montre la page INSTALLATION DESTINATION (Destination de l'installation), où un périphérique de disque est sélectionné. La configuration de stockage personnalisée est également spécifiée sur cette page.

Capture d'écran de la destination d'installation de l'installateur

Figure 6. Sélection de la destination d'installation et de la configuration du stockage.

Sélectionnez SSD install target (Cible d'installation du SSD).
Partitionnement personnalisé :
1. Créez la disposition de partition suivante.
2. Acceptez le type de système de fichiers par défaut pour chaque partition.
3. Modifiez le groupe de volumes LVM pour utiliser tout l'espace disque restant.

Le scribe/ingénieur indique que le système est partitionné conformément au guide d'installation.

L'ingénieur effectue un examen manuel pour vérifier la taille des partitions et valider l'existence du répertoire personnel.

Pour que le groupe de volumes s'étende et remplisse l'intégralité du SSD, une étape supplémentaire est nécessaire après la définition des partitions.

Cliquez sur le bouton Groupe de volumes : modifier dans la fenêtre de partition.
Taille : "Aussi grande que possible"

Système de fichiers	Size (Taille)	Scribe Verified (si autre mise à jour)
/boot	1re année
/boot/efi	0,5 G
/	50 G
/tmp	8e année
/var	40 G
/var/log	20 G
/var/log/audit	20 G
/var/tmp	4e année
/opt/software-repo	100 G
/home	Espace restant

Règles de sécurité

Faites défiler la liste des stratégies de sécurité disponibles.
- Sélectionnez DISA STIG avec GUI.
- Cliquez sur Sélectionner un profil.
- La stratégie de sécurité sélectionnée est alors appliquée.
- Faites défiler la sortie pour voir si des erreurs ont été détectées par la règle.
- Consultez la liste des modifications prévues dans les règles de sécurité.
- Si des erreurs rouges s'affichent, apportez manuellement les modifications nécessaires pour respecter les règles. Il s'agit généralement de problèmes de partitionnement de disque.
- Assurez-vous que la stratégie de sécurité est activée.
Pendant cette étape, le scribe doit se tenir à côté de l'ingénieur.

L'image suivante montre la page SECURITY POLICY (Stratégie de sécurité), où DISA STIG with GUI for Red Hat Enterprise Linux 9 (DISA STIG avec interface utilisateur pour Red Hat Enterprise Linux 9) est sélectionné comme profil. Cette page affiche également une description du profil et le bouton Sélectionner le profil.

Capture d'écran de la règle de sécurité de l'installateur

Figure 7. Sélection du profil pour la stratégie de sécurité.

La règle de sécurité a été appliquée sans erreur.

Paramètres utilisateur

Configurer l'utilisateur root
- Définissez le mot de passe racine.
- Enregistrez le mot de passe racine sur un lecteur de support chiffré une fois l'installation terminée.
Configurer le premier compte d'opérateur
- Définissez le nom d'utilisateur du compte utilisateur de l'opérateur initial.
- Demandez à l'opérateur de sélectionner son propre mot de passe.
- Cochez "administrator" (administrateur) pour ajouter le compte au groupe %wheel.

L'image suivante montre la page CREATE USER de l'installation. La page affiche les champs que vous devez remplir, tels que votre nom complet, votre nom d'utilisateur, votre mot de passe et les options avancées.

Capture d'écran de l'installateur "Créer un utilisateur"

Figure 8. Champs contenant les informations permettant de créer un utilisateur.

La configuration des utilisateurs est terminée.
Les identifiants ont été validés et enregistrés dans un fichier de configuration chiffré.

Mettre à jour le système

Revenir à l'écran principal
Le bouton "S'abonner" s'affiche.
Commencer l'installation
La mise à niveau prendra un certain temps.
Mettre à jour le logiciel antivirus avec les définitions actuelles
Se connecter avec le compte créé
Les écrans de connexion initiale s'affichent.

Utiliser des périphériques USB avec le renforcement STIG

La possibilité d'utiliser des périphériques USB sur une machine Linux avec des exigences STIG est très limitée et nécessite que chaque périphérique soit ajouté à une liste d'autorisation pour pouvoir être utilisé.

Les commandes suivantes permettent aux claviers et aux souris de se déplacer librement entre les ports USB physiques. Cela implique la mise à jour des règles usbguard.

Activer un périphérique de stockage USB

Supprimez le faux pilote usb-storage :

sudo rm /etc/modprobe.d/usb-storage.conf

Activer définitivement un nouvel appareil USB

Pour activer définitivement un périphérique USB, vous devez modifier les règles usbguard.

Avant de brancher physiquement une nouvelle clé USB, lancez un usbguard watch pour récupérer la nouvelle chaîne d'identifiant de l'appareil :
```
sudo usbguard watch list-devices
```

Branchez physiquement l'appareil USB et copiez la sortie obtenue :

deny id 413c:301a serial "" name "Dell MS116 USB Optical Mouse" hash "kYdX3V8dJl2JDRpEA1mRTUMupUaUe4aGUUZcSr7r5EE=" parent-hash "bRXptnzyxb9ThCMx2AmE81vX4L0JJpn0YRy8OPD8K0A=" via-port "1-6.2" with-interface 03:01:02 with-connect-type "unknown

Ajoutez une ligne à /etc/usbguard/rules.conf avec la ligne d'identifiant capturée depuis la montre :

sudo vi /etc/usbguard/rules.conf

allow id 413c:301a serial "" name "Dell MS116 USB Optical Mouse" hash "kYdX3V8dJl2JDRpEA1mRTUMupUaUe4aGUUZcSr7r5EE=" parent-hash "bRXptnzyxb9ThCMx2AmE81vX4L0JJpn0YRy8OPD8K0A=" with-interface 03:01:02 with-connect-type "unknown

Redémarrez le daemon usbguard :

sudo systemctl restart usbguard.service

Activer temporairement un nouvel appareil USB

Branchez le nouvel appareil USB et déterminez le numéro qui lui est attribué :
```
usbguard list-devices
```
L'appareil le plus récent figure généralement sur la dernière ligne. Le numéro de l'appareil est le premier numéro de la ligne :
```
usbguard list-devices | tail -1 | awk '{print $1}'
```
Utilisez usbguard pour ajouter la clé USB sécurisée à la liste d'autorisation :
```
sudo usbguard allow-device ${USB_ID}
```

Installez la mémoire de stockage USB obtenue comme d'habitude :

sudo lsblk # Determine the device name of the USB drive.
# Set the device name of the USB drive.
USB_DEVICE=/dev/sdX # replace X with the device number of the USB drive.

sudo mkdir /mnt/usb; chmod 555 /mnt/usb
sudo mount ${USB_DEVICE} /mnt/usb

La clé USB sécurisée devrait maintenant être montée.
- L'USB a bien été monté.
Remarque : Si un autre clavier est utilisé dans la cage que celui utilisé pour l'installation, vous devez également ajouter le clavier dans le port USB sécurisé. Nous vous recommandons d'ajouter le clavier lors du processus d'installation.

Installer tous les outils

Insérez la clé USB contenant les logiciels supplémentaires.

sudo lsblk # Determine the device name of the USB drive.
# Set the device name of the USB drive.
USB_DEVICE=/dev/sdX # replace X with the device name of the USB drive.

sudo mkdir /mnt/usb
sudo mount ${USB_DEVICE} /mnt/usb
sudo rpm -ihv /mnt/usb/opt/*.rpm
sudo umount /mnt/usb

Utiliser Minicom pour accéder aux consoles série

Le programme minicom est ancien et suppose que vous souhaitez vous connecter à un modem téléphonique lorsque vous l'invoquez. Vous devez modifier les paramètres par défaut pour utiliser un câble USB vers série.

Démarrez minicom en mode configuration :
```
sudo minicom -s
```
L'interface utilisateur textuelle de configuration s'affiche pour vous permettre de modifier les paramètres.

L'image suivante montre l'option Serial port setup (Configuration du port série) sélectionnée dans l'interface utilisateur textuelle de configuration.
Modifiez le périphérique série en /dev/ttyUSB0 et le débit en bauds (vitesse) selon vos besoins.

L'image suivante montre l'appareil série défini sur /dev/ttyUSB0.
Pour enregistrer définitivement cette modification, utilisez Save setup as dfl.
Sélectionnez Exit (Quitter) pour quitter le menu de configuration et accéder à la console série.

L'image suivante montre l'option Exit (Quitter) sélectionnée dans l'interface utilisateur textuelle de configuration.
Dans la connexion série, utilisez les hypertouches pour modifier les paramètres et quitter :
```
CTRL+A, Z
X = exit minicom and return to bash shell
P = modify config settings
```

Configurer la rotation des journaux Auditd

La configuration STIG signifie que de nombreux journaux sont créés par auditd. S'il manque d'espace disque, il peut arrêter le système et le passer en mode mono-utilisateur. Pour éviter cela, configurez une rotation des journaux auditd. Étant donné qu'auditd ne peut pas être redémarré sans redémarrage, vous devez configurer auditd et logrotate.

Créez un fichier /etc/logrotate.d/auditlog.

cat << EOF | sudo tee /etc/logrotate.d/auditlog
/var/log/audit/audit.log.1
/var/log/audit/audit.log.2
/var/log/audit/audit.log.3
/var/log/audit/audit.log.4
/var/log/audit/audit.log.5
{
    missingok
    compress
}
EOF

Modifiez les paramètres de /etc/audit/auditd.conf file's max_log_file :
```
sudo vi /etc/audit/auditd.conf
```
Modifiez les lignes en fonction des paramètres mis à jour :
```
max_log_file = 1024
max_log_file_action = rotate
```
Redémarrez le poste de travail :
```
sudo shutdown -r now
```

Wi-Fi

Désactivez le Wi-Fi une fois l'installation terminée via l'interface utilisateur ou en exécutant l'utilitaire Nmcli nmcli radio wifi off.
Vérifiez que le Wi-Fi est désactivé ou que le composant n'existe pas.

Après l'installation

Une fois le contrôleur système configuré, l'étape suivante consiste à copier les dépôts du support d'installation vers le système de fichiers local.

Configurer un dépôt yum local

Copiez l'intégralité de la distribution Rocky Linux sur un disque local pour créer un dépôt local. Cela permet d'utiliser la commande yum pour installer et mettre à jour des logiciels.

Copier des éléments multimédias

Installez le support USB sur /mnt/repo. Copiez les dépôts à partir du support DTO dans le répertoire /opt/software-repo/. Si les répertoires n'existent pas, créez-les.

sudo lsblk # Determine the device name of the USB drive.
# Set the device name of the USB drive.
USB_DEVICE=/dev/sdX # replace X with the device name of the USB drive.

sudo mkdir -m 555 /mnt/usb
sudo mkdir -p /opt/software-repo/Rocky
sudo mount ${USB_DEVICE} /mnt/usb
sudo cp -a /mnt/usb/AppStream /opt/software-repo/Rocky
sudo cp -a /mnt/usb/BaseOS /opt/software-repo/Rocky

Créer un dépôt de contenu multimédia local

Vous ne devez effectuer les opérations suivantes qu'une seule fois.

Déplacez tous les fichiers .repo existants de /etc/yum.repos.d/ vers un répertoire de sauvegarde.
```
sudo mkdir /root/repobackup
sudo mv /etc/yum.repos.d/* /root/repobackup/
```

Créer des fichiers de dépôt local

cat << EOF | sudo tee /etc/yum.repos.d/local_Rocky-AppStream.repo
[appstream]
name=Rocky Linux $releasever - AppStream
#baseurl=http://dl.rockylinux.org/$contentdir/$releasever/AppStream/$basearch/os/
baseurl=file:///opt/software-repo/Rocky/AppStream
gpgcheck=1
enabled=1
countme=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-rockyofficial
EOF

cat << EOF | sudo tee /etc/yum.repos.d/local_Rocky-BaseOS.repo
[baseos]
name=Rocky Linux $releasever - BaseOS
#baseurl=http://dl.rockylinux.org/$contentdir/$releasever/BaseOS/$basearch/os/
baseurl=file:///opt/software-repo/Rocky/BaseOS
gpgcheck=1
enabled=1
countme=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-rockyofficial
EOF

sudo dnf clean all

Checklist post-installation

Les problèmes détectés ont été documentés.
Les identifiants sensibles ont été transférés et documentés de manière sécurisée.
La tâche d'installation de l'OS et des outils a bien été mise à jour dans le gestionnaire de tâches.
Checklist post-configuration du contrôleur système :
- ip a # affiche la bonne adresse IP
- kubectl version
- k9s version
- minicom --help
- tmux -V
- chronyc sources