8. Menyiapkan pengontrol sistem

Perkiraan waktu penyelesaian: 2 - 4 jam

Pemilik komponen yang dapat dioperasikan: OELCM

Profil keterampilan: engineer deployment

Kasus penggunaan utama mesin ini adalah untuk berinteraksi dengan peralatan fisik saat metode utama tidak tersedia. Misalnya, perangkat ini dapat terhubung ke port konsol switch jika konektivitas bootstrapper ke switch tidak berfungsi.

Beberapa partner deployment memilih untuk menggunakan server dalam rak inti GDC, lalu menggunakan petunjuk pengembalian bootstrapper nanti. Hal ini diperlukan jika ruang DC Anda melarang server, monitor, mouse, atau keyboard yang dapat dipindahkan dengan mudah.

Paket A. CD atau DVD Live

Pengontrol sistem berjalan di CD atau DVD (media optik) yang sepenuhnya aktif.

  • Jangan menginstal di hard drive fisik.

  • Sistem ini tidak boleh memiliki drive fisik.

  • Gunakan image live Rocky yang telah dibersihkan DTO.

  • Jangan gunakan flash drive USB.

  • Anda harus memperbarui gambar ini melalui DTO secara rutin.

Petunjuk

  1. Membakar ke CD atau DVD.

  2. Setel pengontrol sistem Anda agar melakukan booting dari CD atau DVD.

  3. Tetapkan alamat IP.

Paket B. Menginstal sistem operasi (OS)

Tujuan dokumen ini adalah untuk membuat workstation yang mematuhi Security Technical Implementation Guide (STIG) dengan alat software yang diperlukan untuk mendukung Google Distributed Cloud (GDC) yang terisolasi.

Ringkasan

Pengontrol sistem adalah troli perbaikan dengan workstation, keyboard, mouse, dan monitor.

Prasyarat

Tinjau panduan lengkap ini dan verifikasi hal berikut:

  • Petugas Transfer Data (DTO) siap sedia selama minggu instalasi.
  • Peralatan dan media yang diperlukan untuk penginstalan mencakup:
    • Panduan Alat Pendukung Distributed Cloud
    • Media USB
    • Download file termasuk ISO OS & RPM software tambahan
    • Workstation, Layar, Keyboard, Mouse, dan kabel.
  • Informasi jaringan untuk OS konsol layanan:
    • Alamat IP
    • Subnet Mask
    • Gateway Default
    • Informasi DNS

Resource yang diidentifikasi

  • Matriks Kemahiran Distributed Cloud
DTO Insinyur Penulis/Komunikasi Instruktur Pelari/Timur Tengah/Taiwan
  • Peran Tim Deployment Cloud Terdistribusi

Referensi lainnya

  • Panduan Penginstalan OS Download
  • Download Prosedur penyiapan Minicom
  • Download COW dan petunjuk penyiapan troli darurat.

Membuat media yang dapat di-booting

Selesaikan tugas ini menggunakan DTO sebelum datang ke situs pelanggan.

  1. Download ISO DVD Rocky 8 atau 9.

  2. Download paket software tambahan:

    Paket URL
    clamav (opsional) Rocky 8.x / Rocky 9.x
    clamav-data (opsional) Rocky 8.x / Rocky 9.x
    clamav-filesystem (opsional) Rocky 8.x / Rocky 9.x
    clamav-freshclam (opsional) Rocky 8.x / Rocky 9.x
    clamav-lib (opsional) Rocky 8.x / Rocky 9.x
    clamd (opsional) Rocky 8.x / Rocky 9.x
    kode Rocky 8.x / Rocky 9.x
    google-chrome-stable_current Rocky 8.x / Rocky 9.x
    k9s Rocky 8.x / Rocky 9.x
    kubectl Rocky 8.x / Rocky 9.x
    liberation-fonts Rocky 8.x / Rocky 9.x
    libprelude Rocky 8.x / Rocky 9.x
    lm_sensors Rocky 8.x / Rocky 9.x
    lm_sensors_libs Rocky 8.x / Rocky 9.x
    lockdev Rocky 8.x / Rocky 9.x
    lrzsz Rocky 8.x / Rocky 9.x
    minicom Rocky 8.x / Rocky 9.x
    sysstat Rocky 8.x / Rocky 9.x

  3. Lakukan prosedur transfer software yang diperlukan untuk memasukkan paket software dan ISO ke ruang aman DC Hall Anda.

  4. Tulis image ISO ke drive USB terenkripsi.

  5. Salin paket software tambahan ke drive USB terenkripsi.

    # Set variable to iso file downloaded
OS_ISO=Rocky-9.5-x86_64-dvd.iso

# cd to directory where iso and additional software rpms are stored

# Determine the device name of the USB drive.
sudo lsblk

# Set the device name of the USB drive.
echo "What is the device name of the USB drive? Provide full name for example /dev/sdX"
read USB_DEVICE
read -r -p "Proceeding will destroy existing data on ${USB_DEVICE}. Continue with formatting? [y/n] " response
case "$response" in
  [yY][eE][sS]|[yY])
      echo "Formatting USB drive with ${OS_ISO}..."
      ;;
  *)
      echo "Exiting..."
      exit 0
      ;;
esac

# Write ISO to USB drive
sudo dd if=${OS_ISO} of=${USB_DEVICE} bs=4M

echo "Copying additional software packages to USB drive"
sudo mkdir /mnt/usb
sudo mount ${USB_DEVICE} /mnt/usb
sudo mkdir /mnt/usb/opt/
sudo cp *.rpm /mnt/usb/opt/

# Unmount USB drive
sudo umount /mnt/usb
echo "Bootable media creation is complete."

Hari penginstalan

Mengambil peralatan dari inventaris atau pengiriman dan penerimaan di dermaga pemuatan. Bawa peralatan ke ruang kerja Pusat Data (DC). Lanjutkan dengan membuat crash cart untuk pengontrol sistem.

Menyiapkan dan membuat peralatan

  1. Membuka Kemasan Workstation
  2. Verifikasi nomor seri
  3. Membangun Troli Darurat
    • Pasang Layar
    • Sertakan Keyboard
    • Sertakan Mouse
    • Tambahkan leaflet penyiapan Pengontrol Sistem atau file PDF di sini.
  4. Menghubungkan kabel ke workstation
    • Colokkan kabel layar (VGA, HDMI, DisplayPort)
    • Colokkan Mouse
    • Colokkan Keyboard
  5. Lakukan penginstalan OS
    • akan memerlukan media dari DTO/DTA.

Penginstalan OS

Pengontrol sistem, dengan keyboard, monitor, dan mouse, diharapkan sudah disiapkan dan siap untuk penginstalan OS.

Boot dari media

  1. Lakukan booting Pengontrol Sistem dari media yang dapat di-booting.
  2. Pilih Periksa Media dan Instal.
  3. Setelah GUI penginstal Redhat dimuat, pilih opsi berikut di setiap bagian.

Gambar berikut menampilkan pesan awal dengan opsi untuk penginstalan OS yang ditampilkan oleh Pengontrol Sistem dari media yang dapat di-boot.

Screenshot pesan awal dari media yang dapat di-boot

Gambar 1. Pesan awal dari media yang dapat di-boot.

  • Media ISO di-boot.

Screenshot GUI penginstal

Gambar 2. Pemilihan bahasa untuk penginstalan.

Pelokalan

  1. Keyboard: Inggris (AS)
  2. Bahasa: Inggris (AS)

Jaringan & Nama Host

  1. Klik Configure di perangkat jaringan.
  2. Di IPv4 Settings, pilih Manual.
  3. Di Alamat, klik Tambahkan.
  4. Masukkan alamat IP, Netmask, dan Gateway ke dalam kolom.
  5. Masukkan server DNS.
  6. Klik Simpan dan Selesai.
  7. Di IPv4 Settings, pilih Manual.
  8. Di Alamat, klik Tambahkan.
  9. Masukkan alamat IP, Netmask, dan Gateway ke dalam kolom.
  10. Masukkan server DNS.
  11. Klik Simpan dan Selesai.

Screenshot opsi Jaringan dan nama host penginstal

Gambar 3. Opsi Jaringan dan Nama Host untuk penginstalan.

Waktu dan tanggal

  1. Klik ikon Setelan di sudut kanan atas.
  2. Masukkan alamat IP switch pengelolaan di kolom Nama Host.
  3. Klik Oke.
  4. Tetapkan Wilayah dan Zona Waktu.
  5. Klik Selesai.
  6. Masukkan alamat IP switch pengelolaan di kolom Nama Host.
  7. Klik Oke.
  8. Tetapkan Wilayah dan Zona Waktu.
  9. Klik Selesai.

Screenshot opsi Waktu dan tanggal penginstal

Gambar 4. Opsi waktu dan tanggal untuk penginstalan.

Software

  1. Pemilihan Software: Workstation
  2. Add-On:

  3. Add-On:

    1. Server Jaringan
    2. Alat Sistem
    3. Produktivitas Office

Gambar berikut menunjukkan halaman SOFTWARE SELECTION untuk penginstalan. Halaman ini menampilkan dua menu: Satu menu untuk lingkungan dasar, tempat opsi Workstation dipilih. Menu lainnya adalah untuk software tambahan untuk lingkungan yang dipilih, dengan opsi Network Servers dan System Tools dipilih.

Screenshot pilihan Software penginstal

Gambar 5. Lingkungan dasar dan software tambahan untuk penginstalan.

  • Workstation dipilih sebagai lingkungan dasar
  • Server Jaringan dipilih sebagai penginstalan software tambahan
  • Alat Sistem dipilih sebagai penginstalan software tambahan
  • Office Productivity dipilih sebagai penginstalan software tambahan

Tujuan penginstalan dan partisi disk

Gambar berikut menunjukkan halaman TUJUAN PENGINSTALAN, tempat perangkat disk dipilih. Konfigurasi penyimpanan kustom juga ditentukan di halaman ini.

Screenshot Tujuan penginstalan penginstal

Gambar 6. Pemilihan tujuan penginstalan dan konfigurasi penyimpanan.

  1. Pilih: SSD install target.

  2. Partisi Kustom:

    1. Buat tata letak partisi berikut.
    2. Terima jenis sistem file default untuk setiap partisi.
    3. Ubah Grup Volume LVM untuk menggunakan semua ruang disk yang tersisa.
  • Dokumen Scribe/Engineer yang menyatakan bahwa sistem dipartisi sesuai dengan panduan penginstalan.

Lakukan peninjauan manual oleh engineer untuk memeriksa ukuran partisi dan memvalidasi keberadaan direktori beranda.

Untuk memperluas Grup Volume agar mengisi seluruh SSD, ada langkah tambahan setelah menentukan partisi.

  • Klik tombol Volume Group: Modify di jendela partisi.
  • Ukuran: "Sebesar mungkin".
Sistem file Ukuran Scribe Terverifikasi (jika Pembaruan lainnya)
/boot 1 G
/boot/efi 0,5 G
/ 50 G
/tmp 8 G
/var 40 G
/var/log 20 G
/var/log/audit 20 G
/var/tmp 4 G
/opt/software-repo 100 G
/home Ruang yang tersisa

Kebijakan keamanan

  1. Scroll daftar kebijakan keamanan yang tersedia.

    • Pilih: STIG dengan GUI DISA.

    • Klik Pilih profil.

    • Tindakan ini menerapkan kebijakan keamanan yang dipilih.

    • Scroll output untuk melihat apakah ada error yang terdeteksi oleh kebijakan.

    • Baca daftar perubahan yang direncanakan dari Kebijakan Keamanan.

    • Jika Anda melihat Error Merah, lakukan perubahan manual agar sesuai. Masalah ini biasanya terkait masalah partisi disk.

    • Pastikan Kebijakan keamanan diaktifkan.

  2. Minta juru tulis duduk di samping teknisi selama langkah ini.

Gambar berikut menunjukkan halaman KEBIJAKAN KEAMANAN, tempat DISA STIG dengan GUI untuk Red Hat Enterprise Linux 9 dipilih sebagai profil. Halaman ini juga menampilkan deskripsi profil dan tombol Pilih profil.

Screenshot kebijakan Keamanan penginstal

Gambar 7. Pemilihan profil untuk kebijakan keamanan.

  • Kebijakan keamanan diterapkan tanpa error.

Setelan pengguna

  1. Mengonfigurasi pengguna root

    • Setel sandi root.
    • Merekam sandi root di drive media terenkripsi setelah penginstalan selesai.

  2. Mengonfigurasi akun operator pertama

    • Tetapkan nama pengguna untuk akun pengguna operator awal.
    • Minta operator memilih sandinya sendiri.
    • Centang "administrator" agar akun ditambahkan ke grup %wheel.

Gambar berikut menampilkan halaman CREATE USER saat penginstalan. Halaman tersebut menampilkan kolom yang harus Anda isi, seperti nama lengkap, nama pengguna, sandi, dan opsi lanjutan.

Screenshot penginstal Buat pengguna

Gambar 8. Kolom dengan informasi untuk membuat pengguna.

  • Penyiapan pengguna selesai.
  • Kredensial diverifikasi dan disimpan di file konfigurasi terenkripsi.

Update Sistem

  1. Kembali ke layar utama
  2. Tombol upgrade akan muncul
  3. Mulai penginstalan
  4. Perlu waktu beberapa saat untuk melakukan upgrade
  5. Perbarui software antivirus dengan definisi terbaru
  6. Login dengan akun yang dibuat
  7. Layar login pertama kali akan muncul

Menggunakan perangkat USB dengan penguatan STIG

Kemampuan untuk menggunakan perangkat USB di mesin Linux dengan persyaratan STIG sangat terbatas, dan mengharuskan setiap perangkat ditambahkan ke daftar yang diizinkan untuk digunakan.

Perintah berikut memungkinkan keyboard dan mouse bergerak bebas di antara port USB fisik. Hal ini melibatkan pembaruan aturan usbguard.

  • Mengaktifkan perangkat Penyimpanan USB

  1. Hapus driver usb-storage palsu:

    sudo rm /etc/modprobe.d/usb-storage.conf
Mengaktifkan perangkat USB baru secara permanen

Untuk mengaktifkan perangkat USB secara permanen agar dapat digunakan, Anda harus mengubah aturan usbguard.

  1. Sebelum Anda mencolokkan USB baru secara fisik, mulai usbguard watch untuk mengambil string ID perangkat baru:

    sudo usbguard watch list-devices

  2. Colokkan perangkat USB secara fisik dan salin output yang dihasilkan:

    deny id 413c:301a serial "" name "Dell MS116 USB Optical Mouse" hash "kYdX3V8dJl2JDRpEA1mRTUMupUaUe4aGUUZcSr7r5EE=" parent-hash "bRXptnzyxb9ThCMx2AmE81vX4L0JJpn0YRy8OPD8K0A=" via-port "1-6.2" with-interface 03:01:02 with-connect-type "unknown

  3. Tambahkan baris baru ke /etc/usbguard/rules.conf dengan baris ID yang diambil dari smartwatch:

    sudo vi /etc/usbguard/rules.conf

    allow id 413c:301a serial "" name "Dell MS116 USB Optical Mouse" hash "kYdX3V8dJl2JDRpEA1mRTUMupUaUe4aGUUZcSr7r5EE=" parent-hash "bRXptnzyxb9ThCMx2AmE81vX4L0JJpn0YRy8OPD8K0A=" with-interface 03:01:02 with-connect-type "unknown

  4. Mulai ulang daemon usbguard:

    sudo systemctl restart usbguard.service
Mengaktifkan sementara perangkat USB baru

  1. Colokkan perangkat USB baru dan tentukan nomor perangkat yang ditetapkan:

    usbguard list-devices

    Perangkat terbaru biasanya merupakan baris terakhir yang tercantum. Nomor perangkat adalah nomor pertama dalam baris:

    usbguard list-devices | tail -1 | awk '{print $1}'

  2. Gunakan usbguard untuk memasukkan USB aman ke daftar yang diizinkan:

    sudo usbguard allow-device ${USB_ID}

  3. Pasang penyimpanan USB yang dihasilkan seperti biasa:

    sudo lsblk # Determine the device name of the USB drive.
# Set the device name of the USB drive.
USB_DEVICE=/dev/sdX # replace X with the device number of the USB drive.

sudo mkdir /mnt/usb; chmod 555 /mnt/usb
sudo mount ${USB_DEVICE} /mnt/usb

  4. Sekarang Anda akan melihat USB aman sebagai yang terpasang.

    • USB berhasil dipasang.

Instal semua alat

  • Masukkan drive USB yang berisi software tambahan.

    sudo lsblk # Determine the device name of the USB drive.
# Set the device name of the USB drive.
USB_DEVICE=/dev/sdX # replace X with the device name of the USB drive.

sudo mkdir /mnt/usb
sudo mount ${USB_DEVICE} /mnt/usb
sudo rpm -ihv /mnt/usb/opt/*.rpm
sudo umount /mnt/usb

Menggunakan Minicom untuk mengakses konsol serial

Program minicom sudah lama dan mengasumsikan Anda ingin terhubung ke modem ponsel saat Anda memanggilnya. Anda harus mengubah setelan default untuk menggunakan kabel USB-ke-Serial.

  1. Mulai minicom dalam mode konfigurasi:

    sudo minicom -s

  2. Tindakan ini akan menampilkan TUI konfigurasi untuk memungkinkan Anda mengubah setelan.

    Gambar berikut menunjukkan opsi Penyiapan port serial yang dipilih dari TUI konfigurasi.

    Screenshot penyiapan port Serial Minicom

  3. Ubah Serial Device menjadi /dev/ttyUSB0 dan Baud rate (kecepatan) sesuai kebutuhan.

    Gambar berikut menunjukkan perangkat serial yang disetel ke /dev/ttyUSB0.

    Screenshot perangkat Serial Minicom

  4. Untuk menyimpan perubahan ini secara permanen, gunakan Save setup as dfl.

  5. Pilih Exit untuk keluar dari menu konfigurasi ke konsol Serial yang sebenarnya.

    Gambar berikut menunjukkan opsi Exit yang dipilih dari TUI konfigurasi. Screenshot Keluar dari Minicom

  6. Dari dalam koneksi Serial, gunakan tombol hyper untuk mengubah setelan dan keluar:

    CTRL+A, Z
X = exit minicom and return to bash shell
P = modify config settings

Menyiapkan rotasi log Auditd

Konfigurasi STIG berarti banyak log dibuat oleh auditd. Jika kehabisan ruang disk, sistem dapat mematikan sistem ke mode pengguna tunggal. Untuk mencegahnya, konfigurasikan rotasi log auditd. Mengingat auditd tidak dapat dimulai ulang tanpa melakukan reboot, Anda harus mengonfigurasi auditd dan logrotate.

  1. Buat file /etc/logrotate.d/auditlog baru

    cat << EOF | sudo tee /etc/logrotate.d/auditlog
/var/log/audit/audit.log.1
/var/log/audit/audit.log.2
/var/log/audit/audit.log.3
/var/log/audit/audit.log.4
/var/log/audit/audit.log.5
{
    missingok
    compress
}
EOF

  2. Ubah setelan /etc/audit/auditd.conf file's max_log_file:

    sudo vi /etc/audit/auditd.conf

  3. Ubah baris ke setelan yang diperbarui:

    max_log_file = 1024
max_log_file_action = rotate

  4. Mulai ulang workstation:

    sudo shutdown -r now

Wi-Fi

  1. Nonaktifkan Wi-Fi setelah penginstalan selesai melalui Antarmuka Pengguna (UI) atau dengan menjalankan utilitas Nmcli nmcli radio wifi off.
  2. Pastikan Wi-Fi dinonaktifkan atau komponen tidak ada.

Setelah penginstalan

Setelah pengontrol sistem disiapkan, langkah berikutnya adalah menyalin repositori dari media penginstalan ke sistem file lokal.

Menyiapkan repositori yum lokal

Salin seluruh distribusi Rocky Linux ke disk lokal untuk membuat repositori lokal. Dengan demikian, perintah yum dapat digunakan untuk menginstal dan mengupdate software.

Menyalin media

  1. Pasang media USB ke /mnt/repo. Salin repositori dari media DTO ke direktori /opt/software-repo/. Jika direktori tidak ada, buat direktori tersebut.

    sudo lsblk # Determine the device name of the USB drive.
# Set the device name of the USB drive.
USB_DEVICE=/dev/sdX # replace X with the device name of the USB drive.

sudo mkdir -m 555 /mnt/usb
sudo mkdir -p /opt/software-repo/Rocky
sudo mount ${USB_DEVICE} /mnt/usb
sudo cp -a /mnt/usb/AppStream /opt/software-repo/Rocky
sudo cp -a /mnt/usb/BaseOS /opt/software-repo/Rocky

Membuat repositori media lokal

Anda hanya perlu melakukan hal berikut satu kali.

  1. Pindahkan semua file .repo yang ada dari /etc/yum.repos.d/ ke direktori cadangan.

    sudo mkdir /root/repobackup
sudo mv /etc/yum.repos.d/* /root/repobackup/

  2. Membuat file repositori lokal

    cat << EOF | sudo tee /etc/yum.repos.d/local_Rocky-AppStream.repo
[appstream]
name=Rocky Linux $releasever - AppStream
#baseurl=http://dl.rockylinux.org/$contentdir/$releasever/AppStream/$basearch/os/
baseurl=file:///opt/software-repo/Rocky/AppStream
gpgcheck=1
enabled=1
countme=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-rockyofficial
EOF

cat << EOF | sudo tee /etc/yum.repos.d/local_Rocky-BaseOS.repo
[baseos]
name=Rocky Linux $releasever - BaseOS
#baseurl=http://dl.rockylinux.org/$contentdir/$releasever/BaseOS/$basearch/os/
baseurl=file:///opt/software-repo/Rocky/BaseOS
gpgcheck=1
enabled=1
countme=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-rockyofficial
EOF

sudo dnf clean all

Checklist pasca-penginstalan

  • Masalah yang ditemukan telah didokumentasikan.
  • Kredensial sensitif telah ditransfer dan didokumentasikan dengan aman.
  • Tugas penginstalan OS dan Alat berhasil diperbarui di pelacak tugas.
  • Checklist pasca-konfigurasi Pengontrol Sistem:
    • ip a # menampilkan IP yang benar
    • kubectl version
    • k9s version
    • minicom --help
    • tmux -V
    • chronyc sources