8. Configurare il controller di sistema

Tempo stimato per il completamento: 2-4 ore

Proprietario del componente azionabile: OELCM

Profilo delle competenze: ingegnere del deployment

Il caso d'uso principale di questa macchina è l'interazione con gli elettrodomestici fisici quando i metodi principali non sono disponibili. Ad esempio, può essere collegato alla porta della console dello switch se il bootstrapper per la connettività dello switch non funziona correttamente.

Alcuni partner di deployment scelgono di utilizzare un server all'interno dei rack principali del GDC e poi di utilizzare le istruzioni di recupero del bootstrapper in un secondo momento. Ciò è necessario se la sala del data center vieta server, monitor, mouse o tastiere gratuiti.

Piano A. CD o DVD live

Un controller di sistema viene eseguito su un CD o DVD (supporto ottico) completamente live.

  • Non installare su un disco rigido fisico.

  • Questo sistema non deve avere un'unità fisica.

  • Utilizza un'immagine live di Rocky approvata dal DTO.

  • Non utilizzare una chiavetta USB.

  • Devi aggiornare regolarmente queste immagini tramite DTO.

Istruzioni

  1. Masterizzare su CD o DVD.

  2. Imposta l'avvio del controller di sistema da CD o DVD.

  3. Imposta un indirizzo IP.

Piano B. Installare il sistema operativo

Lo scopo di questo documento è creare una workstation conforme alla Guida tecnica di implementazione della sicurezza (STIG) con gli strumenti software necessari per supportare Google Distributed Cloud (GDC) con air gap.

Riepilogo

Un controller di sistema è un carrello di emergenza con una workstation, una tastiera, un mouse e un monitor.

Prerequisito

Esamina questa guida completa e verifica quanto segue:

  • Il responsabile del trasferimento dei dati (DTO) è in attesa durante la settimana di installazione.
  • L'attrezzatura e i supporti necessari per l'installazione includono:
    • Guida agli strumenti di attivazione di Distributed Cloud
    • Supporti USB
    • Download di file, inclusi ISO del sistema operativo e RPM di software aggiuntivo
    • Workstation, display, tastiera, mouse e cavi.
  • Informazioni di rete per il sistema operativo della console di servizio:
    • Indirizzo IP
    • Subnet mask
    • Gateway predefinito
    • Informazioni sul DNS

Risorse identificate

  • Matrice di competenze di Distributed Cloud
DTO Ingegnere Scribe/Comms Insegnante Runner/TL/TW
  • Ruoli del team di deployment di Distributed Cloud

Risorse aggiuntive

  • Scarica la guida all'installazione del sistema operativo
  • Scarica la procedura di configurazione di Minicom
  • Scarica le istruzioni per la configurazione del carrello di emergenza COW e dell'edificio.

Crea un supporto di avvio

Completa questa attività utilizzando DTO prima di recarti presso la sede del cliente.

  1. Scarica Rocky 8 o 9 DVD ISO.

  2. Scarica pacchetti software aggiuntivi:

    Pacchetto URL
    clamav (facoltativo) Rocky 8.x / Rocky 9.x
    clamav-data (facoltativo) Rocky 8.x / Rocky 9.x
    clamav-filesystem (facoltativo) Rocky 8.x / Rocky 9.x
    clamav-freshclam (facoltativo) Rocky 8.x / Rocky 9.x
    clamav-lib (facoltativo) Rocky 8.x / Rocky 9.x
    clamd (facoltativo) Rocky 8.x / Rocky 9.x
    codice Rocky 8.x / Rocky 9.x
    google-chrome-stable_current Rocky 8.x / Rocky 9.x
    k9s Rocky 8.x / Rocky 9.x
    kubectl Rocky 8.x / Rocky 9.x
    liberation-fonts Rocky 8.x / Rocky 9.x
    libprelude Rocky 8.x / Rocky 9.x
    lm_sensors Rocky 8.x / Rocky 9.x
    lm_sensors_libs Rocky 8.x / Rocky 9.x
    lockdev Rocky 8.x / Rocky 9.x
    lrzsz Rocky 8.x / Rocky 9.x
    minicom Rocky 8.x / Rocky 9.x
    sysstat Rocky 8.x / Rocky 9.x

  3. Esegui la procedura di trasferimento del software necessaria per portare i pacchetti ISO e software nello spazio sicuro della sala del data center.

  4. Scrivi l'immagine ISO sull'unità USB criptata.

  5. Copia pacchetti software aggiuntivi nell'unità USB criptata.

    # Set variable to iso file downloaded
OS_ISO=Rocky-9.5-x86_64-dvd.iso

# cd to directory where iso and additional software rpms are stored

# Determine the device name of the USB drive.
sudo lsblk

# Set the device name of the USB drive.
echo "What is the device name of the USB drive? Provide full name for example /dev/sdX"
read USB_DEVICE
read -r -p "Proceeding will destroy existing data on ${USB_DEVICE}. Continue with formatting? [y/n] " response
case "$response" in
  [yY][eE][sS]|[yY])
      echo "Formatting USB drive with ${OS_ISO}..."
      ;;
  *)
      echo "Exiting..."
      exit 0
      ;;
esac

# Write ISO to USB drive
sudo dd if=${OS_ISO} of=${USB_DEVICE} bs=4M

echo "Copying additional software packages to USB drive"
sudo mkdir /mnt/usb
sudo mount ${USB_DEVICE} /mnt/usb
sudo mkdir /mnt/usb/opt/
sudo cp *.rpm /mnt/usb/opt/

# Unmount USB drive
sudo umount /mnt/usb
echo "Bootable media creation is complete."

Giorno di installazione

Recupera l'attrezzatura dall'inventario o dal carico e scarico del molo di carico. Porta l'attrezzatura nello spazio di lavoro del data center. Procedi alla creazione del carrello di emergenza per il controller di sistema.

Preparare e costruire l'attrezzatura

  1. Unbox Workstation
  2. Verificare i numeri di serie
  3. Crea il carrello di emergenza
    • Collegare il display
    • Includi tastiera
    • Includi mouse
    • Aggiungi qui il volantino o il file PDF di configurazione del controller di sistema.
  4. Collegare i cavi alla workstation
    • Collega il cavo del display (VGA, HDMI, DisplayPort)
    • Collega il mouse
    • Collega la tastiera
  5. Esegui l'installazione del sistema operativo
    • avrà bisogno dei contenuti multimediali di DTO/DTA.

Installazione del sistema operativo

È previsto che il controller di sistema, con tastiera, monitor e mouse, sia configurato e pronto per l'installazione del sistema operativo.

Avvia da supporto

  1. Avvia il System Controller da un supporto avviabile.
  2. Seleziona Controlla contenuti multimediali e installa.
  3. Una volta caricata la GUI del programma di installazione di Redhat, seleziona quanto segue in ogni sezione.

L'immagine seguente mostra il messaggio iniziale con le opzioni per l'installazione del sistema operativo che System Controller visualizza dal supporto di avvio.

Screenshot del messaggio iniziale del supporto di avvio

Figura 1. Messaggio iniziale del supporto di avvio.

  • Supporto ISO avviato.

Screenshot della GUI del programma di installazione

Figura 2. Selezione della lingua per l'installazione.

Localizzazione

  1. Tastiera: inglese (USA)
  2. Lingua: inglese (USA)

Networking e nome host

  1. Fai clic su Configura sul dispositivo di rete.
  2. In Impostazioni IPv4, seleziona Manuale.
  3. In Indirizzi, fai clic su Aggiungi.
  4. Inserisci l'indirizzo IP, la maschera di rete e il gateway nei campi.
  5. Inserisci i server DNS.
  6. Fai clic su Salva e Fine.
  7. In Impostazioni IPv4, seleziona Manuale.
  8. In Indirizzi, fai clic su Aggiungi.
  9. Inserisci l'indirizzo IP, la maschera di rete e il gateway nei campi.
  10. Inserisci i server DNS.
  11. Fai clic su Salva e Fine.

Screenshot delle opzioni di Networking e nome host del programma di installazione

Figura 3. Opzioni di networking e nomi host per l'installazione.

Ora e data

  1. Fai clic sull'icona Impostazioni nell'angolo in alto a destra.
  2. Inserisci l'indirizzo IP dello switch di gestione nel campo Nome host.
  3. Fai clic su OK.
  4. Imposta regione e fuso orario.
  5. Fai clic su Fine.
  6. Inserisci l'indirizzo IP dello switch di gestione nel campo Nome host.
  7. Fai clic su OK.
  8. Imposta regione e fuso orario.
  9. Fai clic su Fine.

Screenshot delle opzioni di data e ora del programma di installazione

Immagine 4. Opzioni di data e ora per l'installazione.

Software

  1. Selezione software: Workstation
  2. Componenti aggiuntivi:

  3. Componenti aggiuntivi:

    1. Server di rete
    2. Strumenti di sistema
    3. Produttività personale

L'immagine seguente mostra la pagina SELEZIONE SOFTWARE per l'installazione. La pagina mostra due menu: uno per l'ambiente di base, in cui è selezionata l'opzione Workstation. L'altro menu è per il software aggiuntivo per l'ambiente selezionato, in cui sono selezionate le opzioni Server di rete e Strumenti di sistema.

Screenshot della selezione del software del programma di installazione

Figura 5. Ambiente di base e software aggiuntivo per l'installazione.

  • Workstation selezionata come ambiente di base
  • Server di rete selezionati come installazione software aggiuntiva
  • Strumenti di sistema selezionati come installazione software aggiuntiva
  • Produttività di Office selezionata come installazione software aggiuntiva

Destinazione di installazione e partizionamento del disco

L'immagine seguente mostra la pagina DESTINAZIONE INSTALLAZIONE, in cui è selezionato un dispositivo di archiviazione. In questa pagina viene specificata anche la configurazione di archiviazione personalizzata.

Screenshot della destinazione di installazione del programma di installazione

Immagine 6. Selezione della destinazione di installazione e della configurazione dello spazio di archiviazione.

  1. Seleziona SSD install target.

  2. Partizionamento personalizzato:

    1. Crea il seguente layout di partizione.
    2. Accetta il tipo di file system predefinito per ogni partizione.
    3. Modifica il gruppo di volumi LVM per utilizzare tutto lo spazio su disco rimanente.
  • I documenti Scribe/Engineer indicano che il sistema è partizionato in base alla guida all'installazione.

Esegui una revisione manuale da parte dell'ingegnere per controllare le dimensioni delle partizioni e convalidare l'esistenza della home directory.

Per espandere il gruppo di volumi in modo che riempia l'intero SSD, è necessario un passaggio aggiuntivo dopo aver definito le partizioni.

  • Fai clic sul pulsante Gruppo di volumi: modifica nella finestra della partizione.
  • Dimensioni: "Il più grande possibile".
Filesystem Dimensioni Scribe Verified (se altro aggiornamento)
/boot 1 G
/boot/efi 0,5 G
/ 50 G
/tmp 8 G
/var 40 G
/var/log 20 G
/var/log/audit 20 G
/var/tmp 4 G
/opt/software-repo 100 G
/home Spazio rimanente

Criterio di sicurezza

  1. Scorri l'elenco delle norme di sicurezza disponibili.

    • Seleziona: DISA STIG con GUI.

    • Fai clic su Seleziona profilo.

    • In questo modo viene applicata la policy di sicurezza selezionata.

    • Scorri l'output per verificare se sono presenti errori rilevati dalle norme.

    • Leggi l'elenco delle modifiche pianificate nei criteri di sicurezza.

    • Se vedi errori rossi, apporta modifiche manuali per rispettare la conformità. Di solito si tratta di problemi di partizionamento del disco.

    • Assicurati che il criterio di sicurezza sia attivo.

  2. Durante questo passaggio, il trascrittore deve trovarsi accanto all'ingegnere.

L'immagine seguente mostra la pagina NORME DI SICUREZZA, in cui DISA STIG con GUI per Red Hat Enterprise Linux 9 è selezionato come profilo. Questa pagina mostra anche una descrizione del profilo e il pulsante Seleziona profilo.

Screenshot dei criteri di sicurezza del programma di installazione

Immagine 7. Selezione del profilo per il criterio di sicurezza.

  • Il criterio di sicurezza è stato applicato senza errori.

Impostazioni utente

  1. Configurare l'utente root

    • Imposta la password root.
    • Registra la password di root sull'unità di archiviazione criptata dopo aver completato l'installazione.

  2. Configura il primo account operatore

    • Imposta il nome utente per l'account utente operatore iniziale.
    • Chiedi all'operatore di selezionare la propria password.
    • Seleziona "Amministratore" per aggiungere l'account al gruppo %wheel.

L'immagine seguente mostra la pagina CREA UTENTE dell'installazione. La pagina mostra i campi che devi compilare, come nome completo, nome utente, password e opzioni avanzate.

Screenshot del programma di installazione Crea utente

Immagine 8. Campi con le informazioni per creare un utente.

  • Configurazione utenti completata.
  • Credenziali verificate e salvate in un file di configurazione criptato.

Aggiorna sistema

  1. Tornare alla schermata principale
  2. Viene visualizzato il pulsante Esegui l'upgrade
  3. Inizia l'installazione
  4. L'upgrade richiederà un po' di tempo
  5. Aggiorna il software antivirus con le definizioni attuali
  6. Accedere con l'account creato
  7. Verranno visualizzate le schermate di accesso iniziale

Utilizzare dispositivi USB con STIG Hardening

La possibilità di utilizzare dispositivi USB su un computer Linux con requisiti STIG è fortemente limitata e richiede l'aggiunta di singoli dispositivi a una lista consentita per l'utilizzo.

I seguenti comandi consentono a tastiere e mouse di spostarsi liberamente tra le porte USB fisiche. Ciò comporta l'aggiornamento delle regole di usbguard.

  • Attiva dispositivo di archiviazione USB

  1. Rimuovi il driver di archiviazione USB fittizio:

    sudo rm /etc/modprobe.d/usb-storage.conf
Attivare definitivamente un nuovo dispositivo USB

Per abilitare definitivamente l'utilizzo di un dispositivo USB, devi modificare le regole di usbguard.

  1. Prima di collegare fisicamente una nuova USB, avvia un usbguard watch per acquisire la nuova stringa dell'identificatore del dispositivo:

    sudo usbguard watch list-devices

  2. Collega fisicamente il dispositivo USB e copia l'output risultante:

    deny id 413c:301a serial "" name "Dell MS116 USB Optical Mouse" hash "kYdX3V8dJl2JDRpEA1mRTUMupUaUe4aGUUZcSr7r5EE=" parent-hash "bRXptnzyxb9ThCMx2AmE81vX4L0JJpn0YRy8OPD8K0A=" via-port "1-6.2" with-interface 03:01:02 with-connect-type "unknown

  3. Aggiungi una nuova riga a /etc/usbguard/rules.conf con la riga dell'identificatore acquisita dallo smartwatch:

    sudo vi /etc/usbguard/rules.conf

    allow id 413c:301a serial "" name "Dell MS116 USB Optical Mouse" hash "kYdX3V8dJl2JDRpEA1mRTUMupUaUe4aGUUZcSr7r5EE=" parent-hash "bRXptnzyxb9ThCMx2AmE81vX4L0JJpn0YRy8OPD8K0A=" with-interface 03:01:02 with-connect-type "unknown

  4. Riavvia il daemon usbguard:

    sudo systemctl restart usbguard.service
Attivare temporaneamente un nuovo dispositivo USB

  1. Collega il nuovo dispositivo USB e determina il numero di dispositivo assegnato:

    usbguard list-devices

    Il dispositivo più recente è in genere l'ultima riga elencata. Il numero del dispositivo è il primo numero della riga:

    usbguard list-devices | tail -1 | awk '{print $1}'

  2. Utilizza usbguard per inserire nella lista consentita l'unità USB sicura:

    sudo usbguard allow-device ${USB_ID}

  3. Monta l'archivio USB risultante come di consueto:

    sudo lsblk # Determine the device name of the USB drive.
# Set the device name of the USB drive.
USB_DEVICE=/dev/sdX # replace X with the device number of the USB drive.

sudo mkdir /mnt/usb; chmod 555 /mnt/usb
sudo mount ${USB_DEVICE} /mnt/usb

  4. Ora dovresti vedere la USB protetta montata.

    • L'unità USB è stata montata correttamente.

Installa tutti gli strumenti

  • Inserisci l'unità USB contenente il software aggiuntivo.

    sudo lsblk # Determine the device name of the USB drive.
# Set the device name of the USB drive.
USB_DEVICE=/dev/sdX # replace X with the device name of the USB drive.

sudo mkdir /mnt/usb
sudo mount ${USB_DEVICE} /mnt/usb
sudo rpm -ihv /mnt/usb/opt/*.rpm
sudo umount /mnt/usb

Utilizza Minicom per accedere alle console seriali

Il programma minicom è vecchio e presuppone che tu voglia connetterti a un modem telefonico quando lo invochi. Devi modificare le impostazioni predefinite per utilizzare un cavo da USB a seriale.

  1. Avvia minicom in modalità di configurazione:

    sudo minicom -s

  2. Viene visualizzata la TUI di configurazione per consentirti di modificare le impostazioni.

    L'immagine seguente mostra l'opzione Configurazione porta seriale selezionata dalla TUI di configurazione.

    Screenshot della configurazione della porta seriale di Minicom

  3. Modifica il dispositivo seriale in /dev/ttyUSB0 e la velocità di trasmissione (velocità) in base alle tue esigenze.

    L'immagine seguente mostra il dispositivo seriale impostato su /dev/ttyUSB0.

    Screenshot del dispositivo seriale Minicom

  4. Per salvare definitivamente questa modifica, utilizza Save setup as dfl.

  5. Seleziona Esci per uscire dal menu di configurazione e accedere alla console seriale.

    La seguente immagine mostra l'opzione Esci selezionata dalla TUI di configurazione. Screenshot dell'uscita da Minicom

  6. All'interno della connessione seriale, utilizza i tasti di scelta rapida per modificare le impostazioni e uscire:

    CTRL+A, Z
X = exit minicom and return to bash shell
P = modify config settings

Configurare la rotazione dei log Auditd

La configurazione STIG comporta la creazione di molti log da parte di auditd. Se lo spazio su disco si esaurisce, il sistema potrebbe passare alla modalità utente singolo. Per evitare questo problema, configura una rotazione dei log di auditd. Poiché auditd non può essere riavviato senza un riavvio, devi configurare sia auditd che logrotate.

  1. Crea un nuovo file /etc/logrotate.d/auditlog

    cat << EOF | sudo tee /etc/logrotate.d/auditlog
/var/log/audit/audit.log.1
/var/log/audit/audit.log.2
/var/log/audit/audit.log.3
/var/log/audit/audit.log.4
/var/log/audit/audit.log.5
{
    missingok
    compress
}
EOF

  2. Modifica le impostazioni di /etc/audit/auditd.conf file's max_log_file:

    sudo vi /etc/audit/auditd.conf

  3. Modifica le righe con le impostazioni aggiornate:

    max_log_file = 1024
max_log_file_action = rotate

  4. Riavvia la workstation:

    sudo shutdown -r now

Wi-Fi

  1. Disattiva il Wi-Fi al termine dell'installazione tramite l'interfaccia utente o eseguendo l'utilità Nmcli nmcli radio wifi off.
  2. Conferma che il Wi-Fi è disattivato o che il componente non esiste.

Post-installazione

Dopo aver configurato il controller di sistema, il passaggio successivo consiste nel copiare i repository dal supporto di installazione al file system locale.

Configura il repository Yum locale

Copia l'intera distribuzione Rocky Linux sul disco locale per creare un repository locale. Ciò consente di utilizzare il comando yum per installare e aggiornare il software.

Copia contenuti multimediali

  1. Monta il supporto USB su /mnt/repo. Copia i repository dai contenuti multimediali DTO nella directory /opt/software-repo/. Se le directory non esistono, creale.

    sudo lsblk # Determine the device name of the USB drive.
# Set the device name of the USB drive.
USB_DEVICE=/dev/sdX # replace X with the device name of the USB drive.

sudo mkdir -m 555 /mnt/usb
sudo mkdir -p /opt/software-repo/Rocky
sudo mount ${USB_DEVICE} /mnt/usb
sudo cp -a /mnt/usb/AppStream /opt/software-repo/Rocky
sudo cp -a /mnt/usb/BaseOS /opt/software-repo/Rocky

Crea un repository multimediale locale

Devi eseguire le seguenti operazioni una sola volta.

  1. Sposta tutti i file .repo esistenti da /etc/yum.repos.d/ in una directory di backup.

    sudo mkdir /root/repobackup
sudo mv /etc/yum.repos.d/* /root/repobackup/

  2. Crea file del repository locale

    cat << EOF | sudo tee /etc/yum.repos.d/local_Rocky-AppStream.repo
[appstream]
name=Rocky Linux $releasever - AppStream
#baseurl=http://dl.rockylinux.org/$contentdir/$releasever/AppStream/$basearch/os/
baseurl=file:///opt/software-repo/Rocky/AppStream
gpgcheck=1
enabled=1
countme=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-rockyofficial
EOF

cat << EOF | sudo tee /etc/yum.repos.d/local_Rocky-BaseOS.repo
[baseos]
name=Rocky Linux $releasever - BaseOS
#baseurl=http://dl.rockylinux.org/$contentdir/$releasever/BaseOS/$basearch/os/
baseurl=file:///opt/software-repo/Rocky/BaseOS
gpgcheck=1
enabled=1
countme=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-rockyofficial
EOF

sudo dnf clean all

Elenco di controllo post-installazione

  • I problemi riscontrati sono stati documentati.
  • Le credenziali sensibili sono state trasferite e documentate in modo sicuro.
  • L'attività di installazione di OS and Tools è stata aggiornata correttamente nel tracker delle attività.
  • Elenco di controllo post-configurazione del controller di sistema:
    • ip a # mostra l'IP corretto
    • kubectl version
    • k9s version
    • minicom --help
    • tmux -V
    • chronyc sources