8. Configure o comando do sistema

Tempo estimado até à conclusão: 2 a 4 horas

Proprietário do componente operável: OELCM

Perfil de competências: engenheiro de implementação

O exemplo de utilização principal desta máquina é interagir com aparelhos físicos quando os métodos principais não estão disponíveis. Por exemplo, pode estar ligado à porta da consola do comutador se o programa de arranque para comutar a conetividade estiver a funcionar incorretamente.

Alguns parceiros de implementação optam por usar um servidor nos racks principais do GDC e, em seguida, usar as instruções de recuperação do bootstrapper mais tarde. Isto é necessário se o seu espaço de dados proibir servidores, monitores, ratos ou teclados móveis gratuitos.

Plano A. CD ou DVD em direto

Um controlador do sistema é executado num CD ou DVD totalmente em direto (suporte ótico).

  • Não instale num disco rígido físico.

  • Este sistema não pode ter uma unidade física.

  • Use uma imagem dinâmica do Rocky aprovada pela DTO.

  • Não use uma unidade flash USB.

  • Tem de atualizar estas imagens através do DTO regularmente.

Instruções

  1. Gravar num CD ou DVD.

  2. Defina o controlador do sistema para arrancar a partir de um CD ou um DVD.

  3. Definir um endereço IP.

Plano B. Instale o sistema operativo (SO)

O objetivo deste documento é criar uma estação de trabalho em conformidade com o guia de implementação técnica de segurança (STIG) com as ferramentas de software necessárias para suportar o Google Distributed Cloud (GDC) com isolamento de ar.

Resumo

Um controlador do sistema é um carrinho de emergência com uma estação de trabalho, um teclado, um rato e um monitor.

Pré-requisito

Reveja este guia completo e verifique o seguinte:

  • O responsável pela transferência de dados (DTO) está disponível durante a semana de instalação.
  • O equipamento e os suportes necessários para a instalação incluem:
    • Guia de ferramentas de ativação do Distributed Cloud
    • Conteúdo multimédia USB
    • Transferências de ficheiros, incluindo ISO do SO e RPMs de software adicionais
    • Estação de trabalho, ecrã, teclado, rato e cabos.
  • Informações de rede para o SO da consola de serviços:
    • Endereço IP
    • Máscara de sub-rede
    • Gateway predefinido
    • Informações do DNS

Recursos identificados

  • Matriz de proficiência do Distributed Cloud
DTO Engenheiro Scribe/Comms Instrutor Runner/TL/TW
  • Funções da equipa de implementação do Distributed Cloud

Recursos adicionais

  • Transfira o guia de instalação do SO
  • Transferir procedimento de configuração do Minicom
  • Transfira as instruções de configuração do carrinho de emergência de COW e edifícios.

Crie suportes de arranque

Conclua esta tarefa através do DTO antes de se deslocar ao local do cliente.

  1. Transfira o ISO do DVD do Rocky 8 ou 9.

  2. Transfira pacotes de software adicionais:

    Pacote URLs
    clamav (opcional) Rocky 8.x / Rocky 9.x
    clamav-data (opcional) Rocky 8.x / Rocky 9.x
    clamav-filesystem (opcional) Rocky 8.x / Rocky 9.x
    clamav-freshclam (opcional) Rocky 8.x / Rocky 9.x
    clamav-lib (opcional) Rocky 8.x / Rocky 9.x
    clamd (opcional) Rocky 8.x / Rocky 9.x
    código Rocky 8.x / Rocky 9.x
    google-chrome-stable_current Rocky 8.x / Rocky 9.x
    k9s Rocky 8.x / Rocky 9.x
    kubectl Rocky 8.x / Rocky 9.x
    liberation-fonts Rocky 8.x / Rocky 9.x
    libprelude Rocky 8.x / Rocky 9.x
    lm_sensors Rocky 8.x / Rocky 9.x
    lm_sensors_libs Rocky 8.x / Rocky 9.x
    lockdev Rocky 8.x / Rocky 9.x
    lrzsz Rocky 8.x / Rocky 9.x
    minicom Rocky 8.x / Rocky 9.x
    sysstat Rocky 8.x / Rocky 9.x

  3. Execute o procedimento de transferência de software necessário para transferir os pacotes ISO e de software para o espaço seguro do seu DC Hall.

  4. Escrever imagem ISO para unidade USB encriptada.

  5. Copie pacotes de software adicionais para a unidade USB encriptada.

    # Set variable to iso file downloaded
OS_ISO=Rocky-9.5-x86_64-dvd.iso

# cd to directory where iso and additional software rpms are stored

# Determine the device name of the USB drive.
sudo lsblk

# Set the device name of the USB drive.
echo "What is the device name of the USB drive? Provide full name for example /dev/sdX"
read USB_DEVICE
read -r -p "Proceeding will destroy existing data on ${USB_DEVICE}. Continue with formatting? [y/n] " response
case "$response" in
  [yY][eE][sS]|[yY])
      echo "Formatting USB drive with ${OS_ISO}..."
      ;;
  *)
      echo "Exiting..."
      exit 0
      ;;
esac

# Write ISO to USB drive
sudo dd if=${OS_ISO} of=${USB_DEVICE} bs=4M

echo "Copying additional software packages to USB drive"
sudo mkdir /mnt/usb
sudo mount ${USB_DEVICE} /mnt/usb
sudo mkdir /mnt/usb/opt/
sudo cp *.rpm /mnt/usb/opt/

# Unmount USB drive
sudo umount /mnt/usb
echo "Bootable media creation is complete."

Dia de instalação

Recuperar equipamento do inventário ou do cais de carga para envio e receção. Coloque o equipamento no espaço de trabalho do centro de dados (DC). Continue a criar o carrinho de emergência para o controlador do sistema.

Prepare e construa equipamento

  1. Desembale a estação de trabalho
  2. Valide os números de série
  3. Crie um carrinho de emergência
    • Fixe o ecrã
    • Incluir teclado
    • Incluir rato
    • Adicione aqui o folheto de configuração do controlador do sistema ou o ficheiro PDF.
  4. Ligue os cabos à estação de trabalho
    • Ligue o cabo do ecrã (VGA, HDMI, DisplayPort)
    • Ligue o rato
    • Ligue o teclado
  5. Realize a instalação do SO
    • precisa de conteúdo multimédia do DTO/DTA.

Instalação do SO

É esperado que o controlador do sistema, com teclado, monitor e rato, esteja configurado e pronto para a instalação do SO.

Arrancar a partir de suporte de dados

  1. Inicie o controlador do sistema a partir de suportes de arranque.
  2. Selecione Verificar suporte e instalar.
  3. Assim que a GUI do instalador do Redhat for carregada, selecione o seguinte em cada secção.

A imagem seguinte mostra a mensagem inicial com as opções de instalação do SO que o System Controller apresenta a partir do suporte de arranque.

Captura de ecrã da mensagem inicial do suporte de arranque

Figura 1. Mensagem inicial do suporte de arranque.

  • O suporte de dados ISO foi iniciado.

Captura de ecrã da GUI do instalador

Figura 2. Seleção do idioma para a instalação.

Localização

  1. Teclado: inglês (EUA)
  2. Idioma: inglês (EUA)

Networking e nome do anfitrião

  1. Clique em Configurar no dispositivo de rede.
  2. Em Definições de IPv4, selecione Manual.
  3. Em Moradas, clique em Adicionar.
  4. Introduza o endereço IP, a máscara de rede e o gateway nos campos.
  5. Introduza os servidores DNS.
  6. Clique em Guardar e Concluído.
  7. Em Definições de IPv4, selecione Manual.
  8. Em Moradas, clique em Adicionar.
  9. Introduza o endereço IP, a máscara de rede e o gateway nos campos.
  10. Introduza os servidores DNS.
  11. Clique em Guardar e Concluído.

Captura de ecrã das opções de rede e nome do anfitrião do instalador

Figura 3. Opções de rede e nomes de anfitrião para a instalação.

Hora e data

  1. Clique no ícone de definições no canto superior direito.
  2. Introduza o endereço IP do comutador de gestão no campo Nome do anfitrião.
  3. Clique em OK.
  4. Defina a região e o fuso horário.
  5. Clique em Concluído.
  6. Introduza o endereço IP do comutador de gestão no campo Nome do anfitrião.
  7. Clique em OK.
  8. Defina a região e o fuso horário.
  9. Clique em Concluído.

Captura de ecrã das opções de data e hora do instalador

Figura 4. Opções de hora e data para a instalação.

Software

  1. Seleção de software: Estação de trabalho
  2. Suplementos:

  3. Suplementos:

    1. Servidores de rede
    2. Ferramentas do sistema
    3. Produtividade no escritório

A imagem seguinte mostra a página SELEÇÃO DE SOFTWARE para a instalação. A página apresenta dois menus: um menu para o ambiente base, onde a opção Estação de trabalho está selecionada. O outro menu destina-se ao software adicional para o ambiente selecionado, onde as opções Servidores de rede e Ferramentas do sistema estão selecionadas.

Captura de ecrã da seleção de software do instalador

Figura 5. Ambiente base e software adicional para a instalação.

  • Estação de trabalho selecionada como ambiente base
  • Servidores de rede selecionados como instalação de software adicional
  • Ferramentas do sistema selecionadas como instalação de software adicional
  • Produtividade do Office selecionada como instalação de software adicional

Destino da instalação e criação de partições do disco

A imagem seguinte mostra a página DESTINO DA INSTALAÇÃO, onde é selecionado um dispositivo de disco. A configuração de armazenamento personalizada também é especificada nesta página.

Captura de ecrã do destino de instalação do instalador

Figura 6. Seleção do destino de instalação e da configuração de armazenamento.

  1. Selecione: Destino de instalação do SSD.

  2. Custom Partitioning:

    1. Crie o seguinte esquema de partição.
    2. Aceite o tipo de sistema de ficheiros predefinido para cada partição.
    3. Modifique o grupo de volumes LVM para usar todo o espaço em disco restante.
  • Scribe/Engineer documenta que o sistema está particionado de acordo com o guia de instalação.

Realize uma revisão manual pelo engenheiro para verificar o tamanho das partições e validar a existência do diretório base.

Para que o grupo de volumes se expanda para preencher todo o SSD, existe um passo adicional após definir as partições.

  • Clique no botão Grupo de volume: modificar na janela de partição.
  • Tamanho: "Tão grande quanto possível."
Sistema de ficheiros Tamanho Scribe Verified (se for outra atualização)
/boot 1.º ano
/boot/efi 0,5 G
/ 50 G
/tmp 8.º ano
/var 40 G
/var/log 20.º ano
/var/log/audit 20.º ano
/var/tmp 4.º ano
/opt/software-repo 100 G
/home Espaço restante

Política de segurança

  1. Percorra a lista de políticas de segurança disponíveis.

    • Selecione: DISA STIG com GUI.

    • Clique em Selecionar perfil.

    • Isto aplica a política de segurança selecionada.

    • Desloque a página pela saída para ver se existem erros detetados pela política.

    • Leia a lista de alterações planeadas na política de segurança.

    • Se vir erros vermelhos, faça alterações manuais para ficar em conformidade. Normalmente, trata-se de problemas de partição do disco.

    • Certifique-se de que a política de segurança está ativada.

  2. Tenha o escriba junto ao engenheiro durante este passo.

A imagem seguinte mostra a página POLÍTICA DE SEGURANÇA, onde a opção DISA STIG com GUI para Red Hat Enterprise Linux 9 está selecionada como o perfil. Esta página também apresenta uma descrição do perfil e o botão Selecionar perfil.

Captura de ecrã da política de segurança do instalador

Figura 7. Seleção do perfil para a política de segurança.

  • Política de segurança aplicada sem erros.

Definições do utilizador

  1. Configure o utilizador root

    • Defina a palavra-passe de raiz.
    • Registe a palavra-passe de raiz na unidade de suporte encriptada após a conclusão da instalação.

  2. Configure a primeira conta de operador

    • Definir o nome de utilizador para a conta de utilizador do operador inicial.
    • Fazer com que o operador selecione a sua própria palavra-passe.
    • Selecione "administrador" para adicionar a conta ao grupo %wheel.

A imagem seguinte mostra a página CRIAR UTILIZADOR da instalação. A página apresenta os campos que tem de preencher, como nome completo, nome de utilizador, palavra-passe e opções avançadas.

Captura de ecrã do instalador Criar utilizador

Figura 8. Campos com informações para criar um utilizador.

  • Configuração dos utilizadores concluída.
  • Credenciais validadas e guardadas num ficheiro de configuração encriptado.

Atualize o sistema

  1. Voltar ao ecrã principal
  2. O botão Atualizar é apresentado
  3. Inicie a instalação
  4. A atualização demora algum tempo
  5. Atualize o software antivírus com as definições atuais
  6. Inicie sessão com a conta criada
  7. São apresentados ecrãs de início de sessão pela primeira vez

Use dispositivos USB com a proteção STIG

A capacidade de usar dispositivos USB num computador Linux com requisitos STIG está severamente limitada e requer que os dispositivos individuais sejam adicionados a uma lista de permissões para utilização.

Os seguintes comandos permitem que os teclados e os ratos se movam livremente entre as portas USB físicas. Isto envolve a atualização das regras do usbguard.

  • Ative o dispositivo de armazenamento USB

  1. Remova o controlador de armazenamento USB falso:

    sudo rm /etc/modprobe.d/usb-storage.conf
Ative permanentemente um novo dispositivo USB

Para ativar permanentemente um dispositivo USB para utilização, tem de modificar as regras do usbguard.

  1. Antes de ligar fisicamente um novo USB, inicie um usbguard watch para captar a string do identificador do novo dispositivo:

    sudo usbguard watch list-devices

  2. Ligue fisicamente o dispositivo USB e copie o resultado:

    deny id 413c:301a serial "" name "Dell MS116 USB Optical Mouse" hash "kYdX3V8dJl2JDRpEA1mRTUMupUaUe4aGUUZcSr7r5EE=" parent-hash "bRXptnzyxb9ThCMx2AmE81vX4L0JJpn0YRy8OPD8K0A=" via-port "1-6.2" with-interface 03:01:02 with-connect-type "unknown

  3. Adicione uma nova linha a /etc/usbguard/rules.conf com a linha do identificador capturada do relógio:

    sudo vi /etc/usbguard/rules.conf

    allow id 413c:301a serial "" name "Dell MS116 USB Optical Mouse" hash "kYdX3V8dJl2JDRpEA1mRTUMupUaUe4aGUUZcSr7r5EE=" parent-hash "bRXptnzyxb9ThCMx2AmE81vX4L0JJpn0YRy8OPD8K0A=" with-interface 03:01:02 with-connect-type "unknown

  4. Reinicie o daemon usbguard:

    sudo systemctl restart usbguard.service
Ative temporariamente um novo dispositivo USB

  1. Ligue o novo dispositivo USB e determine o número do dispositivo que lhe foi atribuído:

    usbguard list-devices

    Normalmente, o dispositivo mais recente é a última linha apresentada. O número do dispositivo é o primeiro número da linha:

    usbguard list-devices | tail -1 | awk '{print $1}'

  2. Use usbguard para adicionar o USB seguro à lista de autorizações:

    sudo usbguard allow-device ${USB_ID}

  3. Monte o armazenamento USB resultante normalmente:

    sudo lsblk # Determine the device name of the USB drive.
# Set the device name of the USB drive.
USB_DEVICE=/dev/sdX # replace X with the device number of the USB drive.

sudo mkdir /mnt/usb; chmod 555 /mnt/usb
sudo mount ${USB_DEVICE} /mnt/usb

  4. Agora, deve ver a unidade USB segura como montada.

    • O USB foi montado com êxito.

Instale todas as ferramentas

  • Insira a unidade USB com o software adicional.

    sudo lsblk # Determine the device name of the USB drive.
# Set the device name of the USB drive.
USB_DEVICE=/dev/sdX # replace X with the device name of the USB drive.

sudo mkdir /mnt/usb
sudo mount ${USB_DEVICE} /mnt/usb
sudo rpm -ihv /mnt/usb/opt/*.rpm
sudo umount /mnt/usb

Use o Minicom para aceder a consolas de série

O programa minicom é antigo e pressupõe que quer estabelecer ligação a um modem de telefone quando o invoca. Tem de alterar as predefinições para usar um cabo USB para série.

  1. Inicie o minicom no modo de configuração:

    sudo minicom -s

  2. Isto apresenta a TUI de configuração para lhe permitir alterar as definições.

    A imagem seguinte mostra a opção Configuração da porta série selecionada na IU de texto de configuração.

    Captura de ecrã da configuração da porta série do Minicom

  3. Altere o dispositivo de série para /dev/ttyUSB0 e a taxa de transmissão (velocidade) conforme adequado.

    A imagem seguinte mostra o dispositivo de série definido como /dev/ttyUSB0.

    Captura de ecrã do dispositivo série Minicom

  4. Para guardar esta alteração permanentemente, use Save setup as dfl.

  5. Selecione Sair para sair do menu de configuração para a consola série real.

    A imagem seguinte mostra a opção Sair selecionada na IU de texto de configuração. Captura de ecrã da saída do Minicom

  6. Na ligação série, use as teclas especiais para alterar as definições e sair:

    CTRL+A, Z
X = exit minicom and return to bash shell
P = modify config settings

Configure a rotação de registos do Auditd

A configuração da STIG significa que o auditd cria muitos registos. Se ficar sem espaço no disco, o sistema pode ser encerrado e entrar no modo de utilizador único. Para evitar esta situação, configure uma rotação de registos dos registos do auditd. Uma vez que não é possível reiniciar o auditd sem reiniciar o sistema, tem de configurar o auditd e o logrotate.

  1. Crie um novo ficheiro /etc/logrotate.d/auditlog

    cat << EOF | sudo tee /etc/logrotate.d/auditlog
/var/log/audit/audit.log.1
/var/log/audit/audit.log.2
/var/log/audit/audit.log.3
/var/log/audit/audit.log.4
/var/log/audit/audit.log.5
{
    missingok
    compress
}
EOF

  2. Modifique as definições de /etc/audit/auditd.conf file's max_log_file:

    sudo vi /etc/audit/auditd.conf

  3. Altere as linhas para as definições atualizadas:

    max_log_file = 1024
max_log_file_action = rotate

  4. Reinicie a estação de trabalho:

    sudo shutdown -r now

Wi-Fi

  1. Desative o Wi-Fi assim que a instalação estiver concluída através da interface do utilizador (IU) ou executando o utilitário Nmcli nmcli radio wifi off.
  2. Confirme se o Wi-Fi está desativado ou se o componente não existe.

Após a instalação

Depois de configurar o controlador do sistema, o passo seguinte é copiar os repositórios do suporte de instalação para o sistema de ficheiros local.

Configure o repositório yum local

Copie toda a distribuição do Rocky Linux para o disco local para criar um repositório local. Isto permite que o comando yum seja utilizável para instalar e atualizar software.

Copie conteúdo multimédia

  1. Monte o suporte de dados USB em /mnt/repo. Copie repositórios de suportes de DTO para o diretório /opt/software-repo/. Se os diretórios não existirem, crie-os.

    sudo lsblk # Determine the device name of the USB drive.
# Set the device name of the USB drive.
USB_DEVICE=/dev/sdX # replace X with the device name of the USB drive.

sudo mkdir -m 555 /mnt/usb
sudo mkdir -p /opt/software-repo/Rocky
sudo mount ${USB_DEVICE} /mnt/usb
sudo cp -a /mnt/usb/AppStream /opt/software-repo/Rocky
sudo cp -a /mnt/usb/BaseOS /opt/software-repo/Rocky

Crie um repositório de conteúdo multimédia local

Só tem de fazer o seguinte uma vez.

  1. Mova todos os ficheiros .repo existentes de /etc/yum.repos.d/ para um diretório de cópia de segurança.

    sudo mkdir /root/repobackup
sudo mv /etc/yum.repos.d/* /root/repobackup/

  2. Crie ficheiros de repositório local

    cat << EOF | sudo tee /etc/yum.repos.d/local_Rocky-AppStream.repo
[appstream]
name=Rocky Linux $releasever - AppStream
#baseurl=http://dl.rockylinux.org/$contentdir/$releasever/AppStream/$basearch/os/
baseurl=file:///opt/software-repo/Rocky/AppStream
gpgcheck=1
enabled=1
countme=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-rockyofficial
EOF

cat << EOF | sudo tee /etc/yum.repos.d/local_Rocky-BaseOS.repo
[baseos]
name=Rocky Linux $releasever - BaseOS
#baseurl=http://dl.rockylinux.org/$contentdir/$releasever/BaseOS/$basearch/os/
baseurl=file:///opt/software-repo/Rocky/BaseOS
gpgcheck=1
enabled=1
countme=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-rockyofficial
EOF

sudo dnf clean all

Lista de verificação pós-instalação

  • Os problemas encontrados foram documentados.
  • A credencial sensível foi transferida e documentada de forma segura.
  • A tarefa de instalação do SO e das ferramentas foi atualizada com êxito no rastreador de tarefas.
  • Lista de verificação pós-configuração do controlador do sistema:
    • ip a # mostra o IP correto
    • kubectl version
    • k9s version
    • minicom --help
    • tmux -V
    • chronyc sources