8. Configurar o controlador do sistema

Tempo estimado para a conclusão: 2 a 4 horas

Proprietário do componente operacional: OELCM

Perfil de habilidade: engenheiro de implantação

O principal caso de uso dessa máquina é interagir com eletrodomésticos físicos quando os métodos principais não estão disponíveis. Por exemplo, ele pode ser conectado à porta do console do switch se o bootstrap para conectividade do switch estiver com falha.

Alguns parceiros de implantação optam por usar um servidor nos racks principais do GDC e seguem as instruções de recuperação do bootstrapper mais tarde. Isso é necessário se o data center proibir servidores, monitores, mouses ou teclados sem rodinhas.

Plano A. CD ou DVD Live

Um controlador de sistema é executado em um CD ou DVD totalmente ativo (mídia óptica).

  • Não instale em um disco rígido físico.

  • Esse sistema não pode ter uma unidade física.

  • Use uma imagem ativa do Rocky com DTO limpo.

  • Não use um pen drive USB.

  • É preciso atualizar essas imagens regularmente usando o DTO.

Instruções

  1. Grave em um CD ou DVD.

  2. Configure o controlador do sistema para inicializar a partir de um CD ou DVD.

  3. Defina um endereço IP.

Plano B. Instalar sistema operacional (SO)

O objetivo deste documento é criar uma estação de trabalho compatível com o Guia de implementação técnica de segurança (STIG, na sigla em inglês) com as ferramentas de software necessárias para oferecer suporte ao Google Distributed Cloud (GDC) isolado por air gap.

Resumo

Um controlador de sistema é um carrinho de emergência com uma estação de trabalho, teclado, mouse e monitor.

Pré-requisito

Revise este guia completo e verifique o seguinte:

  • O encarregado da transferência de dados (DTO, na sigla em inglês) fica de prontidão durante a semana de instalação.
  • Os equipamentos e mídias necessários para a instalação incluem:
    • Guia de ferramentas de ativação do Distributed Cloud
    • Mídia USB
    • Downloads de arquivos, incluindo ISO do SO e RPMs de software adicionais
    • Estação de trabalho, tela, teclado, mouse e cabos.
  • Informações de rede para o SO do console de serviço:
    • Endereço IP
    • Máscara de sub-rede
    • Gateway padrão
    • Informações de DNS

Recursos identificados

  • Matriz de proficiência do Distributed Cloud
DTO Engineer Escriba/Comunicação Instrutor Runner/TL/TW
  • Funções da equipe de implantação do Distributed Cloud

Outros recursos

  • Baixar o guia de instalação do SO
  • Baixar o procedimento de configuração do Minicom
  • Faça o download das instruções de configuração do COW e do carrinho de emergência.

Criar mídia inicializável

Conclua essa tarefa usando o DTO antes de ir até o local do cliente.

  1. Faça o download do DVD ISO do Rocky 8 ou 9.

  2. Baixe outros pacotes de software:

    Pacote URLs
    clamav (opcional) Rocky 8.x / Rocky 9.x
    clamav-data (opcional) Rocky 8.x / Rocky 9.x
    clamav-filesystem (opcional) Rocky 8.x / Rocky 9.x
    clamav-freshclam (opcional) Rocky 8.x / Rocky 9.x
    clamav-lib (opcional) Rocky 8.x / Rocky 9.x
    clamd (opcional) Rocky 8.x / Rocky 9.x
    código Rocky 8.x / Rocky 9.x
    google-chrome-stable_current Rocky 8.x / Rocky 9.x
    k9s Rocky 8.x / Rocky 9.x
    kubectl Rocky 8.x / Rocky 9.x
    liberation-fonts Rocky 8.x / Rocky 9.x
    libprelude Rocky 8.x / Rocky 9.x
    lm_sensors Rocky 8.x / Rocky 9.x
    lm_sensors_libs Rocky 8.x / Rocky 9.x
    lockdev Rocky 8.x / Rocky 9.x
    lrzsz Rocky 8.x / Rocky 9.x
    minicom Rocky 8.x / Rocky 9.x
    sysstat Rocky 8.x / Rocky 9.x

  3. Execute o procedimento de transferência de software necessário para trazer os pacotes ISO e de software para o espaço seguro do seu data center.

  4. Grave a imagem ISO no drive USB criptografado.

  5. Copie outros pacotes de software para o pen drive criptografado.

    # Set variable to iso file downloaded
OS_ISO=Rocky-9.5-x86_64-dvd.iso

# cd to directory where iso and additional software rpms are stored

# Determine the device name of the USB drive.
sudo lsblk

# Set the device name of the USB drive.
echo "What is the device name of the USB drive? Provide full name for example /dev/sdX"
read USB_DEVICE
read -r -p "Proceeding will destroy existing data on ${USB_DEVICE}. Continue with formatting? [y/n] " response
case "$response" in
  [yY][eE][sS]|[yY])
      echo "Formatting USB drive with ${OS_ISO}..."
      ;;
  *)
      echo "Exiting..."
      exit 0
      ;;
esac

# Write ISO to USB drive
sudo dd if=${OS_ISO} of=${USB_DEVICE} bs=4M

echo "Copying additional software packages to USB drive"
sudo mkdir /mnt/usb
sudo mount ${USB_DEVICE} /mnt/usb
sudo mkdir /mnt/usb/opt/
sudo cp *.rpm /mnt/usb/opt/

# Unmount USB drive
sudo umount /mnt/usb
echo "Bootable media creation is complete."

Dia da instalação

Recuperar equipamentos do inventário ou do envio e recebimento do cais de carga. Leve o equipamento para o espaço de trabalho do data center (DC). Continue montando o carrinho de emergência para o controlador do sistema.

Preparar e construir equipamentos

  1. Abrir a caixa da Workstation
  2. Verificar números de série
  3. Build Crash Cart
    • Conectar tela
    • Incluir teclado
    • Incluir mouse
    • Adicione aqui o folheto de configuração do controlador do sistema ou o arquivo PDF.
  4. Conecte os cabos à estação de trabalho
    • Conecte o cabo do monitor (VGA, HDMI, DisplayPort)
    • Conecte o mouse
    • Conecte o teclado
  5. Fazer a instalação do SO
    • vai precisar de mídia do DTO/DTA.

Instalação do SO

Espera-se que o controlador do sistema, com teclado, monitor e mouse, esteja configurado e pronto para a instalação do SO.

Inicializar usando mídia

  1. Inicialize o controlador do sistema com uma mídia inicializável.
  2. Selecione Verificar mídia e instalar.
  3. Quando a GUI do instalador do Redhat for carregada, selecione o seguinte em cada seção.

A imagem a seguir mostra a mensagem inicial com as opções de instalação do SO que o controlador do sistema exibe na mídia inicializável.

Captura de tela da mensagem inicial da mídia inicializável

Figura 1. Mensagem inicial da mídia inicializável.

  • Mídia ISO inicializada.

Captura de tela da GUI do instalador

Figura 2. Seleção de idioma para a instalação.

Localização

  1. Teclado: inglês (EUA)
  2. Idioma: inglês (EUA)

Rede e nome do host

  1. Clique em Configurar no dispositivo de rede.
  2. Em Configurações de IPv4, selecione Manual.
  3. Em Endereços, clique em Adicionar.
  4. Insira o endereço IP, a máscara de rede e o gateway nos campos.
  5. Insira os servidores DNS.
  6. Clique em Salvar e Concluído.
  7. Em Configurações de IPv4, selecione Manual.
  8. Em Endereços, clique em Adicionar.
  9. Insira o endereço IP, a máscara de rede e o gateway nos campos.
  10. Insira os servidores DNS.
  11. Clique em Salvar e Concluído.

Captura de tela das opções de rede e nome do host do instalador

Figura 3. Opções de rede e nomes de host para a instalação.

Hora e data

  1. Clique no ícone de configurações no canto superior direito.
  2. Insira o endereço IP do switch de gerenciamento no campo Nome do host.
  3. Clique em OK.
  4. Defina a região e o fuso horário.
  5. Clique em Concluído.
  6. Insira o endereço IP do switch de gerenciamento no campo Nome do host.
  7. Clique em OK.
  8. Defina a região e o fuso horário.
  9. Clique em Concluído.

Captura de tela das opções de data e hora do instalador

Figura 4. Opções de data e hora para a instalação.

Software

  1. Seleção de software: Estação de trabalho
  2. Complementos:

  3. Complementos:

    1. Servidores de rede
    2. Ferramentas do sistema
    3. Produtividade no escritório

A imagem a seguir mostra a página SELEÇÃO DE SOFTWARE para a instalação. A página mostra dois menus: um para o ambiente de base, em que a opção Estação de trabalho está selecionada. O outro menu é para o software adicional do ambiente selecionado, em que as opções Servidores de rede e Ferramentas do sistema estão selecionadas.

Captura de tela da seleção de software do instalador

Figura 5. Ambiente de base e software adicional para a instalação.

  • Estação de trabalho selecionada como ambiente de base
  • Servidores de rede selecionados como instalação de software adicional
  • Ferramentas do sistema selecionadas como instalação de software adicional
  • Produtividade do Office selecionada como instalação de software adicional

Destino da instalação e particionamento de disco

A imagem a seguir mostra a página DESTINO DA INSTALAÇÃO, em que um dispositivo de disco está selecionado. A configuração de armazenamento personalizada também é especificada nesta página.

Captura de tela do destino de instalação do instalador

Figura 6. Seleção do destino da instalação e da configuração de armazenamento.

  1. Selecione Destino da instalação do SSD.

  2. Particionamento personalizado:

    1. Crie o seguinte layout de partição.
    2. Aceite o tipo de sistema de arquivos padrão para cada partição.
    3. Modifique o grupo de volumes do LVM para usar todo o espaço em disco restante.
  • O Scribe/Engineer documenta que o sistema é particionado de acordo com o guia de instalação.

Faça uma análise manual pelo engenheiro para verificar o tamanho das partições e validar a existência do diretório inicial.

Para que o grupo de volumes se expanda e preencha todo o SSD, há uma etapa extra após a definição das partições.

  • Clique no botão Grupo de volumes: modificar na janela de partição.
  • Tamanho: "O maior possível".
Sistema de arquivos Tamanho Scribe Verified (se outra atualização)
/boot Série 1
/boot/efi 0,5 G
/ 50 G
/tmp Série 8
/var 40 G
/var/log 20 G
/var/log/audit 20 G
/var/tmp Série 4
/opt/software-repo 100 G
/home Espaço restante

Política de segurança

  1. Role a lista de políticas de segurança disponíveis.

    • Selecione: DISA STIG com GUI.

    • Clique em Selecionar perfil.

    • Isso aplica a política de segurança selecionada.

    • Role a saída para ver se há erros detectados pela política.

    • Leia a lista de mudanças planejadas na política de segurança.

    • Se você encontrar erros vermelhos, faça mudanças manuais para ficar em conformidade. Isso geralmente indica problemas de particionamento de disco.

    • Verifique se a política de segurança está ativada.

  2. Mantenha o escriba ao lado do engenheiro durante esta etapa.

A imagem a seguir mostra a página POLÍTICA DE SEGURANÇA, em que o DISA STIG com GUI para Red Hat Enterprise Linux 9 está selecionado como o perfil. Essa página também mostra uma descrição do perfil e o botão Selecionar perfil.

Captura de tela da política de segurança do instalador

Figura 7. Seleção de perfil para a política de segurança.

  • A política de segurança foi aplicada sem erros.

Configurações do usuário

  1. Configurar o usuário root

    • Defina a senha raiz.
    • Registre a senha raiz em uma unidade de mídia criptografada depois que a instalação for concluída.

  2. Configurar a primeira conta de operador

    • Defina o nome de usuário da conta de usuário do operador inicial.
    • Peça para o operador escolher a própria senha.
    • Marque "administrador" para adicionar a conta ao grupo %wheel.

A imagem a seguir mostra a página CREATE USER da instalação. A página mostra os campos que você precisa preencher, como nome completo, nome de usuário, senha e opções avançadas.

Captura de tela do instalador "Criar usuário"

Figura 8. Campos com informações para criar um usuário.

  • A configuração dos usuários foi concluída.
  • Credenciais verificadas e salvas em um arquivo de configuração criptografado.

Atualizar o sistema

  1. Voltar para a tela principal
  2. O botão "Fazer upgrade" vai aparecer
  3. Iniciar a instalação
  4. Vai levar algum tempo para fazer o upgrade
  5. Atualizar o software antivírus com as definições atuais
  6. Fazer login com a conta criada
  7. As telas de login da primeira vez vão aparecer

Usar dispositivos USB com proteção STIG

A capacidade de usar dispositivos USB em uma máquina Linux com requisitos STIG é severamente limitada e exige que dispositivos individuais sejam adicionados a uma lista de permissões para uso.

Os comandos a seguir permitem que teclados e mouses se movam livremente entre portas USB físicas. Isso envolve a atualização das regras do usbguard.

  • Ativar dispositivo de armazenamento USB

  1. Remova o driver falso usb-storage:

    sudo rm /etc/modprobe.d/usb-storage.conf
Ativar permanentemente um novo dispositivo USB

Para ativar permanentemente um dispositivo USB, modifique as regras do usbguard.

  1. Antes de conectar um novo USB, inicie um usbguard watch para capturar a nova string de identificador do dispositivo:

    sudo usbguard watch list-devices

  2. Conecte o dispositivo USB e copie a saída resultante:

    deny id 413c:301a serial "" name "Dell MS116 USB Optical Mouse" hash "kYdX3V8dJl2JDRpEA1mRTUMupUaUe4aGUUZcSr7r5EE=" parent-hash "bRXptnzyxb9ThCMx2AmE81vX4L0JJpn0YRy8OPD8K0A=" via-port "1-6.2" with-interface 03:01:02 with-connect-type "unknown

  3. Adicione uma nova linha a /etc/usbguard/rules.conf com a linha de identificador capturada do relógio:

    sudo vi /etc/usbguard/rules.conf

    allow id 413c:301a serial "" name "Dell MS116 USB Optical Mouse" hash "kYdX3V8dJl2JDRpEA1mRTUMupUaUe4aGUUZcSr7r5EE=" parent-hash "bRXptnzyxb9ThCMx2AmE81vX4L0JJpn0YRy8OPD8K0A=" with-interface 03:01:02 with-connect-type "unknown

  4. Reinicie o daemon usbguard:

    sudo systemctl restart usbguard.service
Ativar temporariamente um novo dispositivo USB

  1. Conecte o novo dispositivo USB e determine qual número de dispositivo foi atribuído a ele:

    usbguard list-devices

    O dispositivo mais novo geralmente é a última linha listada. O número do dispositivo é o primeiro número da linha:

    usbguard list-devices | tail -1 | awk '{print $1}'

  2. Use usbguard para adicionar o USB seguro à lista de permissões:

    sudo usbguard allow-device ${USB_ID}

  3. Conecte o armazenamento USB resultante normalmente:

    sudo lsblk # Determine the device name of the USB drive.
# Set the device name of the USB drive.
USB_DEVICE=/dev/sdX # replace X with the device number of the USB drive.

sudo mkdir /mnt/usb; chmod 555 /mnt/usb
sudo mount ${USB_DEVICE} /mnt/usb

  4. O USB seguro vai aparecer como montado.

    • O USB foi montado.

Instalar todas as ferramentas

  • Insira o drive USB com o software adicional.

    sudo lsblk # Determine the device name of the USB drive.
# Set the device name of the USB drive.
USB_DEVICE=/dev/sdX # replace X with the device name of the USB drive.

sudo mkdir /mnt/usb
sudo mount ${USB_DEVICE} /mnt/usb
sudo rpm -ihv /mnt/usb/opt/*.rpm
sudo umount /mnt/usb

Usar o Minicom para acessar consoles seriais

O programa minicom é antigo e pressupõe que você quer se conectar a um modem de telefone ao invocá-lo. Você precisa mudar os padrões para usar um cabo USB para serial.

  1. Inicie o minicom no modo de configuração:

    sudo minicom -s

  2. Isso abre a TUI de configuração para que você possa mudar as configurações.

    A imagem a seguir mostra a opção Configuração da porta serial selecionada na TUI de configuração.

    Captura de tela da configuração da porta serial do Minicom

  3. Mude o dispositivo serial para /dev/ttyUSB0 e a taxa de transmissão (velocidade) conforme necessário.

    A imagem a seguir mostra o dispositivo serial definido como /dev/ttyUSB0.

    Captura de tela do dispositivo serial Minicom

  4. Para salvar essa mudança permanentemente, use Save setup as dfl.

  5. Selecione Exit para sair do menu de configuração e acessar o console serial real.

    A imagem a seguir mostra a opção Exit selecionada na TUI de configuração. Captura de tela da saída do Minicom

  6. Na conexão serial, use as hiperteclas para mudar as configurações e sair:

    CTRL+A, Z
X = exit minicom and return to bash shell
P = modify config settings

Configurar a rotação de registros do Auditd

A configuração STIG significa que muitos registros são criados pelo auditd. Se o espaço acabar, ele poderá desligar o sistema e colocá-lo no modo de usuário único. Para evitar isso, configure uma rotação de registros de auditoria. Como o auditd não pode ser reiniciado sem uma reinicialização, é necessário configurar o auditd e o logrotate.

  1. Crie um novo arquivo /etc/logrotate.d/auditlog

    cat << EOF | sudo tee /etc/logrotate.d/auditlog
/var/log/audit/audit.log.1
/var/log/audit/audit.log.2
/var/log/audit/audit.log.3
/var/log/audit/audit.log.4
/var/log/audit/audit.log.5
{
    missingok
    compress
}
EOF

  2. Modifique as configurações do /etc/audit/auditd.conf file's max_log_file:

    sudo vi /etc/audit/auditd.conf

  3. Mude as linhas para as configurações atualizadas:

    max_log_file = 1024
max_log_file_action = rotate

  4. Reinicialize a estação de trabalho:

    sudo shutdown -r now

Wi-Fi

  1. Desative o Wi-Fi quando a instalação for concluída pela interface do usuário (UI) ou executando o utilitário Nmcli nmcli radio wifi off.
  2. Confirme se o Wi-Fi está desativado ou se o componente não existe.

Após a instalação

Depois que o controlador do sistema é configurado, a próxima etapa é copiar os repositórios da mídia de instalação para o sistema de arquivos local.

Configurar um repositório yum local

Copie toda a distribuição do Rocky Linux para o disco local e crie um repositório local. Isso permite que o comando yum seja usado para instalar e atualizar software.

Copiar mídia

  1. Ative a mídia USB em /mnt/repo. Copie os repositórios da mídia DTO para o diretório /opt/software-repo/. Se os diretórios não existirem, crie-os.

    sudo lsblk # Determine the device name of the USB drive.
# Set the device name of the USB drive.
USB_DEVICE=/dev/sdX # replace X with the device name of the USB drive.

sudo mkdir -m 555 /mnt/usb
sudo mkdir -p /opt/software-repo/Rocky
sudo mount ${USB_DEVICE} /mnt/usb
sudo cp -a /mnt/usb/AppStream /opt/software-repo/Rocky
sudo cp -a /mnt/usb/BaseOS /opt/software-repo/Rocky

Criar repositório de mídia local

Você só precisa fazer o seguinte uma vez.

  1. Mova todos os arquivos .repo de /etc/yum.repos.d/ para um diretório de backup.

    sudo mkdir /root/repobackup
sudo mv /etc/yum.repos.d/* /root/repobackup/

  2. Criar arquivos de repositório local

    cat << EOF | sudo tee /etc/yum.repos.d/local_Rocky-AppStream.repo
[appstream]
name=Rocky Linux $releasever - AppStream
#baseurl=http://dl.rockylinux.org/$contentdir/$releasever/AppStream/$basearch/os/
baseurl=file:///opt/software-repo/Rocky/AppStream
gpgcheck=1
enabled=1
countme=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-rockyofficial
EOF

cat << EOF | sudo tee /etc/yum.repos.d/local_Rocky-BaseOS.repo
[baseos]
name=Rocky Linux $releasever - BaseOS
#baseurl=http://dl.rockylinux.org/$contentdir/$releasever/BaseOS/$basearch/os/
baseurl=file:///opt/software-repo/Rocky/BaseOS
gpgcheck=1
enabled=1
countme=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-rockyofficial
EOF

sudo dnf clean all

Lista de verificação pós-instalação

  • Os problemas encontrados foram documentados.
  • A credencial sensível foi transferida e documentada com segurança.
  • A tarefa de instalação do SO e das ferramentas foi atualizada com sucesso no rastreador de tarefas.
  • Lista de verificação pós-configuração do controlador do sistema:
    • ip a # mostra o IP correto
    • kubectl version
    • k9s version
    • minicom --help
    • tmux -V
    • chronyc sources