Verwaltung des Debian-Netzwerks

Verwaltung großer verteilter Netze am Beispiel des Debian Projektes

• Debian-Projekt, Debian Netzwerk
• Zentrale Verwaltung von Accounts
• LDAP-Synchronisation
• Account-Pflege
• Überwachung

• Entwickler von Freier Software
• Aktiver Debian-Entwickler
• Förderer Freier Software
• Administrator für das Debian-Projekt

• Besteht aus rund 40 Computern
• Weltweit verteilt
• Von überall erreichbar
• Für jede Architektur min. 1 Rechner
• Interne Server
• Entwickler-Rechner
• Build Daemon
• Verschiedene Dienste (www, cvs, people, ddtp, pts, qa, nm)
• Nicht: Öffentliche Mirror

• Mehr als 1000 Entwickler
• Zugriff auf interne Rechner
• Zugriff auf Portierungs-Maschinen
• Daher über 1000 Accounts
• 40 Paßwörter sind unpraktisch
• 1000 Accounts auf 40 Rechnern nicht wartbar
• Daher wird Accountverwaltung benötigt

• Daher LDAP als zentrale Datenbank
• Eigene OID, eigenes Schema
• Authentifizierung über das Netzwerk?
• Was wäre wenn?
• Ausfall das LDAP-Servers?
• Kein Arbeiten mehr möglich?
• Entwicklung von Debian auf Eis gelegt?
• Das darf nicht passieren

• Authentifizierung mit lokalen Dateien
• Account-Informationen liegen lokal auf jedem Rechner
• Automatisches Synchronisieren mit LDAP-Server
• Sync via Key-basiertem rsync over SSH
• Paßwort-Änderung nur zentral
• Ohne LDAP-Server fehlen einfach Updates
• Akzeptable Einschränkung
• Besonderheit: SSH-Keys im LDAP

   spohr!joey(pts/5):~> ls -l /var/lib/misc/
   -rw-r--r--  1 root root   20480 May  2 03:55 group.db
   -rw-r--r--  1 root root   16384 May  2 03:55 passwd.db
   -rw-r-----  1 root shadow  8192 May  2 03:55 shadow.db
   drwxr-xr-x  2 root root    4096 May  2 03:55 spohr.debian.org/

   spohr!joey(pts/5):~> ls -l /var/lib/misc/spohr.debian.org/
   -rw-r--r--  1 root root   7209 May  2 03:55 group.tdb
   -rw-r--r--  1 root root   5022 May  2 03:55 passwd.tdb
   -rw-------  1 root root   3123 May  2 03:55 shadow.tdb

   spohr!joey(pts/5):~> cat /etc/nsswitch.conf
   passwd:         compat db
   group:          db compat
   shadow:         compat db

• Accounts für Entwickler
• Compiler samt Bibliotheken erforderlich
• Mehrere Releases werden benötigt
• "unstable" für aktuelle Entwicklung
• "testing" zum Nachvollziehen von Fehlern
• "stable" für Security und stable Updates
• Daher chroot-Umgebung für die Entwickler
• Müssen auch regelmäßig aktualisiert werden

• Unterschiedliche Hardware
• Unterschiedliche Bedürfnisse
• Unterschiedliche Dienste
• Gleiche Distribution: Debian
• Gleiche Paket-Verwaltung
• Gleiche Werkzeuge
• Dadurch überhaupt nur wartbar

• Dienste einzeln konfigurieren
• Konfiguration und Daten in /org/DIENSTNAME
• Backup erleichtert
• Umzug auf andereren Rechner erleichtert
• Dienst eventuell durch Entwickler gepflegt

• Debian stable auf allen Rechnern
• Security-Support durch das Security Team
• Ausführen von Befehlen auf vielen Rechnern
• gnome-terminal, dssh
• Zusätzlich Überwachung der Dateien mit aide
  Mail mit geänderten Berechtigungen
• Zusätzlich Überwachung der Pakete mit famke
  Mail mit nicht installierten neueren Paketen

   To: famke@admin.debian.org
   Subject: Out-of-date packages on bartok.debian.org [04/30/06]
   From: root 

   ********************************************************************************

   The following security updates have not been applied:
     cyrus-sasl2:
	 libsasl2 2.1.19-1.5 is installed but 2.1.19-1.5sarge1 is available.
	 DSA-1042 programming error [http://www.debian.org/security/2006/dsa-1042]

   ********************************************************************************

• Dedizierter Backup-Server
• Insgesamt 1.7~TB Plattenplatz
• alle wichtigen Dienste täglich spiegeln
• History von mehreren Versionen über Hardlinks
• Alte Versionen können jederzeit zurückgeholt werden
• Unterschiede zwischen Versionen können angezeigt werden
• Backup via Key-basiertem rsync over SSH

deb http://db.debian.org/ debian-admin/

Wichtige Pakete:

• userdir-ldap
• famke
• da-backup
• dchroot-dsa

• Kennenlernen des Debian-Netzwerks
• Zentrale Verwaltung von Accounts
• Netzwerk aktuell halten
• Eingesetzte Software