LPS:CFEngine3/TODO
Z HelpDesk
Konfigurace
Věci, co bych chtěl do cfenginu zavést, ale papírky se mi ztrácejí:
- použít DNS záznam 'IN SSHFP' pro servery v DNS, zapnout kontrolu v /etc/ssh/ssh_config (i na koncových stanicích) a CFEnginem kontrolovat, ze zaznam v DNS odpovídá tomu, co je na lokálním stroji, jinak varovat. Vytvářet klíče do souboru na AFS, např. příkazem:
ssh-keygen -r `hostname --fqdn` >> /afs/.zcu.cz/common/etc/
Bude to chtít nějaký skriptík, který zkontroluje duplicitu apod. Nutné domluvit s Alešem výměnný formát pro includování, odkázat se na IPv6 konfigurace /etc/resolv.conf pres fcopy, pozor, nerozlisuje se zatim privátní (kolejní/voip servery - jak detekovat?) a veřejné- zkusit vyuzit pro distribuci hesel tento program, tj. verejnym zasifrovat heslo, ulozit na serveru a klient si jej stahne k sobe, privatnim otevre a zkontroluje obsah. V datech by nemelo byt heslo jako takove, ale jeho hash
- inteligentne nastavit /etc/openafs/cacheinfo (je treba upravit i v debconfu), nektere servery maji vlastni partition, jine ne, velikost cache musi mit velikost maximalne do cca 90% prostoru/partition, jinak nenabehne klient, asi by bylo vhodne to delat pres debconf
- nainstalovat mcelog (projit konfiguraci), pripravit spolu se sondou do nagiosu
- spoustet pravidelne (1x tydne/mesicne) long smart test pres vsechny HDD/SSD, chyby bude detekovat nagios. Je treba vyhnout se FC polim a zaroven zjistit, jestli se nejedna a specif. radic jako je MegaRAID, protoze se pouzivaji jine parametry a je mozne, ze test bude neuspesny, nektere SMART commandy ignoruje.
- v /etc/nagios/nrpe.cfg musi byt vsechny '^command[...]=...' zakomentovane, použít vlastní konfigurák
- pro services/changes pridat diff --ignore-matching-lines='^# CF3 - .*$' čímž je možné porovnávat zdrojove soubory s upravenymi templaty
- /etc/default/rcS
- hlidat, ze /etc/default/cfengine3 obsahuje start cfengine
- do grubu (/etc/grub/...) pridat volby pro instalaci/shell z FAI, pouzivame distribucni jadro, tak by to nemel byt problem
- hlidat ze v /etc/postfix/virtual je zaznam pro smerovani posty uzivatele 'root', pokud neni, pridat a zavolat postmap + reload server, pripadne /etc/postfix/go skript
- kontrola, ze bezi mdadm --monitor a ze je aktivovana kontrola integrity sw raidu, pouze tam, kde se SW RAID pouziva (jinde odinstalovat?)
- v update.cf je aktualne zakomentovan report s tim, v jake vetvi se stroj nachazi, idealni by bylo, kdyby reportoval pouze zmenu, ze prechazi z jedne vetve na druhou, ale jak to udelat
- update.cf by nemel pouzivat externi skript jako module (takto se pouziva jen na serveru!), ale dostat to do cf3 bude opruz, ale nikoliv nemozne
- /etc/ntp.conf dle RT#186029
Vize
- jak udelat report, např. kde všude mame nekoho v /home/ ... napsat vlastni .cf a nejak vratit informaci na server, nasledne zobrazit treba pres web ... zkratka udelat takove prehledy
- davat cfengine vsude (nejen do FAI:SRV), kde je wheezy, v soucasnosti do tridy TESTING, nutno vyrazne otestovat
- vymena klicu pro baculu. Bacula pro overeni klienta vuci serveru pouziva "heslo", ktere je zapsane v konfiguracich, je vhodne, aby bylo pres vsechny stroje ruzne a v case se menilo, to lze v cfengine zaridit tak:
- na bacula-serveru mit take zpristupneny masterfiles pro stahovani, do nej generovat info (klient-klic)
- bacula-clienti si pres cf-agent z bacula-server stahnou informaci a upravit/opravit v nem heslo
- ostatni konfigurace pro cf-engine je rizena z cf-serveru a to vcetne chovani cf3 na bacula-serveru
3.6
- pred prechodem nutno precist ChangeLog, jsou tam nove ale i deprecated veci
- zapnout a nastavit http://cfengine.com/docs/master/reference-components.html#cache_system_functions viz https://groups.google.com/forum/#!topic/help-cfengine/48jdEZF01u8
- findfiles() pro nalezeni *.cf souborů místo šíleného pole v promises.cf
- automaticky bundlesequence dle adresaru v services/
- zjednodusit zculib/diff.cf:diff_file_substract_report(), uz nejsou nutne zavislosti mezi definicemi promennych, viz diskuse https://groups.google.com/forum/#!topic/help-cfengine/KGbjjcSycPo