===== ScientificLinux/CentOS 7 Template =====
===== Impostare proxy per YUM =====
echo 'proxy=http://squid.lnf.infn.it:3128/' >> /etc/yum.conf
==== Installazioni e aggiornamenti ====
Aggiungiamo i repository **EPEL**:
yum install epel-release
Installiamo i seguenti pacchetti:
yum install deltarpm bash-completion yum-utils
Aggiorniamo i pacchetti installati
yum update
Disabilitiamo ''kdump''
systemctl disable kdump.service
===== Impostare Version lock YUM (Solo SL)=====
yum remove yum-conf-sl7x
rpm -q --queryformat='%{VERSION}' sl-release > /etc/yum/vars/slreleasever
==== Installare xAuth per il forward di X11 via SSH ====
yum install xorg-x11-xauth
==== Abilitare verbose boot ====
sed -i 's/rhgb\|quiet//g' /etc/default/grub
sed -i 's/rhgb\|quiet//g' /boot/grub2/grub.cfg
==== Sostituzione del Volume Group name (solo SL) ====
Modifichiamo il nome del volume group assegnato automaticamente con **vglocal**
vgrename [automatic_name] vglocal
Sostituiamo tutte le occorrenze di **[automatic_name]** con **vglocal** nei seguenti file:
for f in /etc/grub2.cfg /etc/fstab /etc/default/grub /boot/grub2/grub.cfg; do sed -ri 's/centos_dhcp--?lnf/vglocal/g' $f ; done
Quindi riavviamo la macchina.
==== Data e ora ====
Installare il servizio NTP:
yum install ntp
Controllare che in ''/etc/ntp.conf'' siano presenti i server LNF:
server ntp1.lnf.infn.it iburst
server ntp2.lnf.infn.it iburst
server ntp3.lnf.infn.it iburst
Abilitare la sincronizzazione:
timedatectl set-ntp true
==== Mail ====
Installiamo il pacchetto ''mailx'' per poter utilizzare il comando **mail** da linea di comando
yum install mailx
Modifichiamo il file main.cf di postfix (''vi /etc/postfix/main.cf'') impostando:
inet_interfaces = all
relayhost = [smtp.lnf.infn.it]
mydomain = lnf.infn.it
==== Kerberos ====
Installiamo i pacchetti per il client Kerberos
yum install krb5-workstation krb5-libs krb5-auth-dialog
Editiamo il file di configurazione ''/etc/krb5.conf'' per impostare i realm, LNF.INFN.IT K5 come realm di default, il dominio del realm e alcuni valori di default utilizzati dagli applicativi di Kerberos 5.
[libdefaults]
default_realm = LNF.INFN.IT
[domain_realm]
.lnf.infn.it = LNF.INFN.IT
lnf.infn.it = LNF.INFN.IT
[realms]
LNF.INFN.IT = {
kdc = kdc5s3.lnf.infn.it:88
kdc = kdc5s2.lnf.infn.it:88
kdc = kdc5s1.lnf.infn.it:88
kdc = kdc5s0.lnf.infn.it:88
kdc = kdc5p.lnf.infn.it:88
admin_server = kdc5p.lnf.infn.it:749
default_domain = lnf.infn.it
}
INFN.IT = {
kdc = k5.infn.it:88
kdc = afscnaf.infn.it:88
kdc = afsrm1.roma1.infn.it:88
kdc = afsna.na.infn.it:88
admin_server = k5.infn.it:749
default_domain = infn.it
}
[appdefaults]
aklog_homedir = true
pam-afs-session = {
minimum_uid = 1000
ignore_root = true
debug = true
}
pam = {
minimum_uid = 1000
ticket_lifetime = 259200 # 86400
renew_lifetime = 604800
forwardable = true
krb4_convert = false
ccache_dir = /tmp
tokens = true
krb4_convert_524 = false
krb4_use_as_req = false
#afs_cells = lnf.infn.it=afs@LNF.INFN.IT
afs_cells = lnf.infn.it=afs/lnf.infn.it@LNF.INFN.IT
#existing_ticket = true
validate = true
#validate = false
keytab = FILE:/etc/krb5.keytab
debug = false
#debug = true
}
==== OpenAFS (Solo SL) ====
Installiamo i pacchetti
yum install openafs-1.6-sl-client openafs-1.6-sl-krb5 net-tools
Modifichiamo il file ''CellAlias'' in ''/usr/vice/etc/'' inserendo
lnf.infn.it lnf
e il file ''ThisCell'' sempre in ''/usr/vice/etc/'' inserendo
lnf.infn.it
==== Abilitare gli aggiornamenti automatici di sicurezza (Solo SL) ====
Modifichiamo il file yum-cron.conf (''vi /etc/yum/yum-cron.conf'') inserendo
update_cmd = minimal-security
==== Disabilitare SELinux ====
Per disabilitare SELinux modifichiamo il file di configurazione ''/etc/sysconfig/selinux'' impostando il valore ''disabled'' alla voce ''SELINUX''
SELINUX=disabled
Dopo aver salvato il file è necessario il reboot del sistema per rendere le modifiche effettive.
==== Networking ====
Disabilitare Network Manager:
systemctl stop NetworkManager
systemctl disable NetworkManager
cat > /etc/resolv.conf <
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
Rendiamo effettive le modifiche eseguendo il comando:
sysctl -p
Modifichiamo la voce ''AddressFamily'' nel file ''/etc/ssh/sshd_config'' sostituendo ''any'' con ''inet''
AddressFamily inet
Quindi riavviamo ''ssh''.
systemctl restart sshd
systemctl status sshd
Infine modifichiamo la voce ''inet_interfaces'' in ''/etc/postfix/main.cf'' nel modo seguente:
inet_interfaces = 127.0.0.1
==== oVirt agent ====
Installiamo il pacchetto relativo ai guest agent di oVirt
yum install ovirt-guest-agent
Eseguiamo i seguenti comandi per avviare il servizio e abilitarlo al boot:
systemctl enable ovirt-guest-agent.service
systemctl start ovirt-guest-agent.service
==== VMWare agent ====
Installiamo il pacchetto relativo ai guest agent di VMWare
yum install open-vm-tools
Eseguiamo i seguenti comandi per avviare il servizio e abilitarlo al boot:
systemctl enable vmtoolsd
systemctl start vmtoolsd
=== Disabilitare LRO sulle interfacce virtuali ===
https://kb.vmware.com/s/article/1027511
inserire in /etc/rc.local:
echo 'for if in `cat /proc/net/dev | grep : | grep -v lo | sed s/:.*// `; do ethtool -K $if lro off gro off; done' >> /etc/rc.d/rc.local
chmod +x /etc/rc.d/rc.local
==== Disabilitare firewalld e abilitare iptables ====
Per disabilitare ''firewalld'' eseguiamo
systemctl stop firewalld
systemctl disable firewalld
''mask'' previene l’avvio del servizio sia in automatico che manuale creando un link simbolico da ''/etc/systemd/system/firewalld.service'' a ''/dev/null''.
Installiamo quindi il pacchetto ''iptables-services''
yum install iptables-services
Abilitiamo ''iptables'' al boot
systemctl enable iptables
Cancelliamo il contenuto del file ''/etc/sysconfig/iptables'' contenente le regole create di default
cat /dev/null > /etc/sysconfig/iptables
Infine avviamo il servizio e verifichiamo lo stato
systemctl start iptables
systemctl status iptables
==== check-mk agent ====
Installiamo il pacchetto ''xinetd''
yum install xinetd
Scarichiamo la versione corretta di check_mk_agent e il relativo file di configurazione di xinetd
curl http://www.lnf.infn.it/computing/check_mk/check_mk_agent.linux-1.2.6p12 > /usr/bin/check_mk_agent
curl http://www.lnf.infn.it/computing/check_mk/check_mk_agent.xinetd > /etc/xinetd.d/check-mk-agent
chmod +x /usr/bin/check_mk_agent
Abilitiamo l'avvio al boot di ''xinetd'' e avviamo il servizio
systemctl enable xinetd
systemctl start xinetd
systemctl status xinetd
==== Log rate limit ====
aggiungere a /etc/systemd/journald.conf:
RateLimitInterval=0
RateLimitBurst=0
==== Custom script ====
Creiamo la directory ''/usr/custom/scripts''
mkdir -p /usr/custom/scripts
Copiamo nella directory appena create gli script:
* z-send.warnings
* summarize
scp slcalc:/usr/custom/scripts/* /usr/custom/scripts/
==== Log alert script ====
Modifichiamo il file ''/etc/rsyslog.conf'' inserendo
local6.* /var/log/dsmcschedule.log
# Custom hourly warning mail
*.warning /var/log/unsent.warnings
# Send all logs to logsrv.lnf.infn.it
*.* @logsrvdata.lnf.infn.it
Creiamo il file ''unset.warnings'' in ''/var/log/''
touch /var/log/unsent.warnings
Creiamo un link simbolico dallo script ''z-send.warnings'' a ''/etc/cron.hourly/''
ln -s /usr/custom/scripts/z-send.warnings /etc/cron.hourly/
Infine riavviamo il servizio ''rsyslog''
systemctl restart rsyslog
systemctl status rsyslog
==== Tivoli Storage Manager e configurazione backup ====
Scarichiamo la versione client di Tivoli Storage Manager
curl -O ftp://ftp.boulder.ibm.com/storage/tivoli-storage-management/patches/client/v6r4/Linux/LinuxX86/BA/v643/6.4.3.4-TIV-TSMBAC-LinuxX86.tar
Estraiamo il contenuto:
tar -xf 6.4.3.4-TIV-TSMBAC-LinuxX86.tar
Lanciamo l'installazione:
yum localinstall TIVsm-API64.x86_64.rpm TIVsm-BA.x86_64.rpm gskcrypt64-8.0.14.53.linux.x86_64.rpm gskssl64-8.0.14.53.linux.x86_64.rpm
Modifichiamo il file ''/opt/tivoli/tsm/client/ba/bin/dsm.sys'' con il seguente contenuto:
cat > /opt/tivoli/tsm/client/ba/bin/dsm.sys < /opt/tivoli/tsm/client/ba/bin/dsm.opt < /usr/lib/systemd/system/tsmscheduler.service <
==== Templatize script ====
Configurati tutti i servizi precedenti è necessario eseguire il seguente script per ripulire la macchina da tutte le configurazioni non necessarie:
cat > /root/templatize.sh < /var/log/audit/audit.log
/bin/cat /dev/null > /var/log/wtmp
/bin/cat /dev/null > /var/log/lastlog
/bin/cat /dev/null > /var/log/grubby
/bin/sed -r -i '/^(HWADDR|UUID)=/d' /etc/sysconfig/network-scripts/ifcfg-*
/bin/rm -f /etc/udev/rules.d/70*
/bin/rm -rf /tmp/*
/bin/rm -rf /var/tmp/*
/bin/rm -f /etc/ssh/*key*
/bin/rm -f /root/.ssh/known_hosts
/bin/rm -f /root/.viminfo
/bin/rm -f /root/.pine-debug1
/bin/rm -f /root/.ssh/id_dsa*
/bin/rm -f /root/.ssh/id_rsa*
/bin/rm -f /root/.bash_history
unset HISTFILE
hostnamectl set-hostname 'localhost.localdomain'
newaliases
shutdown -h now
EOT
# bash /root/templatize.sh