Kapitlerne Kom i gang og Vedligeholdelse beskriver hvordan du kommer i gang med Debian Edu og hvordan du udfører grundlæggende vedligeholdelse. Hjælpen i dette kapitel har nogle mere »avancerede« fif.
Using etckeeper
, all files in
/etc/
are tracked using Git as a version control system.
Dette gør det muligt at se hvornår en fil tilføjes, ændres og fjernes, samt
hvad der har ændres sig hvis filen er en tekstfil. Git-arkivet gemmes i
/etc/.git/
.
Hver time, bliver alle ændringer automatisk optaget, hvilket tillader at konfigurationshistorik kan udtrækkes og gennemses.
For at kige på historikken bruges kommandoen etckeeper vcs
log
. For at kontrollere forskellene mellem to punkter i et
tidsforløb, kan en kommando som etckeeper vcs diff
bruges.
Se resultatet af man etckeeper
for
yderligere information.
Liste over brugbare kommandoer:
etckeeper vcs log etckeeper vcs status etckeeper vcs diff etckeeper vcs add . etckeeper vcs commit -a man etckeeper
På et netop installeret system, så prøv eventuelt dette for at se alle ændringer udført siden systemet blev installeret:
etckeeper vcs log
Se hvilke filer der aktuelt ikke overvåges og hvilke som ikke er opdateret:
etckeeper vcs status
For manuelt at indsende fil, fordi du ikke ønsker at vente op til en time:
etckeeper vcs commit -a /etc/resolv.conf
I Debian Edu er alle partitioner udover partitionen
/boot/
på logiske LVM-diskenheder. Med
Linuxkerner højere end 2.6.10 er det muligt at udvide partitioner mens de er
monteret. Formindskelse af partitioner skal stadig foregå mens partitionen
ikke er monteret.
Det er en god ide at undgå at oprette meget store partitioner (over lad os
sige 20 GiB), på grund af den tid det tager at køre
fsck
på dem eller at genskabe dem fra
sikkerhedskopier hvis behovet skulle opstå. Det er bedre, hvis muligt, at
oprette flere små partitioner end en meget stor.
Hjælpeskriptet debian-edu-fsautoresize
tilbydes for at gøre det nemmere at udvide fulde partitioner. Når det
igangsættes læser skriptet konfigurationen fra
/usr/share/debian-edu-config/fsautoresizetab
,
/site/etc/fsautoresizetab
og
/etc/fsautoresizetab
. Skriptet forslår så
at udvide partitioner med for lidt ledig plads, jævnfør de regler der er
angivet i disse filer. Hvis det køres uden argumenter, vil skriptet kun vise
de kommandoer som er krævet for at udvide filsystemet. Arguementet
-n
er krævet for rent faktisk at udføre
disse kommandoer for at udvide filsystemet.
Skriptet køres automatisk hver time på alle klienter angivet i netgruppen
fsautoresize-hosts
.
Når partitionen brugt af Squidproxyen ændrer størrelse, skal værdien for
mellemlagerstørrelsen i
etc/squid/squid.conf
også
opdateres. Hjælpeskriptet
/usr/share/debian-edu-config/tools/squid-update-cachedir
tilbydes for at gøre dette automatisk, kontrol af den aktuelle
partitionsstørrelse af /var/spool/squid/
og
konfiguration af Squid til at bruge 80 % af denne som sin størrelse for
mellemlageret.
Logisk diskenhedshåndtering (engelsk: Logical Volume Management, forkortet LVM) gør det muligt at ændre størrelse på partitioner mens de er monteret og i brug. Du kan lære mere om LVM i LVM-hjælp.
For at udvide en logisk diskenhed manuelt så fortæller du bare kommandoen
lvextend
hvilken størrelse, du ønsker, at
den skal vokse til. For eksempel for at udvide home0 til 30 GiB, så bruger
du de følgende kommandoer:
lvextend -L30G /dev/vg_system/skole+tjener+home0 resize2fs /dev/vg_system/skole+tjener+home0
For at udvide home0 med 30 GiB, så indsætter du »+« (-L+30G)
ldapvi er et værktøj til at redigere LDAP-databasen med et normalt tekstredigeringsprogram på kommandolinjen.
Det følgende skal køres:
ldapvi --ldap-conf -ZD '(cn=admin)'
Bemærk: ldapvi
vil bruge det valgte
redigeringsprogram. Ved at køre export
EDITOR=vim
i skallen kan man konfigurere miljøet til at
hente en vi-klon som redigeringsprogram.
For at tilføje et LDAP-objekt med ldapvi, så brug objektsekvensens tal med
strengen add
foran det nye LDAP-objekt.
Advarsel:
ldapvi
er et meget funktionsrigt
værktøj. Vær forsigtig og ødelæg ikke LDAP-databasen, samme advarsel gælder
for JXplorer.
Using Kerberos for NFS to mount home directories is a security feature. As of Bullseye, LTSP clients won't work without Kerberos. The levels krb5, krb5i and krb5p are supported (krb5 means Kerberos authentication, i stands for integrity check and p for privacy, i.e. encryption); the load on both server and workstation increases with the security level, krb5i is a good choice and has been chosen as default.
Hovedserver
log ind som root
run ldapvi -ZD '(cn=admin)'
, search for
sec=krb5i and replace it with
sec=krb5 or sec=krb5p.
edit /etc/exports.d/edu.exports
and adjust
these entries accordingly:
/srv/nfs4 gss/krb5i(rw,sync,fsid=0,crossmnt,no_subtree_check) /srv/nfs4/home0 gss/krb5i(rw,sync,no_subtree_check)
kør exportfs -r
Dette værktøj gør det muligt at angive standardprinteren afhængig af sted,
maskine eller gruppemedlemskab. For yderligere oplysninger, se
/usr/share/doc/standardskriver/README.md
.
Konfigurationsfilen
/etc/standardskriver.cfg
skal være
installeret af adminsitratoren, se
/usr/share/doc/standardskriver/examples/standardskriver.cfg
for et eksempel.
Hvis du foretrækker en grafisk brugerflade til arbejdet med LDAP-databasen,
så se pakken jxplorer
, som installeres som
standard. For at få skriveadgang forbindes således:
host: ldap.intern port: 636 Security level: ssl + user + password User dn: cn=admin,ou=ldap-access,dc=skole,dc=skolelinux,dc=no
ldap-createuser-krb
er et lille værktøj for
kommandolinjen til at oprette LDAP-brugere og angive deres adgangskoder i
Kerberos. Den bruges dog hovedsagelig for testformål.
Siden udgivelsen af Squeeze i 2011 har Debian inkluderet pakker tidligere vedligeholdt i volatile.debian.org i stable-updates-programpakken .
Selvom du kan bruge stable-updates direkte, så er det ikke et krav: stable-updates overføres til programpakken stable med faste intervaller, når punktudgivelserne er klar, hvilket sker cirka hver anden måned.
Du kører Debian Edu fordi du fortrækker stabiliteten i Debian Edu. Det fungerer bare; der er kun et lille problem: Nogle gange er programmerne noget ældre end du ville ønske. Det er her backports.debian.org kommer ind i billedet.
Backporte er rekompilerede pakker fra Debian testing (hovedsagelig) og Debian unstable (kun i nogle få tilfælde, f.eks. sikkerhedsopdateringer), så de vil køre uden nye biblioteker (hvor dette er muligt) på en stabil Debiandistribution såsom Debian Edu. Vi anbefaler at du udvælger de individuelle backporte som passer til dit behov, og ikke at du bruger alle tilgængelige backporte.
Brug af backports er nemt:
echo "deb http://deb.debian.org/debian/ bullseye-backports main" >> /etc/apt/sources.list apt-get update
Hvorefter man nemt kan installere pakker fra backported, den følgende kommando vil installere en backported-version for tuxtype:
apt install -t bullseye-backports tuxtype
Backports opdateres automatisk (hvis tilgængelige) ligesom andre pakker. Som det normale arkiv har backports tre afsnit: main, contrib og non-free.
Hvis du ønsker at opgradere fra en version til den næste (for eksempel fra Bullseye 11.1 til 11.2) men ikke har internetadgang, kun et fysisk medie, så følg disse trin:
Indsæt cd/dvd/blue-ray/USB-drev og brug kommandoen apt-cdrom:
apt-cdrom add
For at citere manualsiden apt-cdrom(8):
apt-cdrom bruges til at tilføje en ny cdrom til APT's liste over tilgængelige kilder. apt-cdrom bestemmer strukturen for disken samt korrektion af flere mulige fejlbrændinger og verificering af indeksfilerne.
Det er nødvendigt at bruge apt-cdrom til at tilføje cd'er til APT-systemet, det kan ikke gøres manuelt. Derudover skal hver disk i et sæt med flere cd'er indsættes og skannes separat for at tage højde for eventuelle fejlbrændinger.
Kør så disse to kommandoer for at opgradere systemet:
apt update apt full-upgrade
killer
er et Perlskript, som fjerner
baggrundsjob. Baggrundsjob er defineret som processer, som tilhører brugere
som aktuelt ikke er logget ind på maskinen. Det køres som cronjob hver time.
unattended-upgrades
is a Debian package
which will install security (and other) upgrades automatically. If
installed, the package is preconfigured to install security upgrades. The
logs are available in
/var/log/unattended-upgrades/
; also, there
are always /var/log/dpkg.log
and
/var/log/apt/
.
It is possible to save energy and money by automatically turning client
machines off at night and back on in the morning. The package
shutdown-at-night
will try to turn off the
machine every hour on the hour from 16:00 in the afternoon, but will not
turn it off if it seems to have users. It will try to tell the BIOS to turn
on the machine around 07:00 in the morning, and the main-server will try to
turn on machines from 06:30 by sending wake-on-lan packets. These times can
be changed in the crontabs of individual machines.
Der bør foretages nogle overvejelser når dette sættes op:
The clients should not be shut down when someone is using them. This is
ensured by checking the output from who
,
and as a special case, checking for the ssh connection command to work with
X2Go thin clients.
For at undgå at relæet går, er det en god ide at alle klienterne ikke tænder på samme tidspunkt.
Der er to forskellige metoder tilgængelige for at vække klienter. En af
disse bruger en BIOS-funktion og kræver et fungerende og korrekt ur på
maskinen, samt et bundkort og BIOS-version understøttet af
nvram-wakeup
; den anden metode kræver at
klienter har understøttelse for wake-on-lan, og at serveren kender til alle
klienterne der skal startes op.
På klienter som bør slukkes om natten, ændr
/etc/shutdown-at-night/shutdown-at-night
,
eller tilføj værtsnavnet (dvs. uddata fra »uname
-n«
på klienten) til netgruppen
»shutdown-at-night-hosts«. Tilføjelse af værter til netgruppen i LDAP kan
udføres med brug af internetværktøjet
GOsa²
. Klienterne skal måske have
wake-on-lan konfigureret i BIOS'en. Det er også vigtigt at omskiftere og
routere brugt mellem serveren for wake-on-lan og klienterne videresender
WOL-pakkerne til klienterne selvom klienterne er slukket. Nogle omskiftere
fejler i at videresende pakker til klienter som mangler i ARP-tabellen på
omskifteren, og dette blokerer WOL-pakkerne.
For at aktivere wake-on-lan på serveren, så tilføj klienterne til
/etc/shutdown-at-night/clients
, med en
linje per klient, IP-adresse først, efterfulgt af MAC-adresse
(ethernetadresse), adskilt af et mellemrum; eller opret et skript
/etc/shutdown-at-night/clients-generator
for løbende at oprette en liste over klienter.
Her er et eksempel
/etc/shutdown-at-night/clients-generator
for brug med sitesummary:
#!/bin/sh PATH=/usr/sbin:$PATH export PATH sitesummary-nodes -w
Et alternativ hvis netgruppen bruges til at aktivere shutdown-at-night på
klienter er dette skript som bruger netgruppeværktøjet fra pakken
ng-utils
:
#!/bin/sh PATH=/usr/sbin:$PATH export PATH netgroup -h shutdown-at-night-hosts
For at tilgå maskiner bag en brandmur fra internettet, så overvej at
installere pakken autossh
. Den kan bruges
til at opsætte en SSH-tunnel til en maskine på internettet, som du har
adgang til. Fra den maskine, kan du tilgå serveren bag brandmuren via
SSH-tunnelen.
I standardinstallationen kører alle tjenester på hovedserveren tjener. For at gøre det enklere at flytte nogle til andre maskiner, er der en minimal installationsprofil tilgængelig. Installation med denne profil vil føre til en maskine, som er en del af Debian Edu-netværket, men som ikke har nogen tjenester kørende (endnu).
Dette er de krævede trin for at opsætte en maskine dedikeret til udvalgte tjenester:
installer profilen minimal med opstartsindstillingen debian-edu-expert
installer pakkerne for tjenesten
konfigurer tjenesten
deaktivere tjenesten på hovedserveren
opdater DNS (via LDAP/GOsa² på hovedserveren
FIXME: The HowTos from https://wiki.debian.org/DebianEdu/HowTo/ are either user- or developer-specific. Let's move the user-specific HowTos over here (and delete them over there)! (But first ask the authors (see the history of those pages to find them) if they are fine with moving the howto and putting it under the GPL.)