Menu Close

Red Hat Training

A Red Hat training course is available for Red Hat Satellite

Guia do Usuário

Red Hat Network Satellite 5.5

Uso de administração do Red Hat Network Satellite

Edição 2

Red Hat Engineering Content Services

Resumo

Este livro cobre o uso e operação do Red Hat Network Satellite. Para maiores informações, veja o Guia de Inicialização do Red Hat Network Satellite.

Prefácio

ARed Hat Network fornece suporte a nível de sistema e gerenciamento dos sistemas e redes Red Hat Network. Isso traz juntos as ferramentas, serviços e repositórios de informações requeridos para maximizar a confiabilidade, segurança e desempenho dos sistemas Red Hat. Para usar o Red Hat Network administradores de sistemas registram o software e perfis de hardware, conhecidos como Perfis de Sistema, de seus sistemas de clientes com o Red Hat Network. Quando um sistema de clientes pede por atualizações de pacotes, somente os pacotes aplicáveis para o cliente são enviados.
O Servidor Satellite RHN permite organizações usar o benefício do Red Hat Network sem ter de fornecer acesso público à internet a seus servidores ou outros sistemas clientes. Perfis de sistemas são armazenados localmente no Servidor Satellite. O website Red Hat Network Satellite é acessado a partir de um servidor web local e é somente acessível a sistemas que podem alcançar o Satellite. Todas tarefas de gerenciamento de pacotes, incluindo atualizações de errata, são realizados através do servidor Satellite.
O Servidor Satellite RHN fornece uma solução para organizações que requerem controle absoluto e privacidade da manutenção e implantação de pacotes de seus servidores. Isso permite aos clientes Red Hat Network uma enorme flexibilidade e poder para manter sistemas seguros e atualizados. Módulos podem ser adicionados ao Servidor Satellite para permitir funcionalidade extra. Este documento fornece orientação nas operações que são essenciais quando executar o Servidor Satellite.

Capítulo 1. Administração do Usuário

1.1. Adicionar, Desativar, e Deletar contas de Usuário

Usuários podem ser gerenciados através da aba Usuários no topo da barra de navegação do Servidor RHN Satellite. Desta aba, permissões de usuário podem ser garantidas e editadas.

Procedimento 1.1. Adicionando Usuários

Para adicionar novos usuários na organização
  1. Na aba Usuários clique Criar novos usuários para abrir a página Criar Usuário.
    A página Criar Usuário

    Figura 1.1. A página Criar Usuário

  2. No campo Login Desejado, digite um nome para o usuário. O nome de login deve ter ao menos cinco caractéres.
  3. No campo password desejado, digite uma senha para o usuário. Re-digite a mesma senha para confirmar.
  4. No campo Primeiro, Último Nome, entre o primeiro e último nome para o usuário. Selecione um prefixo apropriado (por exemplo: Sr., Sra. etc) do menu suspenso.
  5. No campo Email, entre um endereço de email para o usuário.
  6. Na seção Região de Fuso Horário, selecione a região de seu fuso horário.
  7. Na seção Idioma da Interface, selecione um idioma apropriado a ser usado na interface do Servidor RHN Satellite.
  8. Clique em Criar Login para criar um novo usuário. Um email será enviado ao usuário (usando o endereço especificado durante a criação) para informa-lo sobre os detalhes da nova conta.
  9. Uma vez que a conta é criada com sucesso, você será redirecionado à página Lista de Usuários. Para mudar as permissões e configurar opções para o novo usuário, selecione o seu nome da lista para mostrar a página Detalhes de Usuário e navegue até as abas apropriadas para fazer suas alterações.

Procedimento 1.2. Desativando Usuários

Contas de usuário podem ser desativadas por administradores, ou usuários podem desativar as próprias contas. Contas de usuários desativadas não são capazes de logar na interface do Servidor RHN Satellite, ou agendar ações. Quaisquer ações que foram agendadas antes da conta ser desativada permanecerão na fila de ação até que sejam efetuadas. Contas de usuários desativadas podem ser reativadas pelos administradores.
Contas de administradores podem ser somente desativadas uma vez que a função administrador foi removida da conta.
Para desativar uma conta de usuário:
  1. Selecione o nome de usuário da lista na aba Usuários, para mostrar a página Detalhes de Usuário.
  2. Verifique se o usuário é um administrador do Satellite.
    Se o usuário é um administador do Satellite, desmarque a caixa próxima à essa função, e clique Enviar.
    Se o usuário não for um administrador Satellite, continue o próximo passo.
  3. Clique Desativar Usuário.
    Desativando Usuário

    Figura 1.2. Desativando Usuário

    Você deve confirmar esta ação clicando novamente. Verifique os detalhes e então clique Desativar Usuário novamente para confirmar.
  4. Uma vez que a conta foi desativada com sucesso, o nome de usuário não aparecerá na lista Usuários Ativos. Clique no link Desativados do menu Lista de Usuários para vizualizar contas de usuárias desativados.
  5. Para reativar uma conta de usuário, veja a lista Desativados, marque a opção próxima ao usuário para ser reativado, e clique Reativar.

Procedimento 1.3. Deletando Usuários

Contas de usuários podem ser deletadas pelos administradores. Contas deletadas não são capazes de logar na interface do Servidor RHN Satellite ou agendar ações. Contas deletadas não podem ser reativadas.
Contas de administradores podem somente ser deletadas uma vez que a função administrador foi removida da conta.

Atenção

Deletar contas é irreversível; realize esta ação com cuidado. Considere em desativar uma conta de usuário antes de deleta-la, para avaliar os efeitos que a exclusão poderiam ter na infra-estrutura do Servidor RHN Satellite.
Para deletar uma conta de usuário:
  1. Selecione o nome de usuário da lista na aba Usuários, para mostrar a página Detalhes de Usuário.
  2. Verifique se o usuário é um administrador do Satellite.
    Se o usuário é um administador do Satellite, desmarque a caixa próxima à essa função, e clique Enviar.
    Se o usuário não for um administrador Satellite, continue o próximo passo.
  3. Clicar Deletar Usuário.
    Deletando usuários

    Figura 1.3. Deletando usuários

    Você deve confirmar esta ação clicando novamente. Verifique os detalhes e então clique Deletar Usuário novamente para confirmar.
  4. Uma vez que uma conta foi deletada com sucesso, o nome de usuário não aparecerá na lista de Usuários Ativos. Este passo é irreversível.

1.2. Gerenciamento de Usuários

Contas de usuário podem ser gerenciadas através da aba Usuários na parte superior da barra de navegação do Servidor RHN Satellite. Para mudar permissões e configurar opções para um usuário, selecione seu nome da lista para mostrar a página Detalhes do Usuário, e navegue até as abas apropriadas para fazer suas mudanças. Modifique os detalhes de conta e clique Enviar.

Funções de Usuários

Funções de Usuários são usadas para delegar responsabilidades às contas de usuários. Cada função de usuário possui um nível diferente de responsabilidade e acesso.
Para atribuir a um usuário uma nova função, selecione a caixa de marcação apropriada na página Detalhes de Usuário. Modifique as funções fazendo as mudanças e clique Enviar.
As funções de usuário para se escolher são
Administrador do RHN Satellite
Uma função especial para tarefas administrativas do Satellite como criar organizações, gerenciar subscrições, e configurar opções globais do Servidor RHN Satellite.
Esta função não pode ser atribuída na página Detalhes do Usuário. Um usuário que já possui a função de adminstrador do Servidor RHN Satellite pode atribuir a função para outro usuário indo em AdminUsuários.
Administrador de Organização
Realiza funções de gerenciamento como administrar usuários, sistemas e canais dentro do contexto de sua organização. Administradores de organização são garantidos automaticamente acesso à administração para todas as outras funções, que são representadas como caixas de seleção acinzentadas.
Administrador de Chave de Ativação
Realiza funções de chave de ativação como criar, modificar e deletar chaves dentro de uma conta.
Administrador de Canal
Fornece acesso completo aos canais de software e associações relacionadas dentro da organização. Realiza funções como criar canais globalmente registráveis, criar novos canais e gerenciar pacotes dentro de canais.
Administrador de Configuração
Possui acesso completo aos canais de configuração e associados relacionados dentro da organização. Realiza as funções de configuração de gerenciamento de canais e arquivos numa organização.
Administrador de Monitoramento
Realiza agendamento de probes e supervisão de outras infra-estruturas de monitoramento. Esta função está disponível somente no Servidor RHN Satellite com monitoramento habilitado.
Administrador de Grupo de Sistema
Esta função tem autoridade completa sobre os sistemas e grupos de sistemas a que possui o acesso permitido. Realiza funções administrativas como criar novos grupos de sistema, deletar grupos de sistemas atribuídos, adicionar sistemas à grupos e gerenciar acesso de usuários a grupos.
Os administradores do Satellite podem remover direitos de administrador do Satellite de uma outra conta de usuário, mas não pode remover direitos de administrador do Satellite de um único restante Administrador do Satellite. Sempre há de ter ao menos um administrador do Satellite em qualquer momento. É possível para um administrador do Satellite remover seus próprios previlégios de administrador do Satellite, desde que não seja o único administrador do Satellite restante.

Capítulo 2. Sincronização Automática

A sincronização manual do repositório do Servidor Satellite RHN com o Red Hat Network pode ser uma tarefa árdua. A sincronização pode ser automatizada para que ocorra em horários fora de pico, tais como tarde da noite ou muito cedo para melhor balancear o carregamento e garantir uma rápida sincronização. A sincronização deve ocorrer randomicamente para melhor desempenho. A maneira mais efetiva para automatizar a sincronização é usar o cron.

Procedimento 2.1. Automatizando a Sincronização

  1. Alterne para usuário root, e abra o crontab num editor de textos:
    crontab -e
    

    Nota

    O crontab abrirá no vi por padrão. Para alternar este comportamento, mude a variável EDITOR para o nome de seu editor de textos preferido.
  2. No crontab, use os primeiros cinco campos (minuto, hora, dia, mês, e dia da semana) para agendar a sincronização. Para criar uma hora de sincronização aleatória, use a seguinte entrada:
    0 1 * * * perl -le 'sleep rand 9000' && satellite-sync --email >/dev/null 2>1
    
    Esta entrada crontab executará o trabalho de sincronização aleatóriamente entre 01:00 and 03:30. E descartará o stdout e stderr do cron para previnir duplicação das mensagens do satellite-sync. Outras opções podem ser incluídas conforme a necessidade.
  3. Para salvar o crontab, simplesmente saia do editor de texto. As novas regras cron serão colocadas em prática imediatamente.

Capítulo 3. Backup e Restauração

Este capítulo delineia os métodos para fazer backup, verificar e restaurar o sistema Satellite.
Os backups deveriam ser conduzidos toda as noites ou semanalmente, dependendo da quantidade de dados sendo armazenadas e a quantidade de dados você tolera perder em caso de interrupção do sistema.
É recomendado que o backup de banco de dados sejam realizados durante uma interrupção de manutenção agendada para o Servidor do RHN Satellite assim todos os serviços se tornarão inutilizáveis para conexões de website e de clientes durante o backup.

3.1. Backups

Procedimento 3.1. Efetuar backup de Banco de Dados Embedded

  1. Pare o servidor RHN Satellite usando o comando stop:
    rhn-satellite stop
    
  2. Alterne para usuário Oracle, e crie o backup usando o utilitário db-control:
    su - oracle
    db-control backup [directory]
    
    Substitua o diretório com o caminho absoluto para a locação onde você quer armazenar seus backups de banco de dados. O processo levará diversos minutos.
  3. Alterne de volta para o usuário root e inicie o Satellite:
    exit
    rhn-satellite start
    
  4. Alterne para o usuário Oracle, e use a opção examine do db-control para checar a marca de tempo de backup e determinar se existem quaisquer arquivos faltando:
    su - oracle
    db-control examine [directory]
    
    Você pode também usar a opção verify do db-control para conduzir um revisão completa, que inclui checar o md5sum de cada arquivo no backup:
    db-control verify [directory]
    
    Se a verificação for bem sucedida, os conteúdos do diretório estão seguros para serem usados na restauração do banco de dados.

Nota

Usuário de banco de dados externos deveriam também realizar backups periódicos. Consulte seu administrador de banco de dados para mais informações sobre procedimentos de backup suportados.

Fazendo Backups de Arquivos de Sistema

Além do banco de dados, um número de arquivos de sistemas e diretórios devem também ter backup. Os arquivos e diretórios que deveriam ter backup são:
  • /etc/sysconfig/rhn/
  • /etc/rhn/
  • /etc/sudoers
  • /etc/tnsnames.ora
  • /var/www/html/pub/
  • /var/satellite/redhat/[0-9]*/ (Esta é a locação para quaisquer RPMs personalizados)
  • /root/.gnupg/
  • /root/ssl-build/
  • /etc/dhcpd.conf
  • /etc/httpd/
  • /tftpboot/
  • /var/lib/cobbler/
  • /var/lib/nocpulse/
  • /var/lib/rhn/kickstarts/
  • /var/www/cobbler/
Se possível, faça o backup do /var/satellite/ também. Isto é uma duplicação do repositório RPM do Red Hat, e o poupará de um grande download quando estiver se recuperando de uma falha. Ele pode ser regenerado com a ferramenta satellite-sync. Se você estiver usando um satellite desconectado, o /var/satellite/ deve ter um backup para ser capaz de se recuperar de uma falha.
Fazendo backup somente dos arquivos e diretórios listados acima exigiriam a reinstalação dos RHN Satellite Server ISO RPMs e registrar novamente o satellite para se recuperar de uma falha. Além disso, os pacotes Red Hat, precisariam ser re-sincronizados usando a ferramenta satellite-sync e o pacote /root/ssl-build/rhn-org-httpd-ssl-key-pair-MACHINE_NAME-VER-REL.noarch.rpm precisaria ser instalado. Como forma alternativa, você poderia reinstalar o Satellite sem registra-lo novamente. Isto pode ser feito cancelando ou pulando o registro do Red Hat Network e as seções de geração de certificado SSL.
O método mais compreensivo de backup é faze-lo na máquina inteira. Este método economiza tempo no download e re-instalação, mas também requer armazenamento adicional e tempo para realizar o backup.

3.2. Restaurar a partir de um Backup

O banco de dados Red Hat Network é usado para restaurar o banco de dados embedded a partir de um backup.

Procedimento 3.2. Restaurando o Banco de Dados Embedded a partir de um Backup

  1. Pare o servidor RHN Satellite usando o comando stop:
    rhn-satellite stop
    
  2. Alterne para o usuário Oracle e restaure o backup usando o utilitário db-control:
    su - oracle
    db-control restore [directory]
    
    Substitua o diretório com o caminho absoluto à locação que contém o backup. Este processo verificará o conteúdo do backup antes de restaurar o banco de dados. O processo levará diversos minutos.
  3. Alterne de volta para o usuário root e inicie o Satellite:
    exit
    rhn-satellite start
    
  4. Sem considerar se você está fazendo um backup de um banco de dados externo ou embedded, quando o satellite é restaurado de um backup, o seguinte comando deve ser executado para agendar a re-criação de índices de busca a próxima vez que o serviço rhn-search é iniciado.
    /etc/init.d/rhn-search cleanindex
    

3.3. Backups automatizados

Tarefas de backup podem ser automatizadas para que ocorram em períodos fora de pico, tais como tarde da noite ou de manhã bem cedo. Isto também assegura que elas sejam realizadas regularmente e não sejam esquecidas. A maneira mais efetiva de automatizar backups é usando o cron.

Procedimento 3.3. Automatização de Backups

Crie um novo arquivo chamado backup-db.sh contendo o seguinte script. Este script parará o satellite, realizará o backup do banco de dados e reinicializará o satellite:
#!/bin/bash
{
/usr/sbin/rhn-satellite stop
su - oracle -c'
d=db-backup-$(date "+%F");
mkdir -p /tmp/$d;
db-control backup /tmp/$d
';
/usr/sbin/rhn-satellite start
} &> /dev/null
  1. Crie um novo arquivo chamado move-files.sh contendo o seguinte script. Este script usará o rsync para mover os arquivos de backup para um diretório a ser armazenado:
    #!/bin/bash
    rsync -avz /tmp/db-backup-$(date "+%F") [destination] &> /dev/null
    
    Substitua [destination] com o caminho do diretório do backup.
    Alternativamente, o seguinte script usa scp para alcançar o mesmo objetivo:
    #!/bin/bash
    scp -r /tmp/db-backup-$(date "+%F") [destination] &> /dev/null
    
  2. Alterne para usuário root e abra o crontab em um editor de textos:
    crontab -e
    

    Nota

    O crontab abrirá no vi por padrão. Para mudar esse comportamento, mude a variável EDITOR para o nome do editor de texto de sua preferência.
  3. No crontab, use os primeiros cinco campos (minuto, hora, dia, mês e dia da semana) para agendar o script de backup para ser executado:
    0 3 * * * backup-db.sh
    0 6 * * * move-files.sh
    
    A entrada crontab executará o backup às 03:00 e transferirá os arquivos de backup às 06:00. Outras opções podem ser incluídas conforme a necessidade. Você também pode incluir um script de limpeza para remover diretórios de backups antigos e evitar que o armazenamento de backup se encha.
  4. Para salvar o crontab, simplesmente saia do editor de textos. As novas regras cron serão colocadas em lugar imediatamente.

Capítulo 4. Clonando uma máquina

O comando spacewalk-clone-by-date permite que os clientes RHN Satellite criem os canais do Red Hat Enterprise Linux clonados, basados na data da Errata que foi disponibilizada ao sistema do Red Hat Enterprise Linux.

4.1. Recursos

Os recursos a seguir estão disponíveis com o spacewalk-clone-by-date:
  • Clonando o estado do canal como estava em uma data específica
  • Automatizando a clonagem por scripts e arquivos de modelos
  • Removendo ou bloqueando pacotes a partir dos canais
  • Resolvendo dependências de pacote dentro dos canais pai e filho
  • Filtrando e agindo em uma errata específica ao ignorar outros. Por exemplo, agindo somente em uma errata de segurança e ignorando reparos de erros e melhorias.

Nota

O comando spacewalk-clone-by-date precisa ser executado como um root user e o username precisa de um Administrador Organizacional ou um Administrador de Canal.

4.2. Opções de Linha de Comando

Tabela 4.1. Opções de Linha de Comando Disponíveis

Opção Definição
-h, --help Exibe o arquivo help
-c CONFIG, --config=CONFIG Permite que o usuário forneça um arquivo de config que tenha todas as opções especificadas. Qualquer opção que possa ser executada em uma linha de comando pode ser especificada neste arquivo de config. O arquivo de config permite que os usuários definam a lista complexa de canais que eles desejam clonar e salvar os comandos exatos para utilizar mais tarde.
-u USERNAME, --username=USERNAME Especificar o username para utilizar para se autenticar no Satellite.
-p PASSWORD, --password=PASSWORD Especificar a senha para o username
-s SERVER, --server=SERVER URL do Servidor para usar para conexões api. O padrão é https://localhost/rpc/api
-l CHANNELS, --channels=CHANNELS Especifica quais canais clonar. Os rótulos de canal devem ser especificados em pares de clones originais. Ao especificar pares de clones, lembre-se de separá-los com espaços. Canais adicionais podem ser especificados ao utilizar a opção --channels mais de uma vez.
-b BLACKLIST, --blacklist=BLACKLIST Lista separada por vírgula de nomes de pacote (ou expressões comuns) para excluir da errata clonada (Somente pacotes adicionados serão considerados).
-r REMOVELIST, --removelist=REMOVELIST Lista de nomes de pacotes separada por vírgula, (ou expressões regulares) para remover do canal de destino (todos os pacotes estão disponíveis para remoção).
-d TO_DATE, --to_date=TO_DATE Clone de errata para data especificada (YYYY-MM-DD). Permite que o usuário clone os pacotes originais e qualquer errata específica lançada a partir da criação do canal original até o parâmetro TO_DATE especificado. Um snapshot baseado em hora do canal durante o TO_DATE especificado pode ser obtido.
-y, --assumeyes Considera-se sim para qualquer pergunta. Isto é utilizado para clonagem sem controle.
-m, --sample-config Imprimir uma amostra de arquivo de configuração completo e saída.
-k, --skip_depsolve Pular todas as dependências solucionando (Não é recomendado).
-v, --validate Executar fechamento de repo no conjunto de repositórios específicos.
-g, --background Clonar a errata no background. Solicitação retornará mais rápido; antes da clonagem finalizar.
-o, --security_only Somente a errata de segurança (e suas dependências). Este comando pode ser usado em conjunto com o comando --to_date para clonar somente errata de segurança lançada antes ou na data especificada.

4.3. Amostra de Uso

O exemplo abaixo clona o canal rhel-i386-server-5 como é em 1o. de Janeiro, 2012, no canal chamado meu-clone-RHEL-5.
# spacewalk-clone-by-date --username=your_username --password=your_password --server=satellite_server_url --channels=rhel-i386-server-5 my-clone-RHEL-5 --to_date=2012-01-01
O exemplo abaixo irá clonar somente a errata de segurança lançada em ou antes do dia 1 de Janeiro de 2012, ignorando qualquer atualizações do kernel ou pacotes do vim-extendido. O comando também executará o processo de clonagem no background no Satellite.
# spacewalk-clone-by-date --username=your_username --password=your_password --server=satellite_server_url --channels=rhel-i386-server-5 my-clone-RHEL-5 --to_date=2012-01-01 --security_only --background --blacklist=kernel,vim-extended --assumeyes

Capítulo 5. Monitoramento

O RHN Satellite contém muitos componentes diferentes, muitos dos quais podem ser monitorados. Este capítulo delineia maneiras de realizar operações de monitoramento para diferentes áreas do sistema.

Procedimento 5.1. Monitoramento da Tablespace

  1. Em banco de dados Oracle, é importante checar regularmente que as tablespaces possuem espaço de disco suficiente. Faça isso alternando o usuário para o usuário Oracle e emitindo o comando db-control report:
    su - oracle
    db-control report
    Tablespace    Size  Used Avail  Use%
    DATA_TBS      4.8G 3.9G  996M   80%
    SYSTEM        250M 116M  133M   46%
    TOOLS         128M 3M    124M   2%
    UNDO_TBS      1000M 61M  938M   6%
    USERS         128M 64K   127M   0%
    
  2. Se uma tablespace estiver se tornando cheia, ela pode ser extendida usando o comando db-control extend com o nome da tablespace a ser extendida:
    db-control extend tablespace

Procedimento 5.2. Monitorando os Processos do Servidor RHN Satellite

  • Verifique se os processos do Satellite estão em uso pelo comando rhn-satellite status:
    rhn-satellite status
    

Capítulo 6. OpenSCAP

SCAP é uma solução de verificação de item padronizado para uma infraestrutura do Linux de nível empresarial. É uma linha de especificações mantidas pelo National Institute of Standards and Technology (NIST - Instituto Nacional de Padrões e Tecnologia) para manter segurança do sistema para sistemas corporativos.
No Servidor do RHN Satellite 5.5, o SCAP é implementado pelo aplicativo OpenSCAP o OpenSCAP é uma ferramenta de auditoria que utiliza o Formato de Descrição de Checklist de Configuração Extensiva (XCCDF). O XCCDF é uma forma padrão de expressar conteúdo de checklist e define checklists de segurança. Ele também combina com outras especificações tais como a CPE, CCE, e OVAL para criar uma checklist de SCAP expressa que pode ser processada por produtos SCAP validados.

6.1. Recursos OpenSCAP

Open SCAP verifica a presença de reparos utilizando o conteúdo produzido pelo Red Hat Security Response Team (SRT), verifica a configuração de segurança do sistema e examina o sistema a procura de sinais de comprometimento utilizando regras baseadas nas especificações/padrões.
Para utilizar efetivamente o OpenSCAP, existem dois requerimentos:
  • Uma ferramenta para verificar um sistema confirma em um padrão
    O Servidor RHN Satellite integrou o OpenSCAP como um recurso de auditoria da versão 5.5. Ele permite que você agende e visualize os scans de componentes para o sistema atraves da interface da web.
  • Conteṹdo do SCAP
    O conteúdo do SCAP pode ser criado desde o início se você entender ao menos um pouco sobre o XCCDF ou OVAL. Como forma alternativa, existe uma outra opção. O conteúdo do XCCDF publicado frequentemente online, sob as licensas de fonte aberta e este conteúdo pode ser padronizado para atender às suas necessidades.

    Nota

    A Red Hat suporta o uso de modelos para avaliar seus sistemas. No entanto, o conteúdo padronizado autor destes modelos não são suportados.
    Alguns exemplos destes grupos são:
    • O United States Government Configuration Baseline (USGCB) para Desktops RHEL5 — O conteúdo oficial do SCAP para desktops dentro de agências federais que foram desenvolvidos no NIST com a colaboração da Red Hat, Inc. e o Departamento de Defesa dos Estados Unidos (DoD) usando OVAL.
    • Conteúdo fornecido pela Comunidade
      • SCAP Security Guide para RHEL6 — Conteúdo provido pela comunidade ativa que inicia de requerimentos do USGCB e políticas aceitas amplamente e contém perfis para desktop, servidores, e servidores ftp.
      • O Conteúdo do OpenSCAP para RHEL6 — O pacote openscap-contenta partir do Canal Opcional do Red Hat Enterprise Linux 6 também fornece guia de conteúdo padrão para os sistemas Red Hat Enterprise Linux 6 através de um modelo.
Como o SCAP foi feito para manter a segurança do sistema, o padrão que é utilizado modifica a cada dia para atender as necessidades da comunidade e empresas de negócios. Novas especificações são governadas pelo NIST's SCAP Release cycle para fornecer um fluxo de trabalho de revisão repetitivo e consistente.

6.2. OpenSCAP no RHN Satellite

6.2.1. Pré-requisitos

Requerimentos de Pacote

O SCAP requer estes pacotes

  • Para o Servidor: RHN Satellite 5.5
  • Para o Cliente: o pacote spacewalk-oscap (disponível a partir dos Canais Filho de Ferramentas RHN Tools Child Channel)
Requerimentos de Serviços

É necessário um serviço de gerenciamento para agendamento de scans.

Outros requerimentos

Para o Cliente: Distribuir o conteúdo de XCCDF para as máquinas cliente.

A distribuição do conteúdo do XCCDF para máquinas cliente pode ser feito através dos métodos a seguir:
  • Métodos Tradicionais (CD, USB, nfs, scp, ftp)
  • Scripts do Satellite
  • RPMs
    As RPMs padronizadas são a forma mais recomendadas para distribuir o conteúdo do SCAP para outras máquinas. Os pacotes de RPM podem ser assinados e verificados para assegurar suas integridades. A instalação, remoção e verificação dos pacotes RPM podem ser gerenciados a partir da interface de usuário.

6.2.2. Realizando Scans de Auditoria

A integração do OpenSCAP no Servidor RHN Satellite fornece a habilidade de realizar scans de auditoria em sistemas cliente. Esta seção discute os dois métodos disponíveis.

Procedimento 6.1. Scans via Interface da Web

Para realizar um scan através da interface do Satellite Web:
  1. Autentique-se na interface do Satellite web.
  2. Clique em SistemasSistema de Alvo.
  3. Clique em AuditoriaAgendar
  4. Preencha o formulário Agendar Novo Scan XCCDF :
    • Argumentos de linha de comando: Argumentos adicionais para a ferramenta oscap pode ser adicionado neste campo. Existem somente dois argumentos de linha de comando que são permitidos. São:
      --profile PROFILE — Seleciona um perfil espcífico a partir do documento XCCDF. Os perfis são determinados pelo arquivo XCCDF xml e pode ser verificado utilizando a marcação Profile id. Por exemplo:
      Profile id="RHEL6-Default"
      

      Nota

      Certas versões do OpenSCAP precisam do argumento de linha de comando --profile ou o scan irá falhar.
      --skip-valid — Não valide os arquivos de entrada e saída. Os usuários sem um conteúdo de XCCDF bem formado podem escolher utilizar este para pular o processo de validação do arquivo.
      Caso nenhum argumento de linha de comando seja passado, ele irá utilizar o perfil padrão.
    • O Caminho para o Documento XCCDF: Este é um campo necessário. O parâmetro path direciona para o local do conteúdo no sistema cliente. Por exemplo: /usr/local/scap/dist_rhel6_scap-rhel6-oval.xml

      Atenção

      O conteúdo xccdf é validado antes que seja executado no sistema remoto. Especificar argumentos inválidos pode fazer com que o spacewalk-oscap falhe em validar ou executar. Devido à preocupação com a segurança o comando 'osccap xccdf eval' aceita somente um conjunto limitado de parâmetros.
  5. Execute o rhn_checkpara assegurar que a ação está sendo obtida pelo sistema cliente.
    rhn_check -vv
    

    Nota

    Com forma alternativa, se o rhnsd ou osad estiverem em execução no sistema cliente, a ação será obtida por estes serviços. Para verificar se estão sendo executadas:
    service rhnsd start
    
    ou
    service osad start
    
Para visualizar resultados deste scan, por favor refira ao Seção 6.2.3, “Como Visualizar Resultados do SCAP”.
Agendando um Scan via Web UI

Figura 6.1. Agendando um Scan via Web UI

Procedimento 6.2. Scans via API

Para realizar um scan de auditoria via API:
  1. Escolha um script existente ou crie um script para agendar um scan de sistema através do system.scap.scheduleXccdfScan, o API de frente.
    Amostra de Script:
    #!/usr/bin/python
    client = xmlrpclib.Server('https://spacewalk.example.com/rpc/api')
    key = client.auth.login('username', 'password')
    client.system.scap.scheduleXccdfScan(key, 1000010001,
        '/usr/local/share/scap/usgcb-rhel5desktop-xccdf.xml',
        '--profile united_states_government_configuration_baseline')
    
    Onde:
    • 1000010001 é o ID do Sistema (sid).
    • O /usr/local/share/scap/usgcb-rhel5desktop-xccdf.xmlé o local do conteúdo no sistema cliente. Neste caso, ele assume o conteúdo de USGSB no diretório /usr/local/share/scap.
    • --profile united_states_government_configuration_baseline representa o argumento adicional para a ferramenta oscap. Neste caso, ele está utilizando o USCFGB.
  2. Execute o script da interface da linha de comando de qualquer sistema. O sistema precisa do python apropriado e as bibliotecas xmlrpc instaladas.
  3. Execute o rhn_checkpara assegurar que a ação está sendo obtida pelo sistema cliente.
    rhn_check -vv
    

    Nota

    Com forma alternativa, se o rhnsd ou osad estiverem em execução no sistema cliente, a ação será obtida por estes serviços. Para verificar se estão sendo executadas:
    service rhnsd start
    
    ou
    service osad start
    

6.2.3. Como Visualizar Resultados do SCAP

Existem três métodos de visualização dos resultados dos scans concluídos:
  • Via interface de Web. Depois que a ação foi executada, os resultados devem aparecer na Aba Auditoria. Esta página é explorada emSeção 6.2.4, “Páginas do Satellite OpenSCAP”.
  • Via funções do API no manuseador system.scap.
  • Via ferramentas de Satellite spacewalk-reports executando estes comandos:
        # /usr/bin/spacewalk-reports system-history-scap
        # /usr/bin/spacewalk-reports scap-scan
        # /usr/bin/spacewalk-reports scap-scan-results
    

6.2.4. Páginas do Satellite OpenSCAP

As seguintes seções descrevem as abas no RHN Satellite Web UI que encompassa o OpenSCAP.

6.2.4.1. Auditar

A aba Auditna barra de navegação de cima é a página para operar o OpenSCAP no RHN Satellite Server 5.5. Ao clicar nesta aba você estará habilitado para visualizar scans completos do OpenSCAP, buscar e compará-los.
AuditoriaTodos os Scans
Todos os Scans é a página padrão que aparece quando a aba Audit é escolhida. Esta página exibe todos os scans completos dos scans de OpenSCAP que o visualizador possui permissões para ver. Permissões para scans derivam de permissões de sistema.
Auditoria ⇒ Todos os Scans

Figura 6.2. Auditoria ⇒ Todos os Scans

Para cada scan, as informações a seguir são exibidas:
Sistema
o sistema do alvo do scan
O Perfil do XCCDF
o perfil avaliado
Concluído
tempo de conclusão
Satisfeito
número de regras satisfeitas/passadas. Uma regra é considerada como satisfeita se o resultado da avaliação é tanto Passou ou Falha.
Insatisfeito
número de regras insatisfeitas/falhas. Uma regra é considerada como insatisfeita se o resultado da avaliação é Falha.
Desconhecido
número de regras que falharam na avaliação. Uma regra é considerada como Desconhecida se o resultado desta avaliação é um Erro, Desconhecido ou Não Verificado.
A avaliação das regras do XCCDF podem também retornar status como Informacional, Não Aplicável, ou não selecionado. Nestes casos, a regra fornecida não é incluída nas estatísticas desta página. Veja Detalhes de SistemaAudit para obter informações sobre os mesmos.
AuditXCCDF Diff
O XCCDF Diff é um aplicativo que visualiza a comparação de dois scans do XCCDF. Ele mostra metadados para dois scans assim como as listas de resultados.
Auditar ⇒ XCCDF Diff

Figura 6.3. Auditar ⇒ XCCDF Diff

Você pode acessar o diff de scans semelhantes diretamente clicando no ícone na página Listar Scans ou você pode diff scans arbirtrários especificando seus id.
Itens que exibem em somente um dos scans comparados são considerados 'variaveis'. Itens variáveis são sempre de cor bege. Existem três modos de comparações possíveis: Comparação Completa que mostra todos os itens de scan, Somente os Itens Modificados que exibe os itens que foram modificados e finalmente o Somente Itens sem variantes que exibe os itens não modificados ou semelhantes.
AuditoriaBusca Avançada
A página de Busca permite que você procure em seus scans de acordo com o critério especificado, incluindo:
  • resultado de regras
  • máquina alvo
  • estrutura de tempo do scan
A busca tanto retorna uma lista de resultados ou lista de scans que são incluídos nos resultados.

6.2.4.2. SistemasDetalhes de SistemaAuditoria

Esta aba e suas subabas permitem que você agende e visualize scans de conformidade para o sistema. Um scan é realizado pela ferramenta SCAP, que implementa o SCAP padrão do NIST (Protocolo de Automação de Conteúdo de Segurança). Para escanear o sistema, certifique-se de que o conteúdo do SCAP está preparado e todos os prérequisitos no Seção 6.2.1, “Pré-requisitos” são atendidos.
SistemasDetalhes de SistemaAuditoriaListar Scans
Sistemas ⇒ Detalhes de Sistema ⇒ Auditoria ⇒ Listar Scans Resultados de Scan

Figura 6.5. Sistemas ⇒ Detalhes de Sistema ⇒ Auditoria ⇒ Listar Scans Resultados de Scan

Esta subaba lista um resumo de todos os scans concluídos no sistema. As colunas são estas a seguir:

Tabela 6.1. Rótulos de Scan do OpenSCAP

Rótulo da Coluna Definição
Resultado do Teste do XCCDF O nome do resultado do teste escaneado que fornece um link para os resultados detalhados do scan.
Concluído O horário exato que o scan terminou.
Conformidade Uma classificação sem peso de passar/falhar de conformidade baseada no Padrão usado
P Número de Verificações que Passaram
F Número de Verificações que Falharam
E Erros verificados no Scan
U Desconhecido
N Não aplicável à esta máquina
K Não foi verificado
S Não Selecionado
I Informacional
X Reparado
Total Número Total de verificações
Cada linha inicia com um icone indicando os resultados de uma comparação com um scan semelhante anterior. Os ícones indicam que no scan mais recente não existe:
  • "Lista do RHN List Verificada" Icon — nenhum diferença quando comparado ao scan anterior
  • "Aviso de Lista do RHN " Icon — diferenças arbitrárias
  • "Lista de Erro do RHN" Icon — muitas diferenças, seja mais falhas do que o scan anterior ou menos passagens.
  • "Lista RHN de Check In" Icon —nenhum scan comparável, portanto, não foi feita nenhuma comparação.
SistemasDetalhes do SistemaAuditarDetalhes do Scan
Esta página contém os resultados de um único escaneamento. Ele pode ser dividido em duas partes:
  • Detalhes do XCCDF Scan
    Os detalhes do scan lhe oferece:
    • informações gerais do caminho do arquivo
    • quais argumentos de linha de comando foram utilizados
    • quem agendou
    • qual o identificador de benchmark e versão
    • O Identificador de Perfil
    • O Título do Perfil
    • quando ele iniciou e foi concluído
    • qualquer resultado de erro
  • Resultados de Regra do XCCDF
    Os resultados da regra forncem uma lista completa dos identificadores de regra do XCCDF, identificando marcações e o resultado para cada uma destes resultados de regra. Esta lista pode ser filtrada por um resultado específico.
SistemasDetalhes de SistemaAuditarAgenda
Esta subaba é onde novos scans podem ser agendados. Argumentos de linha de comando adicionais podem ser fornecidos, junto com o caminho para o documento XCCDF no sistema que está sendo escaneado. Baseado em um parâmetro "Schedule no sooner than" o scan será realizado no próximo check-in do sistema agendado com o Servidor Satellite. Para mais informações sobre como agendar via interface da web do Satellite, consulte o Procedimento 6.1, “Scans via Interface da Web” neste capítulo.

Capítulo 7. Autenticação PAM

O Servidor RHN Satellite suporta sistemas de autenticação com base em rede usando o Módulo de Autenticação Plugável (PAM, Pluggable Authentication Modules). O PAM é uma suíte de bibliotecas que ajuda os administradores de sistema integrar o Satellite com um mecanismo de autenticação centralizado, que elimina a necessidade de lembrar múltiplas senhas.
O Servidor RHN Satellite é capaz de usar o PAM com LDAP, Kerberos, Directory Server ou outros sistemas de autenticação baseado em rede. Este capítulo delineia a configuração do PAM para trabalhar com a infraestrutura de autenticação de sua organização

Procedimento 7.1. Configurando a Autenticação PAM

  1. Certifique-se de que você possui a última versão do pacote selinux-policy-targeted:
    # yum update selinux-policy-targeted
    
  2. Definir o boleano do allow_httpd_mod_auth_pam SELinux para:
    # setsebool -P allow_httpd_mod_auth_pam 1
    
  3. Abra o arquivo /etc/rhn/rhn.conf no seu editor de texto preferido, e adicione a seguinte linha. Isto criará um arquivo de serviço PAM no /etc/pam.d/rhn-satellite:
    pam_auth_service = rhn-satellite
    
  4. Para configurar a autenticação, abra o arquivo de serviço /etc/pam.d/rhn-satellite no seu editor de textos preferido, e adicione as regras apropriadas. Para maiores detalhes sobre a configuração do PAM, consulte Módulos de Autenticação Plugáveis (PAM) no Guia de Implantação do Red Hat Enterprise Linux.

Nota

Verificar se a autenticação do PAM funciona corretamente antes de utilizá-la com o Servidor RHN Satellite.

Exemplo 7.1. Usando o PAM com o Kerberos em um sistema Red Hat Enterprise Linux 5 i386

Este exemplo habilita o PAM com a autenticação Kerberos em um sistema Red Hat Enterprise Linux 5 i386
Abra o arquivo de serviço /etc/pam.d/rhn-satellite no seu editor de textos preferido e adicione as seguintes regras:
#%PAM-1.0
auth        required      pam_env.so
auth        sufficient    pam_krb5.so no_user_check
auth        required      pam_deny.so
account     required      pam_krb5.so no_user_check
Para usuários de autenticação do Kerberos, modifique a senha utilizando o kpasswd. Não modifique a senha no website RHN, pois este método mudará somente a senha local no servidor Satellite. Senhas locais não são utilizadas se o PAM estiver habilitado para o usuário.

Exemplo 7.2. Utilizando o PAM com o LDAP

Este exemplo habilita o PAM com autenticação LDAP.
Abra o arquivo de serviço /etc/pam.d/rhn-satellite no seu editor de textos preferido e adicione as seguintes regras:
#%PAM-1.0
auth	        required      pam_env.so
auth        	sufficient    pam_ldap.so no_user_check
auth       		required      pam_deny.so
account     	required      pam_ldap.so no_user_check

Capítulo 8. RPMs

Como parte de instalações automatizadas, os administradores muitas vezes implantarão aplicações personalizadas não fornecidas pela Red Hat, tais como softwares de backup e de monitoramento. Para fazer isso, este software deve estar num pacote como RPM. Um ambiente de RPM pode ser configurado em um sistema rodando Red Hat Enterprise Linux. Deve ser notado que o build system deve conter a mesma versão de pacotes que são usados em sistemas alvo. Isto significa que um sistema Red Hat Enterprise Linux 5 deve ser usado para construir RPMs para o sistema baseado em Red Hat Enterprise Linux 5 e um sistema Red Hat Enterprise Linux 6 para RPMs Red Hat Enterprise Linux 6.
O pacote rpm-build deve ser instalado num sistema build como requerimento mínimo. Você poderá também precisar de pacotes adicionais como compiladores e bibliotecas.
Pacotes RPM prontos para produção devem ser assinados com uma chave GPG, que permite usuários verificar a origem e integridade dos pacotes. A frase passe da chave GPG usada para assinar RPMs deve ser conhecida somente a um grupo de administradores de confiança.

Procedimento 8.1. Criando uma chave GPG

Importante

Os comandos seguintes iniciarão a criação de chave GPG e a exportarão num formato adequado para distribuição a sistemas de clientes. A chave criada deveria ser armazenada de forma segura e ter um backup.
  1. Crie um diretório para criar uma chave:
    mkdir -p ~/.gnupg
    
  2. Gere um chave em par:
    gpg --gen-key
    
    Você precisará selecionar o tipo de chave, o tamanho de chave e por quanto tempo a chave deveria ser válida (pressione enter para aceitar os valores padrões). Você também precisará especificar um nome, comentário e um endereço de email:
    Real name: rpmbuild
    Email address: rpmbuild@example.com
    Comment: this is a comment
    You selected this USER-ID:
        "rpmbuild (this is a comment) <rpmbuild@example.com>"
    
    Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit?
    
    Pressione O para aceitar os detalhes e continuar.
  3. Liste todas as chaves com suas impressões digitais:
    gpg --list-keys --fingerprint
    
  4. Exporte as chaves:
    gpg --export --armor "rpmbuild <rpmbuild@example.com>" > EXAMPLE-RPM-GPG-KEY
    
  5. Importe a chave ao banco de dados RPM para permitir a verificação de origem e integridade de RPM executando gpg --import como root em todos os sistemas alvo:
    rpm --import EXAMPLE-RPM-GPG-KEY
    
    Isto ocorrerá automaticamente durante instalações em clientes, e devem ser rodadas manualmente.
  6. Uma vez que o RPM foi criado, ele pode ser assinado com a chave GPG e enviado (upload) ao canal correto:
    rpm --resign package.rpm
    rhnpush --server=http[s]://satellite.server/APP package.rpm --channel=custom-channel-name
  7. Para verificar um pacote RPM, navegue ate o diretório que contém o pacote e execute os seguintes comandos:
    rpm –qip package.rpm
    rpm -K package.rpm

Procedimento 8.2. Construindo RPMs

  1. Crie uma conta de usuário sem previlégios chamada rpmbuild para construção de pacotes. Isto permitirá diversos administradores compartilhar o ambiente de construção e a chave GPG.
  2. No diretório home para o usuário rpmbuild, /home/rpmbuild, crie um arquivo chamado .rpmmacros:
    touch /home/rpmbuild/.rpmmacros
    
  3. Abra o arquivo .rpmmacros em seu editor de texto preferido, e adicione as seguintes linhas. A _gpg_name deve corresponder com o nome da chave GPG usada para assinar RPMs:
    %_topdir            %(echo $HOME)/rpmbuild
    %_signature         %gpg
    %_gpg_name          rpmbuild <rpmbuild@example.com>
    
    O lista de diretório para o definido diretório de nível superior (/home/rpmbuild/rpmbuild no exemplo acima) deve ter o mesmo esquema de diretório que está presente sob /usr/src/redhat.

Exemplo 8.1. Arquivo de Especificação RPM

O seguinte é um exemplo básico de um arquivo de especificação RPM. Quando em construção, deveria ser localizado no diretório SPECS sob o _topdir como definido no arquivo do usuário .rpmmacros. A fonte correspondente e arquivos de patch devem estar no diretório SOURCES.
  Name: foo
  Summary: The foo package does foo
  Version: 1.0
  Release: 1
  License: GPL
  Group: Applications/Internet
  URL: http://www.example.org/
  Source0 : foo-1.0.tar.gz
  Buildroot: %{_tmppath}/%{name}-%{version}-%{release}-root
  Requires: pam
  BuildPrereq: coreutils
  %description
  This package performs the foo operation.
  %prep
  %setup -q
  %build
  %install
  mkdir -p %{buildroot}/%{_datadir}/%{name}
  cp -p foo.spec %{buildroot}/%{_datadir}/%{name}
  %clean
  rm -fr %{buildroot}
  %pre
  # Add user/group here if needed
  %post
  /sbin/chkconfig --add food
  %preun
  if [ $1 = 0 ]; then # package is being erased, not upgraded
      /sbin/service food stop > /dev/null 2>&1
      /sbin/chkconfig --del food
  fi
  %postun
  if [ $1 = 0 ]; then # package is being erased
      # Any needed actions here on uninstalls
  else
      # Upgrade
      /sbin/service food condrestart > /dev/null 2>&1
  fi
  %files
  %defattr(-,root,root)
  %{_datadir}/%{name}
  %changelog
  * Mon Jun 16 2003 Some One <one@example.com>
  - fixed the broken frobber (#86434)

Capítulo 9. Dispositivos de Inicialização

A Instalação Automatizada (ou kickstart) é uma parte essencial de um provisionamento de sistema eficiente. Este capítulo descreve como preparar diferentes tipos de mídia de inicialização para uso com clientes de kickstart.
Para maiores informações em detalhes em usar o kickstart para provisionamento, veja o Guia de Introdução do Servidor do RHN Satellite.
A imagem de inicialização do CD do Red Hat Enterprise Linux boot.iso é um pré-requisito para a criação de dispositivos de inicialização. Assegure-se de que isto está disponível em algum local no sistema e anote sua localização.

Procedimento 9.1. CD Mídia de Inicialização

Nota

A barra invertida "\" é usada abaixo para representar uma continuação de uma linha no shell.
  1. Crie um diretório que funcione para a imagem de inicialização:
    mkdir -p temp cd/isolinux
    
  2. Monte a imagem de inicialização para o diretório temp:
    mount -o loop boot.iso temp
    
  3. Copie os arquivos requeridos para um dispositivo de Mídia de Inicialização de CD para um diretório criado anteriormente:
    cp -aP temp/isolinux/* cd/isolinux/
    
  4. Desmonte o diretório temp e modifique as permissões no diretório cd para legível e gravável para o usuário:
    umount temp
    chmod -R u+rw cd
    
  5. Alterne para o diretório ./cd:
    cd ./cd
    
  6. Copie o arquivo /usr/lib/syslinux/menu.c32 para o CD:
    cp -p /usr/lib/syslinux/menu.c32 isolinux
    
  7. Abra o arquivo isolinux/isolinux.cfg em seu editor de textos preferido, e adicione a seguinte linha:
    mkisofs -o ./custom-boot.iso -b isolinux/isolinux.bin -c isolinux/boot.cat -no-emul-boot \
      -boot-load-size 4 -boot-info-table -J -l -r -T -v -V "Custom RHEL Boot" .
    
  8. Personaliza qualquer parâmentro de inicialização e alvos no isolinux.cfg conforme necessário para o CD de inicialização.
  9. Copie os detalhes para o CD para completar o procedimento.

Procedimento 9.2. Inicialização PXE

  1. Crie um diretório que funcione para a imagem de inicialização:
    mkdir -p temp pxe/pxelinux.cfg
    
  2. Monte a imagem de inicialização para o diretório temp:
    mount -o loop boot.iso temp
    
  3. Copie os arquivos requeridos para um dispositivo de Inicialização do PXE para o diretório criado anteriormente:
    cp -aP temp/isolinux/* pxe/
    
  4. Desmonte o diretório temp e modifique as permissões no diretório cd para legível e gravável para o usuário:
    umount temp
    chmod -R u+rw pxe
    
  5. Alterne para o diretório /pxe:
    cd ./pxe
    
  6. Copie o arquivo /usr/lib/syslinux/menu.c32 para o diretório /pxe:
    cp -p /usr/lib/syslinux/menu.c32 .
    
  7. Mova o arquivo isolinux.cfg para pxelinux.cfg/default:
    mv isolinux.cfg pxelinux.cfg/default
    
  8. Remova os arquivos temporários:
    rm -f isolinux.bin TRANS.TBL
    
  9. Copie o arquivo /usr/lib/syslinux/pxelinux.0 ao diretório /pxe:
    cp -p /usr/lib/syslinux/pxelinux.0 .
    
  10. Abra o arquivo pxelinux.cfg/default no seu editor de textos preferidos e personalize qualquer parâmetros de inicialização e alvos conforme necessário para a inicialização PXE.

Procedimento 9.3. Mídia de Inicialização USB

Atenção

Seja extremamente cuidadoso quando usar esses comando como root (requeridos para partes mais críticas). Estes comandos acessam os arquivos de dispositivos e usa-los incorretamente poderiam danificar seu sistema irreversivelmente. O exemplo abaixo usa o /dev/loop0 para montagem, tenha certeza que você use o dispositivo correto para seu sistema. Você pode checar qual é o dispositivo correto usando o comando losetup -f.
  1. Crie um diretório que funcione para a imagem de inicialização:
    mkdir -p temp usb/extlinux
    
  2. Monte a imagem de inicialização para o diretório temp:
    mount -o loop boot.iso temp
    
  3. Copie os arquivos requeridos para um dispositivo de Inicialização de Mídia USB para o diretório criado anteriormente:
    cp -aP temp/isolinux/* usb/extlinux/
    
  4. Desmonte o diretório temp e modifique as permissões no diretório cd para legível e gravável para o usuário:
    umount temp
    chmod -R u+rw usb
    
  5. Mude para o diretório /usb:
    cd ./usb
    
  6. Copie o arquivo /usr/lib/syslinux/menu.c32 para o diretório extlinux/:
    cp -p /usr/lib/syslinux/menu.c32 extlinux/
    
  7. Mova o arquivo extlinux/isolinux.cfg para extlinux/extlinux.conf:
    mv extlinux/isolinux.cfg extlinux/extlinux.conf
    
  8. Remova os arquivos temporários:
    rm -f extlinux/isolinux.bin extlinux/TRANS.TBL
    
  9. Converta o arquivo custom-boot.img e copie:
    dd if=/dev/zero of=./custom-boot.img bs=1024 count=30000
    
  10. Descubra a locação correta de montagem para o dispositivo de loopback:
    losetup -f
    /dev/loop0
    
    Configure o dispositivo de loopback com a imagem de inicialização:
    losetup /dev/loop0 ./custom-boot.img
    
  11. Abra o utilitário fdisk:
    fdisk /dev/loop0
    
    Crie uma partição primária inicializável no dispositivo. Isto pode ser feito usando a seguinte combinação de teclas n p 1 Enter Enter a 1 p w
  12. Copie o Master Boot Record (MBR) para o dispositivo loopback:
    dd if=/usr/lib/syslinux/mbr.bin of=/dev/loop0
    
  13. Adicione mapas de partição para o dispositivo loopback:
    kpartx -av /dev/loop0
    
  14. Crie os sistema de arquivos:
    mkfs.ext2 -m 0 -L "Custom RHEL Boot" /dev/mapper/loop0p1
    
  15. Monte o dispositivo:
    mount /dev/mapper/loop0p1 temp
    
  16. Delete os arquivos temporários:
    rm -rf temp/lost+found
    
  17. Copie o diretório extlinux/ para uma locação temporária:
    cp -a extlinux/* temp/
    
  18. Instale o carregador de inicialização na locação temporária:
    extlinux temp
    
  19. Desmonte a locação temporário:
    umount temp
    
  20. Delete os mapas de partição do dispositivo loopback:
    kpartx -dv /dev/loop0
    
  21. Delete o dispositivo de loopback:
    losetup -d /dev/loop0
    
    Sincronize as mudanças no sistema de arquivos:
    sync
    
  22. Abra o arquivo extlinux.conf no seu editor de texto preferido e personalize qualquer parâmetro de boot e alvos conforme a necessidade para inicialização USB.
  23. Transfira a imagem para um dispositivo USB para completar o procedimento. Insira o dispositivo e execute o comando dmesg para checar a localização de montagem. Neste exemplo é /dev/sdb.
    Desmonte o dispositivo USB:
    umount /dev/sdb
    
    Copie a imagem para o dispositivo USB:
    dd if=./custom-boot.img of=/dev/sdb
    

Capítulo 10. Organizações

O RHN Satellite habilita administradores dividir suas implantações em recipientes organizados. Estes recipientes (ou organizações) auxiliam em manter uma clara separação de propósitos e propriedade de sistemas e o conteúdo implantado para aqueles sistemas.
O RHN Satellite suporta a criação e gerenciamento de múltiplas organizações dentro de uma instalação, permitindo divisão de sistemas, conteúdo e subscrições entre diferentes grupos. Este capítulo resume conceitos básicos e tarefas para criações de múltiplas organizações e seu gerenciamento.
A interface web Organizações permite administradores vizualizar, criar, e gerenciar múltiplas organizações de Satellite. Os administradores do Satellite podem alocar direitos de uso de software e sistemas por várias organizações, tanto quanto controlar um acesso a uma organização para gerenciamento de tarefas de sistemas.
Os adminstradores do Satellite podem criar novas organizações e atribuir os administradores e direitos de uso para essas organizações. Os administradores de Organização podem atribuir grupos, sistemas e usuários para suas organizações. Esta divisão permite organizações realizar tarefas administrativas sem afetar outras organizações.
Admin

Figura 10.1. Admin

A página Organizações contém uma lista de organizações de todo o Satellite, com ambos Usuários e Sistemas atribuídos para cada organização. A página Organização também apresenta uma página Trusts para qualquer trust de organização estabelecido.

10.1. Criando Organizações

Procedimento 10.1. Criando uma Organização

  1. Para criar uma nova organização, abra o menu Admin e selecione Organizações=> Criar Nova Organização.
    Criar Nova Organização

    Figura 10.2. Criar Nova Organização

  2. Digite o nome da organização na caixa de texto apropriada. O nome deve ser entre 3 e 128 caractéres.
  3. Crie um administrador para a organização, fornecendo as seguintes informações:
    • Digite um Login Desejado para o administrador da organização, que deve ser entre 3 e 128 caractéres. Considere criar um nome de login descritivo para uma conta de Administrador de Organização que correspondam aos nomes de login administrativos da organização.
    • Crie um Senha Desejada e Confirme a senha.
    • Digite o endereço de Email do administrador da Organização.
    • Entre com o Primeiro Nome e Último Nome do administrador da organização.
  4. Clique no botão Criar Organização para completar o processo.
Uma vez que a nova organização é criada, a página Organizações exibirá a nova organização criada.
Os Administradores do Satellite devem considerar reservar a conta de Administrador de Organização organization1 para eles mesmos. Isto dará a eles a habilidade de logar na organização se necessário.

Importante

Se o RHN Satellite estiver configurado para autenticação PAM, evite usar contas PAM para uma conta de administrador de organização do Satellite. Ao invés disso, crie uma conta local no Satellite para administradores de organização e reserve as contas com autenticação PAM para logins no Satellite com menos previlégios. Isso desencorajará de logar no Satellite com previlégios elevados, já que o potencial para cometer erros é maior usando essas contas.

10.2. Gerenciandos Direitos

Uma vez criada uma nova organização, é importante atribuir direitos de uso a ela. Você precisará de direitos de sistemas, tais como Gerenciamento e Provisionamento para cada sistema. Você também precisará de direitos a canais tais como rhel-server ou rhn-tools para sistemas que usam canais que não sejam canais personalizados. Direitos a sistemas de gerenciamento são um requisito base para uma organização funcionar corretamente. O número de direitos de gerenciamento alocados a uma organização é equivalente ao número máximo de sistemas que podem se registrar à essa organização no Satellite, sem importar o número de direitos de software disponíveis. Por exemplo, se existem 100 direitos a Red Hat Enterprise Linux Clientes disponíveis no total, mas somente 50 direitos de gerenciamento de sistemas estão disponíveis à organização, somente 50 sistemas são aptos a registrar àquela organização.
Os direitos ao canal de ferramentas de software Red Hat Network também precisarão ser garantidos para cada organização. O canal de ferramentas Red Hat Network contém vários softwares clientes requeridos para funcionalidade extendida do Satellite, tais como clientes necessários para gerenciamento de configuração e suporte à kickstart e também o pacote rhn-virtualization, que é necessário para os direitos dos hospedes virtuais Xen e KVM para serem contados corretamente.
Para acessar a interface Subscrições abra o menu Admin e selecione Organização. Escolha uma organização da lista e selecione a aba Subscrições.
Dentro da interface Subscrições, abra a aba Direitos a Canal de Software para ver todos os serviços para todas as organizações e seu uso.
Dentro da aba Direitos ao Canal de Software, a aba Organizações permite que Administradores do Satellite ajustem o número de canais de software disponíveis para cada organização. Digite o número (dentro da faixa listada em Valores Possíveis) e clique no botão Atualizar Organização para mudar este valor.
Direitos de Canais podem ser ou Regular ou Flex. Qualquer sistema pode usar um direito regular. O direitos Flex podem somente ser usados por sistemas que foram detectados como sendo hóspedes de um tipo de virtualização suportada.

Nota

Administradores de Organização que criam um canal personalizado podem somente usar esse canal dentro de sua organização, a menos que um Trust Organizacional seja estabelecido entre as organizações que querem compartilhar o canal. Para mais informações sobre trusts organizacionais, consulte a Seção 10.5, “Trusts Organizacionais”.
A aba Organizações também contém uma seção Subscrições+Direitos de Sistemas , que detalha:
  • Total: O número total de direitos a canais para o Satellite.
  • Disponível: O número de direitos atualmente disponíveis para alocação.
  • Uso: O número de direitos atualmente em uso por todas as organizações, comparado ao número total de direitos alocados.
Por exemplo, se a coluna Total é 100 e a coluna Disponível é 70, significa que 30 direitos de uso estão alocados para as organizações. A coluna Uso mostra quantos destes 30 direitos alocados estão em uso pelas organizações além da organização base. Então se a coluna Uso mostra 24 de 30 (80%), significa the 24 direitos a canais estão distribuidos nas organizações Satellite (sem contar a organização 1) dentro das 30 que foram alocadas.
Dentro da interface Subscrições, selecione a aba Direitos a Canais de Software para ver todos os serviços por toda as organizações, e seus usos. Clique em uma organização para mostrar a página Detalhes, que fornece maiores informações sobre a organização.
  • Usuários Ativos: O número de usuários na organização.
  • Sistemas: O número de sistemas subscritos à organização.
  • Grupos de Sistemas: O número de grupos subscritos à organização.
  • Chaves de Ativação: O número de chaves de ativação disponíveis na organização.
  • Perfis de Kickstart: O número de perfis de kickstart disponíveis na organização.
  • Canais de Configuração: O número de Canais de Configuração disponíveis à organização.
Desta página, você pode deletar a organização clicando no link Deletar Organização.

10.3. Configurar Sistemas em uma Organização.

Uma vez criada uma organização e direitos de uso atribuídos a ela, sistemas pode ser atribuídos a ela.
Existem duas maneiras de registrar um sistema em uma determinada organização:
Registrar com nome de usuário e senha
Se você fornecer um nome de usuário e senha criados para uma organização específica, o sistema será registrado à essa organização. Por exemplo, se user-123 é um membro da organização Central IT no Satellite, o seguinte comando em qualquer sistema registraria aquele sistema à organização Central IT no seu Satellite:
rhnreg_ks --username=user-123 --password=foobar

Nota

Os parâmetros --orgid no rhnreg_ks não são relacionados ao registro do Satellite ou no suporte de múltiplas organizações no Servidor RHN Satellite.
Registrar com uma chave de ativação
Você pode também registrar um sistema usando uma chave de ativação da organização. Chaves de ativação registrarão sistemas à organização de onde a chave de ativação foi criada. Chaves de ativação são um bom método de registro para usar se você quer permitir usuários de registrarem sistemas em uma organização sem fornece-los login de acesso à essa organização:
rhnreg_ks --activationkey=21-myactivationkey
Para mover sistemas entre organizações, a mudança pode também ser automatizada com scripts usando chaves de ativação.

Nota

Os primeiros caractéres da chave de ativação são usados para indicar o número ID da organização que é proprietária da chave.

10.4. Usuários de uma Organização

A página Usuários contém uma lista de todos os usuários no Satellite em todas as organizações.
A página Usuários lista os usuários atribuídos à organização, incluindo seus nomes reais, endereços de email, e a opção que indica se o usuário é um Administrador de Organização.
Se você é o Administrador de Organização, você pode clicar no nome de usuário para exibir a página Detalhes do Usuário para o usuário.

Nota

Você deve estar logado como Administrador da Organização para editar os detalhes de usuário de uma organização. A função de administrador do Satellite não permite que você edite detalhes de usuários em organização de usuários, ela somente permite atribuir a função de Administrador do Satellite para outros usuários dentro do Satellite.

10.5. Trusts Organizacionais

Organizações podem compartilhar seus recursos com outras estabelecendo um trust organizacional. Trusts organizacionais são definidos pelo administrador do Satellite e implementados pelo Administrador da Organização. Uma vez que o trust foi estabelecido entre duas ou mais organizações, o Administrador de cada organização é livre para compartilhar o quanto quiser seus recursos. É uma decisão de cada Administrador de Organização determinar quais recursos compartilhar e quais recursos compartilhados de outras organizações no relacionamento do trust usar.
Cada relacionamento individual é único e mutualmente exclusivo de outros relacionamentos de trust. Por exemplo, se a Organização de Contabilidade se relaciona com a Organização de Finanças, e a Organização de Finanças se relaciona com a Organização de Instalações, a Contabilidade não se relacionará com Instalações ao menos um relacinamento de trust seja definido entre elas.
Trusts Organizacionais

Figura 10.3. Trusts Organizacionais

Procedimento 10.2. Estabelecendo um Trust Organizacional

Um Administrador de Satellite pode criar um trust entre duas ou mais organizações. Para isto, realize os seguintes passos:
  1. Selecione o link Organizações no menu na página principal Admin.
  2. Clique o nome de uma organização e dentro da página Detalhes, clique na aba Trusts
  3. Na aba Trust, há uma lista de todos os outros trusts no RHN Satellite. Se você possuir uma lista longa de organizações, use a caixa de texto Filtrar por Organização para classifica-las.
  4. Clique na caixa de marcação próxima aos nomes das organizações que você quer que estejam no trust organizacional com a atual organização.
  5. Clique no botão Modificar Trusts para criar o trust.
Uma vez que o trust organizacional foi estabelecido, as organizações pode compartilhar canais de software personalizados com outras organizações no trust. Existem três níveis de compartilhamento de canais que podem ser aplicados a cada canal para controle de acesso:
Privado
Faça o canal privado para que não possa ser acessado por qualquer organização exceto a proprietária.
Protegida
Permite ao canal ser acessado por um trust de organizações de sua escolha.
Pública
Permite que todas organizações dentro do trust acessem o canal personalizado.
As organizações em trust que têm acesso garantido ao conteúdo personalizado usando tanto os modos de acesso protegidos ou públicos podem permitir que seus sistemas de clientes instalem e atualizem seus pacotes a partir do canal compartilhado. O acesso á subscrição pode ser perdido quando qualquer dos seguintes eventos ocorrer:
  • O Administrador do Satellite remove o relacionamento de trust.
  • O administrador de organização altera o acesso ao canal para privado.
  • O Administrador de Organização altera o acesso ao canal para privado e não inclui a organização de sistemas subscrita na lista protegida.
  • O administrador da organização deleta o canal compartilhado diretamente.
  • O administrador da organização deleta o canal pai de um canal filho compartilhado.

Nota

Todos os canais de software Red Hat são gerenciados através de direitos de uso. Administradores de Organização não podem compartilhar canais Red Hat porque eles estão disponíveis para todas organizações que possuem direitos a esses canais. O administrador do Satellite é responsável por atribuir os direitos ao canal de software Red Hat para cada organização.

Procedimento 10.3. Migrando Sistemas

Além de compartilhar canais de software, as organizações em um trust podem migrar sistemas para outras organizações em trust usando o utilitário migrate-system-profile. O utilitário é executado a partir da linha de comando e usa systemID e orgID para especificar a migração de sistema e sua organização de destino. O Administrador do Satellite pode migrar um sistema de qualquer organização em trust para qualquer outra no mesmo trust. Entretanto, Administradores de Organizações podem somente migrar um sistema de sua própria organização para outra no trust.
O comando migrate-system-profile requer que o pacote spacewalk-utils seja instalado, que é normalmente instalado por padrão com o RHN Satellite. Quando uma organização migra um sistema com o comando migrate-system-profile, o sistema não carrega qualquer um dos direitos anteriores ou subscrição de canais do organização fonte. Entretanto, a história do sistema é preservada e pode ser acessada pelo novo Administrador da Organização para simplificar o resto do processo de migração, que inclui subscrição a um canal base e garantindo direitos de uso.
  1. Execute o comando usando o seguinte formato:
    migrate-system-profile --satellite SATELLITE HOSTNAME OR IP --systemId=SYSTEM ID --to-org-id=DESTINATION ORGANIZATION ID
    Por exemplo, o departamento de Finanças (criado como uma organização no servidor RHN Satellite com OrgID 2) quer migrar uma estação de trabalho (com SystemID 10001020) do departamento de Engenharia, mas o Administrador da Organização de Finanças não possui acesso shell ao servidor RHN Satellite. O nome de host do Satellite é satserver.example.com. O Administrador da Organização de Finanças digitaria a partir do shell:
    migrate-system-profile --satellite satserver.example.com --systemId=10001020 --to-org-id=2
    
    O utilitário então pergunta por um nome de usuário e senha.
  2. O sistema pode então ser vizualizado da página Sistemas quando logado na interface web do RHN Satellite. O processo de migração é completo atribuindo o canal base e garantindo direitos ao cliente para qualquer outro sistema registrado à organização, disponível da página do sistema Histórico na aba Eventos.
    História do Sistema

    Figura 10.4. História do Sistema

  3. Administradores do Satellite que precisam migrar diversos sistemas de uma vez podem usar a opção --csv do migrate-system-profile para automatizar o processo usando uma lista simples de sistemas para migrar separados por vígula.
    Uma linha no arquivo CSV deveria conter o ID do sistema a ser migrado também como o ID da organização de destino no seguinte formato:
    systemId,to-org-id
    
    O systemId, por exemplo poderia ser 1000010000, enquanto o to-org-id poderia ser 3. Um exemplo em CSV se parecia como o seguinte:
    1000010000,3
    1000010020,1
    1000010010,4
    

Apêndice A. Revision History

Histórico de Revisões
Revisão 3-5.2.4002013-10-31Rüdiger Landmann
Rebuild with publican 4.0.0
Revisão 3-5.2Fri Nov 30 2012Glaucia Cintra
Translation completed
Revisão 3-5.1Fri Nov 30 2012Glaucia Cintra
Translation files synchronised with XML sources 3-5
Revisão 3-5.1Sun Nov 4 2012Terry Chuang
Translation files synchronised with XML sources 3-5
Revisão 3-5Wed Sept 19 2012Dan Macpherson
Empacotamento final para 5.5
Revisão 3-4Fri Aug 31 2012Athene Chan
BZ#839798 Edição Pequena
Revisão 3-3Fri Aug 24 2012Athene Chan
BZ#839798 Exemplo 4.3 mudou para um formato padrão
Revisão 3-3Fri Aug 24 2012Athene Chan
BZ#839798 Exemplo 4.3 mudou para um formato padrão
Revisão 3-2Fri Aug 24 2012Athene Chan
BZ#826501 Mudanças do QA-revisado aplicadas.
BZ#884313 Mudanças do QA-revisado aplicadas.
Revisão 3-1Fri Aug 17 2012Athene Chan
BZ#848313 Capítulo do OpenSCAP "Como Visualizar Resultados do SCAP" adicionado
Revisão 3-0Thu Aug 9 2012Athene Chan
Estágio para Revisão
Revisão 2-5Wed Aug 1 2012Athene Chan
BZ#839798 Foi adicionado o capítulo spacewalk-clone-by-date
BZ#826501 Nova informação sobre OpenSCAP adicionada
Revisão 2-0Fri Jul 6 2012Athene Chan
Preparado para o lançamento do RHN Satellite 5.5
BZ#826501 Foi adicionado o Capítulo OpenSCAP
Foi adicionado o OpenSCAP Screenshots
Revisão 1-5Mon Aug 15 2011Lana Brindley
Lançamento do z-stream foi transformado em y-stream
Revisão 1-4Mon Jun 20 2011Lana Brindley
BZ#701900 - Autenticação do PAM
Revisão 1-3Mon Jun 20 2011Lana Brindley
BZ#714029 - Cor em imagem foi reparada
Revisão 1-2Wed Jun 15 2011Lana Brindley
Preparado para tradução
Revisão 1-1Fri May 27 2011Lana Brindley
Atualizações para tradutores
Revisão 1-0Fri May 6, 2011Lana Brindley
Preparado para tradução
Revisão 0-15Thu May 5, 2011Lana Brindley
BZ#701818 - QE Review
Revisão 0-14Mon May 2, 2011Lana Brindley
BZ#248465 - QE Review
Revisão 0-13Fri Apr 29, 2011Lana Brindley
BZ#692295 - QE Review
Revisão 0-12Mon Apr 18, 2011Lana Brindley
BZ#691985 - Updating image
Revisão 0-11Mon Apr 18, 2011Lana Brindley
BZ#691990 - QE Review
Revisão 0-10Mon Apr 18, 2011Lana Brindley
BZ#691985 - QE Review
Revisão 0-9Thu Apr 14, 2011Lana Brindley
Revisão técnica de feedback
Revisão 0-8Wed Apr 13, 2011Lana Brindley
BZ#692314 - QE Review
BZ#692294 - QE Review
BZ#692291 - QE Review
BZ#692290 - QE Review
BZ#691988 - QE Review
BZ#691986 - QE Review
BZ#691981 - QE Review
Revisão 0-7Wed Mar 23, 2011Lana Brindley
Preparação para revisão técnica
Revisão 0-6Mon Feb 19, 2011Lana Brindley
RPMs
Dispositivos de inicialização
Organizações
Revisão 0-5Fri Feb 18, 2011Lana Brindley
Monitoramento
Autenticação PAM
Revisão 0-4Mon Jan 10, 2011Lana Brindley
Backup e Restore
Revisão 0-3Fri Jan 7, 2011Lana Brindley
Administração do Usuário
Prefácio
Sincronização Automática
Revisão 0-2Wed Jan 5, 2011Lana Brindley
Administração do Usuário
Revisão 0-1Tue Jan 4, 2011Lana Brindley
Estrutura de Capítulo novo completa
Revisão 0-0Tue Dec 21, 2010Lana Brindley
Bem vindo ao Guia de Implementação do RHN Satellite

Índice Remissivo

A

adicionar
usuário, Adicionar, Desativar, e Deletar contas de Usuário
Administrador do Satellite, Gerenciamento de Usuários
API
auditar scans, Realizando Scans de Auditoria
auditoria
OpenSCAP, OpenSCAP
Autenticação PAM
implementação, Autenticação PAM

C

Clonando uma Máquina
spacewalk-clone-by-date, Clonando uma máquina

D

deletar
usuário (somente o Servidor RHN Satellite), Adicionar, Desativar, e Deletar contas de Usuário
desativar
usuário, Adicionar, Desativar, e Deletar contas de Usuário

E

endereço de email
alterar, Gerenciamento de Usuários

F

funções de usuários, Gerenciamento de Usuários

P

Pré-requisitos
OpenSCAP, Pré-requisitos

W

Web UI
audit scans, Realizando Scans de Auditoria
website
Usuários, Administração do Usuário

Nota Legal

Copyright © 2011 Red Hat, Inc.
This document is licensed by Red Hat under the Creative Commons Attribution-ShareAlike 3.0 Unported License. If you distribute this document, or a modified version of it, you must provide attribution to Red Hat, Inc. and provide a link to the original. If the document is modified, all Red Hat trademarks must be removed.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat Software Collections is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.