Installationsanleitung LOCKSS-BOX LINUX (CentOS 6.5)

Einleitung

Diese Seite ist ein Leitfaden um CentOS 6.5 (getestet mit CentOS 6.5-1 64x), für die Nutzung mit der LOCKSS-Software, zu Installieren.
Die Installation basiert auf einer Linux netinstall CD (lockss-netinstall-6.5-1.x86_64), die bei Lockss zum Download bereit liegt.
Die Installationsanleitung sollte aber auch mit neueren Versionen kompatibel sein.

Hardware Empfehlungen
Wir empfehlen alle linuxbasierten Plattformen für LOCKSS entweder auf einer zweckbestimmten oder auf einer virtuellen Maschine mit mindestens zwei Kernen, 8GB RAM und 2 TB Speicherplatz oder mehr, einzurichten. Das System selbst sollte 64Bit-fähig sein.
Der Speicherplatz ist natürlich sehr vom Netzwerk selbst abhängig.

Netzwerk-Sicherheit
Falls Ihre LOCKSS-Box hinter einer Firewall liegt, bitten Sie Ihren Netzwerkadministrator die folgenden Verbindungen eingehend zu und ausgehend von der LOCKSS-Box, zu erlauben.

Eingehende Verbindungen

Notwendig:
tcp to port 9729 from anywhere - V3 LCAP (polling)

Optional:
tcp to port 22 from 171.66.236.0/26 - monitoring from Stanford
tcp to port 8081 from 171.66.236.0/26 - monitoring from Stanford

Ausgehende Verbindungen
Alle ausgehenden Verbindungen sollten erlaubt sein! Falls Ihre Institution ausgehende Verbindungen blockiert, bitten Sie Ihren Netzwerkadministrator diese Ports zu öffnen:
tcp to anywhere, port 80 - publishers
tcp to anywhere, port 123 - NTP time synchronization
udp to anywhere, port 123 - NTP (also allow incoming responses: "keep-state" or equivalent)
tcp to 171.66.236.0/26, port 8001 - parameter reload, package fetch
tcp to anywhere, port 9729 - V3 LCAP (polling)
tcp to 18.7.14.139, port 11371 - refresh public signing keys

Zusätzlich muss die LOCKSS-Box die ausgehenden Verbindungen per UDP (Users Datagram Protocol) den Port 53 (DNS), sowie per TCP (Transmission Control Protocoll) den Port 25 (SMTP) erlauben. Diese Verbindungen müssen aber nur für die Computer offen sein, die als Nameserver und Mail Hub konfiguriert sind. Normalerweise sind diese beiden Server auch hinter der gleichen Firewall wie die LOCKSS-Box, weshalb meistens keine zusätzlichen Regeln nötig sind.

Installationsanleitung

Vorbereitungen zur Installation
Laden Sie die CentOS 6.7 Net Install CD von der nachfolgenden URL herunter. Diese kann nach dem Download direkt in einer VM gemounted, auf einen bootfähigen Stick kopiert, oder auf CD gebrannt werden.

http://www.lockss.org/centos/iso/lockss-netinstall-6.7-2.x86_64.iso

Booten Sie ihr System von der CD.
Klicken Sie auf
„(Recommended) Automated CentOD 6.x with LOCKSS“.

Sprach- und Tastatureinstellungen
Benutzen Sie den Bildschirm um Ihre Sprach- und Tastatureinstellungen zu wählen. Wir haben hier German und de latin – nodeadkeys ausgewählt.

Netzwerk-Konfiguration (Installer)
Benutzen Sie die auf dem Bildschirm dargestellten Möglichkeiten, um Ihren primären Network Adapter, den Sie während der Installation benutzen wollen, zu wählen. LOCKSS verlangt dass Ihr Netzwerk mit einer statischen IP-Adresse konfiguriert ist. Alternativ, für den Fall, dass Ihr Netzwerk mit einem DHCP Server konfiguriert ist, muss Ihrem Computer basierend auf der MAC-Adresse des Network Adapters, dem DHCP Server eine statische Konfiguration zugewiesen werden. Um eine feste IP zuzuweisen, wählen Sie bei „Ipv4“ den Punkt Manual configuration aus. Bei „Ipv6“ kann automatic eingestellt bleiben.
Wenn Ihr Netzwerk korrekt konfiguriert wurde, kann der Installer die notwendigen Komponenten herunterladen um mit der Installation fortzufahren, sowie das graphische Interface, abzurufen. Dafür wird eine "Iinstall.img" heruntergeladen.
Sollte das nicht der Fall sein, müssen Sie den Pfad zum Image (URL) selbstständig angeben. Dazu muss die „install.img“ unter folgenden Pfad angegeben werden:
http://mirror.stanford.edu/yum/pub/centos/7/os/x86_64/images/install.img
Sollte die Installation nicht funktionieren, kontrollieren Sie bitte nochmals den eingegebenen Pfad. Es kann sein dass der Installer im Pfad hinten doppelt „/images/images“ schreibt. Nach einer Korrektur sollte es keine Probleme mehr geben.

Nun müssen Sie das Installationsmedium angeben, wählen Sie hierfür URL aus.

Danach beginnt die eigentliche Installationsroutine.

Disk Layout und Partitionierung
Setzen Sie ein Häkchen bei Spezielle Speichergeräte (“Review and modify partitioning layout”), danach klicken Sie auf den Next Button. In dem nächsten Fenster werden die Basisfestplatten angezeigt, falls es nur eine gibt kann diese einfach ausgewählt werden. Im anderen Fall müssen sie eine der Ihnen zur Verfügung stehenden Platten auswählen um das Betriebssystem zu installieren. Bitte beachten Sie, dass es sich hierbei nicht um eine der Platten handeln muss, auf denen später die Archivdaten gespeichert sind. Danach klicken Sie auf Neuinstallation.

Nun müssen Sie den Rechnernamen eingeben

Zeitzone
Klicken Sie auf der Weltkarte auf den Punkt, der Ihrem Standort entspricht oder benutzen Sie das Drop-Down Menü um ihre Zeitzone einzustellen. Dann wählen Sie System Clock uses UTC aus, indem Sie ein Häkchen setzen. Das System wird automatisch mit einem Zeitserver via NTP synchronisiert. Anschließend klicken Sie auf Next.

Einrichten des Root-Passwortes
Geben Sie ein sicheres Root-Passwort (Minimum sind sechs Zeichen, außerdem sollten Sonderzeichen, sowie Groß- und Kleinschreibung verwendet werden) ein und verwahren Sie das Passwort an einem sicheren Platz, danach klicken Sie auf den Next Button.

Art der Installation
Hier wird gefragt welche Partitionen der Festplatte Sie überschreiben wollen. Hier kann einfach das schon gesetzte Häkchen bei Bestehende(s) Linux-System(e) ersetzen bleiben, bzw. das Häkchen hier gesetzt werden.
Als nächstes bestätigen Sie dass die Änderungen auf der Festplatte geschrieben werden sollen.

Package Selection
Für die Installation von LOCKSS wurde ein einfaches Set von Packages ausgewählt. An dieser Stelle können Sie jedoch weitere Einheiten auswählen, die Sie eventuell auch installieren möchten. Bitte beachten Sie:
Von der Installation eines Graphical Interface wird abgeraten, da keine direkte Interaktion mit der Maschine stattfindet, aufgrund der hohen Anzahl von installierten Packages sind mögliche Sicherheitsrisiken höher und eine höhere RAM Benutzung wahrscheinlich. Wünschen Sie dennoch die Installation eines Graphical Interface, gehen Sie bitte folgendermaßen vor: Installieren Sie zuerst Gnome (oder KDE), indem sie die Kategorie Desktop Environments wählen und GNOME Desktop Environment anklicken. Danach wählen Sie die Kategorie Base System aus und klicken in der rechten Spalte X Window System an.

Internationale LOCKSS Nutzer bevorzugen evtl. einen CentOS Support in der jeweiligen Muttersprache. Dies kann man in der Kategorie ‘Languages’ umsetzen. Für mehr Details, siehe Red Hat Enterprise Linux International Language Support Guide [3].
Im folgenden wurde nur die „minimal“-Installation vorgenommen.

Klicken Sie Next um fortzufahren.

Installationsprozess
Auf Ihrem Bildschirm werden Sie die Information erhalten, dass das install log auf /root/install.log gespeichert wird und dass eine Anaconda Kickstart Datei auf /root/anaconda-ks.cfg gespeichert wurde. Um die Installation zu beginnen, klicken Sie erneut auf Next. Die Installation kann zwischen 20 Minuten und einer Stunde dauern. Die Dauer ist abhängig von Ihrer Bandweite, sowie der Verbindung zu Stanford. Das System wird des Weiteren mit dem LOCKSS daemon konfiguriert, sowie dem LOCKSS yum Repositorium. Wenn die Installation fertig ist, entfernen Sie die "CentOS Net-Install CD" aus dem CD-Laufwerk und klicken Sie auf Neustart.

Nach der Installation / Konfigurationen

Firewall Einstellungen
Nehmen Sie die folgende Aufgaben nach der Installation als Root vor.

Iptables Konfiguration des LOCKSS Daemon fordert, dass Port 9729 offen ist und eine Verbindung zum Internet zulässt. Zusätzlich werden die Ports 22, 8080 und 8081 zum Verwalten und Kontrollieren der LOCKSS Box verwendet; diese sollten demnach nur für Ihre Administrativen Subnet(s) offen sein und, wenn gewollt, zum LOCKSS Subnet. Den Zugang zu Ihrer LOCKSS-Box Stanford zu gewähren ist in hohem Maße zu empfehlen, aber nicht ausdrücklich vorgeschrieben.
Sollten Sie die Ports trotzdem für alle eingehenden Verbindungen öffnen, z.B. um von anderorts auf den Server zugreifen zu können besteht ein hohes Sicherheitsrisiko. Deshalb empfehlen wir ausdrücklich die eingehenden Ip-Adressen bewusst zu definieren.

1. Geben Sie diesen Befehl ein:

/etc/lockss/lockss-config-iptables

2. Geben Sie das/die Subnet(s) ein, denen Sie den Zugang erlauben wollen. Sie müssen das/die Subnet(s) in CIDR Notation eingeben. Um mehrere Subnets einzugeben, trennen Sie diese bitte mit einem "Leerzeichen".

255.255.254.0

3. Falls Sie dem LOCKSS-Team in Stanford keinen Zugang ermöglichen wollen, geben Sie, wenn Sie aufgefordert werden, no ein. Hier erlauben wir den Zugang.

Y

4. Wenn Sie damit fertig sind, müssen Sie die Iptables Einstellung erneut laden, damit die Änderungen Wirksam werden. Dies tun Sie mit folgenden Befehl:

service iptables restart

5. Nun müssen Festplatten falls nötig, eingehängt werden (mount).
Sollte das dauerhaft geschehen kann die Änderung in die datei /etc/fstab geschrieben werden.
Beispiel: Falls die Platte „/dev/sdb1/“ in „/cache0/“ eingehangen werden soll, muss folgende Zeile hinzugefügt werden:
/dev/sdb1 /cache0 ext3 defaults 0 0

Falls das passiert müssen nun aber die Berechtigungen kontrolliert werden.
ls –lisa /cache0/

Sollte „lockss“ keine Berechtigung haben fügen wir den user als Besitzer der Dateien hinzu:
Chown –R lockss:root /cache1/gamma

Host Konfiguration

1. LOCKSS Daemon Konfiguration Benutzen Sie den folgenden Befehl, um die LOCKSS Daemon Einstellungen vorzunehmen:

/etc/lockss/hostconfig

Die Konfiguration wird sich abhängig davon, ob Sie Teil des globalen LOCKSS Netzwerkes, oder eines Private LOCKSS Netzwerkes (PLN) sind unterscheiden. Die folgenden Einstellungen müssen übernommen werden, danach geben Sie die Informationen für Ihr PLN ein.

Die Antworten zu den Fragen des Skripts sind hier aufgeführt:

Fully qualified hostname (FQDN) of this machine. Hier ist der Hostname einzutragen und dem LOCKSS Team mittzuteilen.
IP address of this machine. Hier ist die IP Adresse der LOCKSS-Box anzugeben und dem LOCKSS Team mitzuteilen.
Initial subnet for admin UI access. Die Subnet (in CIDR-Notation), die Zugang zum web-basierten administrativen UI hat wird angegeben. Der localhost ist mit eingeschlossen. Mehrere IP-Adressen oder weitere Subnets können später, via admin UI, hinzugefügt werden.

LCAP V3 protocol port. 9729 Das ist der TCP Port, von dem der Daemon Sendeabrufe (polling messages) von den jeweiligen Peers, erhält. Bitte verändern sie diese Einstellung nicht!

Mail relay for this machine. Wenn der Computer so konfiguriert ist, dass er mit Mails umgehen kann, dann sollte die Einstellung localhost funktionieren. Ansonsten sollte hier der DNS-Name von einem SMTP-Relay stehen, der Mails akzeptieren und weiterleiten kann. Das Skript wird Sie auch auffordern einen Benutzernamen und ein Passwort einzugeben, wenn der Mail-Relay dies erfordert.

E-mail address for administrator. Falls es zu gelegentlichen Fehlermeldungen kommt, werden diese hierher weitergeleitet.

Path to java.
/usr/bin/java
Vollständiger Pfad zu java executable.

Java switches. Bitte frei lassen.

Configuration URL. Konfigurations URL:
http://props.lockss.org:8001/daemon/lockss.xml

Preservation group(s)'.
prod

Content storage directories.
/cache0/gamma;/cache1/gamma;/cache2/gamma

Verändern Sie diese, um alle /cacheN directories, die während der Installation erstellt wurden, zu berücksichtigen. Um mehrere anzugeben, trennen Sie diese bitte mit einem Semikolon.

Temporary storage directory.
/cache0/gamma/tmp

User name for web UI administration. Geben Sie hier den Benutzernamen lockss für die UI Administration ein.
Password for web UI administration user admin. Geben Sie bitte ein sicheres Passwort ein.
Jetzt muss die gesamte Konfiguration noch bestätigt werden.

LuKII Private LOCKSS Network Konfiguration

Mit Hilfe der LuKII-PLN Daten werden die folgenden Schritte durchgeführt.
Diese Werte müssen nacheinander eingegeben werden:

Subnet(s)
Configuration URL:
http://props.lockss.org:8001/lukiipln/lockss.xml

Preservation Group:
lukiipln

Vorgehensweise
1. Als erstes werden die jeweiligen, institutionsabhängigen Subnets eingegeben.

2. Danach die configuration URL, diese lautet für das LuKII-PLN:

http://props.lockss.org:8001/lukiipln/lockss.xml

3. Als letztes noch die Daten für die preservation group:
lukiipln

WebUI Administration
Um den LOCKSS Daemon zu verwalten, indem Sie die LOCKSS Box im erlaubten Subnet verwenden, geben Sie diese URL in Ihrem Browser ein:
http://:8081/

Sie werden dann aufgefordert den Web UI Administrator Benutzernamen und das Password, das Sie während der LOCKSS Daemon Konfiguration ausgewählt haben, einzugeben.

LOCKSS Daemon Upgrade

Programmierung automatischer Updates

Damit die LOCKSS Box für den LOCKSS Daemon automatisch nach Updates sucht und diese installiert, geben Sie den folgenden Befehl ein:
ln -s /etc/lockss/upgrade-lockss /etc/cron.daily/lockss

Manuelle Updates
Um manuell nach einem verfügbaren Upgrade für den LOCKSS Daemon zu suchen und dieses zu installieren, geben Sie folgenden Befehl ein:

yum upgrade lockss-daemon

Upgrade des Linux-Systems
Mit der Linux Version, sind Sie verantwortlich sicher zu stellen, dass das System immer die relevanten Operating System Updates erhält und dass es korrekt konfiguriert ist, um so Schwachstellen zu minimalisieren. Wir empfehlen, dass Sie:

1. Das System so konfigurieren, dass es sich automatisch selbst mit der aktuellen Linux Version versorgt und in Stand hält.
2. Jeden unwichtigen Service auf der physischen oder virtuellen Maschine, die den LOCKSS-Daemon enthält, entfernen.

Programmierung automatischer Updates
Empfohlen: Damit Ihre LOCKSS Box automatisch, täglich nach allen verfügbaren Package-Upgrades (inklusive dem LOCKSS Daemon) sucht, diese auch installiert und zudem auch wöchentlich alte Packages entfernt, geben Sie folgenden Befehl als root ein:
chkconfig yum-cron on

Manuelles Upgrade
Um manuell nach allen verfügbaren Package-Updates für das System (inklusive dem LOCKSS Daemon) zu suchen und diese zu installieren, geben Sie den folgenden Befehl als root ein:
yum upgrade

Im folgenden wird ein Screenshot der endgültigen Konfigurationsdatei des Lukii-Servers an der HU gezeigt. Ähnlich sollte Ihre Konfiguration nun auch aussehen.

/etc/lockss/config.dat
http://transfer.cms.hu-berlin.de/lockssinstall/Schritt15postinstall06.png

FERTIG