• Das Zentrum im Überblick
• Forschung
• Nutzerkoordination
• Angebote
  • Informationstechnik
    • IT-Sicherheit und Regeln
      • IT-Arbeitsplatzsicherheit
      • Zertifizierungsstelle
      • Benutzungsordnung
      • Regeln für die Webserver-Nutzung
      • Regeln für Windows-Systeme
      • Regeln für Linux-Systeme
      • Regeln für den dirac-Cluster
• Aktuell

Regeln für Linux-Systeme

Stand: 12.01.2012, Redaktion: Andreas Tomiak, FM-D

1. Zweck

Diese Regeln sollen eine bequeme Nutzung von Linux-Rechnern im HZB-Intranet sicherstellen, den Aufwand für Installation und Wartung klein halten, sowie die Informationssicherheit garantieren und den Datenschutz achten helfen.

2. Regelungsbereich

Diese Regeln gelten grundsätzlich für alle Linux-Rechner im HZB-Intranet. Ausgenommen sind die Rechner in ausgewiesenen Experiment-VLANs sowie im Gästenetz.

3. Kontrolle

Die Mitarbeiter von FM-D dürfen Systeme auf Einhaltung dieser Regeln prüfen und ggf. widersprechende Einstellungen ändern sowie Programme entfernen. Der Datenschutz bleibt gewahrt. Nicht regelkonforme Systeme erhalten eine IP-Adresse des Gästenetzes.

4. Regeln

1. Anzahl der Betriebsysteme
   Es wird nur ein Betriebssystem auf einem Arbeitsplatzrechner installiert. Virtuelle Systeme sind auf Arbeitsplatzrechnern nicht erlaubt.
   
   
2. Standard-Distribution
   Linux-Arbeitsplatzrechner verwenden eine angepasste openSUSE-Distribution (HZB-Linux-Standard). Diese veröffentlicht und betreut FM-D. Es wird nur die jeweils aktuelle Version des Standards installiert. Auf Servern wird grundsätzlich openSUSE oder SLES installiert.
   
   
3. Mobile Geräte
   Auf mobilen Geräten (Laptops) wird grundsätzlich kein Linux nach HZB-Linux-Standard installiert.
   
   
4. Netzzuordnung
   Am Intranet mit Ausnahme der Experiment-VLANs dürfen grundsätzlich nur Linux-Systeme mit der angepassten openSUSE-Distribution (HZB-Linux-Standard) betrieben werden.
   
   
5. Einheitliche Kennungsverwaltung
   Die Systeme sind in das zentrale ID-Management  des HZB eingebunden. Lokale Nutzer-Kennungen sind verboten.
   
   
6. Zugriffsrechte
   Alle Zugriffe auf Dateien mit fremden Eigentümern sind verboten, außer die Leserechte erlauben einen Zugriff und sie sind augenscheinlich für alle gedacht.
   
   
7. Verhaltens- und Leistungskontrolle
   Die Verwendung der Systeme zur Verhaltens- und Leistungskontrolle ist verboten.
   
   
8. Netzausspähung
   Die Verwendung von Programmen zur Netzausspähung ist grundsätzlich verboten.
   
   
9. Das lokale Verzeichnis /hmi
   Auf jedem System wird das Verzeichnis /hmi für die lokale Datenablage eingerichtet. Dort kann jeder Nutzer Verzeichnisse mit Daten anlegen.  Das Verzeichnis wird als /chmi/Rechnername mit NFS im Netz für den Austausch mit anderen Rechnern freigegeben und kann in die zentrale Datensicherung aufgenommen werden.
   
   
10. Serverdienste
    Auf den Arbeitsplatzrechnern dürfen grundsätzlich keine Serverdienste außer NFS für das Verzeichnis /hmi laufen.
    
    
11. Kenntnis des root-Passworts
    Das root-Passwort wird von FM-D verwaltet. Der zu benennende lokale Systembetreuer kann in begründeten Einzelfällen zeitlich begrenzten root-Zugriff für spezielle Aufgaben erhalten, Änderungen am System sind im FM-D-Wiki zu dokumentieren.
    
    
12. Physikalische Zugangs-Sicherung
    Der Rechner muss in einem verschliessbaren Raum stehen, welcher nach Dienstschluss abgeschlossen wird.
    
    
13. Updates und Upgrades
    Die Systeme werden täglich per Online-Update mit den aktuellen Patches versehen. Upgrades auf neue openSUSE-Distributionen werden in Form einer Neuinstallation unter Beibehaltung der /hmi-Partition gemacht. Upgrades sollen nicht unbegründet gemacht werden ("Never change a running system"). Ein Upgrade wird 2 Jahre nach der Erstinstallation empfohlen. Systeme älter als 4 Jahre werden nicht neu installiert. Updates können vom Nutzer mit dem Kommando sw_install oder mit dem Gnome-Tool PackageKit (Kommando gpk-update-viewer) eingespielt werden.
    
    
14. Wartungsfenster
    Bei Updates welche einen Reboot verlangen (Kernel-Updates) wird dieser nach Ankündigung bis Montag 12 Uhr in einem Wartungsfenster Dienstags zwischen 7 und 9 Uhr erfolgen.
    
    
15. Softwareausstattung
    FM-D pflegt die HZB-Standardkonfiguration im Dialog mit den Nutzern. Mit den Kommando sw_install sowie dem Gnome-Tool PackageKit (Kommando gpk-update-viewer) kann lokal Software durch die Nutzer installiert und gepflegt werden.  Administrations-Rechte werden dazu nicht benötigt. Weitere Installationsquellen (Repositories) können  von den Nutzern hinzugefügt werden. Bei Upgrades wird die Standardkonfiguration installiert, zusätzliche lokale Software dürfen die Nutzer selbst mit sw_install nachinstallieren. Neue Softwarepakete werden bei Bedarf in die HZB-Standardkonfiguration aufgenommen. Lokale Versionen von zentral installierten Programmen (z.B. Firefox, Thunderbird) sind aus Sicherheitsgründen zu vermeiden.
    
    
16. Dokumentation
    Zu jedem System wird im FM-D-Wiki ein Artikel mit dem Rechnernamen angelegt. Die Nutzer und Systemverwalter sollen dort den aktuellen Zustand des Systems dokumentieren.
    
    
17. Benutzungsordnung
    Es gilt die Benutzungsordnung.

[at]