linux-nerds.org

Your browser does not seem to support JavaScript. As a result, your viewing experience will be diminished, and you have been placed in read-only mode.

Please download a browser that supports JavaScript, or enable it if it's disabled (i.e. NoScript).

Ansible - Proxmox Server bearbeiten

Ansible

1 Beiträge 1 Kommentatoren 379 Aufrufe

FrankM

schrieb am

Aktuell habe ich durch eine Erkrankung etwas mehr Zeit für die Konsole, sodass ich angefangen habe, die Setups aller meiner Server zu vereinheitlichen. Anfangen wollte ich dazu mit meinem lokalen Proxmox. Dabei kam mir wieder in den Sinn, das ich auch noch ein Debian Bookworm 12 Template brauchte.

Also, das aktuelle Debian Image heruntergeladen. Mit diesem dann einen Debian Bookworm 12 Server aufgesetzt. Jetzt brauchte ich zu diesem Zeitpunkt einen Zugang mit SSH-Key (für mein Semaphore).

Also habe ich schon mal zwei SSH-Keys eingefügt. Einmal meinen Haupt-PC und einmal den Semaphore Server. Danach den Server in ein Template umgewandelt.

105 ist das Template, 106 ein damit erstellter Test-Server. Ok, das läuft wie erwartet, jetzt möchte ich den Server durch konfigurieren, so wie ich das gerne haben möchte. Da es hier um Ansible geht, brauche ich dazu ein Playbook.

---
###############################################
# Playbook for my Proxmox VMs
###############################################
- name: My task
  hosts: proxmox_test
  tasks:

    #####################
    # Update && Upgrade installed packages and install a set of base software
    #####################
    - name: Update apt package cache.
      ansible.builtin.apt:
        update_cache: yes
        cache_valid_time: 600

    - name: Upgrade installed apt packages.
      ansible.builtin.apt:
        upgrade: 'yes'

    - name: Ensure that a base set of software packages are installed.
      ansible.builtin.apt:
        pkg:
         - crowdsec
         - crowdsec-firewall-bouncer
         - duf
         - htop
         - needrestart
         - psmisc
         - python3-openssl
         - ufw
        state: latest

    #####################
    # Setup UFW
    #####################
    - name: Enable UFW
      community.general.ufw:
        state: enabled

    - name: Set policy IN
      community.general.ufw:
        direction: incoming
        policy: deny

    - name: Set policy OUT
      community.general.ufw:
        direction: outgoing
        policy: allow

    - name: Set logging
      community.general.ufw:
        logging: 'on'

    - name: Allow OpenSSH rule
      community.general.ufw:
        rule: allow
        name: OpenSSH

    - name: Allow HTTP rule
      community.general.ufw:
        rule: allow
        port: 80
        proto: tcp

    - name: Allow HTTPS rule
      community.general.ufw:
        rule: allow
        port: 443
        proto: tcp

    #####################
    # Setup CrowdSEC
    #####################
    - name: Add one line to crowdsec config.yaml
      ansible.builtin.lineinfile:
        path: /etc/crowdsec/config.yaml
        #search_string: '<FilesMatch ".php[45]?$">'
        insertafter: '^db_config:'
        line: '  use_wal: true'

    #####################
    # Generate Self-Signed SSL Certificate
    # for this we need python3-openssl on the client
    #####################
    - name: Create a new directory www at given path
      ansible.builtin.file:
        path: /etc/ssl/self-signed_ssl/
        state: directory
        mode: '0755'

    - name: Create private key (RSA, 4096 bits)
      community.crypto.openssl_privatekey:
        path: /etc/ssl/self-signed_ssl/privkey.pem

    - name: Create simple self-signed certificate
      community.crypto.x509_certificate:
        path: /etc/ssl/self-signed_ssl/fullchain.pem
        privatekey_path: /etc/ssl/self-signed_ssl/privkey.pem
        provider: selfsigned

    - name: Check if the private key exists
      stat:
        path: /etc/ssl/self-signed_ssl/privkey.pem
      register: privkey_stat

    - name: Renew self-signed certificate
      community.crypto.x509_certificate:
        path: /etc/ssl/self-signed_ssl/fullchain.pem
        privatekey_path: /etc/ssl/self-signed_ssl/privkey.pem
        provider: selfsigned
      when: privkey_stat.stat.exists and privkey_stat.stat.size > 0

    #####################
    # Check for new kernel and reboot
    #####################
    - name: Check if a new kernel is available
      ansible.builtin.command: needrestart -k -p > /dev/null; echo $?
      register: result
      ignore_errors: yes

    - name: Restart the server if new kernel is available
      ansible.builtin.command: reboot
      when: result.rc == 2
      async: 1
      poll: 0

    - name: Wait for the reboot and reconnect
      wait_for:
        port: 22
        host: '{{ (ansible_ssh_host|default(ansible_host))|default(inventory_hostname) }}'
        search_regex: OpenSSH
        delay: 10
        timeout: 60
      connection: local

    - name: Check the Uptime of the servers
      shell: "uptime"
      register: Uptime

    - debug: var=Uptime.stdout

In dem Inventory muss der Server drin sein, den man bearbeiten möchte. Also, so was

[proxmox_test]
192.168.3.19 # BookwormTEST

Playbook

Wir aktualisieren alle Pakete
Wir installieren, von mir festgelegte Pakete
Konfiguration UFW
Konfiguration CrowdSec
Konfiguration selbst signiertes Zertifikat
Kontrolle ob neuer Kernel vorhanden ist, wenn ja Reboot
Uptime - Kontrolle ob Server erfolgreich gestartet ist

Danach ist der Server so, wie ich ihn gerne hätte.

Aktuell
ufw - Port 22, 80 und 443 auf (SSH, HTTP & HTTPS)
CrowdSec als fail2ban Ersatz
Selbst signierte Zertifikate benutze ich nur für lokale Server

Die erfolgreiche Ausgabe in Semaphore, sieht so aus.

 12:38:16 PM
Task 384 added to queue
12:38:21 PM
Preparing: 384
12:38:21 PM
Prepare TaskRunner with template: Proxmox configure Proxmox Template
12:38:22 PM
Von https://gitlab.com/Bullet64/playbook
12:38:22 PM
e7c8531..c547cfc master -> origin/master
12:38:22 PM
Updating Repository https://gitlab.com/Bullet64/playbook.git
12:38:23 PM
Von https://gitlab.com/Bullet64/playbook
12:38:23 PM
* branch master -> FETCH_HEAD
12:38:23 PM
Aktualisiere e7c8531..c547cfc
12:38:23 PM
Fast-forward
12:38:23 PM
proxmox_template_configuration.yml | 5 +++++
12:38:23 PM
1 file changed, 5 insertions(+)
12:38:23 PM
Get current commit hash
12:38:23 PM
Get current commit message
12:38:23 PM
installing static inventory
12:38:23 PM
No collections/requirements.yml file found. Skip galaxy install process.
12:38:23 PM
No roles/requirements.yml file found. Skip galaxy install process.
12:38:26 PM
Started: 384
12:38:26 PM
Run TaskRunner with template: Proxmox configure Proxmox Template
12:38:26 PM
12:38:26 PM
PLAY [My task] *****************************************************************
12:38:26 PM
12:38:26 PM
TASK [Gathering Facts] *********************************************************
12:38:28 PM
ok: [192.168.3.19]
12:38:28 PM
12:38:28 PM
TASK [Update apt package cache.] ***********************************************
12:38:29 PM
ok: [192.168.3.19]
12:38:29 PM
12:38:29 PM
TASK [Upgrade installed apt packages.] *****************************************
12:38:30 PM
ok: [192.168.3.19]
12:38:30 PM
12:38:30 PM
TASK [Ensure that a base set of software packages are installed.] **************
12:38:31 PM
ok: [192.168.3.19]
12:38:31 PM
12:38:31 PM
TASK [Enable UFW] **************************************************************
12:38:32 PM
ok: [192.168.3.19]
12:38:32 PM
12:38:32 PM
TASK [Set policy IN] ***********************************************************
12:38:34 PM
ok: [192.168.3.19]
12:38:34 PM
12:38:34 PM
TASK [Set policy OUT] **********************************************************
12:38:36 PM
ok: [192.168.3.19]
12:38:36 PM
12:38:36 PM
TASK [Set logging] *************************************************************
12:38:37 PM
ok: [192.168.3.19]
12:38:37 PM
12:38:37 PM
TASK [Allow OpenSSH rule] ******************************************************
12:38:37 PM
ok: [192.168.3.19]
12:38:37 PM
12:38:37 PM
TASK [Allow HTTP rule] *********************************************************
12:38:38 PM
ok: [192.168.3.19]
12:38:38 PM
12:38:38 PM
TASK [Allow HTTPS rule] ********************************************************
12:38:38 PM
ok: [192.168.3.19]
12:38:38 PM
12:38:38 PM
TASK [Add one line to crowdsec config.yaml] ************************************
12:38:39 PM
ok: [192.168.3.19]
12:38:39 PM
12:38:39 PM
TASK [Create a new directory www at given path] ********************************
12:38:39 PM
ok: [192.168.3.19]
12:38:39 PM
12:38:39 PM
TASK [Create private key (RSA, 4096 bits)] *************************************
12:38:41 PM
ok: [192.168.3.19]
12:38:41 PM
12:38:41 PM
TASK [Create simple self-signed certificate] ***********************************
12:38:43 PM
ok: [192.168.3.19]
12:38:43 PM
12:38:43 PM
TASK [Check if the private key exists] *****************************************
12:38:43 PM
ok: [192.168.3.19]
12:38:43 PM
12:38:43 PM
TASK [Renew self-signed certificate] *******************************************
12:38:44 PM
ok: [192.168.3.19]
12:38:44 PM
12:38:44 PM
TASK [Check if a new kernel is available] **************************************
12:38:44 PM
changed: [192.168.3.19]
12:38:44 PM
12:38:44 PM
TASK [Restart the server if new kernel is available] ***************************
12:38:44 PM
skipping: [192.168.3.19]
12:38:44 PM
12:38:44 PM
TASK [Wait for the reboot and reconnect] ***************************************
12:38:55 PM
ok: [192.168.3.19]
12:38:55 PM
12:38:55 PM
TASK [Check the Uptime of the servers] *****************************************
12:38:55 PM
changed: [192.168.3.19]
12:38:55 PM
12:38:55 PM
TASK [debug] *******************************************************************
12:38:55 PM
ok: [192.168.3.19] => {
12:38:55 PM
"Uptime.stdout": " 12:38:55 up 19 min, 2 users, load average: 0,84, 0,29, 0,10"
12:38:55 PM
}
12:38:55 PM
12:38:55 PM
PLAY RECAP *********************************************************************
12:38:55 PM
192.168.3.19 : ok=21 changed=2 unreachable=0 failed=0 skipped=1 rescued=0 ignored=0
12:38:55 PM

F

Proxmox - HomeAssistant
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben Proxmox proxmox homeassistant linux
1

0 Stimmen

1 Beiträge

271 Aufrufe

Niemand hat geantwortet
F

Nextcloud - Update auf 28.0.2
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben Nextcloud nextcloud linux
2

0 Stimmen

2 Beiträge

147 Aufrufe

F

Für den, der sich alle Änderungen ansehen möchten -> https://github.com/nextcloud/server/releases
F

Nextcloud - Hub 5 (27.0.0)
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben Nextcloud nextcloud hub5 linux
1

0 Stimmen

1 Beiträge

101 Aufrufe

Niemand hat geantwortet
F

NAS 2023 - Thema Datensicherung
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben Linux proxmox linux
2

0 Stimmen

2 Beiträge

140 Aufrufe

F

Bleibt noch etwas wichtiges. Die ganzen Konfigurationsdateien vom Proxmox Host. Sinnvoll, das man sich das sichert.
#!/bin/bash # Script um mit Restic Daten automatisiert zu sichern! # Dient zum Sichern des Ordners /etc/pve! # Was soll gesichert werden? backup_pfad=/etc/pve # Programm Start restic --password-file /root/passwd -r /mnt/pve/Restic_Backups/pve backup $backup_pfad > backup_pve_001.log restic --password-file /root/passwd -r /mnt/pve/Restic_Backups/pve forget --keep-last 3 --keep-monthly 3 --prune >> backup_pve_002.log # Testen restic --password-file /root/passwd -r /mnt/pve/Restic_Backups/pve check --read-data >> backup_pve_003.log
Crontab eingerichtet - fertig!
F

Quartz64 - dts File bearbeiten
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben Quartz64 quartz64 linux
3

0 Stimmen

3 Beiträge

292 Aufrufe

F

Ich weiß nicht, wonach ich gesucht habe, vermutlich nach
apt install device-tree-compiler
das gibt es im Manjaro Image nicht, es heißt ganz einfach dtc 😎 Also, ganz einfach mit
pacman -S dtc
installieren. Dann kann man sich diesen Umweg mit snapd sparen.
F

Debian 11 Bullseye released!
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben Linux debian linux
4

0 Stimmen

4 Beiträge

296 Aufrufe

F

Mein Systemadmin auf der Arbeit meinte heute, angesprochen auf das Problem, läuft der Network-Manager? Ok, gute Frage...... Schauen wir mal.

Ich bin mir leider nicht 100% sicher, ob er vor meinem Eingreifen lief, ich denke aber schon. Warum ich unsicher bin?
root@debian:~# systemctl enable systemd-networkd.service Created symlink /etc/systemd/system/dbus-org.freedesktop.network1.service → /lib/systemd/system/systemd-networkd.service. Created symlink /etc/systemd/system/multi-user.target.wants/systemd-networkd.service → /lib/systemd/system/systemd-networkd.service. Created symlink /etc/systemd/system/sockets.target.wants/systemd-networkd.socket → /lib/systemd/system/systemd-networkd.socket. Created symlink /etc/systemd/system/network-online.target.wants/systemd-networkd-wait-online.service → /lib/systemd/system/systemd-networkd-wait-online.service.
Ok, danach
root@debian:~# systemctl start systemd-networkd.service root@debian:~# systemctl status systemd-networkd.service ● systemd-networkd.service - Network Service Loaded: loaded (/lib/systemd/system/systemd-networkd.service; enabled; ven> Active: active (running) since Tue 2021-08-17 17:36:38 CEST; 6s ago TriggeredBy: ● systemd-networkd.socket Docs: man:systemd-networkd.service(8) Main PID: 1288 (systemd-network) Status: "Processing requests..." Tasks: 1 (limit: 19087) Memory: 3.9M CPU: 39ms CGroup: /system.slice/systemd-networkd.service └─1288 /lib/systemd/systemd-networkd Aug 17 17:36:38 debian systemd[1]: Starting Network Service... Aug 17 17:36:38 debian systemd-networkd[1288]: enp25s0: Gained IPv6LL Aug 17 17:36:38 debian systemd-networkd[1288]: Enumeration completed Aug 17 17:36:38 debian systemd[1]: Started Network Service.
Danach ging immer noch nix.
root@debian:/etc/network# ^C root@debian:/etc/network# nmcli device show GENERAL.DEVICE: wlx7cdd907cbec2 GENERAL.TYPE: wifi GENERAL.HWADDR: BA:59:C0:76:C7:F5 GENERAL.MTU: 1500 GENERAL.STATE: 20 (nicht verfügbar) GENERAL.CONNECTION: -- GENERAL.CON-PATH: -- GENERAL.DEVICE: enp25s0 GENERAL.TYPE: ethernet GENERAL.HWADDR: 30:9C:23:60:C6:8E GENERAL.MTU: 1500 GENERAL.STATE: 10 (nicht verwaltet) GENERAL.CONNECTION: -- GENERAL.CON-PATH: -- WIRED-PROPERTIES.CARRIER: an IP4.ADDRESS[1]: 192.168.3.169/24 IP4.GATEWAY: 192.168.3.1 IP4.ROUTE[1]: dst = 192.168.3.0/24, nh = 0.0.0.0, mt = 0 IP4.ROUTE[2]: dst = 0.0.0.0/0, nh = 192.168.3.1, mt = 0 IP6.ADDRESS[1]: 2a02:908:1260:13bc:329c:23ff:xxxx:xxxx/64 IP6.ADDRESS[2]: fd8a:6ff:2880:0:329c:23ff:fe60:c68e/64 IP6.ADDRESS[3]: fe80::329c:23ff:fe60:c68e/64 IP6.GATEWAY: fe80::e4d3:f0ff:fe8f:2354 IP6.ROUTE[1]: dst = fe80::/64, nh = ::, mt = 256 IP6.ROUTE[2]: dst = ::/0, nh = fe80::e4d3:f0ff:fe8f:2354, mt = 1024 IP6.ROUTE[3]: dst = 2a02:908:xxxx:xxxx::/64, nh = ::, mt = 256 IP6.ROUTE[4]: dst = fd8a:6ff:2880::/64, nh = ::, mt = 256
Jetzt hatte ich das erste Mal einen Ansatz, wonach ich suchen musste.
GENERAL.STATE: 10 (nicht verwaltet)
Etwas Suche im Netz und dann das
nano /etc/NetworkManager/NetworkManager.conf
Inhalt der Datei
[main] plugins=ifupdown,keyfile [ifupdown] managed=false
Das false in true geändert. Danach ein
systemctl restart NetworkManager
und ich konnte den Network-Manager auf dem Desktop benutzen!?!?!?

Bildschirmfoto vom 2021-08-17 18-07-25.png

Irgendwas ist da durcheinander im Bullseye 😳
F

Nextcloud - Upgrade auf 19.0.1
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben Nextcloud nextcloud linux
1

0 Stimmen

1 Beiträge

222 Aufrufe

Niemand hat geantwortet
F

Cups Druckdaemon
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben Linux linux
1

0 Stimmen

1 Beiträge

383 Aufrufe

Niemand hat geantwortet