diff --git a/SRV-DOC-Inhalt.tex b/SRV-DOC-Inhalt.tex index 96c44ce..51b8225 100644 --- a/SRV-DOC-Inhalt.tex +++ b/SRV-DOC-Inhalt.tex @@ -36,7 +36,7 @@ Mit den abgesprochenen Parametern kann nun die Installation des VPN-Servers erfo Eine bereits vorhandene Zertifizierungsstelle mit Webserver unter dem Hostnamen \texttt{vpnca.inform.hs-hannover.de} wird vorausgesetzt. \section{Konfiguration des Grundsystems} -\paragraph{Hostname} +s\paragraph{Hostname:} Sofern der Hostname bei der Installation von Debian nicht schon gesetzt wurde, so muss dies in den Dateien \texttt{/etc/hostname}, \texttt{/etc/mailname} und \texttt{/etc/hosts} nachgeholt werden. \begin{lstlisting} echo "aither" > /etc/hostname @@ -47,7 +47,7 @@ In \texttt{/etc/hosts} muss der Eintrag für \texttt{127.0.1.1} angepasst werden 127.0.1.1 aither.inform.hs-hannover.de aither \end{lstlisting} -\paragraph{OpenSSH} +\paragraph{OpenSSH:} In der Datei \texttt{/etc/ssh/sshd\_config} muss folgende Option auskommentiert und angepasst werden: \begin{lstlisting} PermitRootLogin yes @@ -59,7 +59,7 @@ systemctl enable ssh.service systemctl start ssh.service \end{lstlisting} -\paragraph{sudo} +\paragraph{sudo:} Das IT-Team arbeitet mit passwortbasierten SSH-Sitzungen unter dem Benutzer \texttt{root}. Damit in der Übergangsphase auf dem Server Anpassungen auch ohne Kenntnis des \texttt{root}-Passworts durchgeführt werden können, wird ein lokaler Benutzer eingerichtet. \begin{lstlisting} @@ -69,7 +69,7 @@ gpasswd -a jpt sudo \end{lstlisting} Nach erfolgreicher Übergabe des Servers an das IT-Team kann dieser Benutzer wieder entfernt werden. -\paragraph{apt} +\paragraph{apt:} Um in der DMZ weiterhin Updates einspielen zu können, wird der vom IT-Team zur Verfügung gestellte Proxyserver in die Konfiguration von \texttt{apt} eingetragen. \begin{lstlisting} echo 'Acquire::http::Proxy "http://proxy.inform.hs-hannover.de:3128";' @@ -92,7 +92,7 @@ apt-get update apt-get install f4-i-srv-config-all-* f4-i-srv-config-dmz-adminscripts \end{lstlisting} -\paragraph{Systemzeit über Zeitserver beziehen} +\paragraph{Systemzeit über Zeitserver beziehen:} Für Vorgänge wie zum Beispiel die Gültigkeitsprüfung von Zertifikaten ist eine korrekt gestellte Systemuhr wichtig. Dafür wird dem bereits installierten Dienst \texttt{systemd-timesyncd} der Zeitserver der Abteilung Informatik bekannt gemacht. Die Datei \texttt{/etc/systemd/timesyncd.conf} enthält dafür folgenden Abschnitt: @@ -101,7 +101,7 @@ Die Datei \texttt{/etc/systemd/timesyncd.conf} enthält dafür folgenden Abschni NTP=time.inform.hs-hannover.de \end{lstlisting} -\paragraph{Netzwerkkonfiguration} +\paragraph{Netzwerkkonfiguration:} Als nächstes werden die IP-Adressen der Maschine und des Dienstes in \texttt{/etc/network/interfaces} konfiguriert. Die IP-Adressen der Maschine werden direkt für die Netzwerkkarte des Servers konfiguriert. @@ -129,13 +129,13 @@ iface eno1 inet6 static pre-down /sbin/ip addr del 2001:638:614:1780::0007/64 dev eno1 \end{lstlisting} -\paragraph{DNS} +\paragraph{DNS:} In der DMZ soll der DNS-Resolver mit der IP-Adresse \texttt{141.71.38.1} verwendet werden. \begin{lstlisting} echo "nameserver 141.71.38.1" > /etc/resolv.conf \end{lstlisting} -\paragraph{Paketweiterleitung einschalten} +\paragraph{Paketweiterleitung einschalten:} Mit dem VPN-Server verbundene Clients befinden sich in einem eigenen IPv4- beziehungsweise IPv6-Netz. Damit die VPN-Clients trotzdem über die Grenze ihres eigenen Netzes hinaus Kontakt zum Netz der Abteilung Informatik aufnehmen können, ist es notwendig für IPv4 und IPv6 die Paketweiterleitung einzuschalten. \begin{lstlisting} @@ -233,7 +233,7 @@ iptables -A FORWARD -d 10.2.0.0/16 -m state --state ESTABLISHED,RELATED -j ACCEP ip6tables -A FORWARD -d 2001:638:614:1750::/64 -m state --state ESTABLISHED,RELATED -j ACCEPT \end{lstlisting} -\paragraph{Persistente Firewallregeln} +\paragraph{Persistente Firewallregeln:} Um die mit \texttt{iptables} und \texttt{ip6tables} umgesetzten Regeln auch über Neustarts hinweg zu behalten, wird das Paket \texttt{iptables-persistent} installiert. \begin{lstlisting} apt-get install iptables-persistent @@ -289,7 +289,7 @@ systemctl start openvpn@inform.service \chapter{Administrative Aufgaben} -\paragraph{Dienst aktivieren/deaktivieren} +\paragraph{Dienst aktivieren/deaktivieren:} Mit dem folgenden Befehl kann der VPN-Dienst aktiviert werden. Dadurch ist es möglich, den Dienst zu starten. Außerdem startet der aktivierte Dienst nach dem Neustart des Servers automatisch. @@ -301,13 +301,13 @@ Mit dem folgenden Befehl kann der Dienst wieder deaktiviert werden. systemctl disable openvpn@inform.service \end{lstlisting} -\paragraph{Dienststatus abfragen} +\paragraph{Dienststatus abfragen:} Ob der OpenVPN-Dienst gerade läuft oder nicht läuft, lässt sich mit diesem Befehl herausfinden. \begin{lstlisting} systemctl status openvpn@inform.service \end{lstlisting} -\paragraph{Dienst starten/stoppen/neustarten} +\paragraph{Dienst starten/stoppen/neustarten:} Wurde der OpenVPN-Dienst aktiviert, kann er mit den folgenden Befehlen gestartet, gestoppt oder neu gestartet werden. \begin{lstlisting} systemctl start openvpn@inform.service @@ -316,7 +316,7 @@ systemctl restart openvpn@inform.service \end{lstlisting} Details zur Handhabung von Systemdiensten mit \texttt{systemctl} können im \enquote{Debian Administrator's Handbook} Kapitel 9.1.1 nachgeschlagen werden\footnote{Siehe \url{https://debian-handbook.info/browse/stable/unix-services.html\#sect.systemd}}. -\paragraph{Manuelles Failover} +\paragraph{Manuelles Failover:} Sollte der Bedarf bestehen, dass ein identisch konfigurierter Server den aktuell aktiven VPN-Server ablöst, so müssen lediglich die IP-Adressen des VPN-Dienstes auf den zweiten Server umgezogen werden. \textbf{Hinweis}: Gegebenenfalls muss der Name des verwendeten Netzwerkinterfaces - hier \texttt{eno1} - den aktuellen Umständen angepasst werden. @@ -351,11 +351,11 @@ ip addr add 2001:638:614:1780::7 dev eno1 \end{lstlisting} Im Anschluss muss sichergestellt werden, dass der OpenVPN-Dienst auf dem zweiten Server aktiviert ist und läuft. -\paragraph{Backups} +\paragraph{Backups:} Da der VPN-Dienst sich anhand dieser Installationsanleitung von Grund auf neu einrichten lässt, sind im Prinzip keine Sicherheitskopien notwendig. Um eine Neueinrichtung des Dienstes zu erleichtern können bei Bedarf die Inhalte von \texttt{/etc}, sowie die Ausgabe von \texttt{crontab -l} als Benutzer \texttt{root} gesichert werden. -\paragraph{Einspielen von Updates} +\paragraph{Einspielen von Updates:} Das Einspielen von Updates erfolgt in zwei Schritten. Im ersten Schritt werden die Paketquellen aktualisiert, damit der Paketmanager die Versionen der aktuell verfügbaren Pakete kennt. \begin{lstlisting}