JPT
/
masterthesis
0
0
Fork 0
Code Issues Pull Requests Activity

Fix more paragraphs

This commit is contained in:
Jan Philipp Timme 2018-10-24 13:56:25 +02:00
parent d2eebd55b1
commit 5657deb3fe
1 changed files with 15 additions and 15 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

30
SRV-DOC-Inhalt.tex
View File

@ -36,7 +36,7 @@ Mit den abgesprochenen Parametern kann nun die Installation des VPN-Servers erfo
Eine bereits vorhandene Zertifizierungsstelle mit Webserver unter dem Hostnamen \texttt{vpnca.inform.hs-hannover.de} wird vorausgesetzt. Eine bereits vorhandene Zertifizierungsstelle mit Webserver unter dem Hostnamen \texttt{vpnca.inform.hs-hannover.de} wird vorausgesetzt.
\section{Konfiguration des Grundsystems} \section{Konfiguration des Grundsystems}
\paragraph{Hostname} s\paragraph{Hostname:}
Sofern der Hostname bei der Installation von Debian nicht schon gesetzt wurde, so muss dies in den Dateien \texttt{/etc/hostname}, \texttt{/etc/mailname} und \texttt{/etc/hosts} nachgeholt werden. Sofern der Hostname bei der Installation von Debian nicht schon gesetzt wurde, so muss dies in den Dateien \texttt{/etc/hostname}, \texttt{/etc/mailname} und \texttt{/etc/hosts} nachgeholt werden.
\begin{lstlisting} \begin{lstlisting}
echo "aither" > /etc/hostname echo "aither" > /etc/hostname
@ -47,7 +47,7 @@ In \texttt{/etc/hosts} muss der Eintrag für \texttt{127.0.1.1} angepasst werden
127.0.1.1 aither.inform.hs-hannover.de aither 127.0.1.1 aither.inform.hs-hannover.de aither
\end{lstlisting} \end{lstlisting}
\paragraph{OpenSSH} \paragraph{OpenSSH:}
In der Datei \texttt{/etc/ssh/sshd\_config} muss folgende Option auskommentiert und angepasst werden: In der Datei \texttt{/etc/ssh/sshd\_config} muss folgende Option auskommentiert und angepasst werden:
\begin{lstlisting} \begin{lstlisting}
PermitRootLogin yes PermitRootLogin yes
@ -59,7 +59,7 @@ systemctl enable ssh.service
systemctl start ssh.service systemctl start ssh.service
\end{lstlisting} \end{lstlisting}
\paragraph{sudo} \paragraph{sudo:}
Das IT-Team arbeitet mit passwortbasierten SSH-Sitzungen unter dem Benutzer \texttt{root}. Das IT-Team arbeitet mit passwortbasierten SSH-Sitzungen unter dem Benutzer \texttt{root}.
Damit in der Übergangsphase auf dem Server Anpassungen auch ohne Kenntnis des \texttt{root}-Passworts durchgeführt werden können, wird ein lokaler Benutzer eingerichtet. Damit in der Übergangsphase auf dem Server Anpassungen auch ohne Kenntnis des \texttt{root}-Passworts durchgeführt werden können, wird ein lokaler Benutzer eingerichtet.
\begin{lstlisting} \begin{lstlisting}
@ -69,7 +69,7 @@ gpasswd -a jpt sudo
\end{lstlisting} \end{lstlisting}
Nach erfolgreicher Übergabe des Servers an das IT-Team kann dieser Benutzer wieder entfernt werden. Nach erfolgreicher Übergabe des Servers an das IT-Team kann dieser Benutzer wieder entfernt werden.
\paragraph{apt} \paragraph{apt:}
Um in der DMZ weiterhin Updates einspielen zu können, wird der vom IT-Team zur Verfügung gestellte Proxyserver in die Konfiguration von \texttt{apt} eingetragen. Um in der DMZ weiterhin Updates einspielen zu können, wird der vom IT-Team zur Verfügung gestellte Proxyserver in die Konfiguration von \texttt{apt} eingetragen.
\begin{lstlisting} \begin{lstlisting}
echo 'Acquire::http::Proxy "http://proxy.inform.hs-hannover.de:3128";' echo 'Acquire::http::Proxy "http://proxy.inform.hs-hannover.de:3128";'
@ -92,7 +92,7 @@ apt-get update
apt-get install f4-i-srv-config-all-* f4-i-srv-config-dmz-adminscripts apt-get install f4-i-srv-config-all-* f4-i-srv-config-dmz-adminscripts
\end{lstlisting} \end{lstlisting}
\paragraph{Systemzeit über Zeitserver beziehen} \paragraph{Systemzeit über Zeitserver beziehen:}
Für Vorgänge wie zum Beispiel die Gültigkeitsprüfung von Zertifikaten ist eine korrekt gestellte Systemuhr wichtig. Für Vorgänge wie zum Beispiel die Gültigkeitsprüfung von Zertifikaten ist eine korrekt gestellte Systemuhr wichtig.
Dafür wird dem bereits installierten Dienst \texttt{systemd-timesyncd} der Zeitserver der Abteilung Informatik bekannt gemacht. Dafür wird dem bereits installierten Dienst \texttt{systemd-timesyncd} der Zeitserver der Abteilung Informatik bekannt gemacht.
Die Datei \texttt{/etc/systemd/timesyncd.conf} enthält dafür folgenden Abschnitt: Die Datei \texttt{/etc/systemd/timesyncd.conf} enthält dafür folgenden Abschnitt:
@ -101,7 +101,7 @@ Die Datei \texttt{/etc/systemd/timesyncd.conf} enthält dafür folgenden Abschni
NTP=time.inform.hs-hannover.de NTP=time.inform.hs-hannover.de
\end{lstlisting} \end{lstlisting}
\paragraph{Netzwerkkonfiguration} \paragraph{Netzwerkkonfiguration:}
Als nächstes werden die IP-Adressen der Maschine und des Dienstes in \texttt{/etc/network/interfaces} konfiguriert. Als nächstes werden die IP-Adressen der Maschine und des Dienstes in \texttt{/etc/network/interfaces} konfiguriert.
Die IP-Adressen der Maschine werden direkt für die Netzwerkkarte des Servers konfiguriert. Die IP-Adressen der Maschine werden direkt für die Netzwerkkarte des Servers konfiguriert.
@ -129,13 +129,13 @@ iface eno1 inet6 static
pre-down /sbin/ip addr del 2001:638:614:1780::0007/64 dev eno1 pre-down /sbin/ip addr del 2001:638:614:1780::0007/64 dev eno1
\end{lstlisting} \end{lstlisting}
\paragraph{DNS} \paragraph{DNS:}
In der DMZ soll der DNS-Resolver mit der IP-Adresse \texttt{141.71.38.1} verwendet werden. In der DMZ soll der DNS-Resolver mit der IP-Adresse \texttt{141.71.38.1} verwendet werden.
\begin{lstlisting} \begin{lstlisting}
echo "nameserver 141.71.38.1" > /etc/resolv.conf echo "nameserver 141.71.38.1" > /etc/resolv.conf
\end{lstlisting} \end{lstlisting}
\paragraph{Paketweiterleitung einschalten} \paragraph{Paketweiterleitung einschalten:}
Mit dem VPN-Server verbundene Clients befinden sich in einem eigenen IPv4- beziehungsweise IPv6-Netz. Mit dem VPN-Server verbundene Clients befinden sich in einem eigenen IPv4- beziehungsweise IPv6-Netz.
Damit die VPN-Clients trotzdem über die Grenze ihres eigenen Netzes hinaus Kontakt zum Netz der Abteilung Informatik aufnehmen können, ist es notwendig für IPv4 und IPv6 die Paketweiterleitung einzuschalten. Damit die VPN-Clients trotzdem über die Grenze ihres eigenen Netzes hinaus Kontakt zum Netz der Abteilung Informatik aufnehmen können, ist es notwendig für IPv4 und IPv6 die Paketweiterleitung einzuschalten.
\begin{lstlisting} \begin{lstlisting}
@ -233,7 +233,7 @@ iptables -A FORWARD -d 10.2.0.0/16 -m state --state ESTABLISHED,RELATED -j ACCEP
ip6tables -A FORWARD -d 2001:638:614:1750::/64 -m state --state ESTABLISHED,RELATED -j ACCEPT ip6tables -A FORWARD -d 2001:638:614:1750::/64 -m state --state ESTABLISHED,RELATED -j ACCEPT
\end{lstlisting} \end{lstlisting}
\paragraph{Persistente Firewallregeln} \paragraph{Persistente Firewallregeln:}
Um die mit \texttt{iptables} und \texttt{ip6tables} umgesetzten Regeln auch über Neustarts hinweg zu behalten, wird das Paket \texttt{iptables-persistent} installiert. Um die mit \texttt{iptables} und \texttt{ip6tables} umgesetzten Regeln auch über Neustarts hinweg zu behalten, wird das Paket \texttt{iptables-persistent} installiert.
\begin{lstlisting} \begin{lstlisting}
apt-get install iptables-persistent apt-get install iptables-persistent
@ -289,7 +289,7 @@ systemctl start openvpn@inform.service
\chapter{Administrative Aufgaben} \chapter{Administrative Aufgaben}
\paragraph{Dienst aktivieren/deaktivieren} \paragraph{Dienst aktivieren/deaktivieren:}
Mit dem folgenden Befehl kann der VPN-Dienst aktiviert werden. Mit dem folgenden Befehl kann der VPN-Dienst aktiviert werden.
Dadurch ist es möglich, den Dienst zu starten. Dadurch ist es möglich, den Dienst zu starten.
Außerdem startet der aktivierte Dienst nach dem Neustart des Servers automatisch. Außerdem startet der aktivierte Dienst nach dem Neustart des Servers automatisch.
@ -301,13 +301,13 @@ Mit dem folgenden Befehl kann der Dienst wieder deaktiviert werden.
systemctl disable openvpn@inform.service systemctl disable openvpn@inform.service
\end{lstlisting} \end{lstlisting}
\paragraph{Dienststatus abfragen} \paragraph{Dienststatus abfragen:}
Ob der OpenVPN-Dienst gerade läuft oder nicht läuft, lässt sich mit diesem Befehl herausfinden. Ob der OpenVPN-Dienst gerade läuft oder nicht läuft, lässt sich mit diesem Befehl herausfinden.
\begin{lstlisting} \begin{lstlisting}
systemctl status openvpn@inform.service systemctl status openvpn@inform.service
\end{lstlisting} \end{lstlisting}
\paragraph{Dienst starten/stoppen/neustarten} \paragraph{Dienst starten/stoppen/neustarten:}
Wurde der OpenVPN-Dienst aktiviert, kann er mit den folgenden Befehlen gestartet, gestoppt oder neu gestartet werden. Wurde der OpenVPN-Dienst aktiviert, kann er mit den folgenden Befehlen gestartet, gestoppt oder neu gestartet werden.
\begin{lstlisting} \begin{lstlisting}
systemctl start openvpn@inform.service systemctl start openvpn@inform.service
@ -316,7 +316,7 @@ systemctl restart openvpn@inform.service
\end{lstlisting} \end{lstlisting}
Details zur Handhabung von Systemdiensten mit \texttt{systemctl} können im \enquote{Debian Administrator's Handbook} Kapitel 9.1.1 nachgeschlagen werden\footnote{Siehe \url{https://debian-handbook.info/browse/stable/unix-services.html\#sect.systemd}}. Details zur Handhabung von Systemdiensten mit \texttt{systemctl} können im \enquote{Debian Administrator's Handbook} Kapitel 9.1.1 nachgeschlagen werden\footnote{Siehe \url{https://debian-handbook.info/browse/stable/unix-services.html\#sect.systemd}}.
\paragraph{Manuelles Failover} \paragraph{Manuelles Failover:}
Sollte der Bedarf bestehen, dass ein identisch konfigurierter Server den aktuell aktiven VPN-Server ablöst, so müssen lediglich die IP-Adressen des VPN-Dienstes auf den zweiten Server umgezogen werden. Sollte der Bedarf bestehen, dass ein identisch konfigurierter Server den aktuell aktiven VPN-Server ablöst, so müssen lediglich die IP-Adressen des VPN-Dienstes auf den zweiten Server umgezogen werden.
\textbf{Hinweis}: Gegebenenfalls muss der Name des verwendeten Netzwerkinterfaces - hier \texttt{eno1} - den aktuellen Umständen angepasst werden. \textbf{Hinweis}: Gegebenenfalls muss der Name des verwendeten Netzwerkinterfaces - hier \texttt{eno1} - den aktuellen Umständen angepasst werden.
@ -351,11 +351,11 @@ ip addr add 2001:638:614:1780::7 dev eno1
\end{lstlisting} \end{lstlisting}
Im Anschluss muss sichergestellt werden, dass der OpenVPN-Dienst auf dem zweiten Server aktiviert ist und läuft. Im Anschluss muss sichergestellt werden, dass der OpenVPN-Dienst auf dem zweiten Server aktiviert ist und läuft.
\paragraph{Backups} \paragraph{Backups:}
Da der VPN-Dienst sich anhand dieser Installationsanleitung von Grund auf neu einrichten lässt, sind im Prinzip keine Sicherheitskopien notwendig. Da der VPN-Dienst sich anhand dieser Installationsanleitung von Grund auf neu einrichten lässt, sind im Prinzip keine Sicherheitskopien notwendig.
Um eine Neueinrichtung des Dienstes zu erleichtern können bei Bedarf die Inhalte von \texttt{/etc}, sowie die Ausgabe von \texttt{crontab -l} als Benutzer \texttt{root} gesichert werden. Um eine Neueinrichtung des Dienstes zu erleichtern können bei Bedarf die Inhalte von \texttt{/etc}, sowie die Ausgabe von \texttt{crontab -l} als Benutzer \texttt{root} gesichert werden.
\paragraph{Einspielen von Updates} \paragraph{Einspielen von Updates:}
Das Einspielen von Updates erfolgt in zwei Schritten. Das Einspielen von Updates erfolgt in zwei Schritten.
Im ersten Schritt werden die Paketquellen aktualisiert, damit der Paketmanager die Versionen der aktuell verfügbaren Pakete kennt. Im ersten Schritt werden die Paketquellen aktualisiert, damit der Paketmanager die Versionen der aktuell verfügbaren Pakete kennt.
\begin{lstlisting} \begin{lstlisting}