Fix more paragraphs
This commit is contained in:
parent
d2eebd55b1
commit
5657deb3fe
|
|
@ -36,7 +36,7 @@ Mit den abgesprochenen Parametern kann nun die Installation des VPN-Servers erfo
|
|||
Eine bereits vorhandene Zertifizierungsstelle mit Webserver unter dem Hostnamen \texttt{vpnca.inform.hs-hannover.de} wird vorausgesetzt.
|
||||
|
||||
\section{Konfiguration des Grundsystems}
|
||||
\paragraph{Hostname}
|
||||
s\paragraph{Hostname:}
|
||||
Sofern der Hostname bei der Installation von Debian nicht schon gesetzt wurde, so muss dies in den Dateien \texttt{/etc/hostname}, \texttt{/etc/mailname} und \texttt{/etc/hosts} nachgeholt werden.
|
||||
\begin{lstlisting}
|
||||
echo "aither" > /etc/hostname
|
||||
|
|
@ -47,7 +47,7 @@ In \texttt{/etc/hosts} muss der Eintrag für \texttt{127.0.1.1} angepasst werden
|
|||
127.0.1.1 aither.inform.hs-hannover.de aither
|
||||
\end{lstlisting}
|
||||
|
||||
\paragraph{OpenSSH}
|
||||
\paragraph{OpenSSH:}
|
||||
In der Datei \texttt{/etc/ssh/sshd\_config} muss folgende Option auskommentiert und angepasst werden:
|
||||
\begin{lstlisting}
|
||||
PermitRootLogin yes
|
||||
|
|
@ -59,7 +59,7 @@ systemctl enable ssh.service
|
|||
systemctl start ssh.service
|
||||
\end{lstlisting}
|
||||
|
||||
\paragraph{sudo}
|
||||
\paragraph{sudo:}
|
||||
Das IT-Team arbeitet mit passwortbasierten SSH-Sitzungen unter dem Benutzer \texttt{root}.
|
||||
Damit in der Übergangsphase auf dem Server Anpassungen auch ohne Kenntnis des \texttt{root}-Passworts durchgeführt werden können, wird ein lokaler Benutzer eingerichtet.
|
||||
\begin{lstlisting}
|
||||
|
|
@ -69,7 +69,7 @@ gpasswd -a jpt sudo
|
|||
\end{lstlisting}
|
||||
Nach erfolgreicher Übergabe des Servers an das IT-Team kann dieser Benutzer wieder entfernt werden.
|
||||
|
||||
\paragraph{apt}
|
||||
\paragraph{apt:}
|
||||
Um in der DMZ weiterhin Updates einspielen zu können, wird der vom IT-Team zur Verfügung gestellte Proxyserver in die Konfiguration von \texttt{apt} eingetragen.
|
||||
\begin{lstlisting}
|
||||
echo 'Acquire::http::Proxy "http://proxy.inform.hs-hannover.de:3128";'
|
||||
|
|
@ -92,7 +92,7 @@ apt-get update
|
|||
apt-get install f4-i-srv-config-all-* f4-i-srv-config-dmz-adminscripts
|
||||
\end{lstlisting}
|
||||
|
||||
\paragraph{Systemzeit über Zeitserver beziehen}
|
||||
\paragraph{Systemzeit über Zeitserver beziehen:}
|
||||
Für Vorgänge wie zum Beispiel die Gültigkeitsprüfung von Zertifikaten ist eine korrekt gestellte Systemuhr wichtig.
|
||||
Dafür wird dem bereits installierten Dienst \texttt{systemd-timesyncd} der Zeitserver der Abteilung Informatik bekannt gemacht.
|
||||
Die Datei \texttt{/etc/systemd/timesyncd.conf} enthält dafür folgenden Abschnitt:
|
||||
|
|
@ -101,7 +101,7 @@ Die Datei \texttt{/etc/systemd/timesyncd.conf} enthält dafür folgenden Abschni
|
|||
NTP=time.inform.hs-hannover.de
|
||||
\end{lstlisting}
|
||||
|
||||
\paragraph{Netzwerkkonfiguration}
|
||||
\paragraph{Netzwerkkonfiguration:}
|
||||
Als nächstes werden die IP-Adressen der Maschine und des Dienstes in \texttt{/etc/network/interfaces} konfiguriert.
|
||||
Die IP-Adressen der Maschine werden direkt für die Netzwerkkarte des Servers konfiguriert.
|
||||
|
||||
|
|
@ -129,13 +129,13 @@ iface eno1 inet6 static
|
|||
pre-down /sbin/ip addr del 2001:638:614:1780::0007/64 dev eno1
|
||||
\end{lstlisting}
|
||||
|
||||
\paragraph{DNS}
|
||||
\paragraph{DNS:}
|
||||
In der DMZ soll der DNS-Resolver mit der IP-Adresse \texttt{141.71.38.1} verwendet werden.
|
||||
\begin{lstlisting}
|
||||
echo "nameserver 141.71.38.1" > /etc/resolv.conf
|
||||
\end{lstlisting}
|
||||
|
||||
\paragraph{Paketweiterleitung einschalten}
|
||||
\paragraph{Paketweiterleitung einschalten:}
|
||||
Mit dem VPN-Server verbundene Clients befinden sich in einem eigenen IPv4- beziehungsweise IPv6-Netz.
|
||||
Damit die VPN-Clients trotzdem über die Grenze ihres eigenen Netzes hinaus Kontakt zum Netz der Abteilung Informatik aufnehmen können, ist es notwendig für IPv4 und IPv6 die Paketweiterleitung einzuschalten.
|
||||
\begin{lstlisting}
|
||||
|
|
@ -233,7 +233,7 @@ iptables -A FORWARD -d 10.2.0.0/16 -m state --state ESTABLISHED,RELATED -j ACCEP
|
|||
ip6tables -A FORWARD -d 2001:638:614:1750::/64 -m state --state ESTABLISHED,RELATED -j ACCEPT
|
||||
\end{lstlisting}
|
||||
|
||||
\paragraph{Persistente Firewallregeln}
|
||||
\paragraph{Persistente Firewallregeln:}
|
||||
Um die mit \texttt{iptables} und \texttt{ip6tables} umgesetzten Regeln auch über Neustarts hinweg zu behalten, wird das Paket \texttt{iptables-persistent} installiert.
|
||||
\begin{lstlisting}
|
||||
apt-get install iptables-persistent
|
||||
|
|
@ -289,7 +289,7 @@ systemctl start openvpn@inform.service
|
|||
|
||||
|
||||
\chapter{Administrative Aufgaben}
|
||||
\paragraph{Dienst aktivieren/deaktivieren}
|
||||
\paragraph{Dienst aktivieren/deaktivieren:}
|
||||
Mit dem folgenden Befehl kann der VPN-Dienst aktiviert werden.
|
||||
Dadurch ist es möglich, den Dienst zu starten.
|
||||
Außerdem startet der aktivierte Dienst nach dem Neustart des Servers automatisch.
|
||||
|
|
@ -301,13 +301,13 @@ Mit dem folgenden Befehl kann der Dienst wieder deaktiviert werden.
|
|||
systemctl disable openvpn@inform.service
|
||||
\end{lstlisting}
|
||||
|
||||
\paragraph{Dienststatus abfragen}
|
||||
\paragraph{Dienststatus abfragen:}
|
||||
Ob der OpenVPN-Dienst gerade läuft oder nicht läuft, lässt sich mit diesem Befehl herausfinden.
|
||||
\begin{lstlisting}
|
||||
systemctl status openvpn@inform.service
|
||||
\end{lstlisting}
|
||||
|
||||
\paragraph{Dienst starten/stoppen/neustarten}
|
||||
\paragraph{Dienst starten/stoppen/neustarten:}
|
||||
Wurde der OpenVPN-Dienst aktiviert, kann er mit den folgenden Befehlen gestartet, gestoppt oder neu gestartet werden.
|
||||
\begin{lstlisting}
|
||||
systemctl start openvpn@inform.service
|
||||
|
|
@ -316,7 +316,7 @@ systemctl restart openvpn@inform.service
|
|||
\end{lstlisting}
|
||||
Details zur Handhabung von Systemdiensten mit \texttt{systemctl} können im \enquote{Debian Administrator's Handbook} Kapitel 9.1.1 nachgeschlagen werden\footnote{Siehe \url{https://debian-handbook.info/browse/stable/unix-services.html\#sect.systemd}}.
|
||||
|
||||
\paragraph{Manuelles Failover}
|
||||
\paragraph{Manuelles Failover:}
|
||||
Sollte der Bedarf bestehen, dass ein identisch konfigurierter Server den aktuell aktiven VPN-Server ablöst, so müssen lediglich die IP-Adressen des VPN-Dienstes auf den zweiten Server umgezogen werden.
|
||||
|
||||
\textbf{Hinweis}: Gegebenenfalls muss der Name des verwendeten Netzwerkinterfaces - hier \texttt{eno1} - den aktuellen Umständen angepasst werden.
|
||||
|
|
@ -351,11 +351,11 @@ ip addr add 2001:638:614:1780::7 dev eno1
|
|||
\end{lstlisting}
|
||||
Im Anschluss muss sichergestellt werden, dass der OpenVPN-Dienst auf dem zweiten Server aktiviert ist und läuft.
|
||||
|
||||
\paragraph{Backups}
|
||||
\paragraph{Backups:}
|
||||
Da der VPN-Dienst sich anhand dieser Installationsanleitung von Grund auf neu einrichten lässt, sind im Prinzip keine Sicherheitskopien notwendig.
|
||||
Um eine Neueinrichtung des Dienstes zu erleichtern können bei Bedarf die Inhalte von \texttt{/etc}, sowie die Ausgabe von \texttt{crontab -l} als Benutzer \texttt{root} gesichert werden.
|
||||
|
||||
\paragraph{Einspielen von Updates}
|
||||
\paragraph{Einspielen von Updates:}
|
||||
Das Einspielen von Updates erfolgt in zwei Schritten.
|
||||
Im ersten Schritt werden die Paketquellen aktualisiert, damit der Paketmanager die Versionen der aktuell verfügbaren Pakete kennt.
|
||||
\begin{lstlisting}
|
||||
|
|
|
|||
Loading…
Reference in New Issue