From d0c0682b9d997eda6ac1aa8c2acb66294977d535 Mon Sep 17 00:00:00 2001 From: Jan Philipp Timme Date: Tue, 18 Sep 2018 15:51:30 +0200 Subject: [PATCH] Write a lot of SRV-DOC --- SRV-DOC-Inhalt.tex | 94 ++++++++++++++++++++++++++-------------------- 1 file changed, 53 insertions(+), 41 deletions(-) diff --git a/SRV-DOC-Inhalt.tex b/SRV-DOC-Inhalt.tex index c45a27f..b97e845 100644 --- a/SRV-DOC-Inhalt.tex +++ b/SRV-DOC-Inhalt.tex @@ -56,27 +56,48 @@ Anschließend wird der OpenSSH-Dienst aktiviert und gestartet. \paragraph{sudo} Das IT-Team arbeitet mit passwortbasierten SSH-Sitzungen unter dem Benutzer \texttt{root}. -Damit in der Übergangsphase auf dem Server Anpassungen auch ohne Kenntnis des \texttt{root}-Passworts durchgeführt werden können +Damit in der Übergangsphase auf dem Server Anpassungen auch ohne Kenntnis des \texttt{root}-Passworts durchgeführt werden können, wird ein lokaler Benutzer eingerichtet. \begin{lstlisting} # apt-get install sudo # adduser jpt # gpasswd -a jpt sudo \end{lstlisting} +Nach erfolgreicher Übergabe des Servers an das IT-Team kann dieser Benutzer wieder entfernt werden. - -\paragraph{Hostname} -\texttt{/etc/hostname} und \texttt{/etc/hosts} anpassen - +\paragraph{apt} +Um in der DMZ weiterhin Updates einspielen zu können, wird der vom IT-Team zur Verfügung gestellte Proxyserver in die Konfiguration von \texttt{apt} eingetragen. \begin{lstlisting} +# echo 'Acquire::http::Proxy "http://proxy.inform.hs-hannover.de:3128";' + > /etc/apt/apt.conf.d/80proxy +\end{lstlisting} +Das IT-Team stellt Debian-Pakete zur Verfügung, mit die Grundkonfiguration des Servers an die Vorgaben des IT-Teams angepasst werden kann. +Um diese Pakete zu installieren, werden die Paketquellen des IT-Teams konfiguriert: +\begin{lstlisting} +# echo "deb http://http.edu.inform.hs-hannover.de/depot/debian/stretch/ Packages/" + > /etc/apt/sources.list.d/inform.list +\end{lstlisting} +Als nächstes wird der GPG-Key importiert, mit dem die Pakete signiert sind: +\begin{lstlisting} +# wget -O repositoryKeyFile http://http.edu.inform.hs-hannover.de/repository/repositoryKeyFile +# apt-key add repositoryKeyFile +\end{lstlisting} +Anschließend können die Pakete über \texttt{apt-get} installiert werden +\begin{lstlisting} +# apt-get update +# apt-get install f4-i-srv-config-all-* +\end{lstlisting} -# cat /etc/apt/sources.list.d/inform.list -deb http:/http.edu.inform.hs-hannover.de/depot/debian/stretch/Packages / +\paragraph{Netzwerkkonfiguration} +Als nächstes werden die IP-Adressen der Maschine und des Dienstes in \texttt{/etc/network/interfaces} konfiguriert. +Die IP-Adressen der Maschine werden direkt für die Netzwerkkarte des Servers konfiguriert. -# cat /etc/apt/apt.conf.d/80proxy -Acquire::http::Proxy "http://proxy.inform.hs-hannover.de:3128"; +Die IP-Adressen für den VPN-Dienst werden als Alias konfiguriert. +Durch die Verwendung des Alias ist ein manueller Failover im Betrieb möglich, indem das Alias-Interface dem defekten Server deaktiviert wird und auf einem bereitstehenden Server aktiviert wird. +Effektiv \enquote{wandert} die Dienst-IP somit vom defekten Server auf den bereitstehenden Server. +Benutzer des VPN-Dienst bekommen abgesehen von einer Verbindungsunterbrechung nichts von dem defekten Server mit. -# cat /etc/network/interfaces -[...] +Die resultierende Konfiguration für die IP-Adressen der Maschine sieht so aus: +\begin{lstlisting} auto eno1 allow-hotplug eno1 @@ -87,50 +108,41 @@ iface eno1 inet static iface eno1 inet6 static address 2001:638:614:1780::131/64 gateway 201:638:614:1780::1 - -#- virtual service interface +\end{lstlisting} +Die Konfiguration des Alias sieht so aus: +\begin{lstlisting} +#- virtual service alias iface eno1:0 inet static address 141.71.38.7/24 gateway 141.71.38.1 iface eno1:0 inet6 static address 2001:638:614:1780::7/64 gateway 201:638:614:1780::1 - -# cat /etc/sysctl.d/04-enable-ipv4-forwarding.conf -net.ipv4.conf.all.forwarding = 1 - -# cat /etc/sysctl.d/04-enable-ipv4-forwarding.conf -net.ipv6.conf.all.forwarding = 1 \end{lstlisting} - -\paragraph{Netzwerkkonfiguration} -IP-Adressen (physisch und für den Dienst) -Forwarding für IPv4 und IPv6 aktivieren - -\paragraph{} -APT via Proxy proxy.inform.hs-hannover.de:3128 -Zusätzliches Repository +\paragraph{IP-Forwarding einschalten} +Da die Benutzer des VPN in der Lage sein sollen, das Netzwerk der Abteilung Informatik zu erreichen, muss IP-Forwarding auf dem VPN-Server aktiviert werden: \begin{lstlisting} -wget -O repositoryKeyFile http://http.edu.inform.hs-hannover.de/repository/repositoryKeyFile -apt-key add repositoryKeyFile +# echo "net.ipv4.conf.all.forwarding = 1" > /etc/sysctl.d/04-enable-ipv4-forwarding.conf +# echo "net.ipv6.conf.all.forwarding = 1" > /etc/sysctl.d/06-enable-ipv6-forwarding.conf \end{lstlisting} - -\paragraph{Zusätzliche Pakete installieren} -Es werden noch Pakete des IT-Teams installiert, die bestimmte Komponenten mit einer einheitlichen Konfiguration versorgen. -\begin{lstlisting} -apt-get install F4-I-SRV-Config-ALL-* -\end{lstlisting} - +Über \texttt{sysctl -p} werden die vorgenommenen Einstellungen aktiviert. \paragraph{OpenVPN} -apt-get install openvpn -\dots +Nun wird OpenVPN installiert und konfiguriert. +\begin{lstlisting} +# apt-get install openvpn +\end{lstlisting} + Zertifikate beantragen und + Konfiguration einspielen -\dots -systemctl enable openvpn@TODO.service -systemctl start openvpn@TODO.service + +Nun wird der OpenVPN-Dienst aktiviert und gestartet. +\begin{lstlisting} +# systemctl enable openvpn@vpnserver.service +# systemctl start openvpn@vpnserver.service +\end{lstlisting} \paragraph{iptables} Zugriffe aus dem VPN in die DMZ sind verboten