shells.chaosdorf.de | |
---|---|
Ort | Host:Vm |
Zweck | Exklusiv für Usershells, keine anderen Dienste |
OS | Debian 12 amd64 |
Disks | 100GB100,000 MB <br />100,000,000 kB <br />0.1 TB <br /> |
RAM | 2GiB2,048 MiB <br />2,097,152 kiB <br />2,147,483,648 B <br />0.00195 TiB <br />2,147.484 MB <br /> |
Swap | 5GB5,000 MB <br />5,000,000 kB <br />0.005 TB <br /> |
Admin-Toolkit | Yes |
ssh key path | /var/cache/ssh/root |
PAM? | Yes |
SSH user login? | Yes |
Admins | byte, derf, feuerrot |
Usershells[edit source]
Login[edit source]
Via SSH, ausschließlich mit publickey-auth. /usr/local/sbin/ldap-sshkeys zieht die Authorized keys der User alle 5 Minuten (cronjob) aus dem LDAP und packt sie nach /var/cache/ssh.
Logt sich ein User zum ersten mal ein wird sein Homeverzeichnis automatisch von pam_mkhomedir (siehe /etc/pam.d/sshd) erstellt.
Limits[edit source]
In /etc/security/limits.conf sind diverse soft- und hardlimits konfiguriert, um die Auswirkungen von Forkbomben, kaputten Programmen etc. zu minimieren.
Weiterhin gelten für jeden User Disk-Quotas, zur Zeit 4GB soft und 5GB hard. Darum kümmert sich /usr/local/sbin/addquota, welches ebenfalls von /etc/pam.d/sshd aufgerufen wird.
Mail[edit source]
User können Mails schreiben, welche an die VM intern weitergereicht und von dort aus verschickt werden.
Quassel IRC[edit source]
Es läuft ein quasselcore, dieser hängt aber nicht am LDAP.
Neue Nutzer anlegen: quasselcore --add-user -c /var/lib/quassel
TLS[edit source]
Das TLS-Zertifikat für Quassel wird einmal monatlich per certbot (LetsEncrypt) erneuert. Über /etc/crontab wird dazu /usr/local/sbin/refresh-tls-cert aufgerufen, was socat und python3 -m http.server für die ACME Challenge startet, per LetsEncrypt das Zertifikat erneuert, /var/lib/quassel/quasselCert.pem aktualisiert und Quassel per SIGHUP diese Datei neu einlesen lässt. Bis auf socat laufen alle Netzwerkprozesse als www-data.
Ports[edit source]
Der Host ist von außen erreichbar über TCP 50000-51000 und UDP 60000-61000. Die TCP-Ports können von Mitgliedern für z.B. IRC-Bouncer verwendet werden, die UDP-Ports sind für mosh vorgesehen. Folgende Ports sind bisher zugewiesen:
50000 | mxey |
50001 | ragnar |
50002 | Anigmos |
50003 | rufus |