Host:Intern

SSL
Zertifikat und Key für alle Dienste auf intern liegen unter /etc/ssl.

Website
vhosts liegen in /srv/www, vhost-configs in /etc/apache2/sites-enabled.

intern.chaosdorf.de

 * HTTP-Requests werden auf HTTPS rewritten
 * Userauth via LDAP
 * roundcube auf /webmail
 * sympa auf /sympa

Git
Das Repository für unser Intern-Wiki liegt in /srv/git/wiki. SSH-Zugriff über git@chaosdorf.de:wiki. Wir nutzen hier bewusst nicht das GitLab, um die Komplexität (und damit Fehleranfälligkeit) für das Intern-Wiki niedrig zu halten.

gitolite
Über gitolite@intern.chaosdorf.de können Git-Repositories für begrenzte Personenkreise (nicht automatisch alle Chaosdorfmitglieder) verwaltet werden. Um das Anlegen von Repos und Eintragen von SSH-Keys kümmert sich.

Munin
HTML und Graphen sind komplett dynamisch, es gibt entspreche Aliases und Rewrites in der Apache2-config. Erreichbar unter .

Quota
Linux-Diskquota auf / via /etc/fstab. 512M soft und 768M hard. Beachten: dovecot weigert sich sobald die Soft-Quota erreicht wurde, irgendwelche Mailoperationen durchzuführen. Gibt ne entsprechende Logmeldung (quota exceeded). Um Userquotas temporär oder auch dauerhaft zu erhöhen: edquota -u nutzername

Mail
Als MTA kommt Postfix zum Einsatz, für POP3S/IMAPS Dovecot.

Postfix
Die Config ist recht unspektakulär. Spam wird durch SpamPD als content_filter markiert, Postgrey ist als Policy-Daemon eingetragen.

SASL Auth ist an Dovecot gebunden und nur erlaubt, wenn TLS verwendet wird. Wir bieten SMTP+STARTTLS an, zusätzlich SMTPS (SSL) und Submission (STARTTLS).

Die Mailboxen sind Maildirs in /srv/mail. Die gültigen User bezieht Postfix über users.ldap aus dem LDAP. Mit forward.ldap werden Mails weitergeleitet, wenn der User ein 'mailRoutingAddress'-Attribut im LDAP-Eintrag hat. intern@ wird via LDAP (ml-intern) und die internal_ok Restriction Class gehandhabt, während die restlichen Mailinglisten über Sympa laufen.

Dovecot
Als passdb verwendet Dovecot PAM, da LDAP dort eingebunden ist. Die userdb ist static auf den User vmail eingestellt.

Da Dovecot vor 1.2 kein STARTTLS enforcen kann, bieten wir nur POP3S und IMAPS an.

OpenDKIM
Hängt als milter in Postfix, signiert ausgehende Mails von *.chaosdorf.de und prüft die Signaturen eingehender Mails. Standardsetup.

MySQL
Für Roundcube.

TLS
Das TLS-Zertifikat für wird einmal monatlich per certbot (LetsEncrypt) erneuert. Über /etc/crontab wird dazu /usr/local/sbin/refresh-tls-cert aufgerufen, was per certbot das Zertifikat erneuert und apache2, dovecot und postfix neustartet. Wir nutzen einen nicht ganz üblichen certbot-Workflow mit von uns manuell erstellten CSRs, da wir so sowohl ECDSA- als auch RSA-Keys für unser Zertifikat nutzen können. Apache2 und Dovecot nutzen ECDSA, Postfix RSA.