Host:Shells: Difference between revisions

From Chaosdorf Wiki
m (schon buster)
Line 1: Line 1:
{{Host
{{Host
|name=shells.chaosdorf.de
|name=shells.chaosdorf.de
|os=Debian Stretch amd64
|os=Debian Buster amd64
|location=Host:Vm
|location=Host:Vm
|purpose=Exklusiv für Usershells, keine anderen Dienste
|purpose=Exklusiv für Usershells, keine anderen Dienste

Revision as of 16:39, 21 June 2022

shells.chaosdorf.de
Ort Host:Vm
Zweck Exklusiv für Usershells, keine anderen Dienste
OS Debian Buster amd64
Disks 40GB40,000 MB <br />40,000,000 kB <br />0.04 TB <br />
RAM 2GiB2,048 MiB <br />2,097,152 kiB <br />2,147,483,648 B <br />0.00195 TiB <br />2,147.484 MB <br />
Swap 4GB4,000 MB <br />4,000,000 kB <br />0.004 TB <br />
Admin-Toolkit Yes
ssh key path /var/cache/ssh/root
PAM? Yes
SSH user login? Yes
Admins byte, derf, feuerrot

Usershells

Login

Via SSH, ausschließlich mit publickey-auth. /usr/local/sbin/ldap-sshkeys zieht die Authorized keys der User alle 5 Minuten (cronjob) aus dem LDAP und packt sie nach /var/cache/ssh.

Logt sich ein User zum ersten mal ein wird sein Homeverzeichnis automatisch von pam_mkhomedir (siehe /etc/pam.d/sshd) erstellt.

Limits

In /etc/security/limits.conf sind diverse soft- und hardlimits konfiguriert, um die Auswirkungen von Forkbomben, kaputten Programmen etc. zu minimieren.

Weiterhin gelten für jeden User Disk-Quotas, zur Zeit 512MB soft und 768MB hard. Darum kümmert sich /usr/local/sbin/addquota, welches ebenfalls von /etc/pam.d/sshd aufgerufen wird.

Mail

User können Mails schreiben, welche an die VM intern weitergereicht und von dort aus verschickt werden.

Quassel IRC

Es läuft ein quasselcore, dieser hängt aber nicht am LDAP.

Neue Nutzer anlegen: quasselcore --add-user -c /var/lib/quassel

TLS

Das TLS-Zertifikat für Quassel wird einmal monatlich per certbot (LetsEncrypt) erneuert. Über /etc/crontab wird dazu /usr/local/sbin/refresh-tls-cert aufgerufen, was socat und python3 -m http.server für die ACME Challenge startet, per LetsEncrypt das Zertifikat erneuert, /var/lib/quassel/quasselCert.pem aktualisiert und Quassel per SIGHUP diese Datei neu einlesen lässt. Bis auf socat laufen alle Netzwerkprozesse als www-data.

Ports

Der Host ist von außen erreichbar über TCP 50000-51000 und UDP 60000-61000. Die TCP-Ports können von Mitgliedern für z.B. IRC-Bouncer verwendet werden, die UDP-Ports sind für mosh vorgesehen. Folgende Ports sind bisher zugewiesen:

50000 mxey
50001 ragnar
50002 Anigmos
50003 rufus