Host:Shells: Difference between revisions

From Chaosdorf Wiki
(Created page with " name="shells.chaosdorf.de" standort="VM auf vm" zweck="Exklusiv für Usershells, keine anderen Dienste" os="Debian Squeeze amd64" ssh_root_keys="/var/cac…")
 
No edit summary
 
(33 intermediate revisions by 6 users not shown)
Line 1: Line 1:
name="shells.chaosdorf.de"
{{Host
standort="VM auf [[vm.chaosdorf.de|vm]]"
|name=shells.chaosdorf.de
zweck="Exklusiv für Usershells, keine anderen Dienste"
|os=Debian 12 amd64
os="Debian Squeeze amd64"
|location=Host:Vm
ssh_root_keys="/var/cache/ssh/root"
|purpose=Exklusiv für Usershells, keine anderen Dienste
ssh_pam="Ja"
|disk=100GB
ssh_userlogin="Ja"
|ram=2GiB
 
|swap=5GB
= Ressourcen =
|admin_toolkit=Yes
 
|ssh_root_keys=/var/cache/ssh/root
* 40G Festplatte. `/dev/vda1` auf `/`, keine weitere Unterteilung
|ssh_pam=Yes
* 512M RAM
|ssh_userlogin=Yes
* kein Swap
|admins=byte, derf, feuerrot
 
|rm=512M
}}
= Usershells =
= Usershells =


Line 18: Line 19:


Via SSH, ausschließlich mit publickey-auth.
Via SSH, ausschließlich mit publickey-auth.
`/usr/local/sbin/ldap-sshkeys` zieht die Authorized keys der User alle 5
/usr/local/sbin/ldap-sshkeys zieht die Authorized keys der User alle 5
Minuten (cronjob) aus dem LDAP und packt sie nach `/var/cache/ssh`.
Minuten (cronjob) aus dem LDAP und packt sie nach /var/cache/ssh.


Logt sich ein User zum ersten mal ein wird sein Homeverzeichnis automatisch
Logt sich ein User zum ersten mal ein wird sein Homeverzeichnis automatisch
von `pam_mkhomedir` (siehe `/etc/pam.d/sshd`) erstellt.
von pam_mkhomedir (siehe /etc/pam.d/sshd) erstellt.


== Limits ==
== Limits ==


In `/etc/security/limits.conf` sind diverse soft- und hardlimits konfiguriert,
In /etc/security/limits.conf sind diverse soft- und hardlimits konfiguriert,
um die Auswirkungen von Forkbomben, kaputten Programmen etc. zu minimieren.
um die Auswirkungen von Forkbomben, kaputten Programmen etc. zu minimieren.


Weiterhin gelten für jeden User Disk-Quotas, zur Zeit 256MB soft und 512MB
Weiterhin gelten für jeden User Disk-Quotas, zur Zeit 4GB soft und 5GB
hard. Darum kümmert sich `/usr/local/sbin/addquota`, welches ebenfalls von
hard. Darum kümmert sich /usr/local/sbin/addquota, welches ebenfalls von
`/etc/pam.d/sshd` aufgerufen wird.
/etc/pam.d/sshd aufgerufen wird.


== Mail ==
== Mail ==


User können Mails schreiben, welche intern an [[frontend]] weitergereicht und
User können Mails schreiben, welche an die VM {{H|intern}} weitergereicht und
von dort aus dann verschickt werden.
von dort aus verschickt werden.
 
== Quassel IRC ==
 
Es läuft ein quasselcore, dieser hängt aber nicht am LDAP.
 
Neue Nutzer anlegen: <tt>quasselcore --add-user -c /var/lib/quassel</tt>
 
== TLS ==
 
Das TLS-Zertifikat für Quassel wird einmal monatlich per certbot (LetsEncrypt) erneuert. Über <tt>/etc/crontab</tt> wird dazu <tt>/usr/local/sbin/refresh-tls-cert</tt> aufgerufen, was socat und python3 -m http.server für die ACME Challenge startet, per LetsEncrypt das Zertifikat erneuert, <tt>/var/lib/quassel/quasselCert.pem</tt> aktualisiert und Quassel per SIGHUP diese Datei neu einlesen lässt. Bis auf socat laufen alle Netzwerkprozesse als www-data.
 
== Ports ==
 
Der Host ist von außen erreichbar über TCP 50000-51000 und UDP 60000-61000. Die TCP-Ports können von Mitgliedern für z.B. IRC-Bouncer verwendet werden, die UDP-Ports sind für [http://mosh.mit.edu/ mosh] vorgesehen. Folgende Ports sind bisher zugewiesen:
 
{| class="wikitable"
|-
| 50000 || {{U|mxey}}
|-
| 50001 || {{U|ragnar}}
|-
| 50002 || {{U|Anigmos}}
|-
| 50003 || {{U|rufus}}
|-
|}


[[Category:Administration]]
[[Category:Administration]]

Latest revision as of 20:18, 3 June 2024

shells.chaosdorf.de
Ort Host:Vm
Zweck Exklusiv für Usershells, keine anderen Dienste
OS Debian 12 amd64
Disks 100GB100,000 MB <br />100,000,000 kB <br />0.1 TB <br />
RAM 2GiB2,048 MiB <br />2,097,152 kiB <br />2,147,483,648 B <br />0.00195 TiB <br />2,147.484 MB <br />
Swap 5GB5,000 MB <br />5,000,000 kB <br />0.005 TB <br />
Admin-Toolkit Yes
ssh key path /var/cache/ssh/root
PAM? Yes
SSH user login? Yes
Admins byte, derf, feuerrot

Usershells[edit source]

Login[edit source]

Via SSH, ausschließlich mit publickey-auth. /usr/local/sbin/ldap-sshkeys zieht die Authorized keys der User alle 5 Minuten (cronjob) aus dem LDAP und packt sie nach /var/cache/ssh.

Logt sich ein User zum ersten mal ein wird sein Homeverzeichnis automatisch von pam_mkhomedir (siehe /etc/pam.d/sshd) erstellt.

Limits[edit source]

In /etc/security/limits.conf sind diverse soft- und hardlimits konfiguriert, um die Auswirkungen von Forkbomben, kaputten Programmen etc. zu minimieren.

Weiterhin gelten für jeden User Disk-Quotas, zur Zeit 4GB soft und 5GB hard. Darum kümmert sich /usr/local/sbin/addquota, welches ebenfalls von /etc/pam.d/sshd aufgerufen wird.

Mail[edit source]

User können Mails schreiben, welche an die VM intern weitergereicht und von dort aus verschickt werden.

Quassel IRC[edit source]

Es läuft ein quasselcore, dieser hängt aber nicht am LDAP.

Neue Nutzer anlegen: quasselcore --add-user -c /var/lib/quassel

TLS[edit source]

Das TLS-Zertifikat für Quassel wird einmal monatlich per certbot (LetsEncrypt) erneuert. Über /etc/crontab wird dazu /usr/local/sbin/refresh-tls-cert aufgerufen, was socat und python3 -m http.server für die ACME Challenge startet, per LetsEncrypt das Zertifikat erneuert, /var/lib/quassel/quasselCert.pem aktualisiert und Quassel per SIGHUP diese Datei neu einlesen lässt. Bis auf socat laufen alle Netzwerkprozesse als www-data.

Ports[edit source]

Der Host ist von außen erreichbar über TCP 50000-51000 und UDP 60000-61000. Die TCP-Ports können von Mitgliedern für z.B. IRC-Bouncer verwendet werden, die UDP-Ports sind für mosh vorgesehen. Folgende Ports sind bisher zugewiesen:

50000 mxey
50001 ragnar
50002 Anigmos
50003 rufus