m (aeh. sprache.) |
(dist-upgrade) |
||
| (22 intermediate revisions by 5 users not shown) | |||
| Line 1: | Line 1: | ||
{{Host | {{Host | ||
|name=shells.chaosdorf.de | |name=shells.chaosdorf.de | ||
|os=Debian | |os=Debian 13 amd64 | ||
|location= | |location=Host:Vm | ||
|purpose=Exklusiv für Usershells, keine anderen Dienste | |purpose=Exklusiv für Usershells, keine anderen Dienste | ||
|disk= | |disk=100GB | ||
|admin_toolkit= | |ram=2GiB | ||
|swap=5GB | |||
|admin_toolkit=Yes | |||
|ssh_root_keys=/var/cache/ssh/root | |ssh_root_keys=/var/cache/ssh/root | ||
|ssh_pam=Yes | |ssh_pam=Yes | ||
|ssh_userlogin=Yes | |ssh_userlogin=Yes | ||
|admins=byte, derf | |admins=byte, derf, dfjera, feuerrot | ||
}} | }} | ||
= Usershells = | = Usershells = | ||
| Line 20: | Line 21: | ||
Minuten (cronjob) aus dem LDAP und packt sie nach /var/cache/ssh. | Minuten (cronjob) aus dem LDAP und packt sie nach /var/cache/ssh. | ||
Logt sich ein User zum ersten mal ein wird | Logt sich ein User zum ersten mal ein, wird das Homeverzeichnis automatisch | ||
von pam_mkhomedir (siehe /etc/pam.d/sshd) erstellt. | von pam_mkhomedir (siehe /etc/pam.d/sshd) erstellt. | ||
| Line 28: | Line 29: | ||
um die Auswirkungen von Forkbomben, kaputten Programmen etc. zu minimieren. | um die Auswirkungen von Forkbomben, kaputten Programmen etc. zu minimieren. | ||
Weiterhin gelten für jeden User Disk-Quotas, zur Zeit | Weiterhin gelten für jeden User Disk-Quotas, zur Zeit 4GB soft und 5GB | ||
hard. Darum kümmert sich /usr/local/sbin/addquota, welches ebenfalls von | hard. Darum kümmert sich /usr/local/sbin/addquota, welches ebenfalls von | ||
/etc/pam.d/sshd aufgerufen wird. | /etc/pam.d/sshd aufgerufen wird. | ||
| Line 36: | Line 37: | ||
User können Mails schreiben, welche an die VM {{H|intern}} weitergereicht und | User können Mails schreiben, welche an die VM {{H|intern}} weitergereicht und | ||
von dort aus verschickt werden. | von dort aus verschickt werden. | ||
== Quassel IRC == | |||
Es läuft ein quasselcore, dieser hängt aber nicht am LDAP. | |||
Neue Nutzer anlegen: <tt>quasselcore --add-user -c /var/lib/quassel</tt> | |||
== TLS == | |||
Das TLS-Zertifikat für Quassel wird einmal monatlich per certbot (LetsEncrypt) erneuert. Über <tt>/etc/crontab</tt> wird dazu <tt>/usr/local/sbin/refresh-tls-cert</tt> aufgerufen, was socat und python3 -m http.server für die ACME Challenge startet, per LetsEncrypt das Zertifikat erneuert, <tt>/var/lib/quassel/quasselCert.pem</tt> aktualisiert und Quassel per SIGHUP diese Datei neu einlesen lässt. Bis auf socat laufen alle Netzwerkprozesse als www-data. | |||
== Ports == | == Ports == | ||
Der Host ist von außen erreichbar über TCP 50000-51000 und UDP 60000-61000. Die TCP-Ports können von | Der Host ist von außen erreichbar über TCP 50000-51000 und UDP 60000-61000. Die TCP-Ports können von Mitgliedern für z.B. IRC-Bouncer verwendet werden, die UDP-Ports sind für [http://mosh.mit.edu/ mosh] vorgesehen. Folgende Ports sind bisher zugewiesen: | ||
{| class="wikitable" | {| class="wikitable" | ||
| Line 48: | Line 59: | ||
|- | |- | ||
| 50002 || {{U|Anigmos}} | | 50002 || {{U|Anigmos}} | ||
|- | |||
| 50003 || {{U|rufus}} | |||
|- | |- | ||
|} | |} | ||
== Administration == | |||
sudo läuft über die Gruppe adm (via /etc/sudoers.d/chaosdorf). Die Gruppenzugehörigkeit wird manuell verwaltet. | |||
[[Category:Administration]] | [[Category:Administration]] | ||
Latest revision as of 11:19, 21 September 2025
| shells.chaosdorf.de | |
|---|---|
| Ort | Host:Vm |
| Zweck | Exklusiv für Usershells, keine anderen Dienste |
| OS | Debian 13 amd64 |
| Disks | 100GB100,000 MB <br />100,000,000 kB <br />0.1 TB <br /> |
| RAM | 2GiB2,048 MiB <br />2,097,152 kiB <br />2,147,483,648 B <br />0.00195 TiB <br />2,147.484 MB <br /> |
| Swap | 5GB5,000 MB <br />5,000,000 kB <br />0.005 TB <br /> |
| Admin-Toolkit | Yes |
| ssh key path | /var/cache/ssh/root |
| PAM? | Yes |
| SSH user login? | Yes |
| Admins | byte , derf, dfjera, feuerrot
|
Usershells[edit source]
Login[edit source]
Via SSH, ausschließlich mit publickey-auth. /usr/local/sbin/ldap-sshkeys zieht die Authorized keys der User alle 5 Minuten (cronjob) aus dem LDAP und packt sie nach /var/cache/ssh.
Logt sich ein User zum ersten mal ein, wird das Homeverzeichnis automatisch von pam_mkhomedir (siehe /etc/pam.d/sshd) erstellt.
Limits[edit source]
In /etc/security/limits.conf sind diverse soft- und hardlimits konfiguriert, um die Auswirkungen von Forkbomben, kaputten Programmen etc. zu minimieren.
Weiterhin gelten für jeden User Disk-Quotas, zur Zeit 4GB soft und 5GB hard. Darum kümmert sich /usr/local/sbin/addquota, welches ebenfalls von /etc/pam.d/sshd aufgerufen wird.
Mail[edit source]
User können Mails schreiben, welche an die VM intern
weitergereicht und
von dort aus verschickt werden.
Quassel IRC[edit source]
Es läuft ein quasselcore, dieser hängt aber nicht am LDAP.
Neue Nutzer anlegen: quasselcore --add-user -c /var/lib/quassel
TLS[edit source]
Das TLS-Zertifikat für Quassel wird einmal monatlich per certbot (LetsEncrypt) erneuert. Über /etc/crontab wird dazu /usr/local/sbin/refresh-tls-cert aufgerufen, was socat und python3 -m http.server für die ACME Challenge startet, per LetsEncrypt das Zertifikat erneuert, /var/lib/quassel/quasselCert.pem aktualisiert und Quassel per SIGHUP diese Datei neu einlesen lässt. Bis auf socat laufen alle Netzwerkprozesse als www-data.
Ports[edit source]
Der Host ist von außen erreichbar über TCP 50000-51000 und UDP 60000-61000. Die TCP-Ports können von Mitgliedern für z.B. IRC-Bouncer verwendet werden, die UDP-Ports sind für mosh vorgesehen. Folgende Ports sind bisher zugewiesen:
| 50000 | mxey
|
| 50001 | ragnar
|
| 50002 | Anigmos
|
| 50003 | rufus
|
Administration[edit source]
sudo läuft über die Gruppe adm (via /etc/sudoers.d/chaosdorf). Die Gruppenzugehörigkeit wird manuell verwaltet.