Host:Intern: Difference between revisions

From Chaosdorf Wiki
(Created page with " name="frontend.chaosdorf.de" standort="VM auf vm" zweck="Extern erreichbare Dienste (v.a. Web und Mail)" os="Debian Squeeze amd64" ssh_root_keys="/var/ca…")
 
No edit summary
Line 1: Line 1:
name="frontend.chaosdorf.de"
{{Host
standort="VM auf [[vm.chaosdorf.de|vm]]"
|name=frontend.chaosdorf.de
zweck="Extern erreichbare Dienste (v.a. Web und Mail)"
|location=[[vm.chaosdorf.de|vm]]
os="Debian Squeeze amd64"
|purpose=Interne Dienste (mail, internwiki)
ssh_root_keys="/var/cache/ssh/root"
|os=Debian Squeeze amd64
ssh_pam="Ja"
|ssh_root_keys=/var/cache/ssh/root
ssh_userlogin="Nur SFTP"
|ssh_pam=Ja
|ssh_userlogin=Nur SFTP
}}


= Ressourcen =
= Ressourcen =


* 20G Festplatte. `/dev/vda1` auf `/`, keine weitere Unterteilung
* 20G Festplatte. /dev/vda ⇒ /
* 1G RAM
* 1G RAM
* kein Swap
* kein Swap
Line 15: Line 17:
= SSL =
= SSL =


Zertifikat und Key für alle Dienste auf frontend liegen unter `/etc/ssl`.
Zertifikat und Key für alle Dienste auf frontend liegen unter /etc/ssl.


= Website =
= Website =


vhosts liegen in `/srv/www`, vhost-configs in `/etc/apache2/sites-enabled`.
vhosts liegen in /srv/www, vhost-configs in /etc/apache2/sites-enabled.


== eh2002.chaosdorf.de ==
== eh2002.chaosdorf.de ==


Statische EasterHegg-Seite, nichts besonderes.
Statische EasterHegg-Seite, nichts besonderes.
''Zieht demnächst auf extern um''.


== intern.chaosdorf.de ==
== intern.chaosdorf.de ==
Line 29: Line 33:
* HTTP-Requests werden auf HTTPS rewritten
* HTTP-Requests werden auf HTTPS rewritten
* Userauth via LDAP
* Userauth via LDAP
* ikiwiki auf `/`
* ikiwiki auf /
* roundcube auf `/webmail`
* roundcube auf /webmail
* cgit auf `/git`
* cgit auf /git
* roundup auf `/tickets`
* roundup auf /tickets


== www.chaosdorf.de ==
== www.chaosdorf.de ==


* HTTP/HTTPS erlaubt
* HTTP/HTTPS erlaubt
* ikiwiki auf `/`
* ikiwiki auf /
* Userdirs auf `/~username`
* Userdirs auf /~username
* diverse rewrites für Backwards Compatibility
* diverse rewrites für Backwards Compatibility
* mit HTTPS: ldap-auth für ikiwiki-editscript
* mit HTTPS: ldap-auth für ikiwiki-editscript
''to be deprecated''.


= Wikis =
= Wikis =


Wikis sind in `/etc/ikiwiki/wikilist` gelistet und können mit
Wikis sind in /etc/ikiwiki/wikilist gelistet und können mit
`ikiwiki-mass-rebuild` automatisch neugebaut werden. Configs liegen ebenfalls
ikiwiki-mass-rebuild automatisch neugebaut werden. Configs liegen ebenfalls
in `/etc/ikiwiki`.
in /etc/ikiwiki.
 
== website ==
 
* `/srv/ikiwiki/website` -> `/srv/www/de.chaosdorf.www`
* git: `website`
* apache2: `www.chaosdorf.de`
* mit CGI (per HTTPS)


== wiki ==
== wiki ==


* `/srv/ikiwiki/wiki` -> `/srv/www/de.chaosdorf.intern`
* /srv/ikiwiki/wiki /srv/www/de.chaosdorf.intern
* git: `wiki`
* git: wiki
* apache2: `intern.chaosdorf.de`
* apache2: intern.chaosdorf.de
* mit CGI
* mit CGI


Line 65: Line 64:


Nutzer können sich per SFTP auf frontend einloggen. Wenn sie dort Dateien in
Nutzer können sich per SFTP auf frontend einloggen. Wenn sie dort Dateien in
`public_html` ablegen, sind diese unter `https://www.chaosdorf.de/~USER`
public_html ablegen, sind diese unter <nowiki>https://www.chaosdorf.de/~</nowiki>''user''
erreichbar.
erreichbar.


Über `/etc/pam.d/sshd` wird `/usr/local/sbin/addquota` ausgeführt, um für neue
Über /etc/pam.d/sshd wird /usr/local/sbin/addquota ausgeführt, um für neue
User (!= root) einmalig ein Quota zu setzen.
User (!= root) einmalig ein Quota zu setzen.


= Ticketsystem =
= Ticketsystem =


Roundup mit MySQL-Datenbank. Die Instanz befindet sich unter `/srv/roundup`.
Roundup mit MySQL-Datenbank. Die Instanz befindet sich unter /srv/roundup.
 
''Wird demnächst entfernt''.


= Git =
= Git =


Webview mit `cgit` unter <https://intern.chaosdorf.de/git>. SSH-Zugriff über
Webview mit cgit unter <https://intern.chaosdorf.de/git>. SSH-Zugriff über
`git@chaosdorf.de:reponame`.
git@chaosdorf.de:''reponame''.
 
''Demnächst entfernen?''


= Munin =
= Munin =


Läuft alle 5 Minuten per Cron.
Läuft alle 5 Minuten per Cron.
HTML-Ausgabe erfolgt direkt nach `/srv/www/de.chaosdorf.intern/munin`, siehe
HTML-Ausgabe erfolgt direkt nach /srv/www/de.chaosdorf.intern/munin, siehe
<https://intern.chaosdorf.de/munin/>.
<https://intern.chaosdorf.de/munin/>.
Fragt [[backend]], [[frontend]], [[shells]], [[vm]] und [[figurehead]] ab, die
Verbindungen sind unverschlüsselt.


= Mail =
= Mail =
Line 101: Line 101:
Wir bieten SMTP+STARTTLS an, zusätzlich SMTPS (SSL) und Submission (STARTTLS).
Wir bieten SMTP+STARTTLS an, zusätzlich SMTPS (SSL) und Submission (STARTTLS).


Die Mailboxen sind Maildirs in `/var/mail`, die dem User vmail gehören. Die
Die Mailboxen sind Maildirs in /var/mail, die dem User vmail gehören. Die
gültigen User bezieht Postfix über `ldap_users.cf` aus dem LDAP. Mit
gültigen User bezieht Postfix über ldap_users.cf aus dem LDAP. Mit
`ldap_forward.cf` werden Mails weitergeleitet, wenn der User ein
ldap_forward.cf werden Mails weitergeleitet, wenn der User ein
'mail'-Attribut im LDAP-Eintrag hat. `ldap_groups.cf` leitet
'mail'-Attribut im LDAP-Eintrag hat. ldap_groups.cf leitet
$list@chaosdorf.de an die Mitglieder der Gruppe ml-$list weiter.
''liste''@chaosdorf.de an die Mitglieder der Gruppe ml-''liste'' weiter.


== Dovecot ==
== Dovecot ==

Revision as of 16:13, 16 February 2012

frontend.chaosdorf.de
Ort [[Has location::vm]]
Zweck Interne Dienste (mail, internwiki)
OS Debian Squeeze amd64
ssh key path /var/cache/ssh/root
PAM? Ja
SSH user login? Nur SFTP
Admins FIXME


Ressourcen

  • 20G Festplatte. /dev/vda ⇒ /
  • 1G RAM
  • kein Swap

SSL

Zertifikat und Key für alle Dienste auf frontend liegen unter /etc/ssl.

Website

vhosts liegen in /srv/www, vhost-configs in /etc/apache2/sites-enabled.

eh2002.chaosdorf.de

Statische EasterHegg-Seite, nichts besonderes.

Zieht demnächst auf extern um.

intern.chaosdorf.de

  • HTTP-Requests werden auf HTTPS rewritten
  • Userauth via LDAP
  • ikiwiki auf /
  • roundcube auf /webmail
  • cgit auf /git
  • roundup auf /tickets

www.chaosdorf.de

  • HTTP/HTTPS erlaubt
  • ikiwiki auf /
  • Userdirs auf /~username
  • diverse rewrites für Backwards Compatibility
  • mit HTTPS: ldap-auth für ikiwiki-editscript

to be deprecated.

Wikis

Wikis sind in /etc/ikiwiki/wikilist gelistet und können mit ikiwiki-mass-rebuild automatisch neugebaut werden. Configs liegen ebenfalls in /etc/ikiwiki.

wiki

  • /srv/ikiwiki/wiki ⇒ /srv/www/de.chaosdorf.intern
  • git: wiki
  • apache2: intern.chaosdorf.de
  • mit CGI

WWW-Userdirs

Nutzer können sich per SFTP auf frontend einloggen. Wenn sie dort Dateien in public_html ablegen, sind diese unter https://www.chaosdorf.de/~user erreichbar.

Über /etc/pam.d/sshd wird /usr/local/sbin/addquota ausgeführt, um für neue User (!= root) einmalig ein Quota zu setzen.

Ticketsystem

Roundup mit MySQL-Datenbank. Die Instanz befindet sich unter /srv/roundup.

Wird demnächst entfernt.

Git

Webview mit cgit unter <https://intern.chaosdorf.de/git>. SSH-Zugriff über git@chaosdorf.de:reponame.

Demnächst entfernen?

Munin

Läuft alle 5 Minuten per Cron. HTML-Ausgabe erfolgt direkt nach /srv/www/de.chaosdorf.intern/munin, siehe <https://intern.chaosdorf.de/munin/>.

Mail

Als MTA kommt Postfix zum Einsatz, für POP3S/IMAPS Dovecot.

Postfix

Die Config ist recht unspektakulär. Spam wird durch SpamPD als content_filter markiert, Postgrey ist als Policy-Daemon eingetragen.

SASL Auth ist an Dovecot gebunden und nur erlaubt, wenn TLS verwendet wird. Wir bieten SMTP+STARTTLS an, zusätzlich SMTPS (SSL) und Submission (STARTTLS).

Die Mailboxen sind Maildirs in /var/mail, die dem User vmail gehören. Die gültigen User bezieht Postfix über ldap_users.cf aus dem LDAP. Mit ldap_forward.cf werden Mails weitergeleitet, wenn der User ein 'mail'-Attribut im LDAP-Eintrag hat. ldap_groups.cf leitet liste@chaosdorf.de an die Mitglieder der Gruppe ml-liste weiter.

Dovecot

Als passdb verwendet Dovecot PAM, da LDAP dort eingebunden ist. Die userdb ist static auf den User vmail eingestellt.

Da Dovecot vor 1.2 kein STARTTLS enforcen kann, bieten wir nur POP3S und IMAPS an.


MySQL

?