No edit summary |
m (dist-upgrade) |
||
Line 1: | Line 1: | ||
{{Host | {{Host | ||
|name=shells.chaosdorf.de | |name=shells.chaosdorf.de | ||
|os=Debian | |os=Debian 12 amd64 | ||
|location=Host:Vm | |location=Host:Vm | ||
|purpose=Exklusiv für Usershells, keine anderen Dienste | |purpose=Exklusiv für Usershells, keine anderen Dienste |
Revision as of 18:30, 5 October 2023
shells.chaosdorf.de | |
---|---|
Ort | Host:Vm |
Zweck | Exklusiv für Usershells, keine anderen Dienste |
OS | Debian 12 amd64 |
Disks | 60GB60,000 MB <br />60,000,000 kB <br />0.06 TB <br /> |
RAM | 2GiB2,048 MiB <br />2,097,152 kiB <br />2,147,483,648 B <br />0.00195 TiB <br />2,147.484 MB <br /> |
Swap | 4GB4,000 MB <br />4,000,000 kB <br />0.004 TB <br /> |
Admin-Toolkit | Yes |
ssh key path | /var/cache/ssh/root |
PAM? | Yes |
SSH user login? | Yes |
Admins | byte, derf, feuerrot |
Usershells
Login
Via SSH, ausschließlich mit publickey-auth. /usr/local/sbin/ldap-sshkeys zieht die Authorized keys der User alle 5 Minuten (cronjob) aus dem LDAP und packt sie nach /var/cache/ssh.
Logt sich ein User zum ersten mal ein wird sein Homeverzeichnis automatisch von pam_mkhomedir (siehe /etc/pam.d/sshd) erstellt.
Limits
In /etc/security/limits.conf sind diverse soft- und hardlimits konfiguriert, um die Auswirkungen von Forkbomben, kaputten Programmen etc. zu minimieren.
Weiterhin gelten für jeden User Disk-Quotas, zur Zeit 512MB soft und 768MB hard. Darum kümmert sich /usr/local/sbin/addquota, welches ebenfalls von /etc/pam.d/sshd aufgerufen wird.
User können Mails schreiben, welche an die VM intern weitergereicht und von dort aus verschickt werden.
Quassel IRC
Es läuft ein quasselcore, dieser hängt aber nicht am LDAP.
Neue Nutzer anlegen: quasselcore --add-user -c /var/lib/quassel
TLS
Das TLS-Zertifikat für Quassel wird einmal monatlich per certbot (LetsEncrypt) erneuert. Über /etc/crontab wird dazu /usr/local/sbin/refresh-tls-cert aufgerufen, was socat und python3 -m http.server für die ACME Challenge startet, per LetsEncrypt das Zertifikat erneuert, /var/lib/quassel/quasselCert.pem aktualisiert und Quassel per SIGHUP diese Datei neu einlesen lässt. Bis auf socat laufen alle Netzwerkprozesse als www-data.
Ports
Der Host ist von außen erreichbar über TCP 50000-51000 und UDP 60000-61000. Die TCP-Ports können von Mitgliedern für z.B. IRC-Bouncer verwendet werden, die UDP-Ports sind für mosh vorgesehen. Folgende Ports sind bisher zugewiesen:
50000 | mxey |
50001 | ragnar |
50002 | Anigmos |
50003 | rufus |