Editing Host:Intern

From Chaosdorf Wiki
Warning: You are not logged in. Your IP address will be publicly visible if you make any edits. If you log in or create an account, your edits will be attributed to your username, along with other benefits.

The edit can be undone. Please check the comparison below to verify that this is what you want to do, and then publish the changes below to finish undoing the edit.

Latest revision Your text
Line 1: Line 1:
{{Host
{{Host
|name=intern.chaosdorf.de
|name=frontend.chaosdorf.de
|os=Debian 11 amd64
|location=[[vm.chaosdorf.de|vm]]
|location=Host:Vm
|purpose=Interne Dienste (mail, internwiki)
|purpose=Interne (Mail-)Dienste
|os=Debian Squeeze amd64
|disk=60GB
|ram=4GiB
|swap=4GB
|admin_toolkit=Yes
|ssh_root_keys=/var/cache/ssh/root
|ssh_root_keys=/var/cache/ssh/root
|ssh_pam=No
|ssh_pam=Ja
|ssh_userlogin=No
|ssh_userlogin=Nur SFTP
|admins=byte, derf, feuerrot
|netbox_url=https://netbox.chaosdorf.space/virtualization/virtual-machines/11/ VM-ID 11
}}
}}
== SSL ==


Zertifikate und Keys für alle Dienste auf intern liegen unter /etc/ssl.
= Ressourcen =


Die Zertifikate werden einmal monatlich per certbot (LetsEncrypt) erneuert. Über <tt>/etc/crontab</tt> wird dazu <tt>/usr/local/sbin/refresh-tls-cert</tt> aufgerufen, was per certbot das Zertifikat erneuert und apache2, dovecot und postfix neustartet. Wir nutzen einen nicht ganz üblichen certbot-Workflow mit von uns manuell erstellten CSRs, da wir so sowohl ECDSA- als auch RSA-Keys für unser Zertifikat nutzen können. Apache2 und Dovecot nutzen ECDSA, Postfix RSA.
* 20G Festplatte. /dev/vda ⇒ /
* 1G RAM
* kein Swap


== Website ==
= SSL =
 
Zertifikat und Key für alle Dienste auf frontend liegen unter /etc/ssl.
 
= Website =


vhosts liegen in /srv/www, vhost-configs in /etc/apache2/sites-enabled.
vhosts liegen in /srv/www, vhost-configs in /etc/apache2/sites-enabled.


=== intern.chaosdorf.de ===
== eh2002.chaosdorf.de ==
 
Statische EasterHegg-Seite, nichts besonderes.
 
''Zieht demnächst auf extern um''.
 
== intern.chaosdorf.de ==


* HTTP-Requests werden auf HTTPS rewritten
* HTTP-Requests werden auf HTTPS rewritten
* Userauth via LDAP
* Userauth via LDAP
* <del>roundcube auf /webmail</del>
* ikiwiki auf /
* sympa auf /sympa
* roundcube auf /webmail
* cgit auf /git
* roundup auf /tickets
 
== www.chaosdorf.de ==
 
* HTTP/HTTPS erlaubt
* ikiwiki auf /
* Userdirs auf /~username
* diverse rewrites für Backwards Compatibility
* mit HTTPS: ldap-auth für ikiwiki-editscript


== Git ==
''to be deprecated''.


Das Repository für unser Intern-Wiki liegt in <tt>/srv/git/wiki</tt>. SSH-Zugriff ist über <tt>git@intern.chaosdorf.de:wiki</tt> mit allen im LDAP eingetragenen Keys möglich; zusätzlich ist der SSH-Key von {{H|Wikijs}} hier eingetragen. Wir nutzen hier bewusst nicht das GitLab, um die Komplexität (und damit Fehleranfälligkeit) für das Intern-Wiki niedrig zu halten.
= Wikis =


== gitolite ==
Wikis sind in /etc/ikiwiki/wikilist gelistet und können mit
ikiwiki-mass-rebuild automatisch neugebaut werden. Configs liegen ebenfalls
in /etc/ikiwiki.


Legacy. Wird bald entfernt, {{H|Git}} macht das besser.
== wiki ==


<del>Über <tt>gitolite@intern.chaosdorf.de</tt> können Git-Repositories für begrenzte Personenkreise (nicht automatisch alle Chaosdorfmitglieder) verwaltet werden. Um das Anlegen von Repos und Eintragen von SSH-Keys kümmert sich {{U|derf}}</del>.
* /srv/ikiwiki/wiki ⇒ /srv/www/de.chaosdorf.intern
* git: wiki
* apache2: intern.chaosdorf.de
* mit CGI


== Munin ==
= WWW-Userdirs =


HTML und Graphen sind komplett dynamisch, es gibt entspreche Aliases und Rewrites in der Apache2-config. Erreichbar unter <https://intern.chaosdorf.de/munin/>.
Nutzer können sich per SFTP auf frontend einloggen. Wenn sie dort Dateien in
public_html ablegen, sind diese unter <nowiki>https://www.chaosdorf.de/~</nowiki>''user''
erreichbar.


== Quota ==
Über /etc/pam.d/sshd wird /usr/local/sbin/addquota ausgeführt, um für neue
User (!= root) einmalig ein Quota zu setzen.


Linux-Diskquota auf / via /etc/fstab. 512M soft und 768M hard. Beachten: dovecot weigert sich sobald die Soft-Quota erreicht wurde, irgendwelche Mailoperationen durchzuführen. Gibt ne entsprechende Logmeldung (quota exceeded). Um Userquotas temporär oder auch dauerhaft zu erhöhen: ''edquota -u nutzername''
= Ticketsystem =


== Mail ==
Roundup mit MySQL-Datenbank. Die Instanz befindet sich unter /srv/roundup.
 
''Wird demnächst entfernt''.
 
= Git =
 
Webview mit cgit unter <https://intern.chaosdorf.de/git>. SSH-Zugriff über
git@chaosdorf.de:''reponame''.
 
''Demnächst entfernen?''
 
= Munin =
 
Läuft alle 5 Minuten per Cron.
HTML-Ausgabe erfolgt direkt nach /srv/www/de.chaosdorf.intern/munin, siehe
<https://intern.chaosdorf.de/munin/>.
 
= Mail =


Als MTA kommt Postfix zum Einsatz, für POP3S/IMAPS Dovecot.
Als MTA kommt Postfix zum Einsatz, für POP3S/IMAPS Dovecot.


=== Postfix ===
== Postfix ==


Die Config ist recht unspektakulär. Spam wird durch SpamPD als content_filter markiert, Postgrey ist als Policy-Daemon eingetragen. Der Dovecot Quota-Service wird beim Empfang ebenfalls konsultiert, so dass Mails bei Over Quota direkt abgelehnt werden und keinen Backscatter generieren.
Die Config ist recht unspektakulär. Spam wird durch SpamPD als content_filter
markiert, Postgrey ist als Policy-Daemon eingetragen.


SASL Auth ist an Dovecot gebunden und nur erlaubt, wenn TLS verwendet wird. Wir bieten SMTP+STARTTLS an, zusätzlich SMTPS (SSL) und Submission (STARTTLS).
SASL Auth ist an Dovecot gebunden und nur erlaubt, wenn TLS verwendet wird.
Wir bieten SMTP+STARTTLS an, zusätzlich SMTPS (SSL) und Submission (STARTTLS).


Die Mailboxen sind Maildirs in /srv/mail. Die gültigen User bezieht Postfix über users.ldap aus dem LDAP. Mit forward.ldap werden Mails weitergeleitet, wenn der User ein 'mailRoutingAddress'-Attribut im LDAP-Eintrag hat. intern@ wird via LDAP (ml-intern) und die internal_ok Restriction Class gehandhabt, während die restlichen Mailinglisten über Sympa laufen.
Die Mailboxen sind Maildirs in /var/mail, die dem User vmail gehören. Die
gültigen User bezieht Postfix über ldap_users.cf aus dem LDAP. Mit
ldap_forward.cf werden Mails weitergeleitet, wenn der User ein
'mail'-Attribut im LDAP-Eintrag hat. ldap_groups.cf leitet
''liste''@chaosdorf.de an die Mitglieder der Gruppe ml-''liste'' weiter.


=== Dovecot ===
== Dovecot ==


Als passdb verwendet Dovecot PAM, da LDAP dort eingebunden ist. Die userdb ist
Als passdb verwendet Dovecot PAM, da LDAP dort eingebunden ist. Die userdb ist
static auf den User vmail eingestellt. Wir erlauben 2GB Quota je Account (+100MB Trash). Der quota-status-Service erlaubt postfix auf Port 12346, vor der Annahme einer Mail den Quota-Status des Zielaccounts abzufragen.
static auf den User vmail eingestellt.
 
=== OpenDKIM ===


Hängt als milter in Postfix, signiert ausgehende Mails von *.chaosdorf.de und prüft die Signaturen eingehender Mails. Standardsetup.
Da Dovecot vor 1.2 kein STARTTLS enforcen kann, bieten wir nur POP3S und IMAPS
an.


==  MySQL ==


Für Sympa.
= MySQL =


''?''


[[Category:Administration]]
[[Category:Administration]]
Please note that all contributions to Chaosdorf Wiki are considered to be released under the Attribution 3.0 Unported (see Chaosdorf Wiki:Copyrights for details). If you do not want your writing to be edited mercilessly and redistributed at will, then do not submit it here.
You are also promising us that you wrote this yourself, or copied it from a public domain or similar free resource. Do not submit copyrighted work without permission!
Cancel Editing help (opens in new window)

Templates used on this page:

Retrieved from "https://wiki.chaosdorf.de/Host:Intern"