The edit can be undone. Please check the comparison below to verify that this is what you want to do, and then publish the changes below to finish undoing the edit.
| Latest revision | Your text | ||
| Line 1: | Line 1: | ||
{{Host | {{Host | ||
|name=intern.chaosdorf.de | |name=intern.chaosdorf.de | ||
|os=Debian | |os=Debian Stretch amd64 | ||
|location=Host:Vm | |location=Host:Vm | ||
|purpose=Interne ( | |purpose=Interne Dienste (mail (postfix/postgrey/spampd/dovecot/sympa/roundcube), internwiki, cgit...) | ||
|disk= | |disk=20GB | ||
|ram= | |ram=2GiB | ||
|swap=4GB | |swap=4GB | ||
|admin_toolkit=Yes | |admin_toolkit=Yes | ||
| Line 12: | Line 12: | ||
|ssh_userlogin=No | |ssh_userlogin=No | ||
|admins=byte, derf, feuerrot | |admins=byte, derf, feuerrot | ||
}} | }} | ||
== SSL == | == SSL == | ||
Zertifikat und Key für alle Dienste auf intern liegen unter /etc/ssl. | |||
== Website == | == Website == | ||
| Line 28: | Line 25: | ||
* HTTP-Requests werden auf HTTPS rewritten | * HTTP-Requests werden auf HTTPS rewritten | ||
* Userauth via LDAP | * Userauth via LDAP | ||
* | * ikiwiki auf / | ||
* roundcube auf /webmail | |||
* cgit auf /git | |||
* sympa auf /sympa | * sympa auf /sympa | ||
== Wikis == | |||
Wikis sind in /etc/ikiwiki/wikilist gelistet und können mit ikiwiki-mass-rebuild automatisch neugebaut werden. Configs liegen ebenfalls in /etc/ikiwiki. | |||
=== wiki === | |||
* /srv/ikiwiki/wiki ⇒ /srv/www/de.chaosdorf.intern | |||
* git: wiki | |||
* apache2: intern.chaosdorf.de | |||
* mit CGI | |||
=== Webeditor-Fnord nach Updates === | |||
Es kann vorkommen, dass nach einem größeren Update keine Änderungen mehr angenommen werden. Im Normalfall liegt das daran, dass die Permissions des Wrapperskripts nicht mehr stimmen, was mit <tt>chmod 06755 /srv/www/de.chaosdorf.intern/cgi-bin/ikiwiki.cgi /srv/git/wiki/hooks/post-update</tt> behoben werden kann. | |||
== Git == | == Git == | ||
Webview mit cgit unter <https://intern.chaosdorf.de/git>. SSH-Zugriff über git@chaosdorf.de:''reponame''. | |||
''Demnächst entfernen?'' | |||
== gitolite == | == gitolite == | ||
Über <tt>gitolite@intern.chaosdorf.de</tt> können Git-Repositories für begrenzte Personenkreise (nicht automatisch alle Chaosdorfmitglieder) verwaltet werden. Um das Anlegen von Repos und Eintragen von SSH-Keys kümmert sich {{U|derf}}. | |||
== Munin == | == Munin == | ||
| Line 55: | Line 69: | ||
=== Postfix === | === Postfix === | ||
Die Config ist recht unspektakulär. Spam wird durch SpamPD als content_filter markiert, Postgrey ist als Policy-Daemon eingetragen | Die Config ist recht unspektakulär. Spam wird durch SpamPD als content_filter markiert, Postgrey ist als Policy-Daemon eingetragen. | ||
SASL Auth ist an Dovecot gebunden und nur erlaubt, wenn TLS verwendet wird. Wir bieten SMTP+STARTTLS an, zusätzlich SMTPS (SSL) und Submission (STARTTLS). | SASL Auth ist an Dovecot gebunden und nur erlaubt, wenn TLS verwendet wird. Wir bieten SMTP+STARTTLS an, zusätzlich SMTPS (SSL) und Submission (STARTTLS). | ||
| Line 64: | Line 78: | ||
Als passdb verwendet Dovecot PAM, da LDAP dort eingebunden ist. Die userdb ist | Als passdb verwendet Dovecot PAM, da LDAP dort eingebunden ist. Die userdb ist | ||
static auf den User vmail eingestellt | static auf den User vmail eingestellt. | ||
Da Dovecot vor 1.2 kein STARTTLS enforcen kann, bieten wir nur POP3S und IMAPS | |||
an. | |||
== MySQL == | == MySQL == | ||
Für | Für Roundcube. | ||
== TLS == | |||
Das TLS-Zertifikat für wird einmal monatlich per certbot (LetsEncrypt) erneuert. Über <tt>/etc/crontab</tt> wird dazu <tt>/usr/local/sbin/refresh-tls-cert</tt> aufgerufen, was per certbot das Zertifikat erneuert und apache2, dovecot und postfix neustartet. Wir nutzen einen nicht ganz üblichen certbot-Workflow mit von uns manuell erstelltem CSR, da wir so einen ECDSA-Key für unser Zertifikat nutzen können. | |||
[[Category:Administration]] | [[Category:Administration]] | ||