 Lokale-IP::  10.13.37.146
 OS::  Debian
 Ort::  Space

<<TableOfContents()>>

== Zugang ==
 * lokal (nicht via ssh):
  * Nutzer: {{{root}}}
  * Passwort: {{{reissue.activity.slacks.emboss.protector.removed}}}
 * ssh:
  * Port 22 im lokalen Netz
  * Port 2247 via {{{ditto.nodes.hack-hro.de}}}

=== Login mit LDAP-Account ===
Alle Vereinsmitglieder können sich mit ihrem Account auf dem Host anmelden.

Die Konfiguration ist folgendermaßen (siehe {{{/etc/ssh/sshd_config.d/hack-hro.conf}}}):
  * aus dem Internet (via ditto-Portweiterleitung) ist der Login ausschließlich mit ssh-Schlüssel möglich
  * lokal (im Hackspace-Netzwerk) ist auch der Login mit Passwort möglich

Bei deinem ersten Login musst du dich also im Hackspace befinden.
Dabei solltest du deinen ssh-Schlüssel importieren ({{{ssh-copy-id}}}), damit du dich später auch aus dem Internet heraus anmelden kannst.

== Funktionen ==

Unser Backup-Server für Infrastruktur und für Vereinsmitglieder.

== Datenablage für alle(s) ==

 * Zugang via ssh
  * mit dem persönlichen LDAP-Account (nur für Vereinsmitglieder)
 * Dienste / Transporte:
  * {{{borg}}}
  * {{{rsync}}}
 * die Daten in der Datenablage werden ''nicht'' gesichert (kein Backup)

TODO: zukünftig wollen wir via quota irgendwie die Speichernutzung fair teilen.

== Datenträger ==

 * zwei Festplatten sind via USB angeschlossen
  * LVM ({{{lvm-lokix}}}) auf einem RAID1
  * Volume {{{ditto-backup}}} ist unverschlüsselt
  * Volume {{{home}}} ist verschlüsselt

== Netzwerk ==
 * angebunden an das lokale Hackspace-Netz
 * via VPN {{{ditto-forwards}}} über [[Computer/ditto]] per ssh erreichbar
 * via VPN {{{ditto-services}}} ist der LDAP-Dienst auf [[Computer/ditto]] erreichbar

== Konfiguration ==

=== LDAP-Authentifikation ===

 1. Pakete installieren: {{{apt install libnss-ldapd libpam-ldapd libpam-modules}}}
  * bei der Konfigurationsfrage die Komponenten {{{passwd}}}, {{{group}}} und {{{shadow}}} aktiveren
 1. Anlegen des Home-Verzeichnis bei erstem Login aktivieren: {{{pam-auth-update}}}

=== Verschlüsseltes Home-Verzeichnis ===

Das Dateisystem für {{{/home/}}} liegt auf einem LUKS-Volume ({{{lvm-lokix/home}}}).
Nach jedem Neustart des Rechners muss es manuell von einer der Schlüsselträger:innen geöffnet werden (siehe unten).

Die aktuellen Schlüsselträger:innen sind in der Datei {{{/root/luks-home-keyslots.txt}}} auf {{{lokix}}} zu finden.

== Typische Aufgaben ==

=== Neue Schlüsselträger:in für /home/ hinzufügen ===

 1. eine bisherige Schlüsselträger:in bitten, auf {{{lokix}}}:
  1. eine {{{screen}}}-Sitzung zu starten
  1. {{{cryptsetup --verbose luksAddKey /dev/lvm-lokix/home}}} auszuführen
   * {{{--verbose}}} sorgt für das Logging der verwendeten Keyslot-Nummern (siehe unten)
  1. ein bestehendes Crypto-Passwort einzugeben
 1. ein eigenes Passwort eingeben
 1. in {{{/root/luks-home-keyslots.txt}}} den neu verwendeten Keyslot dokumentieren

=== /home/ nach einem Neustart entschlüsseln und mounten ===

{{{
cryptdisks_start lokix-home-decrypted
mount /home
}}}


== Verantwortliche ==

 * polybos
 * lars

----
KategorieNetzwerk