Computer/lokix - hack-hro wiki

Lokale-IP: 10.13.37.146
OS: Debian
Ort: Space

Inhaltsverzeichnis

Zugang
1. Login mit LDAP-Account
Funktionen
Datenablage für alle(s)
Datenträger
Netzwerk
Konfiguration
1. LDAP-Authentifikation
2. Verschlüsseltes Home-Verzeichnis
Typische Aufgaben
1. Neue Schlüsselträger:in für /home/ hinzufügen
2. /home/ nach einem Neustart entschlüsseln und mounten
Verantwortliche

Zugang

lokal (nicht via ssh):
- Nutzer: root
- Passwort: reissue.activity.slacks.emboss.protector.removed
ssh:
- Port 22 im lokalen Netz
- Port 2247 via ditto.nodes.hack-hro.de

Login mit LDAP-Account

Alle Vereinsmitglieder können sich mit ihrem Account auf dem Host anmelden.

Die Konfiguration ist folgendermaßen (siehe /etc/ssh/sshd_config.d/hack-hro.conf):

aus dem Internet (via ditto-Portweiterleitung) ist der Login ausschließlich mit ssh-Schlüssel möglich
lokal (im Hackspace-Netzwerk) ist auch der Login mit Passwort möglich

Bei deinem ersten Login musst du dich also im Hackspace befinden. Dabei solltest du deinen ssh-Schlüssel importieren (ssh-copy-id), damit du dich später auch aus dem Internet heraus anmelden kannst.

Funktionen

Unser Backup-Server für Infrastruktur und für Vereinsmitglieder.

Datenablage für alle(s)

Zugang via ssh
- mit dem persönlichen LDAP-Account (nur für Vereinsmitglieder)
Dienste / Transporte:
- borg
- rsync
die Daten in der Datenablage werden nicht gesichert (kein Backup)

TODO: zukünftig wollen wir via quota irgendwie die Speichernutzung fair teilen.

Datenträger

zwei Festplatten sind via USB angeschlossen
- LVM (lvm-lokix) auf einem RAID1
- Volume ditto-backup ist unverschlüsselt
- Volume home ist verschlüsselt

Netzwerk

angebunden an das lokale Hackspace-Netz
via VPN ditto-forwards über Computer/ditto per ssh erreichbar
via VPN ditto-services ist der LDAP-Dienst auf Computer/ditto erreichbar

Konfiguration

LDAP-Authentifikation

Pakete installieren: apt install libnss-ldapd libpam-ldapd libpam-modules
- bei der Konfigurationsfrage die Komponenten passwd, group und shadow aktiveren
Anlegen des Home-Verzeichnis bei erstem Login aktivieren: pam-auth-update

Verschlüsseltes Home-Verzeichnis

Das Dateisystem für /home/ liegt auf einem LUKS-Volume (lvm-lokix/home). Nach jedem Neustart des Rechners muss es manuell von einer der Schlüsselträger:innen geöffnet werden (siehe unten).

Die aktuellen Schlüsselträger:innen sind in der Datei /root/luks-home-keyslots.txt auf lokix zu finden.

Typische Aufgaben

Neue Schlüsselträger:in für /home/ hinzufügen

eine bisherige Schlüsselträger:in bitten, auf lokix:
1. eine screen-Sitzung zu starten
2. cryptsetup --verbose luksAddKey /dev/lvm-lokix/home auszuführen
  - --verbose sorgt für das Logging der verwendeten Keyslot-Nummern (siehe unten)
3. ein bestehendes Crypto-Passwort einzugeben
ein eigenes Passwort eingeben
in /root/luks-home-keyslots.txt den neu verwendeten Keyslot dokumentieren

/home/ nach einem Neustart entschlüsseln und mounten

cryptdisks_start lokix-home-decrypted
mount /home

Verantwortliche

polybos
lars

KategorieNetzwerk