hack-hro wiki
  • Kommentare
  • Geschützte Seite
  • Menu
    • Navigation
    • AktuelleÄnderungen
    • SeiteFinden
    • ÜbersichtsKarte
    • Help
    • HilfeInhalt
    • HilfeZurMoinWikiSyntax
    • Anzeige
    • Dateianhänge
    • Info
    • Rohform
    • Druckansicht
    • Actions
    • HoverCraft
    • GraphVizCleanup
    • Editieren
    • Laden
    • Speichern
  • Anmelden

Navigation

  • StartSeite
  • AktuelleÄnderungen
  • SeiteFinden
  • HilfeInhalt

Seiteninhalt hochladen

Sie können für die unten genannte Seite Inhalt hochladen. Wenn Sie den Seitennamen ändern, können Sie auch Inhalt für eine andere Seite hochladen. Wenn der Seitenname leer ist, leiten wir den Seitennamen vom Dateinamen ab.

Datei, aus der der Seiteninhalt geladen wird
Seitenname
Kommentar

hack-hro wiki:
  • Protokoll_20170226 Serverkram

zurück zur Protokoll-Übersicht

Datum
2017-02-26
Thema
Serverkram
Anwesende
Konrad, Georg, Johann, Jan-Peter, Steffi, Oyla
Ort
Hackspace

Inhaltsverzeichnis

  1. Allgemeines
  2. tinc
  3. bridge für container
  4. ferm
  5. dnsmasq
  6. libvirt
  7. Was noch fehlt
  8. Nachtrag 27. 02. 05:35

Allgemeines

  • wir haben ditto in den dns aufgenommen (ditto.nodes.hack-hro.de) und auch den rDNS Eintrag entsprechend geändert
  • wir haben poweradmin aktualisiert
    • dazu muss man zuerst das passwort der owner rolle aus dem dns container auf pummeluff besorgen (/etc/powerdns/pdns.d/pdns.pgsql.conf)
    • danach muss poweradmin neu installiert werden. es liegt unter /var/www/poweradmin. ein git fetch --all und checkout des aktuellen tags erstellt den install ordner
    • der installationsprozess ist recht einfach
    • ein neues admin passwort wurde erzeugt und ist im besitz von konrad
  • "cgroups=memory" als boot parameter in Grub Config hinzugefügt, um RAM Management in LXC zu erlauben

tinc

  • apt-get install tinc

  • tinc hackhro netz eingerichtet (tincd -n hackhro -K4096)
  • ditto hat die ip 10.42.200.132 (basierend auf der pokedex nummer)
  • tinc ist so konfiguriert, dass es sich automatisch mit pummeluff verbindet
  • ipv6 adresse haben wir auf dem tinc interface noch nicht eingerichtet
  • den tinc public key von ditto haben wir auf pummeluff kopiert
  • wesentliche konfigurationsparameter finden sich in /etc/tinc/hackhro/tinc.conf und /etc/tinc/hackhro/tinc-up

bridge für container

  • apt install bridge-utils

  • bridge eingerichtet für nutzung in containern
  • bridge heißt virt-bridge
  • ip ist 10.1.0.1

ferm

  • apt install ferm

  • ferm ist persistentes iptables in schön
  • zusätzliche Freigabe für Port 23 (/etc/ferm/ferm.conf)

dnsmasq

  • apt-get install dnsmasq

  • dnsmasq dient uns als lokaler dns resolver für unsere container
  • in /etc/dnsmasq.d/hackhro findet sich die konfiguration
  • hosts können in /etc/hosts.virt definiert werden
  • aktuell ist nur der web container mit 10.1.0.50 definiert
  • die dns-einträge in /etc/resolv.conf haben wir ersetzt, auf das dnsmasq alles für uns auflöst und lokales dns-caching macht

libvirt

  • apt-get install libvirt-bin --no-install-recommend

  • wir nutzen libvirt um unsere container zu verwalten
  • wir haben den web-container mit lxc-create -n web -t debian erzeugt
  • der web container wird automatisch in /var/lib/lxc/web angelegt
  • innerhalb dieses verzeichnisses liegen zwei config dateien (die irrelevant sind und ignoriert werden, weil die verwaltung mit libvirt erfolgen wird) und der ordner rootfs
  • den import in libvirt haben wir mit virt-manager gemacht. der host hat 384 mb ram bekommen und nutzt das netzwerk bridge-virt
  • danach haben wir folgende konfiguration im rootfs des web containers vorgenommen
    • in /etc/network/interfaces die statische ip konfiguriert
    • in /etc/resolv den nameserver 10.1.0.1 eingetragen
    • in /root/.ssh/authorized_keys den SSH key vom root des hosts eingetragen

    • man kommt vom Host aus per ssh web auf den Container

Was noch fehlt

  1. prüfen, warum ssh auf web so lange dauert
  2. ferm so konfigurieren, dass Traffic aus 10.1.0.* nach außen geroutet wird
  3. IPv6

Nachtrag 27. 02. 05:35

Punkt 1 und 2 von der Liste der übrig gebliebenen Aufgaben sind jetzt behoben. Punkt 1 wurde durch die noch fehlende DNS Rückauflösung verursacht und ist Zuge von Punkt 2 gelöst worden.

KategorieProtokoll

  • MoinMoin Powered
  • Python Powered
  • GPL licensed
  • Valid HTML 4.01