summaryrefslogtreecommitdiff
path: root/Infrastruktur
diff options
context:
space:
mode:
authorIkiWiki <ikiwiki.info>2021-03-29 21:37:30 +0200
committerIkiWiki <ikiwiki.info>2021-03-29 21:37:30 +0200
commitc1828af339556ab9ddf77612d0397a086739601d (patch)
treeadcb525213329b73045a479a21d9f96c9e021858 /Infrastruktur
parent93d53b4c503ca5ff0cf0e1ef228a6409b4f39c48 (diff)
parent25cdda5db5129012183abad1a4809e47d8ba4d5a (diff)
Merge branch 'master' of /var/lib/gitolite3/repositories/wiki.starship-factory.ch
Diffstat (limited to 'Infrastruktur')
-rw-r--r--Infrastruktur/Cloud-Server.mdwn267
1 files changed, 129 insertions, 138 deletions
diff --git a/Infrastruktur/Cloud-Server.mdwn b/Infrastruktur/Cloud-Server.mdwn
index 92cd427f..8fe9391b 100644
--- a/Infrastruktur/Cloud-Server.mdwn
+++ b/Infrastruktur/Cloud-Server.mdwn
@@ -96,29 +96,27 @@ Das Verzeichnis */var/lib/docker/volumes* wurde mittels eines symbolischen Links
Um die Sicherheit zu erhöhen, wurde die *Uncomplicated Firewall (ufw)* installiert und aktiviert. Die *default policy* ist *deny*. Die folgenden Ports wurden für den externen Zugriff explizit freigegeben:
-```
-To Action From
--- ------ ----
-22/tcp ALLOW Anywhere
-80/tcp ALLOW Anywhere
-443/tcp ALLOW Anywhere
-Samba ALLOW Anywhere
-21/tcp ALLOW Anywhere
-115/tcp ALLOW Anywhere
-5001 ALLOW Anywhere
-5000 ALLOW Anywhere
-389 ALLOW 172.0.0.0/8
-8091 ALLOW Anywhere
-22/tcp (v6) ALLOW Anywhere (v6)
-80/tcp (v6) ALLOW Anywhere (v6)
-443/tcp (v6) ALLOW Anywhere (v6)
-Samba (v6) ALLOW Anywhere (v6)
-21/tcp (v6) ALLOW Anywhere (v6)
-115/tcp (v6) ALLOW Anywhere (v6)
-5001 (v6) ALLOW Anywhere (v6)
-5000 (v6) ALLOW Anywhere (v6)
-8091 (v6) ALLOW Anywhere (v6)
-```
+ To Action From
+ -- ------ ----
+ 22/tcp ALLOW Anywhere
+ 80/tcp ALLOW Anywhere
+ 443/tcp ALLOW Anywhere
+ Samba ALLOW Anywhere
+ 21/tcp ALLOW Anywhere
+ 115/tcp ALLOW Anywhere
+ 5001 ALLOW Anywhere
+ 5000 ALLOW Anywhere
+ 389 ALLOW 172.0.0.0/8
+ 8091 ALLOW Anywhere
+ 22/tcp (v6) ALLOW Anywhere (v6)
+ 80/tcp (v6) ALLOW Anywhere (v6)
+ 443/tcp (v6) ALLOW Anywhere (v6)
+ Samba (v6) ALLOW Anywhere (v6)
+ 21/tcp (v6) ALLOW Anywhere (v6)
+ 115/tcp (v6) ALLOW Anywhere (v6)
+ 5001 (v6) ALLOW Anywhere (v6)
+ 5000 (v6) ALLOW Anywhere (v6)
+ 8091 (v6) ALLOW Anywhere (v6)
Weiterhin wurde das Paket *fail2ban* installiert, um *brute force*-Angriffen vorzubeugen.
@@ -131,55 +129,53 @@ Auf dem Server ist ein Nginx Web-Server installiert und als inverser Proxy konfi
Die Konfiguration ist in der Datei */etc/nginx/sites-available* hinterlegt. Die Konfiguration ist durch Verlinkung in das Verzeichnis */etc/nginx/sites-enabled* aktiviert.
**/etc/nginx/sites-available/nextcloud-reverse-proxy**
-```
-server {
- listen 80;
- server_name cloud.lab.starship-factory.ch localhost;
-
- if ($host = cloud.lab.starship-factory.ch) {
- return 301 https://$host$request_uri;
- } # managed by Certbot
-}
-
-server {
- listen 443 ssl;
- server_name cloud.lab.starship-factory.ch;
-
- # If you use Lets Encrypt, you should just need to change the domain.
- # Otherwise, change this to the path to full path to your domains public certificate file.
- ssl_certificate /etc/letsencrypt/live/cloud.lab.starship-factory.ch/fullchain.pem; # managed by Certbot
- ssl_certificate_key /etc/letsencrypt/live/cloud.lab.starship-factory.ch/privkey.pem; # managed by Certbot
- # Defining option to share SSL Connection with Passed Proxy
- #ssl_session_cache builtin:1000 shared:SSL:10m;
- # Defining used protocol versions.
- ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
- # Defining ciphers to use.
- ssl_ciphers HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;
- # Enabling ciphers
- ssl_prefer_server_ciphers on;
- # Log Location. the Nginx User must have R/W permissions. Usually by ownership.
- access_log /var/log/nginx/access.log;
-
- location / {
- proxy_set_header Host $host;
- proxy_set_header X-Real-IP $remote_addr;
- proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
- proxy_set_header X-Forwarded-Proto $scheme;
- proxy_pass http://cloud.lab.starship-factory.ch:8080;
- proxy_read_timeout 90;
+
+ server {
+ listen 80;
+ server_name cloud.lab.starship-factory.ch localhost;
+
+ if ($host = cloud.lab.starship-factory.ch) {
+ return 301 https://$host$request_uri;
+ } # managed by Certbot
+ }
+
+ server {
+ listen 443 ssl;
+ server_name cloud.lab.starship-factory.ch;
+
+ # If you use Lets Encrypt, you should just need to change the domain.
+ # Otherwise, change this to the path to full path to your domains public certificate file.
+ ssl_certificate /etc/letsencrypt/live/cloud.lab.starship-factory.ch/fullchain.pem; # managed by Certbot
+ ssl_certificate_key /etc/letsencrypt/live/cloud.lab.starship-factory.ch/privkey.pem; # managed by Certbot
+ # Defining option to share SSL Connection with Passed Proxy
+ #ssl_session_cache builtin:1000 shared:SSL:10m;
+ # Defining used protocol versions.
+ ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
+ # Defining ciphers to use.
+ ssl_ciphers HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;
+ # Enabling ciphers
+ ssl_prefer_server_ciphers on;
+ # Log Location. the Nginx User must have R/W permissions. Usually by ownership.
+ access_log /var/log/nginx/access.log;
+
+ location / {
+ proxy_set_header Host $host;
+ proxy_set_header X-Real-IP $remote_addr;
+ proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
+ proxy_set_header X-Forwarded-Proto $scheme;
+ proxy_pass http://cloud.lab.starship-factory.ch:8080;
+ proxy_read_timeout 90;
+ }
}
-}
-```
Die SSL-Zertifikate wurden mittels Let's Encrypt certbot erstellt und werden regelmässig erneuert. Hier zu ist das folgende Skript im Verzeichnis */etc/cron.monthly/* hinterlegt.
**renew-certificates**
-```
-#!/bin/bash
-# Renew all let's encrypt certificates
-/usr/bin/certbot renew -n
-```
+ #!/bin/bash
+
+ # Renew all let's encrypt certificates
+ /usr/bin/certbot renew -n
## Backup
@@ -188,34 +184,31 @@ Zur Sicherung aller Daten wurde eine externe Sicherung mittels *BackupPC* einger
Für den Zugriff mittels SSH wurde der Benutzer *backuppc* angelegt und der Gruppe *ssh* hinzugefügt. Die Authentifizierung erfolgt mittels eines Schlüsselpaares. Dem Benutzer wurden beschränkte sudo-Rechte eingeräumt:
**/etc/sudoers**
-```
-...
-# Allow backuppc user to run rsync with root privileges
-backuppc ALL=(root) NOPASSWD: /usr/bin/rsync, /usr/local/bin/backup-mode, /usr/local/bin/production-mode
-...
-```
+
+ ...
+ # Allow backuppc user to run rsync with root privileges
+ backuppc ALL=(root) NOPASSWD: /usr/bin/rsync, /usr/local/bin/backup-mode, /usr/local/bin/production-mode
+ ...
Um den Rechner in einen für das Backup sicheren Modus zu bringen und im Anschluss wieder zu reaktivieren, wurden zwei Skripte erstellt. Diese werden von BackupPC vor und nach dem Backup ausgeführt.
**/usr/local/bin/backup-mode**
-```
-#!/bin/bash
-
-echo "Switching host to backup mode."
-# Stop all docker containers
-/usr/bin/systemctl stop docker
-```
+ #!/bin/bash
+
+ echo "Switching host to backup mode."
+
+ # Stop all docker containers
+ /usr/bin/systemctl stop docker
**/usr/local/bin/production-mode**
-```
-#!/bin/bash
-echo "Switching host to production mode."
-
-# Stop all docker containers
-/usr/bin/systemctl start docker
-```
+ #!/bin/bash
+
+ echo "Switching host to production mode."
+
+ # Stop all docker containers
+ /usr/bin/systemctl start docker
## NextCloud
@@ -231,66 +224,64 @@ Die NextCloud wurde mittels Docker-Containern eingerichtet. Konkret wurden hierf
Die Container wurden mittels *docker-compose* anhand der folgenden Datei erstellt:
**docker-compse.yml**
-```
-version: '3'
-
-networks:
- nextcloud:
-
-volumes:
- nextcloud:
- db:
-
-services:
- db:
- image: mariadb
- container_name: database
- restart: always
- command: --transaction-isolation=READ-COMMITTED --binlog-format=ROW
- volumes:
- - db:/var/lib/mysql
+
+ version: '3'
+
networks:
- - nextcloud
- environment:
- - MYSQL_ROOT_PASSWORD=YuuQPyZ6Rne5HjES
- - MYSQL_PASSWORD=QixZ7yRq1ZxtcSBv
- - MYSQL_DATABASE=nextcloud
- - MYSQL_USER=nextcloudQixZ7yRq1ZxtcSBv
- app:
- image: nextcloud
- container_name: nextcloud
- restart: always
- ports:
- - 8080:80
- links:
- - db
+ nextcloud:
+
volumes:
- - nextcloud:/var/www/html
- networks:
- - nextcloud
- environment:
- - MYSQL_PASSWORD=QixZ7yRq1ZxtcSBv
- - MYSQL_DATABASE=nextcloud
- - MYSQL_USER=nextcloud
- - MYSQL_HOST=db
- - NEXTCLOUD_TRUSTED_DOMAINS=cloud.lab.starship-factory.ch
-```
+ nextcloud:
+ db:
+
+ services:
+ db:
+ image: mariadb
+ container_name: database
+ restart: always
+ command: --transaction-isolation=READ-COMMITTED --binlog-format=ROW
+ volumes:
+ - db:/var/lib/mysql
+ networks:
+ - nextcloud
+ environment:
+ - MYSQL_ROOT_PASSWORD=YuuQPyZ6Rne5HjES
+ - MYSQL_PASSWORD=QixZ7yRq1ZxtcSBv
+ - MYSQL_DATABASE=nextcloud
+ - MYSQL_USER=nextcloudQixZ7yRq1ZxtcSBv
+ app:
+ image: nextcloud
+ container_name: nextcloud
+ restart: always
+ ports:
+ - 8080:80
+ links:
+ - db
+ volumes:
+ - nextcloud:/var/www/html
+ networks:
+ - nextcloud
+ environment:
+ - MYSQL_PASSWORD=QixZ7yRq1ZxtcSBv
+ - MYSQL_DATABASE=nextcloud
+ - MYSQL_USER=nextcloud
+ - MYSQL_HOST=db
+ - NEXTCLOUD_TRUSTED_DOMAINS=cloud.lab.starship-factory.ch
### Konfiguration
Damit integrierte Apps, insbesondere OnlyOffice in Kombination mit dem inversen Proxy und der Weiterleitung von *Http* auf *Https* funktionieren, wurde in der Datei *config.php* der Eintrag *overwrite.cli.url* auf '' und die Einstellung *overwriteprotocol* auf 'https' gesetzt. Außerdem wurde der vollständige Name des Hosts unter *trusted_domains* eingetragen.
**config.php**
-```
- ...
- 'trusted_domains' =>
- array (
- 0 => 'cloud.lab.starship-factory.ch',
- ),
- 'overwrite.cli.url' => '',
- 'overwriteprotocol' => 'https',
- ...
-```
+
+ ...
+ 'trusted_domains' =>
+ array (
+ 0 => 'cloud.lab.starship-factory.ch',
+ ),
+ 'overwrite.cli.url' => '',
+ 'overwriteprotocol' => 'https',
+ ...
Die Datei *config.php* befindet sich im Docker-Volumen *nextcloud_nextcloud*, welches im Verzeichnis */srv/dev-disk-by-id-md-name-debian-1/docker/volumes/nextcloud_nextcloud/*
gespeichert ist.