1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
|
# Cloud-Server
Der Cloud-Server dient zum Austausch von Dateien und Informationen zwischen den Mitgliedern der Starship Factory. Er dient primär zur Bereitstellung einer NextCloud-Instanz für diese Zweck. Neben dieser ist zusätzlich ein LDAP-Server zur Benutzerverwaltung und Authentifizierung installiert.
Der Cloud-Server wurde von Bernd Kalbfuss (aka Langweiler) eingerichtet. Er wird aktuell von den folgenden Personen administriert:
| Name | Spitzname | E-Mail |
| -------------- | ---------- | ------------------------- |
| Bernd Kalbfuss | Langweiler | langweiler@rueblitorte.de |
| Fabian Thoma | | f@bianthoma.me |
## Hardware
Der Cloud-Server läuft auf einem HP ProLiant ML110-Server der vermutlich 5. Generation. Er besitzt eine CPU mit zwei Kernen. Die Leistungsdaten der CPU sind wie folgt:
| Merkmal | Wert |
| ------------- | ---- |
| Product | Intel(R) Xeon(R) CPU 3065@2.33GHz |
| Vendor | Intel Corp. |
| Physical ID | 4 |
| Bus info | cpu@0 |
| Version | C1 |
| Slot | CPU 1 |
| Size | 2012MHz |
| Capacity | 3300MHz |
| Width | 64 bits |
| Clock | 1333MHz |
| Capabilities | lm fpu fpu_exception wp vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ht tm pbe syscall nx x86-64 constant_tsc arch_perfmon pebs bts rep_good nopl cpuid aperfmperf pni dtes64 monitor ds_cpl smx est tm2 ssse3 cx16 xtpr pdcm lahf_lm pti dtherm cpufreq |
| Configuration | cores=2 enabledcores=2 threads=2 |
Der Server ist insgesamt 4 GB (2 x 2GB) RAM bestückt. Es handelt sich um SDR2 EEC RAM mit 800 MHz Taktfrequenz.
Der Server ist mit den folgenden Laufwerken (Festplatten mit Magnetspeicher) ausgestattet:
| # | Description | Product | Vendor | Physical ID | Bus info | Logical name | Version | Serial | Size |
| - | ----------- | ---------------- | --------------- | ------------ | ------------ | -------------| ------- | --------------- | -------------- |
| 0 | ATA Disk | GB0160CAABV | | 0 | scsi@0:0.0.0 | /dev/sda | HPG1 | 5RX79N7K | 149GiB (160GB) |
| 1 | ATA Disk | WDC WD10EARS-00Y | Western Digital | 1 | scsi@0:0.1.0 | /dev/sdb | 0A80 | WD-WCAV58006740 | 931GiB (1TB) |
| 2 | ATA Disk | GB0160CAABV | | 2 | scsi@1:0.0.0 | /dev/sdc | HPG1 | 5RX795WB | 149GiB (160GB) |
| 3 | ATA Disk | WDC WD10EARS-00Y | Western Digital | 3 | scsi@1:0.1.0 | /dev/sdd | 0A80 | WD-WCAV58065900 | 931GiB (1TB) |
## Netzeinbindung
Der Server ist über eine Gigabit-Ethernetschnittstelle mit dem lokalen Netz der Starship Factory verbunden.
Der primäre Hostname ist "cloud.lab.starship-factory.ch". Es sind die folgenden DNS-Einträge gesetzt:
| Netzwerk | Hostname | IPv4 | Bemerkung |
| -------- | ----------------------------- | ------------- | ---------------------------- |
| LAN | cloud.lab.starship-factory.ch | 100.64.1.200 | Interne Adresses des Servers |
| WAN | cloud.lab.starship-factory.ch | 5.226.148.123 | Externe Adresse des Routers |
Die Ports 80 (http) und 443 (https) des Routers werden auf die entsprechenden Ports des Servers weitergeleitet.
## Grundkonfiguration
### Volumen und Partitionierung
Die Laufwerke sind wie folgt partitioniert und in das Dateisystem eingebunden:
| # | Logical name | Partition | Mountpoint | Bemerkungen |
| - | ------------ | --------- | ------------------------------------ | ------------ |
| 0 | sda | sda1 | /boot | |
| | | sda2 | | |
| | | md0 | | RAID0 device |
| | | md0p1 | [SWAP] | |
| | | md0p2 | / | |
| 1 | sdb | md1 | /srv/dev-disk-by-id-md-name-debian-1 | RAID0 device |
| 2 | sdc | sdc1 | /boot | Not used |
| | | sdc2 | | |
| | | md0 | | RAID0 device |
| | | md0p1 | [SWAP] | |
| | | md0p2 | / | |
| 3 | sdd | md1 | /srv/dev-disk-by-id-md-name-debian-1 | RAID0 device |
Die RAID-Speicher sind als Soft-Raids mittels md konfiguriert. Der Bootloader Grub ist im MBR des Laufwerks sda installiert. Er ist so konfiguriert, dass er aus der Partition sda1 bootet.
### Betriebssystem
Als Betriebssystem kommt GNU/Linux zum Einsatz. Als Distribution wird OpenMediaVault, welches auf Debian basiert.
Die Web-Konfigurationsoberfläche von OpenMediaVault ist über die folgenden Adressen zu erreichen:
| Protokoll | URL |
| --------- | --------------------- |
| http | http://<host\>:5000/ |
| https | https://<host\>:5001/ |
Die Anmeldung erfolgt mittels des Benutzers *admin* oder einem anderen zuvor angelegten Benutzerkontos.
Das Verzeichnis */var/lib/docker/volumes* wurde mittels eines symbolischen Links vom Wurzeldateisystem auf *md0p2* in das Verzeichnis */srv/dev-disk-by-id-md-name-debian-1/docker/volumes* auf der grösseren Datenpartition *md1* verlagert.
### Sicherheit
Um die Sicherheit zu erhöhen, wurde die *Uncomplicated Firewall (ufw)* installiert und aktiviert. Die *default policy* ist *deny*. Die folgenden Ports wurden für den externen Zugriff explizit freigegeben:
To Action From
-- ------ ----
22/tcp ALLOW Anywhere
80/tcp ALLOW Anywhere
443/tcp ALLOW Anywhere
Samba ALLOW Anywhere
21/tcp ALLOW Anywhere
115/tcp ALLOW Anywhere
5001 ALLOW Anywhere
5000 ALLOW Anywhere
389 ALLOW 172.0.0.0/8
8091 ALLOW Anywhere
22/tcp (v6) ALLOW Anywhere (v6)
80/tcp (v6) ALLOW Anywhere (v6)
443/tcp (v6) ALLOW Anywhere (v6)
Samba (v6) ALLOW Anywhere (v6)
21/tcp (v6) ALLOW Anywhere (v6)
115/tcp (v6) ALLOW Anywhere (v6)
5001 (v6) ALLOW Anywhere (v6)
5000 (v6) ALLOW Anywhere (v6)
8091 (v6) ALLOW Anywhere (v6)
Weiterhin wurde das Paket *fail2ban* installiert, um *brute force*-Angriffen vorzubeugen.
Die Möglichkeit der Anmeldung von *root* mittels *SSH* wurde deaktiviert.
### Nginx
Auf dem Server ist ein Nginx Web-Server installiert und als inverser Proxy konfiguriert. Über diesen werden externe Http-Anfragen an Docker-Container weitergeleitet und gegebenenfalls verschlüsselt (Https).
Die Konfiguration ist in der Datei */etc/nginx/sites-available* hinterlegt. Die Konfiguration ist durch Verlinkung in das Verzeichnis */etc/nginx/sites-enabled* aktiviert.
**/etc/nginx/sites-available/nextcloud-reverse-proxy**
server {
listen 80;
server_name cloud.lab.starship-factory.ch localhost;
if ($host = cloud.lab.starship-factory.ch) {
return 301 https://$host$request_uri;
} # managed by Certbot
}
server {
listen 443 ssl;
server_name cloud.lab.starship-factory.ch;
# If you use Lets Encrypt, you should just need to change the domain.
# Otherwise, change this to the path to full path to your domains public certificate file.
ssl_certificate /etc/letsencrypt/live/cloud.lab.starship-factory.ch/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/cloud.lab.starship-factory.ch/privkey.pem; # managed by Certbot
# Defining option to share SSL Connection with Passed Proxy
#ssl_session_cache builtin:1000 shared:SSL:10m;
# Defining used protocol versions.
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
# Defining ciphers to use.
ssl_ciphers HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;
# Enabling ciphers
ssl_prefer_server_ciphers on;
# Log Location. the Nginx User must have R/W permissions. Usually by ownership.
access_log /var/log/nginx/access.log;
location / {
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_pass http://cloud.lab.starship-factory.ch:8080;
proxy_read_timeout 90;
}
}
Die SSL-Zertifikate wurden mittels Let's Encrypt certbot erstellt und werden regelmässig erneuert. Hier zu ist das folgende Skript im Verzeichnis */etc/cron.monthly/* hinterlegt.
**renew-certificates**
#!/bin/bash
# Renew all let's encrypt certificates
/usr/bin/certbot renew -n
## Backup
Zur Sicherung aller Daten wurde eine externe Sicherung mittels *BackupPC* eingerichtet. Die Sicherung erfolgt auf dem Backup-Server *rueblitorte.de*, welcher sich physikalisch in D-79576 Weil am Rhein, Deutschland befindet. Der Server wird von Bernd Kalbfuss (aka Langweiler) betrieben.
Für den Zugriff mittels SSH wurde der Benutzer *backuppc* angelegt und der Gruppe *ssh* hinzugefügt. Die Authentifizierung erfolgt mittels eines Schlüsselpaares. Dem Benutzer wurden beschränkte sudo-Rechte eingeräumt:
**/etc/sudoers**
...
# Allow backuppc user to run rsync with root privileges
backuppc ALL=(root) NOPASSWD: /usr/bin/rsync, /usr/local/bin/backup-mode, /usr/local/bin/production-mode
...
Um den Rechner in einen für das Backup sicheren Modus zu bringen und im Anschluss wieder zu reaktivieren, wurden zwei Skripte erstellt. Diese werden von BackupPC vor und nach dem Backup ausgeführt.
**/usr/local/bin/backup-mode**
#!/bin/bash
echo "Switching host to backup mode."
# Stop all docker containers
/usr/bin/systemctl stop docker
**/usr/local/bin/production-mode**
#!/bin/bash
echo "Switching host to production mode."
# Stop all docker containers
/usr/bin/systemctl start docker
## NextCloud
### Docker
Die NextCloud wurde mittels Docker-Containern eingerichtet. Konkret wurden hierfür die folgenden Images von hub.docker.com mittels *docker pull* gezogen:
| Repository | Tag | Image ID | Created | Size |
| ---------- | ------ | ------------ | ----------- | ----- |
| nextcloud | latest | a7a0780a23a7 | 2 weeks ago | 835MB |
| mariadb | latest | e27cf5bc24fe | 3 weeks ago | 401MB |
Die Container wurden mittels *docker-compose* anhand der folgenden Datei erstellt:
**docker-compse.yml**
version: '3'
networks:
nextcloud:
volumes:
nextcloud:
db:
services:
db:
image: mariadb
container_name: database
restart: always
command: --transaction-isolation=READ-COMMITTED --binlog-format=ROW
volumes:
- db:/var/lib/mysql
networks:
- nextcloud
environment:
- MYSQL_ROOT_PASSWORD=YuuQPyZ6Rne5HjES
- MYSQL_PASSWORD=QixZ7yRq1ZxtcSBv
- MYSQL_DATABASE=nextcloud
- MYSQL_USER=nextcloudQixZ7yRq1ZxtcSBv
app:
image: nextcloud
container_name: nextcloud
restart: always
ports:
- 8080:80
links:
- db
volumes:
- nextcloud:/var/www/html
networks:
- nextcloud
environment:
- MYSQL_PASSWORD=QixZ7yRq1ZxtcSBv
- MYSQL_DATABASE=nextcloud
- MYSQL_USER=nextcloud
- MYSQL_HOST=db
- NEXTCLOUD_TRUSTED_DOMAINS=cloud.lab.starship-factory.ch
### Konfiguration
Damit integrierte Apps, insbesondere OnlyOffice in Kombination mit dem inversen Proxy und der Weiterleitung von *Http* auf *Https* funktionieren, wurde in der Datei *config.php* der Eintrag *overwrite.cli.url* auf '' und die Einstellung *overwriteprotocol* auf 'https' gesetzt. Außerdem wurde der vollständige Name des Hosts unter *trusted_domains* eingetragen.
**config.php**
...
'trusted_domains' =>
array (
0 => 'cloud.lab.starship-factory.ch',
),
'overwrite.cli.url' => '',
'overwriteprotocol' => 'https',
...
Die Datei *config.php* befindet sich im Docker-Volumen *nextcloud_nextcloud*, welches im Verzeichnis */srv/dev-disk-by-id-md-name-debian-1/docker/volumes/nextcloud_nextcloud/*
gespeichert ist.
### LDAP
...
### Apps
Die folgenden Apps wurden in NextCloud deaktiviert, da sie mit der Anwendung OnlyOffice kollidieren:
* Collabora Online - Built-in CODE Server
* Collabora Online
Die folgenden Anwendungen wurden zusätzlich installiert und aktiviert:
* Community Document Server
* ONLYOFFICE
* Group Folders
* Decks
* Tasks
* Circles
* Announcements
* Notes
|
