Gandolf: Unterschied zwischen den Versionen
Aus Stratum 0
(info about sandbox.stratum0.org/v1.html) |
(touched-it-last maintenance) |
||
(6 dazwischenliegende Versionen von 4 Benutzern werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
{{Hardware | {{Hardware | ||
− | |kontakt=[[Benutzer:Kasalehlia|Kasalehlia]], [[Benutzer:Daniel Bohrer|Daniel Bohrer]] | + | |kontakt=[[Benutzer:Kasalehlia|Kasalehlia]], [[Benutzer:Daniel Bohrer|Daniel Bohrer]], [[Benutzer:Emantor|Emantor]] |
|status=working | |status=working | ||
− | |ort=[[ | + | |ort=[[endur]] |
|beschreibung=Web-Proxy für andere VMs | |beschreibung=Web-Proxy für andere VMs | ||
}} | }} | ||
Zeile 29: | Zeile 29: | ||
== Doku == | == Doku == | ||
* Debian jessie mit systemd (be warned!) | * Debian jessie mit systemd (be warned!) | ||
− | * externes Netz: eth0 144.76.9.122, per DHCP über Host-Bridge auf [[ | + | * externes Netz: eth0 144.76.9.122, per DHCP über Host-Bridge auf [[endur]] |
* internes Netz: eth1 192.168.122.2/24, statisch über <tt>/etc/network/interfaces</tt> | * internes Netz: eth1 192.168.122.2/24, statisch über <tt>/etc/network/interfaces</tt> | ||
* nginx: | * nginx: | ||
Zeile 36: | Zeile 36: | ||
** LetsEncrypt/certbot Certs in <tt>/etc/letsencrypt</tt>, nginx-Config in <tt>/etc/nginx/letsencrypt.conf</tt> | ** LetsEncrypt/certbot Certs in <tt>/etc/letsencrypt</tt>, nginx-Config in <tt>/etc/nginx/letsencrypt.conf</tt> | ||
** Genereller Redirect von http auf https und HTTPS Strict Transport Security | ** Genereller Redirect von http auf https und HTTPS Strict Transport Security | ||
− | ** sandbox.stratum0.org wird direkt gehostet | + | ** sandbox.stratum0.org wird direkt gehostet |
+ | *** sandbox.stratum0.org/blog als Proxy auf [[regolas]] für Blog-Preview | ||
* Port Forwardings: | * Port Forwardings: | ||
** 2222/tcp → [[theodem]]:22 (SSH für Vorstands-gitolite) | ** 2222/tcp → [[theodem]]:22 (SSH für Vorstands-gitolite) | ||
Zeile 42: | Zeile 43: | ||
** 64738/tcp,udp → [[telmir]] (Mumble) | ** 64738/tcp,udp → [[telmir]] (Mumble) | ||
** 61553/tcp,udp → [[fredo]] (tinc)) | ** 61553/tcp,udp → [[fredo]] (tinc)) | ||
− | |||
− | |||
** 113/tcp → [[metiadoc]] (identd für IRC-Bridge) | ** 113/tcp → [[metiadoc]] (identd für IRC-Bridge) | ||
* LetsEncrypt: | * LetsEncrypt: | ||
Zeile 58: | Zeile 57: | ||
Host telmir smaut huryn errond-1 jamwise gitli | Host telmir smaut huryn errond-1 jamwise gitli | ||
− | + | ProxyJump gandolf | |
== Log == | == Log == |
Aktuelle Version vom 1. September 2024, 21:46 Uhr
Gandolf | |
---|---|
Beschreibung: | Web-Proxy für andere VMs |
Ort: | endur |
Status: | working (Was heißt das?) |
Kontakt: | Kasalehlia, Daniel Bohrer, Emantor |
Inhaltsverzeichnis
SSH-Keys
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 $ for i in /etc/ssh/ssh_host_*pub; do ssh-keygen -lf $i; done 1024 18:3e:7a:c4:ab:65:51:7e:d7:16:3d:49:c7:32:9e:ac /etc/ssh/ssh_host_dsa_key.pub (DSA) 256 a4:87:d0:ad:9e:f3:23:5d:6e:f8:fc:de:e8:7a:e9:bf /etc/ssh/ssh_host_ecdsa_key.pub (ECDSA) 256 0b:10:73:c5:30:18:ea:eb:8a:00:88:4d:1e:91:58:cc /etc/ssh/ssh_host_ed25519_key.pub (ED25519) 2048 fd:1a:65:07:17:97:ff:d4:da:05:2a:c1:30:28:c1:a0 /etc/ssh/ssh_host_rsa_key.pub (RSA) -----BEGIN PGP SIGNATURE----- Version: GnuPG v1 iQEcBAEBCgAGBQJVXljeAAoJEMOZylE6vjlS+ecIAJn+C4Otfvv8l6nZ0nsZuxzx okKAu7ayUMAuZ0E/ZqNBnx6tpFpgVXq9AX9g7ZbxUgjm9poi6wKwd2r7c9ZSAFlp N9uVIR8WD5knKaLXL94mgiaBHTbeXS1Gzn1Jk46AiI+3M3ZutUmMTeEC2S7rVrbS NW0fME6UDFyy3eGINaIH1ntgSppxKAFnB5gCbRSQgRG8Qxer0UYAyqHzRBBdkw1v oU0adDBNiGvHjFMVsw9vboPQQG1nTNnbcJmffuVuDMypPDPxS5SygbbJCx6v77VW 6xLE4TV+Nxg5OivDOhyW85zn4Nyfgz213+4io168wX9Sy5Ry19K5gYRYjy4Yhv8= =EnWC -----END PGP SIGNATURE-----
Doku
- Debian jessie mit systemd (be warned!)
- externes Netz: eth0 144.76.9.122, per DHCP über Host-Bridge auf endur
- internes Netz: eth1 192.168.122.2/24, statisch über /etc/network/interfaces
- nginx:
- Sites debian-typisch in /etc/nginx/sites-enabled/
- SSL-Config in /etc/nginx/ssl_params wird von allen Sites inkludiert -> zentrale Konfiguration von Ciphers etc.
- LetsEncrypt/certbot Certs in /etc/letsencrypt, nginx-Config in /etc/nginx/letsencrypt.conf
- Genereller Redirect von http auf https und HTTPS Strict Transport Security
- sandbox.stratum0.org wird direkt gehostet
- sandbox.stratum0.org/blog als Proxy auf regolas für Blog-Preview
- Port Forwardings:
- LetsEncrypt:
- Relevante Doku in /usr/share/doc/letsencrypt.sh/
- neue Domains in /etc/letsencrypt.sh/domains.txt eintragen
- Hook in /etc/letsencrypt.sh/hooks.sh: aktualisiert DNS-TLSA-Records, wartet TTL ab und deployt Certs nach /var/lib/letsencrypt.sh/live-certs/
- in cron.daily: letsencrypt.sh -c -k /etc/letsencrypt.sh/hooks.sh; systemctl restart nginx
- für Tests bitte unbedingt die staging-API ohne Rate Limiting benutzen, siehe CA=... in /etc/letsencrypt.sh/config.sh
SSH-Proxy per Gandolf
Host gandolf HostName gandolf.stratum0.org Host telmir smaut huryn errond-1 jamwise gitli ProxyJump gandolf
Log
- jessie-backports hinzugefügt und letsencrypt.sh installiert --Daniel Bohrer 22:49, 19. Okt. 2016 (CEST)
- unattended-upgrades eingerichtet, erstmal nur aus debian-security. siehe /etc/apt/apt.conf.d/02.periodic und /etc/cron.daily/apt für Doku --Daniel Bohrer 01:28, 23. Mai 2015 (CEST)
- /etc/nginx/ssl_params: remove Google DNS resolver for privacy reasons, remove resolve time directive --Daniel Bohrer 03:12, 22. Mai 2015 (CEST)
- Diese Seite in /etc/motd erwähnt. --Daniel Bohrer 03:12, 22. Mai 2015 (CEST)
- Initial Setup, 20. Mai 2015, shoragan & Kasa