Km.fjfi.cvut.cz
From NMS
| Servery / Služby |
| Přístupné komukoliv |
| Omezený/individuální účet |
| Služby |
| backup · DHCP · DNS · doména FJFI · eduroam · fileserver · IdM · forum · gitlab · lists · moodle · indico · mailgw · K4 · mailserver · NMS · openvpn · skolniftp · ssh · videokonference · VoIP · video · VPN · wififjfi · wiki · www |
| Učebny |
| e-sklipek · KFE unixlab · KFE pclab · PD1 · KM 105 · KM 115 |
| Ostatní |
| Network · Blokované porty |
| [edit] · [view] |
Základní informace (km)
- Správce
- Petr Vokáč
- HW
- virtuální (Xen) - paravirtualizace x86_64
- OS
- CentOS7
- Využití
- oficiální web KM, projekty lidí z KM, konference pořádané KM, ...
- Konto
- vytvářené na požádání správcem (vyhrazeno pro potřeby KM)
Instalace a konfigurace
- standardní (minimální) instalace operačního systému
- aktuálně se pro lokální uživatelské učty používají uid < 1000 (900 a výše)
- odpovídajícím způsobem upraveny konfigurace PAM modulů
- může potenciálně kolidovat se systemévými učty pro něž jsou od RHEL7 vyhrazeny uid do 1000
- aktuálně se pro lokální uživatelské učty používají uid < 1000 (900 a výše)
- standardní puppet konfigurace pro server (certifikáty, logging, monitoring, ...)
- specifický software a konfigurace
- apache
- data oficiálního webu KM uložena na standardní cestě /var/www/html
- na tomto serveru jsou virtualhosty pro weby jednotlivých výzkumných skupin na KM (hostování několika domén)
- web stránky virtualhostů jsou uložené ve www podadresáři domovského adresáře dané výzkumné skupiny
- pro spávné fungování mod_rewrite je zapotřebí povolit Options FollowSymLinks pro adresáře, kde je "RewriteEngine On" (např. pro hlavní web KM)
- mariadb
- používá se speciální rozšíření mysql-udf_charsets poskytující konverzi textu na formát bez "hacku a carek"
- nutné zkompilovat knihovnu (RPM balíček mysql-udf_charsets-1.0-1.src.rpm)
- v systémové tabulce mysql. je pak zadefinována příslušná konverzní funkce
- jméno (resp. prefix) databáze odpovídá lokálnímu účtu pro nějž byla daná databáze vytvořena
- používá se speciální rozšíření mysql-udf_charsets poskytující konverzi textu na formát bez "hacku a carek"
- postfix
- příjem pošty pro doménu @km.fjfi.cvut.cz
- komunikace výhradně přes mailgw.fjfi.cvut.cz (relay_host)
- dovecot
- výběr pošty pro doménu @km.fjfi.cvut.cz
- standardní konfigurace se SSL/TLS zabezpečením
- samba
- přístup k domovským adresářům resp. adresářům jednotlivých hostovaných výzkumných skupin KM
- autentizace proti AD, ručně zařazení uživatelé s read-only a read-write právy
- tento server byl přidán do domény pomoci net ads join
- v budoucnu budou přístupová práva řesena přes skupiny v AD
- vsftpd
- aktuálně není spuštěno kvůli problémum CentOS7 běžícím na CentOS5 Xen Dom0 (mprotect syscall issue)
- v budoucnu bude pravděpodobně úplně odstraněno kvůli špatné podpoře SSL/TLS ftp protokolu v klientech
- firewall
- apache
firewall-cmd --permanent --add-service=ssh firewall-cmd --permanent --add-service=http firewall-cmd --permanent --add-service=https firewall-cmd --permanent --add-service=pop3s firewall-cmd --permanent --add-service=imaps firewall-cmd --permanent --add-service=samba firewall-cmd --permanent --add-service=ftp firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="147.32.9.3" service name="smtp" accept' firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="147.32.9.67" service name="smtp" accept' firewall-cmd --permanent --add-rich-rule='rule family="ipv6" source address="2001:718:2:1800::3" service name="smtp" accept' firewall-cmd --permanent --add-rich-rule='rule family="ipv6" source address="2001:718:2:1900::3" service name="smtp" accept' # další specifická IP+porty pro monitoring, zálohování, ... firewall-cmd --reload
