Difference between revisions of "Km.fjfi.cvut.cz"

From NMS
Jump to: navigation, search
(Redirecting to Www.km)
 
Line 1: Line 1:
#REDIRECT [[www.km]]
+
{{Servers}}
 +
 
 +
=Základní informace ([http://km.fjfi.cvut.cz km])=
 +
 
 +
;Správce : [http://nms.fjfi.cvut.cz/user/who.php?uid=vokacpet Petr Vokáč]
 +
;HW : virtuální (Xen) - paravirtualizace x86_64
 +
;OS : [http://www.centos.org CentOS7]
 +
;Využití : oficiální web KM, projekty lidí z KM, konference pořádané KM, ...
 +
;Konto : vytvářené na požádání správcem (vyhrazeno pro potřeby KM)
 +
 
 +
=Instalace a konfigurace=
 +
* standardní (minimální) instalace operačního systému
 +
* standardní puppet konfigurace pro server (certifikáty, logging, monitoring, ...)
 +
* specifický software a konfigurace
 +
** apache
 +
*** na tomto serveru jsou virtualhosty pro weby jednotlivých výzkumných skupin na KM (hostování několika domén)
 +
** mariadb
 +
*** používá se speciální rozšíření mysql-udf_charsets poskytující konverzi textu na formát bez "hacku a carek"
 +
**** nutné zkompilovat knihovnu (RPM balíček <tt>mysql-udf_charsets-1.0-1.src.rpm</tt>)
 +
**** v systémové tabulce <tt>mysql.</tt> je pak zadefinována příslušná konverzní funkce
 +
** postfix
 +
*** příjem pošty pro doménu <tt>@km.fjfi.cvut.cz</tt>
 +
*** komunikace výhradně přes <tt>mailgw.fjfi.cvut.cz</tt>
 +
** dovecot
 +
*** výběr pošty pro doménu <tt>@km.fjfi.cvut.cz</tt>
 +
*** standardní konfigurace se SSL/TLS zabezpečením
 +
** samba
 +
*** přístup k domovským adresářům resp. adresářům jednotlivých hostovaných výzkumných skupin KM
 +
*** autentizace proti AD, ručně zařazení uživatelé s read-only a read-write právy
 +
**** tento server byl přidán do domény pomoci <tt>net ads join</tt>
 +
**** v budoucnu budou přístupová práva řesena přes skupiny v AD
 +
** vsftpd
 +
*** aktuálně není spuštěno kvůli problémum CentOS7 běžícím na CentOS5 Xen Dom0 (mprotect syscall issue)
 +
*** v budoucnu bude pravděpodobně úplně odstraněno kvůli špatné podpoře SSL/TLS ftp protokolu v klientech
 +
** firewall
 +
firewall-cmd --permanent --add-service=ssh
 +
firewall-cmd --permanent --add-service=http
 +
firewall-cmd --permanent --add-service=https
 +
firewall-cmd --permanent --add-service=pop3s
 +
firewall-cmd --permanent --add-service=imaps
 +
firewall-cmd --permanent --add-service=samba
 +
firewall-cmd --permanent --add-service=ftp
 +
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="147.32.9.3" service name="smtp" accept'
 +
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="147.32.9.67" service name="smtp" accept'
 +
firewall-cmd --permanent --add-rich-rule='rule family="ipv6" source address="2001:718:2:1800::3" service name="smtp" accept'
 +
firewall-cmd --permanent --add-rich-rule='rule family="ipv6" source address="2001:718:2:1900::3" service name="smtp" accept'
 +
# další specifická IP+porty pro monitoring, zálohování, ...
 +
firewall-cmd --reload

Revision as of 05:10, 4 August 2014

Servery / Služby
Přístupné komukoliv
windows
srk
linux / unix
kmlinux
Omezený/individuální účet
linux / unix
bimbo · buon(KF) · km(KM) · lenochod(KJR) · linux · node(KM) · sunrise(KF) · unixlab(KFE) · vkstat(KM)
Služby
backup · DHCP · DNS · doména FJFI · eduroam · fileserver · IdM · forum · gitlab · lists · moodle · indico · mailgw · K4 · mailserver · NMS · openvpn · skolniftp · ssh · videokonference · VoIP · video · VPN · wififjfi · wiki · www
Učebny
e-sklipek · KFE unixlab · KFE pclab · PD1 · KM 105 · KM 115
Ostatní
Network · Blokované porty
[edit] · [view]

Základní informace (km)

Správce 
Petr Vokáč
HW 
virtuální (Xen) - paravirtualizace x86_64
OS 
CentOS7
Využití 
oficiální web KM, projekty lidí z KM, konference pořádané KM, ...
Konto 
vytvářené na požádání správcem (vyhrazeno pro potřeby KM)

Instalace a konfigurace

  • standardní (minimální) instalace operačního systému
  • standardní puppet konfigurace pro server (certifikáty, logging, monitoring, ...)
  • specifický software a konfigurace
    • apache
      • na tomto serveru jsou virtualhosty pro weby jednotlivých výzkumných skupin na KM (hostování několika domén)
    • mariadb
      • používá se speciální rozšíření mysql-udf_charsets poskytující konverzi textu na formát bez "hacku a carek"
        • nutné zkompilovat knihovnu (RPM balíček mysql-udf_charsets-1.0-1.src.rpm)
        • v systémové tabulce mysql. je pak zadefinována příslušná konverzní funkce
    • postfix
      • příjem pošty pro doménu @km.fjfi.cvut.cz
      • komunikace výhradně přes mailgw.fjfi.cvut.cz
    • dovecot
      • výběr pošty pro doménu @km.fjfi.cvut.cz
      • standardní konfigurace se SSL/TLS zabezpečením
    • samba
      • přístup k domovským adresářům resp. adresářům jednotlivých hostovaných výzkumných skupin KM
      • autentizace proti AD, ručně zařazení uživatelé s read-only a read-write právy
        • tento server byl přidán do domény pomoci net ads join
        • v budoucnu budou přístupová práva řesena přes skupiny v AD
    • vsftpd
      • aktuálně není spuštěno kvůli problémum CentOS7 běžícím na CentOS5 Xen Dom0 (mprotect syscall issue)
      • v budoucnu bude pravděpodobně úplně odstraněno kvůli špatné podpoře SSL/TLS ftp protokolu v klientech
    • firewall
firewall-cmd --permanent --add-service=ssh
firewall-cmd --permanent --add-service=http
firewall-cmd --permanent --add-service=https
firewall-cmd --permanent --add-service=pop3s
firewall-cmd --permanent --add-service=imaps
firewall-cmd --permanent --add-service=samba
firewall-cmd --permanent --add-service=ftp
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="147.32.9.3" service name="smtp" accept'
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="147.32.9.67" service name="smtp" accept'
firewall-cmd --permanent --add-rich-rule='rule family="ipv6" source address="2001:718:2:1800::3" service name="smtp" accept'
firewall-cmd --permanent --add-rich-rule='rule family="ipv6" source address="2001:718:2:1900::3" service name="smtp" accept'
# další specifická IP+porty pro monitoring, zálohování, ...
firewall-cmd --reload