Difference between revisions of "Km.fjfi.cvut.cz"

From NMS
Jump to: navigation, search
(Redirecting to Www.km)
 
(Instalace a konfigurace)
 
(4 intermediate revisions by the same user not shown)
Line 1: Line 1:
#REDIRECT [[www.km]]
+
{{Servers}}
 +
 
 +
=Základní informace ([http://km.fjfi.cvut.cz km])=
 +
 
 +
;Správce : [http://nms.fjfi.cvut.cz/user/who.php?uid=vokacpet Petr Vokáč]
 +
;HW : virtuální (Xen) - paravirtualizace x86_64
 +
;OS : [http://www.centos.org CentOS7]
 +
;Využití : oficiální web KM, projekty lidí z KM, konference pořádané KM, ...
 +
;Konto : vytvářené na požádání správcem (vyhrazeno pro potřeby KM)
 +
 
 +
=Instalace a konfigurace=
 +
* standardní (minimální) instalace operačního systému
 +
** aktuálně se pro lokální uživatelské učty používají uid < 1000 (900 a výše)
 +
*** odpovídajícím způsobem upraveny konfigurace PAM modulů
 +
*** může potenciálně kolidovat se systemévými učty pro něž jsou od RHEL7 vyhrazeny uid do 1000
 +
* standardní puppet konfigurace pro server (certifikáty, logging, monitoring, ...)
 +
* specifický software a konfigurace
 +
** apache
 +
*** data oficiálního webu KM uložena na standardní cestě <tt>/var/www/html</tt>
 +
*** na tomto serveru jsou virtualhosty pro weby jednotlivých výzkumných skupin na KM (hostování několika domén)
 +
*** web stránky virtualhostů jsou uložené ve <tt>www</tt> podadresáři domovského adresáře dané výzkumné skupiny
 +
*** pro spávné fungování mod_rewrite je zapotřebí povolit <tt>Options FollowSymLinks</tt> pro adresáře, kde je "RewriteEngine On" (např. pro hlavní web KM)
 +
** mariadb
 +
*** používá se speciální rozšíření mysql-udf_charsets poskytující konverzi textu na formát bez "hacku a carek"
 +
**** nutné zkompilovat knihovnu (RPM balíček <tt>mysql-udf_charsets-1.0-1.src.rpm</tt>)
 +
**** v systémové tabulce <tt>mysql.</tt> je pak zadefinována příslušná konverzní funkce
 +
*** jméno (resp. prefix) databáze odpovídá lokálnímu účtu pro nějž byla daná databáze vytvořena
 +
** postfix
 +
*** příjem pošty pro doménu <tt>@km.fjfi.cvut.cz</tt>
 +
*** komunikace výhradně přes <tt>mailgw.fjfi.cvut.cz</tt> (<tt>relay_host</tt>)
 +
** dovecot
 +
*** výběr pošty pro doménu <tt>@km.fjfi.cvut.cz</tt>
 +
*** standardní konfigurace se SSL/TLS zabezpečením
 +
** samba
 +
*** přístup k domovským adresářům resp. adresářům jednotlivých hostovaných výzkumných skupin KM
 +
*** autentizace proti AD, ručně zařazení uživatelé s read-only a read-write právy
 +
**** tento server byl přidán do domény pomoci <tt>net ads join</tt>
 +
**** v budoucnu budou přístupová práva řesena přes skupiny v AD
 +
** vsftpd
 +
*** aktuálně není spuštěno kvůli problémum CentOS7 běžícím na CentOS5 Xen Dom0 (mprotect syscall issue)
 +
*** v budoucnu bude pravděpodobně úplně odstraněno kvůli špatné podpoře SSL/TLS ftp protokolu v klientech
 +
** firewall
 +
firewall-cmd --permanent --add-service=ssh
 +
firewall-cmd --permanent --add-service=http
 +
firewall-cmd --permanent --add-service=https
 +
firewall-cmd --permanent --add-service=pop3s
 +
firewall-cmd --permanent --add-service=imaps
 +
firewall-cmd --permanent --add-service=samba
 +
firewall-cmd --permanent --add-service=ftp
 +
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="147.32.9.3" service name="smtp" accept'
 +
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="147.32.9.67" service name="smtp" accept'
 +
firewall-cmd --permanent --add-rich-rule='rule family="ipv6" source address="2001:718:2:1800::3" service name="smtp" accept'
 +
firewall-cmd --permanent --add-rich-rule='rule family="ipv6" source address="2001:718:2:1900::3" service name="smtp" accept'
 +
# další specifická IP+porty pro monitoring, zálohování, ...
 +
firewall-cmd --reload

Latest revision as of 23:11, 10 August 2014

Servery / Služby
Přístupné komukoliv
windows
srk
linux / unix
kmlinux
Omezený/individuální účet
linux / unix
bimbo · buon(KF) · km(KM) · lenochod(KJR) · linux · node(KM) · sunrise(KF) · unixlab(KFE) · vkstat(KM)
Služby
backup · DHCP · DNS · doména FJFI · eduroam · fileserver · IdM · forum · gitlab · lists · moodle · indico · mailgw · K4 · mailserver · NMS · openvpn · skolniftp · ssh · videokonference · VoIP · video · VPN · wififjfi · wiki · www
Učebny
e-sklipek · KFE unixlab · KFE pclab · PD1 · KM 105 · KM 115
Ostatní
Network · Blokované porty
[edit] · [view]

Základní informace (km)

Správce 
Petr Vokáč
HW 
virtuální (Xen) - paravirtualizace x86_64
OS 
CentOS7
Využití 
oficiální web KM, projekty lidí z KM, konference pořádané KM, ...
Konto 
vytvářené na požádání správcem (vyhrazeno pro potřeby KM)

Instalace a konfigurace

  • standardní (minimální) instalace operačního systému
    • aktuálně se pro lokální uživatelské učty používají uid < 1000 (900 a výše)
      • odpovídajícím způsobem upraveny konfigurace PAM modulů
      • může potenciálně kolidovat se systemévými učty pro něž jsou od RHEL7 vyhrazeny uid do 1000
  • standardní puppet konfigurace pro server (certifikáty, logging, monitoring, ...)
  • specifický software a konfigurace
    • apache
      • data oficiálního webu KM uložena na standardní cestě /var/www/html
      • na tomto serveru jsou virtualhosty pro weby jednotlivých výzkumných skupin na KM (hostování několika domén)
      • web stránky virtualhostů jsou uložené ve www podadresáři domovského adresáře dané výzkumné skupiny
      • pro spávné fungování mod_rewrite je zapotřebí povolit Options FollowSymLinks pro adresáře, kde je "RewriteEngine On" (např. pro hlavní web KM)
    • mariadb
      • používá se speciální rozšíření mysql-udf_charsets poskytující konverzi textu na formát bez "hacku a carek"
        • nutné zkompilovat knihovnu (RPM balíček mysql-udf_charsets-1.0-1.src.rpm)
        • v systémové tabulce mysql. je pak zadefinována příslušná konverzní funkce
      • jméno (resp. prefix) databáze odpovídá lokálnímu účtu pro nějž byla daná databáze vytvořena
    • postfix
      • příjem pošty pro doménu @km.fjfi.cvut.cz
      • komunikace výhradně přes mailgw.fjfi.cvut.cz (relay_host)
    • dovecot
      • výběr pošty pro doménu @km.fjfi.cvut.cz
      • standardní konfigurace se SSL/TLS zabezpečením
    • samba
      • přístup k domovským adresářům resp. adresářům jednotlivých hostovaných výzkumných skupin KM
      • autentizace proti AD, ručně zařazení uživatelé s read-only a read-write právy
        • tento server byl přidán do domény pomoci net ads join
        • v budoucnu budou přístupová práva řesena přes skupiny v AD
    • vsftpd
      • aktuálně není spuštěno kvůli problémum CentOS7 běžícím na CentOS5 Xen Dom0 (mprotect syscall issue)
      • v budoucnu bude pravděpodobně úplně odstraněno kvůli špatné podpoře SSL/TLS ftp protokolu v klientech
    • firewall
firewall-cmd --permanent --add-service=ssh
firewall-cmd --permanent --add-service=http
firewall-cmd --permanent --add-service=https
firewall-cmd --permanent --add-service=pop3s
firewall-cmd --permanent --add-service=imaps
firewall-cmd --permanent --add-service=samba
firewall-cmd --permanent --add-service=ftp
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="147.32.9.3" service name="smtp" accept'
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="147.32.9.67" service name="smtp" accept'
firewall-cmd --permanent --add-rich-rule='rule family="ipv6" source address="2001:718:2:1800::3" service name="smtp" accept'
firewall-cmd --permanent --add-rich-rule='rule family="ipv6" source address="2001:718:2:1900::3" service name="smtp" accept'
# další specifická IP+porty pro monitoring, zálohování, ...
firewall-cmd --reload