Difference between revisions of "Www.km"

From NMS
Jump to: navigation, search
(Redirected page to Km.fjfi.cvut.cz)
 
Line 1: Line 1:
{{Servers}}
+
#REDIRECT [[km.fjfi.cvut.cz]]
 
+
=Základní informace ([http://km.fjfi.cvut.cz km])=
+
 
+
;Správce : [http://nms.fjfi.cvut.cz/user/who.php?uid=vokacpet Petr Vokáč]
+
;HW : virtuální (Xen) - paravirtualizace x86_64
+
;OS : [http://www.centos.org CentOS7]
+
;Využití : oficiální web KM, projekty lidí z KM, konference pořádané KM, ...
+
;Konto : vytvářené na požádání správcem (vyhrazeno pro potřeby KM)
+
 
+
=Instalace a konfigurace=
+
* standardní (minimální) instalace operačního systému
+
* standardní puppet konfigurace pro server (certifikáty, logging, monitoring, ...)
+
* specifický software a konfigurace
+
** apache
+
*** na tomto serveru jsou virtualhosty pro weby jednotlivých výzkumných skupin na KM (hostování několika domén)
+
** mariadb
+
*** používá se speciální rozšíření mysql-udf_charsets poskytující konverzi textu na formát bez "hacku a carek"
+
**** nutné zkompilovat knihovnu (RPM balíček <tt>mysql-udf_charsets-1.0-1.src.rpm</tt>)
+
**** v systémové tabulce <tt>mysql.</tt> je pak zadefinována příslušná konverzní funkce
+
** postfix
+
*** příjem pošty pro doménu <tt>@km.fjfi.cvut.cz</tt>
+
*** komunikace výhradně přes <tt>mailgw.fjfi.cvut.cz</tt>
+
** dovecot
+
*** výběr pošty pro doménu <tt>@km.fjfi.cvut.cz</tt>
+
*** standardní konfigurace se SSL/TLS zabezpečením
+
** samba
+
*** přístup k domovským adresářům resp. adresářům jednotlivých hostovaných výzkumných skupin KM
+
*** autentizace proti AD, ručně zařazení uživatelé s read-only a read-write právy
+
**** tento server byl přidán do domény pomoci <tt>net ads join</tt>
+
**** v budoucnu budou přístupová práva řesena přes skupiny v AD
+
** vsftpd
+
*** aktuálně není spuštěno kvůli problémum CentOS7 běžícím na CentOS5 Xen Dom0 (mprotect syscall issue)
+
*** v budoucnu bude pravděpodobně úplně odstraněno kvůli špatné podpoře SSL/TLS ftp protokolu v klientech
+
** firewall
+
firewall-cmd --permanent --add-service=ssh
+
firewall-cmd --permanent --add-service=http
+
firewall-cmd --permanent --add-service=https
+
firewall-cmd --permanent --add-service=pop3s
+
firewall-cmd --permanent --add-service=imaps
+
firewall-cmd --permanent --add-service=samba
+
firewall-cmd --permanent --add-service=ftp
+
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="147.32.9.3" service name="smtp" accept'
+
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="147.32.9.67" service name="smtp" accept'
+
firewall-cmd --permanent --add-rich-rule='rule family="ipv6" source address="2001:718:2:1800::3" service name="smtp" accept'
+
firewall-cmd --permanent --add-rich-rule='rule family="ipv6" source address="2001:718:2:1900::3" service name="smtp" accept'
+
# další specifická IP+porty pro monitoring, zálohování, ...
+
firewall-cmd --reload
+

Latest revision as of 05:10, 4 August 2014

Redirect to: