|
|
Line 1: |
Line 1: |
− | {{Servers}}
| + | #REDIRECT [[km.fjfi.cvut.cz]] |
− | | + | |
− | =Základní informace ([http://km.fjfi.cvut.cz km])=
| + | |
− | | + | |
− | ;Správce : [http://nms.fjfi.cvut.cz/user/who.php?uid=vokacpet Petr Vokáč]
| + | |
− | ;HW : virtuální (Xen) - paravirtualizace x86_64
| + | |
− | ;OS : [http://www.centos.org CentOS7]
| + | |
− | ;Využití : oficiální web KM, projekty lidí z KM, konference pořádané KM, ...
| + | |
− | ;Konto : vytvářené na požádání správcem (vyhrazeno pro potřeby KM)
| + | |
− | | + | |
− | =Instalace a konfigurace=
| + | |
− | * standardní (minimální) instalace operačního systému
| + | |
− | * standardní puppet konfigurace pro server (certifikáty, logging, monitoring, ...)
| + | |
− | * specifický software a konfigurace
| + | |
− | ** apache
| + | |
− | *** na tomto serveru jsou virtualhosty pro weby jednotlivých výzkumných skupin na KM (hostování několika domén)
| + | |
− | ** mariadb
| + | |
− | *** používá se speciální rozšíření mysql-udf_charsets poskytující konverzi textu na formát bez "hacku a carek"
| + | |
− | **** nutné zkompilovat knihovnu (RPM balíček <tt>mysql-udf_charsets-1.0-1.src.rpm</tt>)
| + | |
− | **** v systémové tabulce <tt>mysql.</tt> je pak zadefinována příslušná konverzní funkce
| + | |
− | ** postfix
| + | |
− | *** příjem pošty pro doménu <tt>@km.fjfi.cvut.cz</tt>
| + | |
− | *** komunikace výhradně přes <tt>mailgw.fjfi.cvut.cz</tt>
| + | |
− | ** dovecot
| + | |
− | *** výběr pošty pro doménu <tt>@km.fjfi.cvut.cz</tt>
| + | |
− | *** standardní konfigurace se SSL/TLS zabezpečením
| + | |
− | ** samba
| + | |
− | *** přístup k domovským adresářům resp. adresářům jednotlivých hostovaných výzkumných skupin KM
| + | |
− | *** autentizace proti AD, ručně zařazení uživatelé s read-only a read-write právy
| + | |
− | **** tento server byl přidán do domény pomoci <tt>net ads join</tt>
| + | |
− | **** v budoucnu budou přístupová práva řesena přes skupiny v AD
| + | |
− | ** vsftpd
| + | |
− | *** aktuálně není spuštěno kvůli problémum CentOS7 běžícím na CentOS5 Xen Dom0 (mprotect syscall issue)
| + | |
− | *** v budoucnu bude pravděpodobně úplně odstraněno kvůli špatné podpoře SSL/TLS ftp protokolu v klientech
| + | |
− | ** firewall
| + | |
− | firewall-cmd --permanent --add-service=ssh
| + | |
− | firewall-cmd --permanent --add-service=http
| + | |
− | firewall-cmd --permanent --add-service=https
| + | |
− | firewall-cmd --permanent --add-service=pop3s
| + | |
− | firewall-cmd --permanent --add-service=imaps
| + | |
− | firewall-cmd --permanent --add-service=samba
| + | |
− | firewall-cmd --permanent --add-service=ftp
| + | |
− | firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="147.32.9.3" service name="smtp" accept'
| + | |
− | firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="147.32.9.67" service name="smtp" accept'
| + | |
− | firewall-cmd --permanent --add-rich-rule='rule family="ipv6" source address="2001:718:2:1800::3" service name="smtp" accept'
| + | |
− | firewall-cmd --permanent --add-rich-rule='rule family="ipv6" source address="2001:718:2:1900::3" service name="smtp" accept'
| + | |
− | # další specifická IP+porty pro monitoring, zálohování, ...
| + | |
− | firewall-cmd --reload
| + | |