Server Internes: Unterschied zwischen den Versionen

Aus Freifunk Dresden - Anwender-Wiki
Zur Navigation springen Zur Suche springen
Zeile 129: Zeile 129:
 
   fastd_restrict=0
 
   fastd_restrict=0
  
   # SSH Password-Authentification (0=off 1=on)
+
   # SSH Password-Authentification
 +
  # To disable tunneled clear text passwords (0=off 1=on)
 
   ssh_pwauth=1
 
   ssh_pwauth=1
  

Version vom 1. November 2019, 21:38 Uhr

IN BEARBEITUNG!!!


Git Repository

 https://github.com/Freifunk-Dresden/ffdd-server

Bereitstellung / Initialisierung

Die Initialisierung des Gateway-Server erfolgt über die init_server.sh welches sicherstellt dass der Server auf dem aktuellen Stand ist und alle Abhängigkeiten vorhanden sind.

Wichtige Punkte sind hier:

  • User check
  • Konfiguration:
    • /etc/nvram.conf (Enthält alle Gateway Spezifische Informationen)
    • /etc/salt/minion.d/freifunk-masterless.conf (Definiert das Arbeitsverzeichnis für Salt - /srv/ffdd-server/salt/freifunk/base/ )
  • Pakete:
    • git - für die Bereitstellung und Aktualisierung des Repositories
    • salt-minion (Salt) - Automatisierung 'Masterless-Orchestration-Management' für Konfigurationen und Pakete
  • Bereitstellung des Repositoryies unter /srv/ffdd-server/

Salt übernimmt nun die weitere Initialisierung des Gateway-Server. Desweiteren wird Salt mit dem "salt-call state.highstate --local" Befehl im weiteren Betrieb dauerhaft verwendet um sicherzustellen das alle Konfigurationen wie gewünscht korrekt vorhanden sind und alle Services funktionieren. Dies geschieht per Aufruf über einen Cronjob (siehe XXXXXX).

Betrieb / Operating

Salt

Salt benötigt seine Konfiguration ( /etc/salt/minion.d/freifunk-masterless.conf )

file_client: local
file_roots:
  base:
    - /srv/ffdd-server/salt/freifunk/base

und das Arbeitsverzeichnis ( /srv/ffdd-server/salt/freifunk/base/ ) welches einen "Ablaufplan" die top.sls bereitstellt.

Alle hier definierten Aufgaben bekommen je nach Umfang und Komplexität im Arbeitsverzeichnis entweder:

eine Konfigurationsdatei ( ../freifunk/base/AUFGABE.sls )
oder
einen Unterordner ( ..freifunk/base/AUFGABE/ ) welcher eine init.sls enthält.

Desweiteren gibt es noch ein Konfigurationfile, die config.jinja, welche für dynamische Variablen die in den "Aufgaben-Scripten" genutzt wird.

Salt - Aufgaben (top.sls)

clear_oldenv

Säubert ältere Pakete, Konfigurationen, Dateien und Verzeichnisse ältere Gateway-Server Versionen.

apt

Konfiguriert benötigte Pakete um das Betriebssystem des Gateway-Server aktuell zuhalten.

remove_pkg

Entfernt alle Pakete welche die Funktionalität des Servers einschränken könnten.

install_pkg

Installiert alle für den Server nötigen Pakete welche keine zusätzliche Konfiguration benötigen.

tools

Stellt Programme und Verknüpfungen für die Unterstützung des Administrators bereit.

root

Hinterlegt die aktuelle root user .bashrc .

users

Stellt sicher das alle Benutzer für den Betrieb mit den richtigen Berechtigungen vorhanden sind.

bash

Hinterlegt die Standart Konfiguration für "bash".

vim

Hinterlegt die Standart Konfiguration für "vim".

inputrc

locales

Konfiguriert die Server-Ausgabe-Sprache.

timezone

Konfiguriert die Serverzeit.

ntp

Stellt sicher dass die Serverzeit immer aktuell ist.

cron

sysctl

systemd

sudo

rsyslog

logrotate

devel

bmxd

fastd

salt-minion

ddmesh

nvram

nvram Konfigurtations Optionen
 # install_dir !Please do not touch!
 install_dir=/srv/ffdd-server
 # set autoupdate (0=off 1=on)
 autoupdate=1
 # Git-Branch
 branch=T_RELEASE_latest
 # Register key must be uniq. See http://wiki.freifunk-dresden.de/index.php/Technische_Information#Berechnung_IP_Adressen
 ddmesh_node=
 ddmesh_registerkey=
 # If set to 1, vserver will not announce itself as gateway. normally you do not need to change this.
 ddmesh_disable_gateway=0
 # used by webpage and /etc/issue.net
 servername=VPN Server <number>
 #vserver network interface; this depends on vserver provider (hoster)
 ifname=eth0
 # this is the secret key which is used to decrypt secured backbone connection
 # the corresponding public key should be given to the peers, so those can encrpyt/connect to this server
 # To generate the keys: /etc/init.d/S53backbone-fastd genkey
 fastd_secret=
 fastd_public=
 # to accept all in comming connection, set this to 0 or remove this line.
 # When set to 1, only already known connections are accepted. this may be used
 # to prevent overloading a server.
 fastd_restrict=0
 # SSH Password-Authentification
 # To disable tunneled clear text passwords (0=off 1=on)
 ssh_pwauth=1
 # BMXD
 #bmxd_prefered_gateway=
 # gps coordinates. see /var/www/sysinfo.json
 # this functionality is not part of Basic Vserver installation, as this service should only run on one or an backup server.
 gps_latitude=51.033865
 gps_longitude=13.653252
 gps_altitude=0
 city=Dresden
 contact_name=
 contact_location=your Hosting Provider
 contact_email=
 contact_note=VPN X

iproute2

network

iptables

conntrack

fail2ban

ssh

openvpn

bind

iperf3

apache2

php

letsencrypt

monitorix

vnstat