RoedererWiki

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen: ssh
it:root-server

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung 		Vorhergehende Überarbeitung
it:root-server [2022/02/23 23:56]
sven add basic-packagelist to install 		it:root-server [2022/02/24 00:30] (aktuell)
sven [TLS setup] basics on "le-bot" user
Zeile 3: Zeile 3:
 Bisher laufen alle meine Systeme unter Debian. Bisher laufen alle meine Systeme unter Debian.
  
 +==== Grundkonfiguration ====
 <code> <code>
 apt-get install -y aptitude mc screen bridge-utils net-tools git apt-get install -y aptitude mc screen bridge-utils net-tools git
 </code> </code>
 +
 +Benutzung von traditionellen Interface-namen (eth//X// anstelle von enp//X//s//Y//): add kernel-parameters (''GRUB_CMDLINE_LINUX_DEFAULT'')
 +
 +<code>
 +net.ifnames=0 biosdevname=0
 +</code>
 +
 +Je nach Hoster der Hardware gibt's zugriff auf den VGA-ausgang (RemoteKVM oder Virtualisiert) und da ist es schonmal hinderlich bei der Fehlersuche, wenn der Kernel beim Booten den Grafikmodus wechselt. Denn alle vorherigen Bildschirmausgaben gehen verloren. Hier hilft folgender Kernel-parameter:
 +
 +<code>
 +nomodeset
 +</code>
 +
 +zusätzlich gern ''gfxpayload=text'' (bei alten kernel-versionen ''vga=normal'') --> https://serverfault.com/a/490964
 +
 +Abschalten des Löschens des Bildschirms wenn das Login-getty gestartet wird --> http://mywiki.wooledge.org/SystemdNoClear
 +
 +<file text /etc/systemd/system/getty@.service.d/noclear.conf>
 +[Service]
 +TTYVTDisallocate=no
 +</file>
  
 ===== Hardening / Absicherung ===== ===== Hardening / Absicherung =====
Zeile 21: Zeile 43:
   * für User, die sich um SSL-Zertifikatsmanagement kümmern, lege ich die System-Gruppe ''ssl-admin'' an   * für User, die sich um SSL-Zertifikatsmanagement kümmern, lege ich die System-Gruppe ''ssl-admin'' an
  
 +=== ACME-setup für Let's Encrypt ====
 +
 +mit meinem tiny-acme wrapper [[it:verschluesselung#acme]] 
 +
 +<code>
 +addgroup --system ssl-admin
 +adduser --system --ingroup ssl-admin --disabled-login --disabled-password --shell /usr/sbin/nologin le-bot
 +su -c git clone <tiny-acme.git> - le-bot
 +<install wrapper-script>
 +<setup permissions>
 +</code>
 +
 +das Verzeichnis kann dann so aussehen. Für das Verzeichnis ''le-webdir'' hat der User ''www-data'' Leseberechtigung, da hier die Challenge-Response abgelegt wird, die der remote-ACME-server abfragt. Muss im Webserver dann aliased oder zum Webserver als symlink.
 +
 +<code>
 +drwxr-xr-x 5 le-bot ssl-admin 4096 Feb  8 01:28 acme-tiny
 +drwxr-xr-x 2 le-bot ssl-admin 4096 May 19  2019 jobs
 +drwx------ 2 le-bot ssl-admin 4096 Jul 25  2017 le-data
 +-rwxr-xr-x 1 le-bot ssl-admin  441 May 19  2019 le-script.sh
 +drwxrwx--- 2 le-bot www-data  4096 Jan 19 04:15 le-webdir
 +drwxr-xr-x 4 le-bot ssl-admin 4096 Jul 21  2021 ssl-data
 +drwxr-xr-x 2 le-bot ssl-admin 4096 Apr 22  2018 templates
 +</code>
 +
 +Per cron kann dann regelmäßig ''le-script.sh'' gestartet werden.
 ===== Festplattenverschlüsselung ===== ===== Festplattenverschlüsselung =====
  
it/root-server.1645660562.txt.gz · Zuletzt geändert: 2022/02/23 23:56 von sven

Seiten-Werkzeuge

Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-Share Alike 4.0 International
CC Attribution-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki