Rudi: Unterschied zwischen den Versionen
Rob (Diskussion | Beiträge) K |
Ralf (Diskussion | Beiträge) (ferm Beispielkonfig) |
||
(9 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 16: | Zeile 16: | ||
Für VMs in der DMZ gelten zum Schutz vor Angreifern weitere Einschränkungen: | Für VMs in der DMZ gelten zum Schutz vor Angreifern weitere Einschränkungen: | ||
− | * Es muss eine Firewall für IPv4 | + | * Es muss eine Firewall für IPv4 ''und'' IPv6 eingerichtet sein |
− | * SSH-Logins für root müssen deaktiviert sein (/etc/ssh/sshd_config "PermitRootLogin no") | + | * SSH-Logins für root müssen deaktiviert sein (/etc/ssh/sshd_config: "PermitRootLogin no") |
− | * Passwortbasierte SSH-Logins müssen deaktiviert sein ("PasswordAuthentication no", | + | * Passwortbasierte SSH-Logins müssen deaktiviert sein (/etc/ssh/sshd_config: "PasswordAuthentication no") |
+ | |||
+ | Vermutlich wirst du außerdem eine [[DynDNS]]-Domain haben wollen. | ||
+ | Falls du eine Webseite hosten willst, muss auf dem [[Brückenkopf]] ein Proxy für dich eingerichtet werden. | ||
+ | Und falls du E-Mails verschicken willst, geschieht dies ebenfalls über den [[Brückenkopf]]. | ||
+ | |||
+ | === Firewall-Beispielkonfiguration === | ||
+ | |||
+ | Hier ein Beispiel für eine [https://wiki.debian.org/ferm Ferm]-Konfiguration, die nur SSH zu lässt (den Port musst du an deine VM anpassen): | ||
+ | |||
+ | <pre> | ||
+ | # -*- shell-script -*- | ||
+ | # | ||
+ | # Configuration file for ferm(1). | ||
+ | # | ||
+ | |||
+ | domain (ip ip6) { | ||
+ | chain OUTPUT policy ACCEPT; | ||
+ | chain FORWARD policy DROP; | ||
+ | |||
+ | chain INPUT { | ||
+ | policy DROP; | ||
+ | |||
+ | # connection tracking | ||
+ | mod state state INVALID DROP; | ||
+ | mod state state (ESTABLISHED RELATED) ACCEPT; | ||
+ | # allow local packets | ||
+ | interface lo ACCEPT; | ||
+ | # allow ICMP | ||
+ | proto icmp ACCEPT; | ||
+ | |||
+ | # allow SSH connections | ||
+ | proto tcp dport 22 ACCEPT; | ||
+ | } | ||
+ | } | ||
+ | </pre> | ||
+ | |||
+ | Schreibe das nach <tt>/etc/ferm/ferm.conf</tt> und installiere es mit <tt>ferm --interactive /etc/ferm/ferm.conf</tt>. | ||
= Zugang = | = Zugang = | ||
Zeile 25: | Zeile 62: | ||
Maschinen in der DMZ sind auch vom Gastnetzwerk erreichbar, sowie (falls eine Portweiterleitung eingerichtet wurde) von außen. | Maschinen in der DMZ sind auch vom Gastnetzwerk erreichbar, sowie (falls eine Portweiterleitung eingerichtet wurde) von außen. | ||
+ | |||
+ | = VMs = | ||
+ | |||
+ | Die VMs sind alle als [[Systeme#Liste der Maschinen|System]] gelistet, samt ihrer Admins. | ||
+ | |||
+ | [[Kategorie:Netzwerk]] |
Aktuelle Version vom 1. Januar 2015, 16:46 Uhr
Rudi ist unser VM-Host: Direkt tut er nicht viel, aber er bietet Raum für VMs, die von den Mitgliedern selber verwaltet werden. Dafür hängt er mit seinen 2 LAN-Ports sowohl im Mitgliedernez als auch in der DMZ.
VM beantragen
Wenn du eine VM einrichten willst, wende dich an einen der Admins (siehe die Übersicht über unsere Systeme). Der Admin wird folgende Angaben benötigen:
- Gewünschte Distribution inkl. Version (bevorzugt werden Debian stable/testing sowie Ubuntu LTS, aber auf Wunsch ist quasi alles möglich)
- Gewünschte Menge RAM
- Gewünschte Festplattenkapazität (Rudi hat momentan nur eine SSD, hier also bitte sparsam sein)
- Gewünschtes Netz: Mitgliedernetz (durch Nina vor der bösen weiten Welt geschützt), oder DMZ Ein Zugang in beide Netze wird aus Sicherheitsgründen nicht gewährt.
Bitte beachte, dass du für die VM selber verantwortlich bist! Das bezieht sich auf das Einspielen von Sicherheitsupdates sowie jegliche weitere, administrative Tätigkeiten.
Besondere Regeln für Maschinen in der DMZ
Für VMs in der DMZ gelten zum Schutz vor Angreifern weitere Einschränkungen:
- Es muss eine Firewall für IPv4 und IPv6 eingerichtet sein
- SSH-Logins für root müssen deaktiviert sein (/etc/ssh/sshd_config: "PermitRootLogin no")
- Passwortbasierte SSH-Logins müssen deaktiviert sein (/etc/ssh/sshd_config: "PasswordAuthentication no")
Vermutlich wirst du außerdem eine DynDNS-Domain haben wollen. Falls du eine Webseite hosten willst, muss auf dem Brückenkopf ein Proxy für dich eingerichtet werden. Und falls du E-Mails verschicken willst, geschieht dies ebenfalls über den Brückenkopf.
Firewall-Beispielkonfiguration
Hier ein Beispiel für eine Ferm-Konfiguration, die nur SSH zu lässt (den Port musst du an deine VM anpassen):
# -*- shell-script -*- # # Configuration file for ferm(1). # domain (ip ip6) { chain OUTPUT policy ACCEPT; chain FORWARD policy DROP; chain INPUT { policy DROP; # connection tracking mod state state INVALID DROP; mod state state (ESTABLISHED RELATED) ACCEPT; # allow local packets interface lo ACCEPT; # allow ICMP proto icmp ACCEPT; # allow SSH connections proto tcp dport 22 ACCEPT; } }
Schreibe das nach /etc/ferm/ferm.conf und installiere es mit ferm --interactive /etc/ferm/ferm.conf.
Zugang
Falls die VM im Mitgliedernetz hängt, ist sie nur von dort erreichbar: Also via LAN oder über das 2.4 GHz WLAN.
Maschinen in der DMZ sind auch vom Gastnetzwerk erreichbar, sowie (falls eine Portweiterleitung eingerichtet wurde) von außen.
VMs
Die VMs sind alle als System gelistet, samt ihrer Admins.