centos:sks_c6

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
centos:sks_c6 [15.02.2014 18:46. ] – [Datenbank mit Hilfe des Keydump anlegen] djangocentos:sks_c6 [22.07.2019 14:51. ] (aktuell) – Externe Bearbeitung 127.0.0.1
Zeile 3: Zeile 3:
  
 Zur Verteilung und Abfrage von PGP-Schlüsseln bedienen wir uns am einfachsten eines [[http://www.openpgp.org/|OpenPGP Keyservers]]. In diesem Kapitel widmen wir uns nun eingehend mit der Installation eines SKS Keyservers unter CentOS 6.x. Zur Verteilung und Abfrage von PGP-Schlüsseln bedienen wir uns am einfachsten eines [[http://www.openpgp.org/|OpenPGP Keyservers]]. In diesem Kapitel widmen wir uns nun eingehend mit der Installation eines SKS Keyservers unter CentOS 6.x.
- +  
-Der große Vorteil des SKS-Keyservers ist sein einfaches und robustes Design, da der Server im wesentlichen aus zwei Prozessen besteht. Der erste (**sks-db**) übernimmt die Aufnahme neue Schlüssel, sowie die Ausgabe der gesuchten Schlüssel. Hierzu wird eine einfache Web-Schnittstelle zur Verfügung gestellt.  +Der grosse Vorteil des SKS-Keyservers ist sein einfaches und robustes Design, da der Server im wesentlichen aus zwei Prozessen besteht. Der erste (**sks-db**) übernimmt die Aufnahme neue Schlüssel, sowie die Ausgabe der gesuchten Schlüssel. Hierzu wird eine einfache Web-Schnittstelle zur Verfügung gestellt.  
 Der zweite Serverprozess (**sks-recon**) kümmert sich um den automatischen Abgleich der lokalen Datenbank mit den in Verbindung stehenden Peering-Partnern. Der zweite Serverprozess (**sks-recon**) kümmert sich um den automatischen Abgleich der lokalen Datenbank mit den in Verbindung stehenden Peering-Partnern.
  
Zeile 82: Zeile 82:
 </code> </code>
  
-FIXME 
- 
-<WRAP round important>Nicht von der Version im RPM-Paket verwirren lassen! Es handelt sich keineswegs um die Version **1.1.3** des **SKS-Keyservers**, sondern um Version **__1.1.2__**!</WRAP> 
- 
-FIXME 
  
 ===== Dokumentation ===== ===== Dokumentation =====
Zeile 816: Zeile 811:
    # mkdir /srv/sks    # mkdir /srv/sks
  
-Anschließend passen wir die Dateiberechtigungen dieser Zeilverzeichnisse an.+Anschließend passen wir die Dateiberechtigungen dieser Zielverzeichnisse an.
    # chown sks:sks /etc/sks    # chown sks:sks /etc/sks
  
Zeile 897: Zeile 892:
 # the database from a dump # the database from a dump
 # #
-# KDB/key 65536+# KDB/key         65536
 pagesize: 128 pagesize: 128
 # #
-# KDB/keyid 32768 +# KDB/keyid         32768 
-keyid_pagesize 64+keyid_pagesize: 64
 # #
-# KDB/meta 512+# KDB/meta         512
 meta_pagesize: 1 meta_pagesize: 1
-# KDB/subkeyid 65536+
 +# KDB/subkeyid         65536
 subkeyid_pagesize: 128 subkeyid_pagesize: 128
 # #
-# KDB/time 65536+# KDB/time         65536
 time_pagesize: 128 time_pagesize: 128
 # #
-# KDB/tqueue 512+# KDB/tqueue         512
 tqueue_pagesize: 1 tqueue_pagesize: 1
 # #
Zeile 918: Zeile 914:
 #word_pagesize: 8 #word_pagesize: 8
 # #
-# PTree/ptree 4096+# PTree/ptree         4096
 ptree_pagesize: 8 ptree_pagesize: 8
 </file> </file>
Zeile 985: Zeile 981:
    # cp /usr/share/doc/sks-1.1.4/sampleConfig/membership /etc/sks/membership    # cp /usr/share/doc/sks-1.1.4/sampleConfig/membership /etc/sks/membership
  
-Nach Rücksprache mit den Pearingpartnern tragen wir die entsprechenden Kontaktdaten in er datei ein.+Nach Rücksprache mit den Pearingpartnern tragen wir die entsprechenden Kontaktdaten in der Datei ein.
  
    # vim /etc/sks/membership    # vim /etc/sks/membership
Zeile 1064: Zeile 1060:
  
 ==== Logverzeichnis anlegen ==== ==== Logverzeichnis anlegen ====
-Damit für spätere Übrwachungs- und ggf. Fehlersuchaufgaben auch entsprechende Logdateien geschrieben werden können, legen wir uns noch das passende Verzeichnis an.+Damit für spätere Üebrwachungs- und ggf. Fehlersuchaufgaben auch entsprechende Logdateien geschrieben werden können, legen wir uns noch das passende Verzeichnis an.
    # mkdir /var/log/sks    # mkdir /var/log/sks
  
Zeile 1207: Zeile 1203:
 # #
 # User to run the daemon as # User to run the daemon as
 +# Django : 2014-02-15
 +# default: unset
 RUN_AS="sks" RUN_AS="sks"
 # #
Zeile 1213: Zeile 1211:
  
 ==== Logrotate Definition ==== ==== Logrotate Definition ====
-Damit uns unser Logverzeichnis nicht voll läuft, werden wir unseren SKS-Server so einstellen, dass er in regelmäßigen Abständen das Logfile archiviuert und ein neues anlegt.+Damit uns unser Logverzeichnis nicht voll läuft, werden wir unseren SKS-Server so einstellen, dass er in regelmässigen Abständen das Logfile archiviert und ein neues anlegt.
 Hierzu legen wir uns im Verzeichnis //**/etc/logrotate.d/**// die Datei **sks** mit nachfolgendem Inhalt an. Hierzu legen wir uns im Verzeichnis //**/etc/logrotate.d/**// die Datei **sks** mit nachfolgendem Inhalt an.
    # vim /etc/logrotate.d/sks    # vim /etc/logrotate.d/sks
Zeile 1711: Zeile 1709:
 Somit können nun die Anwender, die nur Webzugriff via Port **80** nutzen dürfen, den SKS-Keyserver über den Umweg um unseren Apache Webserver nutzen: http://keyserver.nausch.org Somit können nun die Anwender, die nur Webzugriff via Port **80** nutzen dürfen, den SKS-Keyserver über den Umweg um unseren Apache Webserver nutzen: http://keyserver.nausch.org
 Der direkte Zugriff via Port **11371** funktioniert natürlich weiterhin: http://keyserver.nausch.org/:11371 Der direkte Zugriff via Port **11371** funktioniert natürlich weiterhin: http://keyserver.nausch.org/:11371
 +
 +==== Paketfilter anpassen ====
 +Damit nun Anfragen an unseren SKS-Keyserver von diesem auch beantwortet werden können, werden wir noch unseren Paketfilter anpassen müssen.
 +
 +Wir überprüfen also erst einmal die Paketfiltereinstellungen.
 +
 +   # iptables -L
 +<code>Chain INPUT (policy ACCEPT)
 +target     prot opt source               destination         
 +ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
 +ACCEPT     icmp --  anywhere             anywhere            
 +ACCEPT     all  --  anywhere             anywhere            
 +ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ssh 
 +ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ldap 
 +ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ldaps 
 +REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited 
 +
 +Chain FORWARD (policy ACCEPT)
 +target     prot opt source               destination         
 +REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited 
 +
 +Chain OUTPUT (policy ACCEPT)
 +target     prot opt source               destination
 +</code>
 +
 +Für den SKS-Keyserver, der auf den beiden Ports **11370** und **11371** lauschen wird, tragen wir also eine passende Regel in der Konfigurationsdatei des Paketfilters iptables ein. 
 +   # vim /etc/sysconfig/iptables
 +<file bash /etc/sysconfig/iptables>
 +# Firewall configuration written by system-config-firewall
 +# Manual customization of this file is not recommended.
 +*filter
 +:INPUT ACCEPT [0:0]
 +:FORWARD ACCEPT [0:0]
 +:OUTPUT ACCEPT [0:0]
 +-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 +-A INPUT -p icmp -j ACCEPT
 +-A INPUT -i lo -j ACCEPT
 +-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
 +# Django : 2011-10-27 ldap-Zugriff freigeschaltet
 +-A INPUT -m state --state NEW -m tcp -p tcp --dport 389 -j ACCEPT
 +-A INPUT -m state --state NEW -m tcp -p tcp --dport 636 -j ACCEPT
 +# Django : 2011-12-28 sks-Zugriffe freigeschaltet
 +-A INPUT -m state --state NEW -m tcp -p tcp --dport 11370 -j ACCEPT
 +-A INPUT -m state --state NEW -m tcp -p tcp --dport 11371 -j ACCEPT
 +-A INPUT -j REJECT --reject-with icmp-host-prohibited
 +-A FORWARD -j REJECT --reject-with icmp-host-prohibited
 +COMMIT
 +</file>
 +
 +Anschließend aktivieren wir die neue Regel, indem wir den Service **iptables** einmal durchstarten. 
 +   # service iptables restart
 +<code>iptables: Flushing firewall rules:                          OK  ]
 +iptables: Setting chains to policy ACCEPT: filter          [  OK  ]
 +iptables: Unloading modules:                                OK  ]
 +iptables: Applying firewall rules:                          OK  ]
 +</code>
 +
 +Eine erneute Abfrage der Paketfilterregeln zeigt uns nun die neue Einstellung. 
 +   # iptables -L
 +
 +<code>Chain INPUT (policy ACCEPT)
 +target     prot opt source               destination         
 +ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
 +ACCEPT     icmp --  anywhere             anywhere            
 +ACCEPT     all  --  anywhere             anywhere            
 +ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ssh 
 +ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ldap 
 +ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ldaps 
 +ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:11370 
 +ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:pgpkeyserver 
 +REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited 
 +
 +Chain FORWARD (policy ACCEPT)
 +target     prot opt source               destination         
 +REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited 
 +
 +Chain OUTPUT (policy ACCEPT)
 +target     prot opt source               destination
 +</code>
 +
 +
 ===== Datenbank initial befüllen ===== ===== Datenbank initial befüllen =====
 ==== Download Keydump ==== ==== Download Keydump ====
Zeile 9197: Zeile 9276:
 Da unser Keyserver mit den Rechten des Users **sks** laufen wird, //"schenken"// wir nun genau diesem User die neu generierte Datenbank. Da unser Keyserver mit den Rechten des Users **sks** laufen wird, //"schenken"// wir nun genau diesem User die neu generierte Datenbank.
    # chown sks.sks /srv/sks/ -R    # chown sks.sks /srv/sks/ -R
- 
-===== Paketfilter anpassen ===== 
-Damit nun Anfragen an unseren SKS-Keyserver von diesem auch beantwortet werden können, werden wir noch unseren Paketfilter anpassen müssen. 
- 
-Wir überprüfen also erst einmal die Paketfiltereinstellungen. 
- 
-   # iptables -L 
-<code>Chain INPUT (policy ACCEPT) 
-target     prot opt source               destination          
-ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED  
-ACCEPT     icmp --  anywhere             anywhere             
-ACCEPT     all  --  anywhere             anywhere             
-ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ssh  
-ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ldap  
-ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ldaps  
-REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited  
- 
-Chain FORWARD (policy ACCEPT) 
-target     prot opt source               destination          
-REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited  
- 
-Chain OUTPUT (policy ACCEPT) 
-target     prot opt source               destination 
-</code> 
- 
-Für den SKS-Keyserver, der auf den beiden Ports **11370** und **11371** lauschen wird, tragen wir also eine passende Regel in der Konfigurationsdatei des Paketfilters iptables ein.  
-   # vim /etc/sysconfig/iptables 
-<file bash /etc/sysconfig/iptables> 
-# Firewall configuration written by system-config-firewall 
-# Manual customization of this file is not recommended. 
-*filter 
-:INPUT ACCEPT [0:0] 
-:FORWARD ACCEPT [0:0] 
-:OUTPUT ACCEPT [0:0] 
--A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
--A INPUT -p icmp -j ACCEPT 
--A INPUT -i lo -j ACCEPT 
--A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT 
-# Django : 2011-10-27 ldap-Zugriff freigeschaltet 
--A INPUT -m state --state NEW -m tcp -p tcp --dport 389 -j ACCEPT 
--A INPUT -m state --state NEW -m tcp -p tcp --dport 636 -j ACCEPT 
-# Django : 2011-12-28 sks-Zugriffe freigeschaltet 
--A INPUT -m state --state NEW -m tcp -p tcp --dport 11370 -j ACCEPT 
--A INPUT -m state --state NEW -m tcp -p tcp --dport 11371 -j ACCEPT 
--A INPUT -j REJECT --reject-with icmp-host-prohibited 
--A FORWARD -j REJECT --reject-with icmp-host-prohibited 
-COMMIT 
-</file> 
- 
-Anschließend aktivieren wir die neue Regel, indem wir den Service **iptables** einmal durchstarten.  
-   # service iptables restart 
-<code>iptables: Flushing firewall rules:                          OK  ] 
-iptables: Setting chains to policy ACCEPT: filter          [  OK  ] 
-iptables: Unloading modules:                                OK  ] 
-iptables: Applying firewall rules:                          OK  ] 
-</code> 
- 
-Eine erneute Abfrage der Paketfilterregeln zeigt uns nun die neue Einstellung.  
-   # iptables -L 
- 
-<code>Chain INPUT (policy ACCEPT) 
-target     prot opt source               destination          
-ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED  
-ACCEPT     icmp --  anywhere             anywhere             
-ACCEPT     all  --  anywhere             anywhere             
-ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ssh  
-ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ldap  
-ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ldaps  
-ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:11370  
-ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:pgpkeyserver  
-REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited  
- 
-Chain FORWARD (policy ACCEPT) 
-target     prot opt source               destination          
-REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited  
- 
-Chain OUTPUT (policy ACCEPT) 
-target     prot opt source               destination 
-</code> 
- 
  
 ===== SKS-Serverdienste starten ===== ===== SKS-Serverdienste starten =====
Zeile 9345: Zeile 9344:
   * **[[http://dokuwiki.nausch.org/doku.php/|Zurück zur Startseite]]**   * **[[http://dokuwiki.nausch.org/doku.php/|Zurück zur Startseite]]**
  
-~~DISCUSSION~~+
  • centos/sks_c6.1392489994.txt.gz
  • Zuletzt geändert: 15.02.2014 18:46.
  • (Externe Bearbeitung)