Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
centos:sks_c6 [15.02.2014 20:02. ] – [SKS-Sysconfig Definition] django | centos:sks_c6 [22.07.2019 14:51. ] (aktuell) – Externe Bearbeitung 127.0.0.1 | ||
---|---|---|---|
Zeile 3: | Zeile 3: | ||
Zur Verteilung und Abfrage von PGP-Schlüsseln bedienen wir uns am einfachsten eines [[http:// | Zur Verteilung und Abfrage von PGP-Schlüsseln bedienen wir uns am einfachsten eines [[http:// | ||
- | + | ||
- | Der große | + | Der grosse |
Der zweite Serverprozess (**sks-recon**) kümmert sich um den automatischen Abgleich der lokalen Datenbank mit den in Verbindung stehenden Peering-Partnern. | Der zweite Serverprozess (**sks-recon**) kümmert sich um den automatischen Abgleich der lokalen Datenbank mit den in Verbindung stehenden Peering-Partnern. | ||
Zeile 82: | Zeile 82: | ||
</ | </ | ||
- | FIXME | ||
- | |||
- | <WRAP round important> | ||
- | |||
- | FIXME | ||
===== Dokumentation ===== | ===== Dokumentation ===== | ||
Zeile 816: | Zeile 811: | ||
# mkdir /srv/sks | # mkdir /srv/sks | ||
- | Anschließend passen wir die Dateiberechtigungen dieser | + | Anschließend passen wir die Dateiberechtigungen dieser |
# chown sks:sks /etc/sks | # chown sks:sks /etc/sks | ||
Zeile 986: | Zeile 981: | ||
# cp / | # cp / | ||
- | Nach Rücksprache mit den Pearingpartnern tragen wir die entsprechenden Kontaktdaten in er datei ein. | + | Nach Rücksprache mit den Pearingpartnern tragen wir die entsprechenden Kontaktdaten in der Datei ein. |
# vim / | # vim / | ||
Zeile 1065: | Zeile 1060: | ||
==== Logverzeichnis anlegen ==== | ==== Logverzeichnis anlegen ==== | ||
- | Damit für spätere | + | Damit für spätere |
# mkdir / | # mkdir / | ||
Zeile 1216: | Zeile 1211: | ||
==== Logrotate Definition ==== | ==== Logrotate Definition ==== | ||
- | Damit uns unser Logverzeichnis nicht voll läuft, werden wir unseren SKS-Server so einstellen, dass er in regelmäßigen | + | Damit uns unser Logverzeichnis nicht voll läuft, werden wir unseren SKS-Server so einstellen, dass er in regelmässigen |
Hierzu legen wir uns im Verzeichnis // | Hierzu legen wir uns im Verzeichnis // | ||
# vim / | # vim / | ||
Zeile 1714: | Zeile 1709: | ||
Somit können nun die Anwender, die nur Webzugriff via Port **80** nutzen dürfen, den SKS-Keyserver über den Umweg um unseren Apache Webserver nutzen: http:// | Somit können nun die Anwender, die nur Webzugriff via Port **80** nutzen dürfen, den SKS-Keyserver über den Umweg um unseren Apache Webserver nutzen: http:// | ||
Der direkte Zugriff via Port **11371** funktioniert natürlich weiterhin: http:// | Der direkte Zugriff via Port **11371** funktioniert natürlich weiterhin: http:// | ||
+ | |||
+ | ==== Paketfilter anpassen ==== | ||
+ | Damit nun Anfragen an unseren SKS-Keyserver von diesem auch beantwortet werden können, werden wir noch unseren Paketfilter anpassen müssen. | ||
+ | |||
+ | Wir überprüfen also erst einmal die Paketfiltereinstellungen. | ||
+ | |||
+ | # iptables -L | ||
+ | < | ||
+ | target | ||
+ | ACCEPT | ||
+ | ACCEPT | ||
+ | ACCEPT | ||
+ | ACCEPT | ||
+ | ACCEPT | ||
+ | ACCEPT | ||
+ | REJECT | ||
+ | |||
+ | Chain FORWARD (policy ACCEPT) | ||
+ | target | ||
+ | REJECT | ||
+ | |||
+ | Chain OUTPUT (policy ACCEPT) | ||
+ | target | ||
+ | </ | ||
+ | |||
+ | Für den SKS-Keyserver, | ||
+ | # vim / | ||
+ | <file bash / | ||
+ | # Firewall configuration written by system-config-firewall | ||
+ | # Manual customization of this file is not recommended. | ||
+ | *filter | ||
+ | :INPUT ACCEPT [0:0] | ||
+ | :FORWARD ACCEPT [0:0] | ||
+ | :OUTPUT ACCEPT [0:0] | ||
+ | -A INPUT -m state --state ESTABLISHED, | ||
+ | -A INPUT -p icmp -j ACCEPT | ||
+ | -A INPUT -i lo -j ACCEPT | ||
+ | -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT | ||
+ | # Django : 2011-10-27 ldap-Zugriff freigeschaltet | ||
+ | -A INPUT -m state --state NEW -m tcp -p tcp --dport 389 -j ACCEPT | ||
+ | -A INPUT -m state --state NEW -m tcp -p tcp --dport 636 -j ACCEPT | ||
+ | # Django : 2011-12-28 sks-Zugriffe freigeschaltet | ||
+ | -A INPUT -m state --state NEW -m tcp -p tcp --dport 11370 -j ACCEPT | ||
+ | -A INPUT -m state --state NEW -m tcp -p tcp --dport 11371 -j ACCEPT | ||
+ | -A INPUT -j REJECT --reject-with icmp-host-prohibited | ||
+ | -A FORWARD -j REJECT --reject-with icmp-host-prohibited | ||
+ | COMMIT | ||
+ | </ | ||
+ | |||
+ | Anschließend aktivieren wir die neue Regel, indem wir den Service **iptables** einmal durchstarten. | ||
+ | # service iptables restart | ||
+ | < | ||
+ | iptables: Setting chains to policy ACCEPT: filter | ||
+ | iptables: Unloading modules: | ||
+ | iptables: Applying firewall rules: | ||
+ | </ | ||
+ | |||
+ | Eine erneute Abfrage der Paketfilterregeln zeigt uns nun die neue Einstellung. | ||
+ | # iptables -L | ||
+ | |||
+ | < | ||
+ | target | ||
+ | ACCEPT | ||
+ | ACCEPT | ||
+ | ACCEPT | ||
+ | ACCEPT | ||
+ | ACCEPT | ||
+ | ACCEPT | ||
+ | ACCEPT | ||
+ | ACCEPT | ||
+ | REJECT | ||
+ | |||
+ | Chain FORWARD (policy ACCEPT) | ||
+ | target | ||
+ | REJECT | ||
+ | |||
+ | Chain OUTPUT (policy ACCEPT) | ||
+ | target | ||
+ | </ | ||
+ | |||
+ | |||
===== Datenbank initial befüllen ===== | ===== Datenbank initial befüllen ===== | ||
==== Download Keydump ==== | ==== Download Keydump ==== | ||
Zeile 9200: | Zeile 9276: | ||
Da unser Keyserver mit den Rechten des Users **sks** laufen wird, //" | Da unser Keyserver mit den Rechten des Users **sks** laufen wird, //" | ||
# chown sks.sks /srv/sks/ -R | # chown sks.sks /srv/sks/ -R | ||
- | |||
- | ===== Paketfilter anpassen ===== | ||
- | Damit nun Anfragen an unseren SKS-Keyserver von diesem auch beantwortet werden können, werden wir noch unseren Paketfilter anpassen müssen. | ||
- | |||
- | Wir überprüfen also erst einmal die Paketfiltereinstellungen. | ||
- | |||
- | # iptables -L | ||
- | < | ||
- | target | ||
- | ACCEPT | ||
- | ACCEPT | ||
- | ACCEPT | ||
- | ACCEPT | ||
- | ACCEPT | ||
- | ACCEPT | ||
- | REJECT | ||
- | |||
- | Chain FORWARD (policy ACCEPT) | ||
- | target | ||
- | REJECT | ||
- | |||
- | Chain OUTPUT (policy ACCEPT) | ||
- | target | ||
- | </ | ||
- | |||
- | Für den SKS-Keyserver, | ||
- | # vim / | ||
- | <file bash / | ||
- | # Firewall configuration written by system-config-firewall | ||
- | # Manual customization of this file is not recommended. | ||
- | *filter | ||
- | :INPUT ACCEPT [0:0] | ||
- | :FORWARD ACCEPT [0:0] | ||
- | :OUTPUT ACCEPT [0:0] | ||
- | -A INPUT -m state --state ESTABLISHED, | ||
- | -A INPUT -p icmp -j ACCEPT | ||
- | -A INPUT -i lo -j ACCEPT | ||
- | -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT | ||
- | # Django : 2011-10-27 ldap-Zugriff freigeschaltet | ||
- | -A INPUT -m state --state NEW -m tcp -p tcp --dport 389 -j ACCEPT | ||
- | -A INPUT -m state --state NEW -m tcp -p tcp --dport 636 -j ACCEPT | ||
- | # Django : 2011-12-28 sks-Zugriffe freigeschaltet | ||
- | -A INPUT -m state --state NEW -m tcp -p tcp --dport 11370 -j ACCEPT | ||
- | -A INPUT -m state --state NEW -m tcp -p tcp --dport 11371 -j ACCEPT | ||
- | -A INPUT -j REJECT --reject-with icmp-host-prohibited | ||
- | -A FORWARD -j REJECT --reject-with icmp-host-prohibited | ||
- | COMMIT | ||
- | </ | ||
- | |||
- | Anschließend aktivieren wir die neue Regel, indem wir den Service **iptables** einmal durchstarten. | ||
- | # service iptables restart | ||
- | < | ||
- | iptables: Setting chains to policy ACCEPT: filter | ||
- | iptables: Unloading modules: | ||
- | iptables: Applying firewall rules: | ||
- | </ | ||
- | |||
- | Eine erneute Abfrage der Paketfilterregeln zeigt uns nun die neue Einstellung. | ||
- | # iptables -L | ||
- | |||
- | < | ||
- | target | ||
- | ACCEPT | ||
- | ACCEPT | ||
- | ACCEPT | ||
- | ACCEPT | ||
- | ACCEPT | ||
- | ACCEPT | ||
- | ACCEPT | ||
- | ACCEPT | ||
- | REJECT | ||
- | |||
- | Chain FORWARD (policy ACCEPT) | ||
- | target | ||
- | REJECT | ||
- | |||
- | Chain OUTPUT (policy ACCEPT) | ||
- | target | ||
- | </ | ||
- | |||
===== SKS-Serverdienste starten ===== | ===== SKS-Serverdienste starten ===== | ||
Zeile 9348: | Zeile 9344: | ||
* **[[http:// | * **[[http:// | ||
- | ~~DISCUSSION~~ | + |