[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[Admin] shell.uugrn.org frisch installiert
[Thread Prev] | [Thread Next]
[Date Prev] | [Date Next]
- Subject: [Admin] shell.uugrn.org frisch installiert
- From: Raphael Eiselstein <rabe@xxxxxxxxx>
- Date: Sat, 17 Dec 2016 00:50:28 +0100
- To: uugrn@xxxxxxxxxxxxxxx
Hallo zusammen, ich habe nun shell.uugrn.org komplett neu Installiert mit FreeBSD 11.0-RELEASE-p5 (aktueller Stand). Ich habe versucht alle Aspekte des Systems wieder herzustellen, an die ich mich erinnern konnte. Dinge, die mir ungenutzt erschienen habe ich dabei gezielt weggelassen. == SSH == === Ports === Wichtigste Info zuerst: OpenSSH laeuft nun in Version 7.2 auf dem Port 22, den parallel laufenden OpenSSH auf Port 2222 habe ich nicht mehr getrennt installiert, der Port 2222 landet nun auf dem selben sshd wie auch die Ports 22 und 443. Insbesondere der Port 443 ist speziell fuer alle user gedacht, die haeufig aus beschraenkten Gast-Netzen heraus oder ueber Proxy-Server SSH machen muessen. Alle die das bisher nutzen sollten das unbedingt checken, es ist vielleicht eure einzige Moeglichkeit im Urlaub per SSH "rauszukommen" ;-) === HostKeys === Die Host-Keys *sollten* sich nicht veraendert haben, jedoch duerften neuere Clients auf Port 22 nun ECDS oder ED25519 bevorzugen und entsprechende Warnungen ausgeben. Die Fingerprints (sha256) der jeweiligen Keytypen und deren "optische Darstellung" stehen weiter unten in dieser E-Mail. Beispiel: Login mit Optischem Vergleich des Fingerprints: | $ ssh -o VisualHostKey=yes shell.uugrn.org | Host key fingerprint is SHA256:PV+bpSNTPfyE1XvtXXg7qjnFkXoaHOZV4SFVGsfhDdY | +---[ECDSA 256]---+ | | .=B*| | | .+*E| | | +o+| | | . o +.=o| | | S * = *+O| | | B * OB| | | O =o+| | | o.o...| | | oo. | | +----[SHA256]-----+ | === DSA-Keys === Ich vermute, dass aeltere OpenSSH-Clients noch DSA verwenden und vermute dass derServer die auch akzeptiert. Bitte keine DSA-Keys mehr verwenden, bitte erzeugt euch neue Keys! === Passwoerter === Bei der Gelegenheit: Manche User sind noch jahrzehtealten Passworthashes in der /etc/master.passwd unterwegs. Bitte aendert eure Passwoerter! === Probleme? === Login geht gar nicht mehr? Bitte Info an mich, ich hinterlege ggf. frische Public-Keys aus vertrauenswuerdiger Quelle, lege euch ggf. auch frische Passwoerter an (pwgen -s 14) == Lokal instalierte Software == Auf dem Server ist ansonsten eine Menge an Software installiert, von der ich irgendwann der Meinung war, das irgendwer sich dafuer interessiert oder fuer die es explizit Nachfrage gab. Wenn ihr irgendwas vermisst oder gerne dort nutzen moechtet --> Info an mich. == Webserver == Es laeuft ein Apache 2.4 Webserver, der auch die "klassischen" ~/public_html/ Verzeichnisse ausliefern kann, also http://shell.uugrn.org/~username/ == Mail == Bitte prueft unbedingt eurer Mail-Setup, falls ihr Mails via shell.uugrn.org abholt oder verschickt oder dort lokal im Spool lest. Prueft, dass eure procmail-Scripte noch laufen, eure .forward oder dass mutt noch tut was es soll. IMAP anyone? == Generell == Bitte checkt alles was ihr benoetigt (bisher genutzt habt oder gerne nutzen wuerdet) und wenn was fehlt --> Info an mich. == Internet === Alle angebotenen Services sollten gleichermassen und uneingeschraenkt per IPv4 (Legacy) und IPv6 erreichbar sein, auch ausgehend sollten beide IP-Versionen immer funktionieren. Sollte es hier zu Problemen kommen, bitte traceroute/traceroute6 output per Mail an mich, notfalls auch ping/ping6. Viele Gruesse Raphael Eiselstein PS: Hier noch die Fingerprints der Host-Keys. [root@shell ~]# for F in /etc/ssh/ssh_host_*.pub ; do ssh-keygen -lv -f $F; done 1024 SHA256:N0eL7t9o7sHr1NXqTx0DI4ee3OP10PNLmaAVwyAXeUE root@xxxxxxxxxxxxxxx (DSA) +---[DSA 1024]----+ | . ++E. | | o.+. | | ooB | | oo=.=..| | S ++o=.=+| | o ++.++X| | ..+.o+=| | . ..*...| | .*B oo.| +----[SHA256]-----+ 256 SHA256:PV+bpSNTPfyE1XvtXXg7qjnFkXoaHOZV4SFVGsfhDdY root@xxxxxxxxxxxxxxx (ECDSA) +---[ECDSA 256]---+ | .=B*| | .+*E| | +o+| | . o +.=o| | S * = *+O| | B * OB| | O =o+| | o.o...| | oo. | +----[SHA256]-----+ 256 SHA256:rSd2JB8rTe9WUHBD/fyQxuCKOx5bMyBl8pwX3Sjn5qU root@xxxxxxxxxxxxxxx (ED25519) +--[ED25519 256]--+ | .o+. | | ..+...| | . o o.++.o.| | * o =o = o| | . S.*.oo...| | ..X.* o. .| | *.X E. | | .oO +. | | .o. .. | +----[SHA256]-----+ 2048 SHA256:Op2Z/Fh0O3oKrJKjScIyxrFiWSG7dEpZeA9Lo2Z5VlM root@xxxxxxxxxxxxxxx (RSA) +---[RSA 2048]----+ | E | | . . | | o B o | | X B . | | @ * . S . . | |B @ = = . . | |=X. .o O . o | |=+ .+ o = ... | | o. o. . +o | +----[SHA256]-----+ [root@shell ~]# for F in /etc/ssh/ssh_host_* ; do ssh-keygen -B -f $F; done 1024 xikec-tubeb-tutev-lityd-tasyk-barym-rales-latil-leron-repud-roxux root@xxxxxxxxxxxxxxx (DSA) 1024 xikec-tubeb-tutev-lityd-tasyk-barym-rales-latil-leron-repud-roxux root@xxxxxxxxxxxxxxx (DSA) 256 xusoc-mubaf-zydah-lemol-tynyr-gemac-dahac-nykip-sityg-ronez-zuxox root@xxxxxxxxxxxxxxx (ECDSA) 256 xusoc-mubaf-zydah-lemol-tynyr-gemac-dahac-nykip-sityg-ronez-zuxox root@xxxxxxxxxxxxxxx (ECDSA) 256 xilap-katus-damob-tukop-horen-kilag-dovez-lalop-decym-perod-gyxox root@xxxxxxxxxxxxxxx (ED25519) 256 xilap-katus-damob-tukop-horen-kilag-dovez-lalop-decym-perod-gyxox root@xxxxxxxxxxxxxxx (ED25519) 2048 xobeb-niziv-mitag-gonaf-hurob-furyl-leril-dahac-dosyp-gekum-nuxax root@xxxxxxxxxxxxxxx (RSA) 2048 xobeb-niziv-mitag-gonaf-hurob-furyl-leril-dahac-dosyp-gekum-nuxax root@xxxxxxxxxxxxxxx (RSA) -- SMTP+XMPP: rabe@xxxxxxxxx rabe@xxxxxxxxx raphael.eiselstein@xxxxxxxxxxx OTR: 33790A42 C28ED889 2ABEA87C 4E829C29 C76E2F24 PGP: 4E63 5307 6F6A 036D 518D 3C4F 75EE EA14 F625 DB4E .........|.........|.........|.........|.........|.........|.........|.. -- UUGRN e.V. http://www.uugrn.org/ http://mailman.uugrn.org/mailman/listinfo/uugrn Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste Archiv: http://lists.uugrn.org/