Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
invis_server_wiki:administration [2020/06/26 07:11] flacco [VirtualBox] |
invis_server_wiki:administration [2021/08/17 05:50] flacco [Online Updates] |
||
---|---|---|---|
Zeile 707: | Zeile 707: | ||
Sorgen Sie dafür, dass Ihr invis Server über den Maintenance-Zeitraum der zugrunde liegenden openSUSE Version immer mit den aktuellen Sicherheits-Updates versorgt wird. | Sorgen Sie dafür, dass Ihr invis Server über den Maintenance-Zeitraum der zugrunde liegenden openSUSE Version immer mit den aktuellen Sicherheits-Updates versorgt wird. | ||
- | invis-Server bringen seit Version invisAD 10.1 ein "Updater Script" mit. Gedacht ist es als "fire & forget" Updater für funktionsunkritische Sicherheitsaktualisierungen. Es werden dabei bestimmte Updates wie etwa solche installierter SQL-Dienste und auch Updates die einen Neustart erfordern ausgeklammert. Das Script kümmert sich selbsttätig um das Neustarten betroffener Dienste und die Anwendung des invis //**afterup**// Scripts. Rufen sie es einfach ohne weitere Optionen auf: | + | Dabei ist zwischen dem Aktualisieren aller installierten Pakete und dem exklusiven Installieren von Sicherheitsupdates der Distribution. Ersteres ist nicht ganz frei von Gefahren. Beim Aktualisieren aller Pakete könnte beispielsweise auch das invis-Server Setup-Paket installiert werden. Das ist solange ungefährlich, wie dieses Paket keine strukturellen Änderungen am Server vornimmt. Ist dies doch der Fall kann die Funktionsweise des Servers erheblich gestört werden. Lesen Sie dafür hier im Wiki die Beschreibungen im Abschnitt Server Upgrade. |
- | <code> | + | Wenn Sie wissen, was Sie tun läuft eine vollständige Aktualisierung wie folgt ab: |
- | invis:~ # invis-updater | + | |
- | </code> | + | |
- | + | ||
- | Eine vollständige Aktualisierung können Sie mit //**zypper**// durchführen: | + | |
<code> | <code> | ||
Zeile 721: | Zeile 717: | ||
</code> | </code> | ||
- | Es ist weder notwendig noch ratsam ein "Distribution Upgrade" mit **//zypper dup//** durchzuführen. | + | //**Hinweis:** Es ist weder notwendig noch ratsam ein "Distribution Upgrade" mit **zypper dup** durchzuführen!// |
Möchten Sie lediglich die Sicherheitspatches der Distribution installieren können Sie dies mit "YaST Online Update" (kurz: you) erledigen: | Möchten Sie lediglich die Sicherheitspatches der Distribution installieren können Sie dies mit "YaST Online Update" (kurz: you) erledigen: | ||
Zeile 729: | Zeile 725: | ||
</code> | </code> | ||
+ | Dabei werden definitiv nur Patches installiert, die keine strukturellen Veränderungen am Setup mitbringen. | ||
==== SMTP-Relay / SMTP-Auth für Postfix einrichten ==== | ==== SMTP-Relay / SMTP-Auth für Postfix einrichten ==== | ||
invis Server sind meist via DSL mit dem Internet verbunden, verfügen also nicht über eine dauerhafte Internet-Anbindung. Das macht sie aus Sicht vieler Internet-Mailserver **zurecht** nicht vertrauenswürdig. Um aus dieser Situation heraus zuverlässig Emails versenden zu können, wird für den Mailversand eine Relais-Station (Relay-Server) benötigt, die uns vertraut. Dabei handelt es sich eigentlich um nichts anderes als die Konfiguration eines Postausgangsservers, so wie das auch in Mail-Clients gemacht wird. | invis Server sind meist via DSL mit dem Internet verbunden, verfügen also nicht über eine dauerhafte Internet-Anbindung. Das macht sie aus Sicht vieler Internet-Mailserver **zurecht** nicht vertrauenswürdig. Um aus dieser Situation heraus zuverlässig Emails versenden zu können, wird für den Mailversand eine Relais-Station (Relay-Server) benötigt, die uns vertraut. Dabei handelt es sich eigentlich um nichts anderes als die Konfiguration eines Postausgangsservers, so wie das auch in Mail-Clients gemacht wird. | ||
Zeile 800: | Zeile 797: | ||
Nebenstehend erläutert ein Ablaufdiagramm die Funktionsweise des Scripts. | Nebenstehend erläutert ein Ablaufdiagramm die Funktionsweise des Scripts. | ||
- | |||
- | Es ist dem Script, im Unterschied zu seinen Vorgängern, nicht mehr möglich noch gültige Zertifikate zu erneuern. Damit verstößt //**inviscerts**// nicht mehr gegen gängige Regeln der Zertifikatsverwaltung. | ||
Die voreingestellten Lebensdauern der Server- und Client-Zertifikate beträgt 730 Tage, also 2 Jahre. Die Lebensdauer der CA selbst liegt bei 10 Jahren. Ändern lässt sich dies in: <file>/etc/easy-rsa/vars</file> Notwendig ist das aber nicht. | Die voreingestellten Lebensdauern der Server- und Client-Zertifikate beträgt 730 Tage, also 2 Jahre. Die Lebensdauer der CA selbst liegt bei 10 Jahren. Ändern lässt sich dies in: <file>/etc/easy-rsa/vars</file> Notwendig ist das aber nicht. | ||
Zeile 1041: | Zeile 1036: | ||
==== Router Tausch ==== | ==== Router Tausch ==== | ||
- | Wird der Router den Internetzugangs getauscht, hat das auch Auswirkungen auf den invis-Server. Klar sollte sein, dass beim neuen Router wieder die für den invis-Server erforderlichen Portweiterleitungen eingerichtet werden (80/TCP, 443/TCP, 1194/UDP sowie die verschobenen Ports für HTTPs Zugriff aufs invis-Portal und den SSH-Zugriff (beides TCP)). Die beiden verschobenen Ports können Sie den Dateien <file>/etc/ssh/sshd_conf</file> und <file>/etc/apache2/listen.conf</file> entnehmen. | + | Wird der Router für den Internetzugangs getauscht, hat das auch Auswirkungen auf den invis-Server. Klar sollte sein, dass beim neuen Router wieder die für den invis-Server erforderlichen Portweiterleitungen eingerichtet werden (80/TCP, 443/TCP, 1194/UDP sowie die verschobenen Ports für HTTPs Zugriff aufs invis-Portal und den SSH-Zugriff (beides TCP)). Die beiden verschobenen Ports können Sie den Dateien <file>/etc/ssh/sshd_conf</file> und <file>/etc/apache2/listen.conf</file> entnehmen. |
So Ihr invis-Server seine externe IP-Adresse per DHCP vom Router erhält sorgen Sie dafür, dass er für seine IP-Adresse im Router eine feste Reservierung erhält. | So Ihr invis-Server seine externe IP-Adresse per DHCP vom Router erhält sorgen Sie dafür, dass er für seine IP-Adresse im Router eine feste Reservierung erhält. |