Adminathon
Adminathon | |
---|---|
Status | active |
Typ | public |
Kurzbeschreibung | |
Adminstration of the internal and external Labor Server Infrastructure | |
Export | iCalendar-Datei |
Alle Veranstaltungen der Reihe | |
{{{furtherdates}}} |
15.05.2019
- Telefon: die Config hat auch mit der neuen Fritzbox nicht funktioniert, abcde führt das auf eine Signatur der Config-Datei und ein fehlendes Passwort zurück. Es sollen noch einmal die Stadtwerke kontaktiert werden, um an eine neue Config-Datei zu kommen. Das Thema soll auf dem nächsten Bootstrap angesprochen werden - sipgate sieht auch wie eine gute Lösung aus. Die Entscheidung des Bootstraps zählt letztlich.
- LDAP: Benutzer und Gruppen können jetzt mit LDAP-Script angelegt werden. Der SSH-Service muss noch angebunden und auf eine Gruppe konfiguriert werden.
- Audio: ist wieder kaputt. abcde schaut sich das an.
- Passwörter werden provisorisch weitergegeben. Eine permanente Lösung über einen Passwortmanager ist noch nicht fertig.
17.04.2019
- Server-Sonntag: LDAP hat nicht so geklappt, wie es sich abcde und 3run0 vorgetsellt haben
- Telefon: Mit der bestehenden FRITZ!Box konnte die config von Fridtjof nicht geöffnet werden, ein neueres Modell ist bestellt, mit dem dies funktionieren sollte.
- Die externen Dienste (z.B. Wiki) auf dem Server wurden von Fridtjof aufgeräumt und auf die aktuellen stabilen Versionen geupdatet einschließlich Performanzverbesserungen. Knackpunkt Mail: DoveCot und Postfix und müssen noch dockerisiert werden damit der Server mal umgezogen werden kann (für weniger kosten und mehr Leistung). Wie sieht die Backupstrategie aus? Wegen DNS redet mit Fridtjof mit Marcus.
20.03.2019
- Verlinkung zur spring;break();-> erledigt
- Telefon: Bei der FritzBox! ist noch nicht passiert, weil zunächst der Schlüsselaustausch stattfinden muss. Dann wird sich abcde weiter mit beschäftigen
- Passwortsaver z.B. Keysaver (https://keybase.io) sollten wir nutzen -> für alle Admins, für diejenigen die kein Gpg haben, können wir Keybase benutzen (Gpg Public-Key) an Fridtjof senden. Passwortmanager path.
- Der Labor-Matrix-Server hat nun einen eigenen Adminraum zum Austausch
- Bei Pretix-Fehlermeldungen muss der Dienst einfach manuell gestartet werden
- E-Mail-Migration (Dockerisierung) pausiert zur Zeit - Fridtjof hatte wenig Zeit
- Backup-Strategie (z.B. fürs Wiki, E-Mail, etc.) notwendig, Regelmäßig, z.B. täglich, über einen VPN-Tunnel mit evt. SSH auf den internen Server. Zusätzlicher Dovecot-Server im Keller zur Synchronisierung für E-Mail? Wieviel Traffic geht hier rüber und lohnt sich das? Über einen Test-E-Mailserver.
- abcde und 3run0 werden sich die nächsten Monate mit LDAP beschäftigen (nächster Termin geht über die Admin-Mailingliste). Es gibt mittlerweile einen Testaccount. Alle Accounts soll über LDAP gemanaged werden - zur haben wir eine Accounthölle. Accountmigration könnte u.U. schwierig werden. Passwort-Reset wohl notwendig. DSGVO-Interessant, da der Nutzer kann selber entscheiden zu welchen Diensten er gehören möchte, da diese einschließlich der Daten zentral verwaltet werden. Weitere LDAP-Einarbeitung. Wir benötigen eine Datenschutzerklärung für jeden Dienst. Welche Dienste haben wir überhaupt? Beispiel: Person xy möchte wissen, welche Daten habt ihr zu meinem Nickname gespeichert? Später über alle Serviceaccounts in LDAP ermittelbar (z.B.über ein Script). Wenn wir uns in LDAP weiter eingearbeitet haben, soll dieses Konzept auf einem Bootstrap vorgestellt werden.
20.02.2019
- Verlinkung zur Spring;Break(); (Mythozz kümmert sich drum)
- Telefon: abcde hat eine FritzBox! dabei und kann sich nun das Problem ansehen
- Pretix-Fehlermeldungen: Es wurden Updates geladen und es sind noch nicht alle Dienste gestartet (Fridtjof kümmern sich drum)
- DSGVO:
- "Nicht mehr Daten als nötig zu speichern" Dienste sollten so wenig speichern wie möglich, Zeiträume
- auf dem Server haben wir nun LDAP und die Festplatteneinschübe gelabelt diverse User, Testuser, Gast LDAP-Nutzer, kein root über SSH-Zugang über normale Nutzer
- Datenverwaltung über LDAP? Zur Authentifizierung SSH, Wiki, E-Mails, Jabber? Das /dev/tal macht dies so
- Unbelebte Accounts müssen gelöscht werden
- Wir benötigen eine Datenschutzerklärung für jeden Dienst. Welche Dienste haben wir überhaupt?
- Bei LDAP sollten alte IDs nicht gelöscht, sondern nur deaktiviert werden (da sonst eine anderer Nutzer u.U. die selbe ID erhalten könnte und dann Zugriff auf die alten Daten haben).
- Was ist mit Backups??
- abcde und 3run0 werden sich die nächsten Monate mit LDAP beschäftigen (nächster Termin geht über die Mailingliste)
- E-Mail-Migration ist noch in Arbeit (die Dockerisierung ist nicht trivial wie Mailserver- und Authentifizierung sehr miteinander verzahnt sind)
- MPD und Pulse sind nun auf dem Server. Diese starten allerdings nicht automatisch.
- Passwortsaver z.B. Keysaver sollten wir nutzen -> für alle Admins.
16.01.2019
- Fridtjof hat den externen Laborserver (von Ubuntu 14.04. auf 16.04) geupdated
- abcde hat die Soundanlage neu gemacht (Pulseaudio mit mpd) + Verkabelung. Frage: Wie ist hier der Status? Da sollte dokumentiert werden
- Fridtjof und Henning werden sich im Januar noch das Telefonproblem mit der Fritzbox ansehen
- Gitlab VM? Fridtjof schaut sich das noch an.
- ABCDE und Bruno haben auf dem internen Laborserver Debian Stable aufgespielt und die verschollene Festplatte wiedergefunden
19.12.2018
- Externer Server aufgeräumt. ejabberd: optimiert von Fridtjof (Manuelles Update des Datenbank-Schemas aufgrund von Fehlern im Log). Docker wird auf Docker-Compose umgeschrieben, dann ist das Wiki zur Aktualisierung dran.
- Der Mailserver ist ebenfalls ein (kompliziertes) Thema der Dockerisierung. Der Reverse Proxy soll auf nginx umgestellt werden. EtcKeeper wurde installiert: Setzt etc unter git. Bei Apt-Änderungen wird direkt committed zur Nachvollziehbarkeit. Ziel ist neuer günstigerer externer Server. (Alles Fridtjof).
- Externer Server: Bis April: mindestens Ubuntu 16.04
- Gitlab VM? Es ist unklar, ob hier noch Repos sind. Fridtjof macht ein Backup.
- RADIUS in Benutzung? Dieser war für SpaceNet (quasi EduRoam für Hackerspaces). Wird wohl nicht mehr verwendet. Nimmt Fridtjof runter und macht vorher ein Backup.
- Telefon: Stadtwerke-Connect. Unser OPNSense-Router,der dazwischen hängt, unterstützt das TR-069-Protokoll (zur automatischen Routerkonfiguration) nicht. Das Passwort ist verloren gegangen (wurde vom Dienstleister geändert, der unterstützt nur FritzBox). Der Dienstleister würde sich wohl keine Mühe machen uns das neue Passwort mitzuteilen (es gibt auch keine Kontaktmöglichkeit). Eventuell über das Webinterface zurücksetzbar oder temporär über eine FritzBox zum zurücksetzen. Aufpassen, dass das Netzwerk im Labor nicht lahmgelegt wird. DePate oder Fridtjof haben hier evt. noch Fritzboxen. ABCDE möchte sich das TR-069-Protokoll ebenfalls mal im Januar ansehen.
- XMPP-Server von Fridjof. Externer kamen nicht in den Jabberraum rein (Verbindungsproblem zwischen den Servern bei der Encryption). Das Lets-Encrypt-Zertifikat hat den Labor-Server nicht richtig abgedeckt, dadurch wurde der Labor-Server von externen Servern nicht akzeptiert.
- ABCDE: Server im Keller wurde vor ca. einer Woche eingeschaltet, unklar von wem. Dies verhindert das Aufspielen Debian Stable + LDAP. Es wird noch einmal ein Backup gefahren. ABCDE und Bruno wollen dies am 22.12., 18 Uhr aufspielen.
- Das Raspberry-PI-Rack-Gehäuse hat erst einmal erledigt, da die Hochschule Bochum alte Hardware auch nicht mehr an Vereine abgeben möchte. ABCDE hat noch alte Servergehäuse und bringt eines mit (wir müssten dann noch ein Netzteil besorgen).
21.11.2018
- Teufel: Erster Schritt war die Wanddose. Der zweite Schritt wird der Teufel und seine Eingänge sein. Drago überarbeitet dies.
- Stephan: Server-Spende vom Lehrstuhl für Systemsicherheit (RUB)? Neolim-2009? Ist wohl zu alt. Eventuell zum ausschlachten. Da der unser Server neuer ist, besteht kein Interesse.
- Weiß jemand etwas über LDAP-Hackerweit um die eigenen Daten zugreifen zu können (ähnlich EduRoam)?
- Wie wäre es mit einem Rack als PIs? Den alten Lehrstuhl-Server?
- OpenHAB: Der PI sollte besser in den Keller, um vor Zugriff zu schützen und Datenverlust bei Labot-On/Off zu vermeiden (die SD-Karten sind hier anfällig). Ein Gehäuse fehlt noch.
- Labortage: Audio/Video hat super funktioniert.
- Fridtjof, Dr4go (und evt. Mati) kümmert sich um den Telefon Stadtwerke-Account und rufen dort an, damit die uns neue Zugangsdaten und Hardware zuschicken.
17.10.2018
Labortage-Orga-Adminathon
- Audio/Video - Arno besorgt das Material (Recorder, Mikro, Kamera (haben wir auch hier))
- Beamer ist ok, im Notfall kann einer privat besorgt.
- Beleuchtung, die Strahler blenden, Plissés würden fehlen, Tesla fragen?
- Server: Was wird noch auf dem Server benötigt? Fridtjof spricht hier mit Drago
- OpenHAB ist installiert
19.09.2018
- Die WLAN-Probleme sind soweit von fridtjof gefixt. Wenn möglich sollten wir uns bessere Switches zulegen.
- Fridtjof und D2ns haben Matrix als Jabber-Ersatz eingerichtet (Jabber wird noch eine Weile weiterlaufen, aber es ist gedacht diesen irgendwann abzuschalten.)
- Einfach fridtjof[ät]das-labor.org oder d2ns[ät]das-labor.org für einen Account anschreiben.
- Fridtjof und Marcus für die Labortage Pretix-System aufgesetzt (DNS: https://pretix.das-labor.org/)
- Zaolin, Kai und Marcus können etwas über die VMs auf dem Server sagen (was gibt es dort, von wem sind diese etc.)
- Audio-Hardware funktioniert größenteils nicht. Netzpfuscher hat hier O!MPD empfohlen, läuft mittels mpd und Alsa. Mehrere Räume über Airplay ansteuerbar. Sound-Hardware: Soundchina-Module PCM2704 USB, Verstärker 100 Watt Class D über z.B. Raspberry Pi
- Netzpfuscher hatte angefragt, ob man nicht den Server unten für "mal eben" einen Ubuntu-Server in einer VM aufsetzen nutzen kann.
- abcde wird Debian stable auf dem lokalen Server mit SSH und LDAP einrichten, um eine Basis für eine Diskussion darüber zu haben, ob wir LDAP lokal im Labor und auf dem externen Server haben wollen.
- Welches VM-Management wir verwenden (Proxmox oder Virtmanager) wird noch ausgelotet.
- d2ns: Bedingung wäre ein ordentliches Webinterface für die Verwaltung.
- Die Authentifikation für den Lasercutter läuft gerade über Netzpfuschers externen Server und sollte wenn möglich über das Pi mit dem CANBUS laufen.
- Zudem sollte auf dem CANBUS-Pi auch node-red bzw. HomeAssistant getestet werden um ein nutzbares und Wartungsarmes Infrastrukturinterface zu haben.
15.08.2018
- Zur Zeit gibt es WLAN-Probleme - Fridtjof schaut sich das an
18.07.2018
- Die aktuellen Passwörter sollen redundant abgelegt werden
- JedeR Admin soll sich GPG einrichten
- D2ns hat presse[at]das-labor.org auf die Whitelist von discuss gesetzt
20.06.2018
- Fridtjof hat das WLAN-Setup so simple gemacht wie möglich. Multicast geht nun auch über WLAN.
- Endres bastelt z.Z. an einer ARM-basierten Automatisierungs-Platine (Laborlicht)
16.05.2018
- abcde kann sich im Moment nicht um den Server kümmern.
25.04.2018
- Interner Server:
- Die Festplatten wurden von abcde gekauft und in den Server eingebaut
- Welche Linux Distribution wir zukünftig verwenden wollen: Debian Stable + KVM mit Standard-Basis-VM
- Vorschlag den Server neu aufsetzen um "Ordnung zu haben" - (alte Daten müsen gebackuped sein)
- Einen Blick auf den Server geworfen...
- Externer Server:
- Mailserver ist die kritische Infrastruktur
- Todo: Einen neuen Dockercontainer mit Dovecot und Postfix einrichten und dann die Konfiguration vom derzeitigen Server migrieren bis alle Errors beseitigt sind.
- Alles andere ist bereits dockerisiert (Wiki, MySQL und Jabber)
- Ein langes Wochenende wäre notwendig ;)
- Mailserver ist die kritische Infrastruktur
21.03.2018
- Laut Bootstrap können wir 3 Festplatten à 3 TB gekauft werden. Konkret: 3 TB als Backup, 6 TB für die effektive Nutzung (Endres)
- Extra SSD für das Betriebssystem
- Bootstrap: Datensicherung
- Bootstrap: Server neu aufsetzen
- Bootstrap: Infrastruktur-Dokumentation schaffen bzw. zu aktualisieren (z.B. Labor-Wiki, sollte leicht backupbar sein evt. über das Tool 'zim' und es sollte lokal betreibbar sein, zur Not über einen Notfall-Schnellhefter) (abcde)
- Bootstrap: Dienste wie z.B. Docker-Container
- Ziel: Audio-Reaktivierung (Mythozz, Fridtjof, abcde)
- Todo: Über das Soundsystem einen Randomized-Aufraufalarm (Mythozz, Fridtjof, abcde)
- Todo: Zentrale Audio-Steuerung inkl. Laustärke pro Raum (Mythozz, Fridtjof, abcde)
- Aufbau: Festplatten mit dem Konsolen-Tool 'mdadm' Raid5 erstellen dann LVM einbinden zur Verwaltung.
- Idee: Wake-on-LAN des Servers
- Auf eine Standard-Distribution einigen (Server, Infrastur-VMs, Raspi). Abweichungen nur mit guten Gründen mit dem Admin-Team sprechen.
- Aufsetzen einer Standard-Basis-VM mit entsprechender Distribution.
- Switche haben nun neue zufällige Passwörter und sollen über 'Pass' (läuft lokal basiert PGP+Git) zur Verfügung stellen, falls Server platt sein sollte (Fridtjof)
- Todo: Wenn der Server läuft, ist das Wlan die nächste Baustelle
- Todo: Dienste oder Infrastruktur mit unverhältnismäßigem Administrationsaufwand sollen abgeschaltet ggf. ersetzt werden bzw. es soll alles nach Möglichkeit entkompliziert werden
- Todo: Alle schauen sich weiterhin die Infrastruktur an verschaffen sich einen Überblick
21.02.2018
Wir hatten (...) nach dem Bootstrap ein Infrastrukturmeeting, bei dem wir Aufgabenbereiche neu verteilt haben und nun einige motivierte Leute gefunden haben, die zumindest die interne Infrastruktur administrieren, am Laufen halten möchten und letztendlich auch verbessern wollen.
Um den Kontakt zwischen den Admins zu erleichtern wollen wir die Mailingliste "admin@das-labor.org" wieder aktiv nutzen, um uns untereinander über aktuell anstehende Dinge besprechen zu können. Bisher wurde die Liste vermutlich größtenteils für die externe Infrastruktur (Hetzner Server) genutzt, aber ggf. macht es Sinn dies auch auf die interne Infrastruktur auszuweiten. Soll das ganze Labor in eine bestimmte Entscheidung mit einbezogen werden, wird es natürlich auf dem Bootstrap oder wenigstens auf orga besprochen werden. Es geht einfach darum, dass manche Informationen für die meisten evtl. irrelevant sind und später bei Bedarf im Wiki nachgelesen werden können, was in dem Zuge auch wieder auf einen besseren Stand gebracht werden soll. (Endres)
23.03.2016
- nginx-reverse proxy eingerichtet
- ToDos:
- Beispieldaten einsetzen
Nächstes Mal
- Doodle-artige MediaWiki Extension
- DNSSec funktioniert
22.03.2016
Es wurde sich auf eine Shortlist geeinigt, damit der Server so schnell wie möglich umgezogen werden kann:
- Shortlist
- Blog (fertig)
- Wiki (fertig)
- Mail (Testen sehr schwierig)
- Dovecot
- Postfix
- Spamassassin
- Mailman 2
- Update auf v3 wird verschoben, da komplett andere Config
- ejabberd
- DNSSec
- ansible gefixt (Port 53 exposed)
- IPv6 (benötigt, da der lokale Laborserver nur eine feste IPv6 und keine IPv4-Adresse hat) - Problem: Wir können aus einem Docker-Container per IPv6 den lokalen Laborserver pingen?
- Unklar, weil wir es migrieren müssen
- openLDAP
- Static
- TLS
- Nginx (Labor FrontEnd server wird gekickt; in Zukunft verwenden wir nginx-revproxy mit Let's Encrypt)
Hinten angeschoben:
- spacenet
- Streaming (Icecast)
- Status Bot
- Labor Shop
- Roundcube
- jitsi
27.11.2015
- (lokale) VMs (libvirt + virtmanager, kvm (VMs frei nach Schnauze))
- "casino" (Router-VM, muss neu gemacht/ersetzt werden)
- WLAN funktioniert gerade zu 10%
- "jukebox" (MediaServer)
- "weblab"
- "casino" (Router-VM, muss neu gemacht/ersetzt werden)
- Serverconfigs sind auf Github
- Weitere Infos und Änderungen stehe in den Github-Issues