Hallo!
Dann will ich auch mal meinen Senf dazu geben.
Andreas Marc Klingler schrieb:
Da das Redaktionssystem höhere Anforderungen an die Hardware als das bisherige Wiki stellt (Java-EE!), möchte ich dafür gerne eine "Inforz- VM" auf host04 installieren. Auf der temporären Entwicklungs-VM lief sie recht perfomant, und da das Redaktionssystem doch noch eine Reihe von speziellen Diensten installiert, fände ich das auf einer abgeschlossenen VM am besten aufgehoben.
Hört sich sinnvoll an. Die Alternative wäre eine Installation direkt auf host04, aber auf diesen Rechner sollten doch eher nur Admins Zugriff haben, schon wegen der VMs.
Allerdings würde ich den Inforz-Server gerne nur aus dem TU-Netz erreichbar machen. Da er nicht sicherheitskritisch ist, sollte eine "Minimalbetreuung" in Form der üblichen Paketupdates ausreichend sein, die jemand aus dem Inforz-Team übernehmen kann (im Zweifel natürlich ich).
Wie Christian schon sagte: Ihr braucht einen festen Verantwortlichen. Die Aufgaben: * initiale grundlegende Absicherung (iptables, fail2ban, ...) * im laufenden Betrieb: umgehendes Einspielen von Sicherheitsupdates * dazu solltet ihr apticron installieren und Mails an root@ an den Verantwortlichen weiterleiten bzw. besser an eine noch anzulegende Mailingliste admins-inforz@d120.de.
Oder gibt es von Inforz-Seiten aus ein Veto gegen einen nur Uni- interne Zugang? Grundsätzlich könnte man die VM natürlich auch öffentlich verfügbar machen, aber dann müssten wir uns _deutlich_ intensiver mit der Sicherheit beschäftigen. Und ich sehe derzeit niemanden aus FSS, der dies tun würde.
Nein, bitte nur intern.
Bezüglich des Inforz-SVNs weiß ich noch nicht so recht, ob es Sinn macht, das auch auf die VM zu legen. Dann wäre alles "Inforz- Spezifische" (außer der Mailingliste natürlich) auf einer VM gebündelt. Von der Verfügbarkeit her wäre dies wohl auch kein Problem.
Benutzt das Redaktionssystem das SVN und wenn ja, wie greift es darauf zu?
Außerdem sollte die Inforz-VM von der Benutzerverwaltung her an das host02-LDAP (oder was da sonst dafür läuft) angeschlossen werden, da sich das Redaktionssystem Logindaten von Systembenutzern holt. Auf der Inforz-VM gäbe es dann also Zugriff für alle mit D120-Konto sowie einigen anderen (wie Ulf Karrock oder diversen "Standard- Korrekturlesern").
Es läuft NIS. Deine Idee ist umsetzbar. Ich bestehe aber darauf, dass Leute, die root-Rechte erhalten sollen, vorher von fss@ abgesegnet werden müssen, weil man mit Zugriff auf das NIS schon etwas Blödsinn machen kann.
Übrigens: Kann mir mal jemand den Code zukommen lassen, der die Authentifizierung vornimmt? Es wäre klug, vor der Installation abzuklären, ob das auch mit nicht-lokalen Konten geht...
Ob ein Shell-Zugriff nötig ist, weiß ich noch nicht so recht. Denn gerade die Bildredaktion soll ja auch fleißig große Dateien auf die VM kopieren können.
Für das Kern-Team: meinetwegen. Der "Standard-Korrekturleser" sollte sich aber nicht per SSH einloggen können. Dort kann die Login-Shell einfach auf /bin/false gesetzt werden.
Vom Backup her müsste die VM dann in das Amanda-Backup der RBG.
Nein, Thomas, nicht "-> FSS". Darum müsst ihr euch kümmern. Das fällt sowieso in Andreas' Aufgabengebiet.
Gruß, Daniel