[Admin] shell.uugrn.org frisch installiert

Autor: Raphael Eiselstein <rabe_at_uugrn.org>
Datum: Sat, 17 Dec 2016 00:50:28 +0100
Hallo zusammen,

ich habe nun shell.uugrn.org komplett neu Installiert mit FreeBSD
11.0-RELEASE-p5 (aktueller Stand).

Ich habe versucht alle Aspekte des Systems wieder herzustellen, an die
ich mich erinnern konnte.

Dinge, die mir ungenutzt erschienen habe ich dabei gezielt weggelassen.

== SSH ==
=== Ports ===
Wichtigste Info zuerst: OpenSSH läuft nun in Version 7.2 auf dem Port
22, den parallel laufenden OpenSSH auf Port 2222 habe ich nicht mehr
getrennt installiert, der Port 2222 landet nun auf dem selben sshd wie
auch die Ports 22 und 443.

Insbesondere der Port 443 ist speziell für alle user gedacht, die häufig
aus beschränkten Gast-Netzen heraus oder über Proxy-Server SSH machen
müssen. Alle die das bisher nutzen sollten das unbedingt checken, es ist
vielleicht eure einzige Möglichkeit im Urlaub per SSH "rauszukommen" ;-)

=== HostKeys ===
Die Host-Keys *sollten* sich nicht verändert haben, jedoch dürften
neuere Clients auf Port 22 nun ECDS oder ED25519 bevorzugen und
entsprechende Warnungen ausgeben. Die Fingerprints (sha256) der
jeweiligen Keytypen und deren "optische Darstellung" stehen weiter unten
in dieser E-Mail.

Beispiel: Login mit Optischem Vergleich des Fingerprints:
|  $ ssh -o VisualHostKey=yes shell.uugrn.org
|  Host key fingerprint is SHA256:PV+bpSNTPfyE1XvtXXg7qjnFkXoaHOZV4SFVGsfhDdY
|  +---[ECDSA 256]---+
|  |             .=B*|
|  |             .+*E|
|  |              +o+|
|  |         . o +.=o|
|  |        S * = *+O|
|  |           B * OB|
|  |            O =o+|
|  |           o.o...|
|  |           oo.   |
|  +----[SHA256]-----+
|  

=== DSA-Keys ===
Ich vermute, dass ältere OpenSSH-Clients noch DSA verwenden und vermute 
dass derServer die auch akzeptiert. Bitte keine DSA-Keys mehr verwenden,
bitte erzeugt euch neue Keys!

=== Passwörter ===
Bei der Gelegenheit: Manche User sind noch jahrzehtealten Passworthashes
in der /etc/master.passwd unterwegs. Bitte ändert eure Passwörter! 

=== Probleme? ===
Login geht gar nicht mehr? Bitte Info an mich, ich hinterlege ggf.
frische Public-Keys aus vertrauenswürdiger Quelle, lege euch ggf. auch
frische Passwörter an (pwgen -s 14) 


== Lokal instalierte Software ==
Auf dem Server ist ansonsten eine Menge an Software installiert, von der
ich irgendwann der Meinung war, das irgendwer sich dafür interessiert
oder für die es explizit Nachfrage gab.

Wenn ihr irgendwas vermisst oder gerne dort nutzen möchtet --> Info an
mich.

== Webserver ==
Es läuft ein Apache 2.4 Webserver, der auch die "klassischen"
~/public_html/ Verzeichnisse ausliefern kann, also
        http://shell.uugrn.org/~username/


== Mail ==
Bitte prüft unbedingt eurer Mail-Setup, falls ihr Mails via
shell.uugrn.org abholt oder verschickt oder dort lokal im Spool lest.
Prüft, dass eure procmail-Scripte noch laufen, eure .forward oder dass
mutt noch tut was es soll. IMAP anyone? 


== Generell ==
Bitte checkt alles was ihr benötigt (bisher genutzt habt oder gerne
nutzen würdet) und wenn was fehlt --> Info an mich.

== Internet ===
Alle angebotenen Services sollten gleichermaßen und uneingeschränkt per 
IPv4 (Legacy) und IPv6 erreichbar sein, auch ausgehend sollten beide
IP-Versionen immer funktionieren. 

Sollte es hier zu Problemen kommen, bitte traceroute/traceroute6 output
per Mail an mich, notfalls auch ping/ping6.


Viele Grüße
Raphael Eiselstein

PS: Hier noch die Fingerprints der Host-Keys. 


[root_at_shell ~]# for F in /etc/ssh/ssh_host_*.pub ; do ssh-keygen -lv -f $F; done
1024 SHA256:N0eL7t9o7sHr1NXqTx0DI4ee3OP10PNLmaAVwyAXeUE root_at_shell.uugrn.org (DSA)
+---[DSA 1024]----+
|         . ++E.  |
|          o.+.   |
|           ooB   |
|          oo=.=..|
|        S ++o=.=+|
|         o ++.++X|
|          ..+.o+=|
|         . ..*...|
|          .*B oo.|
+----[SHA256]-----+
256 SHA256:PV+bpSNTPfyE1XvtXXg7qjnFkXoaHOZV4SFVGsfhDdY root_at_shell.uugrn.org (ECDSA)
+---[ECDSA 256]---+
|             .=B*|
|             .+*E|
|              +o+|
|         . o +.=o|
|        S * = *+O|
|           B * OB|
|            O =o+|
|           o.o...|
|           oo.   |
+----[SHA256]-----+
256 SHA256:rSd2JB8rTe9WUHBD/fyQxuCKOx5bMyBl8pwX3Sjn5qU root_at_shell.uugrn.org (ED25519)
+--[ED25519 256]--+
|            .o+. |
|           ..+...|
|      . o o.++.o.|
|       * o =o = o|
|      . S.*.oo...|
|       ..X.* o. .|
|        *.X E.   |
|       .oO +.    |
|       .o. ..    |
+----[SHA256]-----+
2048 SHA256:Op2Z/Fh0O3oKrJKjScIyxrFiWSG7dEpZeA9Lo2Z5VlM root_at_shell.uugrn.org (RSA)
+---[RSA 2048]----+
|       E         |
|  .   .          |
| o B o           |
|  X B .          |
| @ * .  S . .    |
|B @    = = . .   |
|=X.  .o O . o    |
|=+ .+  o = ...   |
|  o. o. . +o     |
+----[SHA256]-----+


[root_at_shell ~]# for F in /etc/ssh/ssh_host_* ; do ssh-keygen -B -f $F; done
1024 xikec-tubeb-tutev-lityd-tasyk-barym-rales-latil-leron-repud-roxux root_at_shell.uugrn.org (DSA)
1024 xikec-tubeb-tutev-lityd-tasyk-barym-rales-latil-leron-repud-roxux root_at_shell.uugrn.org (DSA)
256 xusoc-mubaf-zydah-lemol-tynyr-gemac-dahac-nykip-sityg-ronez-zuxox root_at_shell.uugrn.org (ECDSA)
256 xusoc-mubaf-zydah-lemol-tynyr-gemac-dahac-nykip-sityg-ronez-zuxox root_at_shell.uugrn.org (ECDSA)
256 xilap-katus-damob-tukop-horen-kilag-dovez-lalop-decym-perod-gyxox root_at_shell.uugrn.org (ED25519)
256 xilap-katus-damob-tukop-horen-kilag-dovez-lalop-decym-perod-gyxox root_at_shell.uugrn.org (ED25519)
2048 xobeb-niziv-mitag-gonaf-hurob-furyl-leril-dahac-dosyp-gekum-nuxax root_at_shell.uugrn.org (RSA)
2048 xobeb-niziv-mitag-gonaf-hurob-furyl-leril-dahac-dosyp-gekum-nuxax root_at_shell.uugrn.org (RSA)





-- 
SMTP+XMPP:  rabe_at_uugrn.org rabe_at_sigsys.de raphael.eiselstein_at_mailbox.org
OTR:        33790A42 C28ED889 2ABEA87C 4E829C29 C76E2F24	
PGP:        4E63 5307 6F6A 036D 518D  3C4F 75EE EA14 F625 DB4E
.........|.........|.........|.........|.........|.........|.........|..


-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/

Empfangen am 17.12.2016

Dieses Archiv wurde generiert von hypermail 2.2.0 : 17.12.2016 CET