Fernwartung

Für die Fernwartung der Schulinfrastruktur gibt es verschiedene Zugriffsmöglichkeiten für Schul-Admins und IT-Dienstleister.

Schul-Admins

Schul-Admins (meist engagierte Lehrer) bekommen vom Projekt IT-Zukunft Schule einen VPN-Zugang bereitgestellt, mit dem sie an alle Ressourcen innerhalb des Schulnetzwerks zugreifen können.

IT-Dienstleister

Die ITZKS-Admins nutzen für die Fernwartung ebenfalls OpenVPN. Das Projekt betreibt einen zentralen VPN-Server, über den die ITZkS-Admins alle Schul-Ressourcen erreichen können.

Einrichtung von OpenVPN

Einrichtung eines VPN-Clients (Schul-Server)

FIXME

Einrichtung eines VPN-Clients (Admin)

FIXME

Einrichtung einer SSH-Backdoor (veraltet)

auf dem Schulserver

• das Paket autossh installieren

• den User autossh anlegen:

  adduser --system --home /var/lib/autossh --shell /bin/bash autossh 

• für den User autossh ein Schlüsselpaar (privat/öffentlich) erstellen:

  root@<host>:~# su - autossh 
  autossh@<host>:~$ ssh-keygen
  Generating public/private rsa key pair.
  Enter file in which to save the key (/var/lib/autossh/.ssh/id_rsa): 
  Created directory '/var/lib/autossh/.ssh'.
  Enter passphrase (empty for no passphrase): 
  Enter same passphrase again: 
  Your identification has been saved in /var/lib/autossh/.ssh/id_rsa.
  Your public key has been saved in /var/lib/autossh/.ssh/id_rsa.pub.
  The key fingerprint is:
  <hexdez-fingerprint> autossh@<host>
  The key's randomart image is:
  +--[ RSA 2048]----+
  |                 |
  |                 |
  |                 |
  |  <some image>   |
  |                 |
  |                 |
  |                 |
  |                 |
  +-----------------+
  autossh@<host>:~$

• den erstellten öffentlichen Schlüssel auf den Backdoor-Server übertragen:

  root@<host>:~# su - autossh 
  autossh@<host>:~$ scp -P32032 .ssh/id_rsa.pub skole-backdoor@skole-backdoor.it-zukunft-schule.de:~skole-backdoor 

auf dem zentralen Backdoor-Server

• auf dem Backdoor-Server einloggen:

   $ ssh -lskole-backdoor skole-backdoor.it-zukunft-schule.de -p32032

• SSH-Schlüssel übernehmen:

   $ cat id_rsa.pub >> .ssh/authorized_keys && rm id_rsa.pub

• in der Datei .ssh/authorized_keys den Namen der Schule und den betreffenden Server über dem neu aufgenommenen Schlüssel eintragen

wieder auf dem Schulserver

• in /etc/rc.local des Servers auf den zugegriffen werden soll, die folgenden Zeilen vor exit 0 eintragen:

  killall autossh 2> /dev/null ||true
  su - autossh -c "autossh -f -M <Monitoring-Port> -N -i /var/lib/autossh/.ssh/id_rsa -p32032 -lskole-backdoor skole-backdoor.it-zukunft-schule.de -R localhost:<Rev-Fw-Port>:localhost:22"

* autossh mit /etc/init.d/rc.local start starten * in pstree kontrollieren