Unterschiede zwischen den Revisionen 6 und 7
Revision 6 vom 2016-12-20 11:28:46
Größe: 2993
Autor: MikeGabriel
Kommentar:
Revision 7 vom 2016-12-20 11:28:59
Größe: 2991
Autor: MikeGabriel
Kommentar:
Gelöschter Text ist auf diese Art markiert. Hinzugefügter Text ist auf diese Art markiert.
Zeile 3: Zeile 3:
<<<TableOfContents(4)>>> <<TableOfContents(4)>>

Fernwartung

Inhaltsverzeichnis

  1. Fernwartung
    1. Schul-Admins
    2. IT-Dienstleister
    3. Einrichtung von OpenVPN
      1. Einrichtung eines VPN-Clients (Schul-Server)
      2. Einrichtung eines VPN-Clients (Admin)
    4. Einrichtung einer SSH-Backdoor (veraltet)
      1. auf dem Schulserver
      2. auf dem zentralen Backdoor-Server
      3. wieder auf dem Schulserver

Für die Fernwartung der Schulinfrastruktur gibt es verschiedene Zugriffsmöglichkeiten für Schul-Admins und IT-Dienstleister.

Schul-Admins

Schul-Admins (meist engagierte Lehrer) bekommen vom Projekt IT-Zukunft Schule einen VPN-Zugang bereitgestellt, mit dem sie an alle Ressourcen innerhalb des Schulnetzwerks zugreifen können.

IT-Dienstleister

Die ITZKS-Admins nutzen für die Fernwartung ebenfalls OpenVPN. Das Projekt betreibt einen zentralen VPN-Server, über den die ITZkS-Admins alle Schul-Ressourcen erreichen können.

Einrichtung von OpenVPN

Einrichtung eines VPN-Clients (Schul-Server)

FIXME

Einrichtung eines VPN-Clients (Admin)

FIXME

Einrichtung einer SSH-Backdoor (veraltet)

auf dem Schulserver

  • das Paket autossh installieren

  • den User autossh anlegen:

    adduser --system --home /var/lib/autossh --shell /bin/bash autossh

  • für den User autossh ein Schlüsselpaar (privat/öffentlich) erstellen:

    root@<host>:~# su - autossh 
autossh@<host>:~$ ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/var/lib/autossh/.ssh/id_rsa): 
Created directory '/var/lib/autossh/.ssh'.
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /var/lib/autossh/.ssh/id_rsa.
Your public key has been saved in /var/lib/autossh/.ssh/id_rsa.pub.
The key fingerprint is:
<hexdez-fingerprint> autossh@<host>
The key's randomart image is:
+--[ RSA 2048]----+
|                 |
|                 |
|                 |
|  <some image>   |
|                 |
|                 |
|                 |
|                 |
+-----------------+
autossh@<host>:~$

  • den erstellten öffentlichen Schlüssel auf den Backdoor-Server übertragen:

    root@<host>:~# su - autossh 
autossh@<host>:~$ scp -P32032 .ssh/id_rsa.pub skole-backdoor@skole-backdoor.it-zukunft-schule.de:~skole-backdoor

auf dem zentralen Backdoor-Server

  • auf dem Backdoor-Server einloggen:

     $ ssh -lskole-backdoor skole-backdoor.it-zukunft-schule.de -p32032

  • SSH-Schlüssel übernehmen:

     $ cat id_rsa.pub >> .ssh/authorized_keys && rm id_rsa.pub

  • in der Datei .ssh/authorized_keys den Namen der Schule und den betreffenden Server über dem neu aufgenommenen Schlüssel eintragen

wieder auf dem Schulserver

  • in /etc/rc.local des Servers auf den zugegriffen werden soll, die folgenden Zeilen vor exit 0 eintragen:

    killall autossh 2> /dev/null ||true
su - autossh -c "autossh -f -M <Monitoring-Port> -N -i /var/lib/autossh/.ssh/id_rsa -p32032 -lskole-backdoor skole-backdoor.it-zukunft-schule.de -R localhost:<Rev-Fw-Port>:localhost:22"

* autossh mit /etc/init.d/rc.local start starten * in pstree kontrollieren

IT-Zukunft Schule: Technik/Wartung/Fernwartung (zuletzt geändert am 2016-12-20 11:28:59 durch MikeGabriel)