== Fernwartung ==

<<TableOfContents(4)>>

Für die Fernwartung der Schulinfrastruktur gibt es verschiedene Zugriffsmöglichkeiten für Schul-Admins und IT-Dienstleister.

=== Schul-Admins ===

Schul-Admins (meist engagierte Lehrer) bekommen vom Projekt IT-Zukunft Schule einen VPN-Zugang bereitgestellt, mit dem sie an alle Ressourcen innerhalb des Schulnetzwerks zugreifen können.

=== IT-Dienstleister ===

Die ITZKS-Admins nutzen für die Fernwartung ebenfalls OpenVPN. Das Projekt betreibt einen zentralen VPN-Server, über den die ITZkS-Admins alle Schul-Ressourcen erreichen können.

=== Einrichtung von OpenVPN ===

==== Einrichtung eines VPN-Clients (Schul-Server) ====

FIXME

==== Einrichtung eines VPN-Clients (Admin) ====

FIXME

=== Einrichtung einer SSH-Backdoor (veraltet) ===

==== auf dem Schulserver ====

  * das Paket {{{autossh}}} installieren

  * den User {{{autossh}}} anlegen:{{{
adduser --system --home /var/lib/autossh --shell /bin/bash autossh 
}}}

 * für den User {{{autossh}}} ein Schlüsselpaar (privat/öffentlich) erstellen:{{{
root@<host>:~# su - autossh 
autossh@<host>:~$ ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/var/lib/autossh/.ssh/id_rsa): 
Created directory '/var/lib/autossh/.ssh'.
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /var/lib/autossh/.ssh/id_rsa.
Your public key has been saved in /var/lib/autossh/.ssh/id_rsa.pub.
The key fingerprint is:
<hexdez-fingerprint> autossh@<host>
The key's randomart image is:
+--[ RSA 2048]----+
|                 |
|                 |
|                 |
|  <some image>   |
|                 |
|                 |
|                 |
|                 |
+-----------------+
autossh@<host>:~$
}}}

 * den erstellten öffentlichen Schlüssel auf den Backdoor-Server übertragen:{{{
root@<host>:~# su - autossh 
autossh@<host>:~$ scp -P32032 .ssh/id_rsa.pub skole-backdoor@skole-backdoor.it-zukunft-schule.de:~skole-backdoor 
}}}

==== auf dem zentralen Backdoor-Server ====

 * auf dem Backdoor-Server einloggen:{{{
 $ ssh -lskole-backdoor skole-backdoor.it-zukunft-schule.de -p32032
}}}

 * SSH-Schlüssel übernehmen:{{{
 $ cat id_rsa.pub >> .ssh/authorized_keys && rm id_rsa.pub
}}}

 * in der Datei {{{.ssh/authorized_keys}}} den Namen der Schule und den betreffenden Server über dem neu aufgenommenen Schlüssel eintragen

==== wieder auf dem Schulserver ====

 * in {{{/etc/rc.local}}} des Servers auf den zugegriffen werden soll, die folgenden Zeilen vor {{{exit 0}}} eintragen:{{{
killall autossh 2> /dev/null ||true
su - autossh -c "autossh -f -M <Monitoring-Port> -N -i /var/lib/autossh/.ssh/id_rsa -p32032 -lskole-backdoor skole-backdoor.it-zukunft-schule.de -R localhost:<Rev-Fw-Port>:localhost:22"
}}}

* autossh mit {{{/etc/init.d/rc.local start}}} starten
* in {{{pstree}}} kontrollieren