Dienste

Zusätzlich zu den Rechnerarbeitsplätzen stellen wir verschiedene ergänzende Dienste zur Verfügung.

Passwörter für Dienste

Dienste, die eine Authentifizierung erfordern fragen normalerweise nach deinem Passwort. Bei einigen Diensten wie beispielsweise OpenVPN oder Email ist es üblich, die Passwort speichern-Funktion der VPN- oder Email-Software zu benutzen. Dies kann ein Sicherheitsrisiko sein, da sehr oft nur schwache oder gar keine Verschlüsselung zum Speichern der Passwörter verwendet wird. Verlorene Passwörter erlauben nicht nur den Zugriff auf den betreffenden Dienst sondern auch auf alle deine anderen Dateien und Dienste.

Daher empfehlen wir dringend separate Passwörter für diese Dienste zu setzen:

• Use cip-set-password -l to view a list of services you can set separate passwords for.
• Using cip-set-password -s vpn you can set a password for the OpenVPN service, for other services replace the string vpn accordingly.
• With cip-set-password -s mail -r you can remove the password for the email service.

In allen diesen Fällen wirst du nach deinem Haupt-Passwort für deinen Zugang gefragt werden bevor irgendeine Änderung oder ein Zugriff durchgeführt wird. Ist ein Passwort für einen Dienst gesetzt, so ist der Zugriff auf diesen Dienst mit deinem normalen, Haupt-Passwort und mit dem Dienst-Passwort für diesen Dienst zugänglich. Solltest du eines deiner Passwörter verlieren, beachte bitte, dass die Änderung deines Haupt-Passworts keine Dienst-Passwörter ändert. Diese musst du wenn nötig separat neu setzen oder entfernen.

Login von außen - via SSH

Alle unsere Rechner haben SSH aktiviert. Du kannst dich bei Linux mit dem Kommando ssh deinlogin@hostname einloggen. Um dich von einem Windows System einzuloggen musst du einen SSH-Client installieren, z.B. Putty.

Auf einigen Rechnern (cip2a7, cip2a0, cip1a0, cip1c6, cipterm0, ircbox) läuft SSH zusätzlich auf Port 443, um Verbindungen aus Netzwerken mit restriktiven Firewalls zu vereinfachen.

Die Hosts cip2a0-7, cip2b0-2, cip2c0-2, cip2d0-2, cip2e0-2, cip2g3-7, cip1e0-7, cip4* und die Terminal-Server (cipterm0, ircbox) sind immer online, alle anderen werden nachts (20:00 - 08:00), sowie am Wochenende und während der vorlesungsfreien Zeit abgeschaltet.

Hosts authentifizieren

Es gibt eine Übersicht aller SSH-Host-Keys, um die Authentizität der Gegenseite zu überprüfen.

Alternativ kannst du, falls du OpenSSH verwendest (wenn du kein Windows nutzt tust du das vermutlich), unserer SSH-Zertifikatsauthorität vertrauen, indem du die folgende (ziemlich lange) Zeile in der Datei ~/.ssh/known_hosts hinzufügst:

@cert-authority *.cip.cs.fau.de,faui0*.cs.fau.de,faui0*.informatik.uni-erlangen.de,ircbox.cs.fau.de,ircbox.informatik.uni-erlangen.de,gitlab.cs.fau.de ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIPmZxYAdJDYgQOrfht7VAeb5Kk/ZFldwTvA4H7jGyABx problems@cip.cs.fau.de

Da wir all unsere Host-Keys signieren solltest du damit nie wieder die Authentizität für einen unserer Hosts bestätigen müssen.

Wir veröffentlichen die Fingerprints unserer Hosts ebenfalls in SSHFP DNS-Einträgen. Diesen zu vertrauen ist nur sicher, falls der DNS-Resolver deines Systems DNSSEC validiert und, genauso wie das Netz über das du mit ihm redest, vertrauenswürdig ist. Üblicherweise heisst das, dass du selber einen lokalen Resolver betreibst. Wie du deinem SSH-Client mitteilst, diesen DNS-Einträgen zu vertrauen, findest du in den relevanten Man-Pages.

Login von außen - via Xpra

Graphische Anwendungen können mittels unseres Xpra HTML5 Clients verwendet werden. Falls für eine Lehrveranstaltung weitere Anwendungen als Menüpunkte benötigt werden, kann dies per E-Mail angefragt werden.

Weitere Informationen zur Verwendung von Xpra mit nativen Clients gibt es auf der Xpra Homepage.

GitLab

Wir betrieben eine lokale Instanz von der git-basierten Kollaborationsplatform GitLab. Es gibt außerdem eine Anleitung wie du deine Repos Binärdatenfrei halten kannst.

OpenVPN

Für verschlüsselten Zugang von ausserhalb auf das Universitäts-Netzwerk steht ein OpenVPN-Tunnelzugang zur Verfügung. OpenVPN Zugangssoftware gibt es für alle gebräuchlichen Betriebssysteme wie Linux (über das Softwarepaketsystem aller grossen Distributionen), MacOS X (Tunnelblick) und Windows.

Lade zur Benutzung folgende Konfigurationsdatei herunter und speichere diese im Konfigurationsverzeichnis von OpenVPN, normalerweise /etc/openvpn. Wenn du eine graphische Oberfläche verwendest, übergib die Datei an der passenden Stelle.

Bitte setze ein abweichendes Dienstepasswort fuer OpenVPN mittels cip-set-password -s vpn wie oben beschrieben.

Wireguard

Alternativ zu OpenVPN bieten wir ebenfalls einen Wireguardtunnel an. Auch Wireguard kann auf allen erdenklichen Betriebssystemen installiert werden.

Um den Tunnel einzurichten sind folgende Schritte notwendig:

• Speichere unser Wireguardkonfigtemplate nach /etc/wireguard/wg-cipvpn.conf oder einen entsprechenden Ort auf dem Betriebssystem deiner Wahl.
• Generiere einen privaten und den zugehörigen öffentlichen Schlüssel, eine Anleitung dafür findest du hier.
• Trage deinen privaten Schlüssel in die Konfig ein.
• Schicke eine Anfrage und den öffentlichen Schlüssel an problems@cip.cs.fau.de. Damit wir den Schlüssel sicher dir zuordnen können, musst du ihn entweder in einer S/MIME signierten Mail schicken oder auf einem beliebigen CIP-Rechner im Dateisystem ablegen.
• Innerhalb von ein paar Tagen erhälst du von uns eine Antwort mit den dir zugeteilten IP-Adressen. Trage diese ebenfalls in die Konfig ein.
• Von hier ab kannst du Wireguard verwenden.
• Optional können wir auch zusätzlich einen PresharedKey für dich generieren und auf einem vereinbarten Weg übertragen, beispielsweise wieder das Dateisystem eines CIP-Rechners.

Homepage

Im Verzeichnis ~/.www/ befindliche Dateien werden unter https://wwwcip.informatik.uni-erlangen.de/~deinloginname ins Web exportiert. Dazu muss der Nutzer www Zugriffsrechte auf diese Dateien haben, was beispielsweise durch den Befehl setfacl -m u:www:rx ~ ~/.www erreicht werden kann.

Diese Seiten sind öffentlich abrufbar! Authentifizierung kann mittels Kerberos hinzugefügt werden.

Kommerzielle Nutzung in jeglicher Hinsicht, z.B. Werbung für die eigene Firma, Anpriesen von kommerzieller Software usw. ist untersagt!

Windows Virtuelle Maschinen

Da aktuell alle unsere Rechner auf Linux laufen, bieten wir den Nutzern an eine Virtuelle Maschine (VM) mit Windows zu starten. Dies benötigt kein separates Kennwort mehr. Um die VM zu starten, führe cip-windows-vm aus. Alternativ findest du auch einen Punkt im Startmenü:

Deine Dateien in der VM werden in C:\Users\cip-user erscheinen. Lass dich davon nicht verunsichern. Die VM ist eingestellt ein Roaming Profil zu verwenden. Das bedeutet dass deine Dateien in die VM beim Login hin- und beim Logout wieder zurücksynchronisiert werden. Daher ist es nicht möglich über das Verzeichnis ~/WINDOWS Dateien hineinzukopieren, sobald die VM gestartet und eingeloggt ist. Falls du dennoch Dateien direkt und ohne Verzögerung in die VM teilen willst, kannst du das Verzeichnis ~/WIN_LIVE_SYNC von Linux aus verwenden. Du findest in der VM ein Desktop Icon namens CIP Live Sync, das dich auf diesen Ordner bringt. Nutze dies wenn du Dateien zwischen Linux und Windows teilen möchtest, ohne die VM zu beenden.

Um den Vollbildmodus der VM Anzeige zu verlassen, drücke Shift+F11

Mail

Jeder Nutzer ist per E-Mail erreichbar unter <loginname>@cip.cs.fau.de.

Du kannst eingehende Mails an eine andere Adresse weiterleiten, indem du die gewünschte Zieladresse in die Datei ~/.forward schreibst. Diese Änderung ist sofort aktiv.

Um mittels IMAP auf deine Mails zuzugreifen musst du zuerst einen Befehl wie mkdir -p ~/Maildir/{cur,new,tmp} && chmod 700 ~/Maildir/{,cur,new,tmp} ausführen, um die benötigten Verzeichnisse anzulegen und vor fremden Zugriff zu sichern. Dann schreibst du eine Zeile die nur die Zeichen ~/Maildir/ enthält in die Datei ~/.forward, damit deine Mails in dem vom IMAP-Server erwarteten Verzeichnis landen. Nun kann dein Mail-Programm auf Port 993 auf dem Host cipimap.informatik.uni-erlangen.de deine Mails abholen. Du kannst mit dem Befehl cip-set-password -s mail ein eigenes Passwort setzen oder dein übliches Login-Passwort verwenden.