wiki/ documentation/ Dienste

Dienste

Zusätzlich zu den Rechnerarbeitsplätzen stellen wir verschiedene ergänzende Dienste zur Verfügung.

Passwörter für Dienste

Dienste, die eine Authentifizierung erfordern fragen normalerweise nach deinem Passwort. Bei einigen Diensten wie beispielsweise OpenVPN oder Email ist es üblich, die Passwort speichern-Funktion der VPN- oder Email-Software zu benutzen. Dies kann ein Sicherheitsrisiko sein, da sehr oft nur schwache oder gar keine Verschlüsselung zum Speichern der Passwörter verwendet wird. Verlorene Passwörter erlauben nicht nur den Zugriff auf den betreffenden Dienst sondern auch auf alle deine anderen Dateien und Dienste.

Daher empfehlen wir dringend separate Passwörter für diese Dienste zu setzen:

In allen diesen Fällen wirst du nach deinem Haupt-Passwort für deinen Zugang gefragt werden bevor irgendeine Änderung oder ein Zugriff durchgeführt wird. Ist ein Passwort für einen Dienst gesetzt, so ist der Zugriff auf diesen Dienst mit deinem normalen, Haupt-Passwort und mit dem Dienst-Passwort für diesen Dienst zugänglich. Solltest du eines deiner Passwörter verlieren, beachte bitte, dass die Änderung deines Haupt-Passworts keine Dienst-Passwörter ändert. Diese musst du wenn nötig separat neu setzen oder entfernen.

Login von außen

Alle unsere Rechner haben SSH aktiviert. Du kannst dich bei Linux mit dem Kommando ssh deinlogin@hostname einloggen. Um dich von einem Windows System einzuloggen musst du einen SSH-Client installieren, z.B. Putty.

putty login window

Auf einigen Rechnern (faui00a, faui00h, faui06a, faui06h, faui06, faui0sr0, ircbox) läuft SSH zusätzlich auf Port 443, um Verbindungen aus Netzwerken mit restriktiven Firewalls zu vereinfachen.

Die Hosts faui00*, faui06* und die Terminal-Server (faui0sr0, faui06, ircbox) sind immer online, alle anderen werden nachts (20:00 - 08:00), sowie am Wochenende und während der vorlesungsfreien Zeit abgeschaltet.

Auch graphische Anwendungen können von außen betrieben werden, z.B. mittels xpra.

Hosts authentifizieren

Es gibt eine Übersicht aller SSH-Host-Keys, um die Authentizität der Gegenseite zu überprüfen.

Alternativ kannst du, falls du OpenSSH verwendest (wenn du kein Windows nutzt tust du das vermutlich), unserer SSH-Zertifikatsauthorität vertrauen, indem du die folgende (ziemlich lange) Zeile in der Datei ~/.ssh/known_hosts hinzufügst:

@cert-authority faui0*.cs.fau.de,faui0*.informatik.uni-erlangen.de,ircbox.cs.fau.de,ircbox.informatik.uni-erlangen.de ssh-rsa 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 problems@cip.cs.fau.de

Da wir all unsere Host-Keys signieren solltest du damit nie wieder die Authentizität für einen unserer Hosts bestätigen müssen.

Wir veröffentlichen die Fingerprints unserer Hosts ebenfalls in SSHFP DNS-Einträgen. Diesen zu vertrauen ist nur sicher, falls der DNS-Resolver deines Systems DNSSEC validiert und, genauso wie das Netz über das du mit ihm redest, vertrauenswürdig ist. Üblicherweise heisst das, dass du selber einen lokalen Resolver betreibst. Wie du deinem SSH-Client mitteilst, diesen DNS-Einträgen zu vertrauen, findest du in den relevanten Man-Pages.

GitLab

Wir betrieben eine lokale Instanz von der git-basierten Kollaborationsplatform GitLab.

gitweb ist auch noch verfügbar, sollte jedoch nicht für neue Projekte verwendet werden.

OpenVPN

Für verschlüsselten Zugang von ausserhalb auf das Universitäts-Netzwerk steht ein OpenVPN-Tunnelzugang zur Verfügung. OpenVPN Zugangssoftware gibt es für alle gebräuchlichen Betriebssysteme wie Linux (über das Softwarepaketsystem aller grossen Distributionen), MacOS X (Tunnelblick) und Windows.

Lade zur Benutzung folgende Konfigurationsdatei herunter und speichere diese im Konfigurationsverzeichnis von OpenVPN, normalerweise /etc/openvpn. Wenn du eine graphische Oberfläche verwendest, übergib die Datei an der passenden Stelle.

Bitte setze ein abweichendes Dienstepasswort fuer OpenVPN mittels cip-set-password -s vpn wie oben beschrieben.

Homepage

Im Verzeichnis ~/.www/ befindliche Dateien werden unter https://wwwcip.informatik.uni-erlangen.de/~deinloginname ins Web exportiert. Dazu muss der Nutzer www Zugriffsrechte auf diese Dateien haben, was beispielsweise durch den Befehl setfacl -m u:www:rx ~ ~/.www erreicht werden kann.

Diese Seiten sind öffentlich abrufbar!

Kommerzielle Nutzung in jeglicher Hinsicht, z.B. Werbung für die eigene Firma, Anpriesen von kommerzieller Software usw. ist untersagt!

Mail

Jeder Nutzer ist per E-Mail erreichbar unter <loginname>@cip.cs.fau.de.

Du kannst eingehende Mails an eine andere Adresse weiterleiten, indem du die gewünschte Zieladresse in die Datei ~/.forward schreibst. Diese Änderung ist sofort aktiv.

Um mittels IMAP auf deine Mails zuzugreifen musst du zuerst einen Befehl wie mkdir -p ~/Maildir/{cur,new,tmp} && chmod 700 ~/Maildir/{,cur,new,tmp} ausführen, um die benötigten Verzeichnisse anzulegen und vor fremden Zugriff zu sichern. Dann schreibst du eine Zeile die nur die Zeichen ~/Maildir enthält in die Datei ~/.forward, damit deine Mails in dem vom IMAP-Server erwarteten Verzeichnis landen. Nun kann dein Mail-Programm auf Port 993 auf dem Host cippop.informatik.uni-erlangen.de deine Mails abholen. Du kannst mit dem Befehl cip-set-password -s mail ein eigenes Passwort setzen oder dein übliches Login-Passwort verwenden.