Dienste
Zusätzlich zu den Rechnerarbeitsplätzen stellen wir verschiedene ergänzende Dienste zur Verfügung.
Passwörter für Dienste
Dienste, die eine Authentifizierung erfordern fragen normalerweise nach deinem Passwort. Bei einigen Diensten wie beispielsweise OpenVPN oder Email ist es üblich, die Passwort speichern-Funktion der VPN- oder Email-Software zu benutzen. Dies kann ein Sicherheitsrisiko sein, da sehr oft nur schwache oder gar keine Verschlüsselung zum Speichern der Passwörter verwendet wird. Verlorene Passwörter erlauben nicht nur den Zugriff auf den betreffenden Dienst sondern auch auf alle deine anderen Dateien und Dienste.
Daher empfehlen wir dringend separate Passwörter für diese Dienste zu setzen:
- Use
cip-set-password -l
to view a list of services you can set separate passwords for. - Using
cip-set-password -s vpn
you can set a password for the OpenVPN service, for other services replace the stringvpn
accordingly. - With
cip-set-password -s mail -r
you can remove the password for the email service.
In allen diesen Fällen wirst du nach deinem Haupt-Passwort für deinen Zugang gefragt werden bevor irgendeine Änderung oder ein Zugriff durchgeführt wird. Ist ein Passwort für einen Dienst gesetzt, so ist der Zugriff auf diesen Dienst mit deinem normalen, Haupt-Passwort und mit dem Dienst-Passwort für diesen Dienst zugänglich. Solltest du eines deiner Passwörter verlieren, beachte bitte, dass die Änderung deines Haupt-Passworts keine Dienst-Passwörter ändert. Diese musst du wenn nötig separat neu setzen oder entfernen.
Login von außen - via SSH
Alle unsere Rechner haben SSH aktiviert. Du kannst dich bei Linux mit dem
Kommando ssh deinlogin@hostname
einloggen.
Um dich von einem Windows System einzuloggen musst du einen SSH-Client
installieren,
z.B.
Putty.
Auf einigen Rechnern (cip2a7, cip2a0, cip1a0, cip1c6, cipterm0, ircbox) läuft SSH zusätzlich auf Port 443, um Verbindungen aus Netzwerken mit restriktiven Firewalls zu vereinfachen.
Die Hosts cip2a0-7, cip2b0-2, cip2c0-2, cip2d0-2, cip2e0-2, cip2g3-7, cip1e0-7, cip4* und die Terminal-Server (cipterm0, ircbox) sind immer online, alle anderen werden nachts (20:00 - 08:00), sowie am Wochenende und während der vorlesungsfreien Zeit abgeschaltet.
Hosts authentifizieren
Es gibt eine Übersicht aller SSH-Host-Keys, um die Authentizität der Gegenseite zu überprüfen.
Alternativ kannst du, falls du OpenSSH verwendest (wenn du kein Windows nutzt
tust du das vermutlich), unserer SSH-Zertifikatsauthorität vertrauen, indem du
die folgende (ziemlich lange) Zeile in der Datei ~/.ssh/known_hosts
hinzufügst:
@cert-authority *.cip.cs.fau.de,faui0*.cs.fau.de,faui0*.informatik.uni-erlangen.de,ircbox.cs.fau.de,ircbox.informatik.uni-erlangen.de,gitlab.cs.fau.de ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIPmZxYAdJDYgQOrfht7VAeb5Kk/ZFldwTvA4H7jGyABx problems@cip.cs.fau.de
Da wir all unsere Host-Keys signieren solltest du damit nie wieder die Authentizität für einen unserer Hosts bestätigen müssen.
Wir veröffentlichen die Fingerprints unserer Hosts ebenfalls in SSHFP DNS-Einträgen. Diesen zu vertrauen ist nur sicher, falls der DNS-Resolver deines Systems DNSSEC validiert und, genauso wie das Netz über das du mit ihm redest, vertrauenswürdig ist. Üblicherweise heisst das, dass du selber einen lokalen Resolver betreibst. Wie du deinem SSH-Client mitteilst, diesen DNS-Einträgen zu vertrauen, findest du in den relevanten Man-Pages.
Login von außen - mit grafischer Oberfläche via Xpra
Um eine Xfce-Session zu starten, reicht der folgende Befehl:
xpra start-desktop ssh://deinlogin@host/ --start-child=xfce4-session --exit-with-children
Um eine konkrete Anwendung zu starten, muss folgende Syntax verwendet werden:
xpra start ssh://deinlogin@host/ --start=<APPLICATION | path-to-binary>
Wenn also IntelliJ IDEA gestartet werden soll lautet der Befehl xpra start ssh://deinlogin@host/ --start=intellij-idea
oder wenn die spic-ide gestartet werden soll, lautet der Befehl xpra start ssh://deinlogin@host/ --start=/proj/i4spic/bin/editor
Weitere Informationen zur Verwendung und Installation von Xpra mit nativen Clients gibt es auf der Xpra Homepage.
Falls für eine Lehrveranstaltung eine Anwendung benötigt wird, welche auf diese Weise nicht verfügbar ist, kann diese per E-Mail angefragt werden.
GitLab
Wir betrieben eine lokale Instanz von der git-basierten Kollaborationsplatform GitLab. Es gibt außerdem eine Anleitung wie du deine Repos Binärdatenfrei halten kannst.
OpenVPN
Für verschlüsselten Zugang von ausserhalb auf das Universitäts-Netzwerk steht ein OpenVPN-Tunnelzugang zur Verfügung. OpenVPN Zugangssoftware gibt es für alle gebräuchlichen Betriebssysteme wie Linux (über das Softwarepaketsystem aller grossen Distributionen), MacOS X (Tunnelblick) und Windows.
Lade zur Benutzung folgende
Konfigurationsdatei
herunter und speichere diese im Konfigurationsverzeichnis von OpenVPN,
normalerweise /etc/openvpn
. Wenn du eine graphische Oberfläche verwendest,
übergib die Datei an der passenden Stelle.
Bitte setze ein abweichendes Dienstepasswort fuer OpenVPN mittels
cip-set-password -s vpn
wie oben beschrieben.
Wireguard
Alternativ zu OpenVPN bieten wir ebenfalls einen Wireguardtunnel an. Auch Wireguard kann auf allen erdenklichen Betriebssystemen installiert werden.
Um den Tunnel einzurichten sind folgende Schritte notwendig:
- Speichere unser Wireguardkonfigtemplate nach
/etc/wireguard/wg-cipvpn.conf
oder einen entsprechenden Ort auf dem Betriebssystem deiner Wahl. - Generiere einen privaten und den zugehörigen öffentlichen Schlüssel, eine Anleitung dafür findest du hier.
- Trage deinen privaten Schlüssel in die Konfig ein.
- Schicke eine Anfrage und den öffentlichen Schlüssel an problems@cip.cs.fau.de. Damit wir den Schlüssel sicher dir zuordnen können, musst du ihn entweder in einer S/MIME signierten Mail schicken oder auf einem beliebigen CIP-Rechner im Dateisystem ablegen.
- Innerhalb von ein paar Tagen erhälst du von uns eine Antwort mit den dir zugeteilten IP-Adressen. Trage diese ebenfalls in die Konfig ein.
- Von hier ab kannst du Wireguard verwenden.
- Optional können wir auch zusätzlich einen
PresharedKey
für dich generieren und auf einem vereinbarten Weg übertragen, beispielsweise wieder das Dateisystem eines CIP-Rechners.
Homepage
Im Verzeichnis ~/.www/
befindliche Dateien werden unter
https://wwwcip.informatik.uni-erlangen.de/~deinloginname
ins Web exportiert.
Dazu muss der Nutzer www
Zugriffsrechte auf diese Dateien haben, was
beispielsweise durch den Befehl setfacl -m u:www:rx ~ ~/.www
erreicht werden
kann.
Diese Seiten sind öffentlich abrufbar! Authentifizierung kann mittels Kerberos hinzugefügt werden.
Kommerzielle Nutzung in jeglicher Hinsicht, z.B. Werbung für die eigene Firma, Anpriesen von kommerzieller Software usw. ist untersagt!
Windows Virtuelle Maschinen
Da aktuell alle unsere Rechner auf Linux laufen, bieten wir den Nutzern an
eine Virtuelle Maschine (VM) mit Windows zu starten. Dies benötigt kein
separates Kennwort mehr. Um die VM zu starten, führe cip-windows-vm
aus.
Alternativ findest du auch einen Punkt im Startmenü:
Deine Dateien in der VM werden in C:\Users\cip-user
erscheinen. Lass dich
davon nicht verunsichern. Die VM ist eingestellt ein Roaming Profil zu
verwenden. Das bedeutet dass deine Dateien in die VM beim Login hin- und beim
Logout wieder zurücksynchronisiert werden. Daher ist es nicht möglich über
das Verzeichnis ~/WINDOWS
Dateien hineinzukopieren, sobald die VM gestartet
und eingeloggt ist. Falls du dennoch Dateien direkt und ohne Verzögerung in
die VM teilen willst, kannst du das Verzeichnis ~/WIN_LIVE_SYNC
von Linux aus
verwenden. Du findest in der VM ein Desktop Icon namens CIP Live Sync, das
dich auf diesen Ordner bringt. Nutze dies wenn du Dateien zwischen Linux und
Windows teilen möchtest, ohne die VM zu beenden.
Um den Vollbildmodus der VM Anzeige zu verlassen, drücke Shift+F11
Jeder Nutzer ist per E-Mail erreichbar unter <loginname>@cip.cs.fau.de
.
Du kannst eingehende Mails an eine andere Adresse weiterleiten, indem du die
gewünschte Zieladresse in die Datei ~/.forward
schreibst. Diese Änderung ist
sofort aktiv.
Um mittels IMAP auf deine Mails zuzugreifen musst du zuerst einen Befehl wie
mkdir -p ~/Maildir/{cur,new,tmp} && chmod 700 ~/Maildir/{,cur,new,tmp}
ausführen, um die benötigten Verzeichnisse anzulegen und vor fremden Zugriff zu
sichern. Dann schreibst du eine Zeile die nur die Zeichen ~/Maildir/
enthält
in die Datei ~/.forward
, damit deine Mails in dem vom IMAP-Server erwarteten
Verzeichnis landen.
Nun kann dein Mail-Programm auf Port 993 auf dem Host
cipimap.informatik.uni-erlangen.de
deine Mails abholen.
Du kannst mit dem Befehl cip-set-password -s mail
ein eigenes Passwort setzen
oder dein übliches Login-Passwort verwenden.