Inhaltsverzeichnis
Überblick
systemausfall.org dient als Organisationsplattform für progressive Projekte. Detaillierte Infos dazu findest du auf den Hilfeseiten
Mit dieser Dokumentation des Projekts möchten wir unser Wissen veröffentlichen, um anderen Gruppen den Aufbau einer ähnlichen Infrastruktur zu erleichtern. So könnte sich idealerweise in jeder Region mit interessierten Menschen eine oder mehrere Gruppen bilden, die ähnliche Dienste für ihr Umfeld bereitstellen. Diese angestrebte dezentrale Struktur stellt für uns eine gute Mischung aus lokaler Vernetzung und übergreifendem Wissensaustausch dar.
Weitere Projekte mit ähnlicher Zielstellung sind beispielsweise:
Es gibt noch wesentlich mehr Projekte dieser Art. Eine Übersicht findest du hier.
Ziele
- Bereitstellung von Werkzeugen, um die Arbeit von Projekten zu unterstützen, also beispielsweise:
- sichere E-Mail-Accounts
- (verschlüsselte) Mailinglisten
- Veröffentlichung von Inhalten
- Projektverwaltungstools
- Wikis
Sicherheit des Systems gegenüber Angriffen mit technischen Mitteln (Cracker)
- Schutz der Verkehrsdaten unserer Nutzer_innen
- Schutz der gespeicherten Daten unserer Nutzer_innen (bei Diebstahl, Beschlagnahmung, usw.)
Konzept
Die erste Inkarnation des systemausfall-Servers war ein alter HP der PA-RISC-Architektur mit 60 MHz und einer guten Netzanbindung. Dabei stießen wir im Laufe der Zeit auf folgende Probleme:
wir hatten keinen physischen Zugriff auf den Rechner - dies machte jedes Kernel-Upgrade ziemlich aufregend
für manche Dienste benötigten wir recht neue Software-Versionen und mussten somit das Debian-stable System mit anderen releases vermischen - dies verkomplizierte Updates
- durch die große Anzahl installierter Pakete mit gegenseitigen Abhängigkeiten fühlte sich das System im Laufe der Zeit zunehmend fragil an - Veränderungen gefährdeten die Stabilität
- ein Eindringling hätte potentiell Zugriff auf alle Dienste des Servers erlangen können
Um diese Probleme bei der Neueinrichtung zu vermeiden, wollten wir den neuen Server modularer gestalten. Die Verwendung mehrerer getrennter Rechner kam jedoch aufgrund des Energieverbrauchs nicht in Frage.
Die Isolation der einzelnen Dienste lässt sich beispielsweise durch getrennte chroot-Umgebungen umsetzen. Dies stellt jedoch nur einen geringen Schutz dar, da es einem potentiellen Angreifer möglich ist, der chroot-Umgebung zu entkommen. Zudem würden beispielsweise alle Systeme die gleichen TCP-Ports teilen.
Wir haben stattdessen einige Jahre User-Mode-Linux genutzt, waren kurzzeitig bei Xen und aktuell KVM.
Kurz gesagt: in dem realen Linux-System (dem Host) werden mehrere selbständige Linux-Systeme (Gäste) gestartet. Jedes dieser Gast-Systeme verfügt über eine eigene virtuelle Netzwerk-Schnittstelle, um mit den anderen Gästen und dem Host zu kommunizieren.
Dienste
Auf den nachfolgenden Seiten dokumentieren wir die Einrichtung der von uns bereit gestellten Dienste.
Webserver -- Auslieferung von Webseiten
Infinoted und Gobby -- ein kollaborativer Text-Editor
Accountverwaltung mit LDAP
Administration
Webdienste und Privatsphäre -- Konfiguration verschiedener Webdienste mit dem Blick auf die Privatsphäre
Alte Dokumente - nur noch teilweise gültig und ziemlich durcheinander
Pootle -- Übersetzungsoftware
FaxeRouterWRT -- Bis ca. 2007: vor dem Server kümmert sich ein Linksys WRT54G um den Netzwerkzugang und die Paketfilterung
FaxeLXC -- Betriebssystemvirtualsierung mit Linux Containern
FaxeUpgrades -- Protokolle verschiedener Upgrades des Servers
FaxeUML -- bis Ende 2007 verwendete Virtualisierungslösung
FaxeTrac -- ist eine Problemverwaltungssoftware. Es ist primär auf die Unterstützung bei der Software-Entwicklung ausgerichtet, eignet sich aber auch für die Organisation allgemeiner Projekte.
FaxeKernel -- Ein selbstkompilierter Debian/GNU Linux Kernel mit verschiedenen Patches fuer das UML-Host- und UML-Gastsystem.
FaxePolicy -- Richtlinien, nach denen wir versuchen, das System wartbar und konsistent zu halten.
FaxeZugangsKontrolle -- Beschreibung der Zungangsregeln
FaxeNeustart -- Schritte um den Server (neu) zu starten
FaxeBackup -- Wie fertige ich ein Backup an
UML-Gastsysteme -- Eine kurze Auflistung der Dienste sortiert nach den Servern.
MailServerAdministration - neue Nutzer und Domains ...
QMailInstallationHowto - die Einrichtung der Zukunftsmails
ssl-ZertifikatErstellung - ... und unsere CA