• systemausfall.org-Dokumentation

Überblick

systemausfall.org dient als Organisationsplattform für progressive Projekte. Detaillierte Infos dazu findest du auf den Hilfeseiten

Mit dieser Dokumentation des Projekts möchten wir unser Wissen veröffentlichen, um anderen Gruppen den Aufbau einer ähnlichen Infrastruktur zu erleichtern. So könnte sich idealerweise in jeder Region mit interessierten Menschen eine oder mehrere Gruppen bilden, die ähnliche Dienste für ihr Umfeld bereitstellen. Diese angestrebte dezentrale Struktur stellt für uns eine gute Mischung aus lokaler Vernetzung und übergreifendem Wissensaustausch dar.

Weitere Projekte mit ähnlicher Zielstellung sind beispielsweise:

• https://immerda.ch

• https://nadir.org

• https://riseup.net

• https://so36.net

• https://systemli.org

Es gibt noch wesentlich mehr Projekte dieser Art. Eine Übersicht findest du hier.

Ziele

• Bereitstellung von Werkzeugen, um die Arbeit von Projekten zu unterstützen, also beispielsweise:
  • sichere E-Mail-Accounts
  • (verschlüsselte) Mailinglisten
  • Veröffentlichung von Inhalten
  • Projektverwaltungstools
  • Wikis

• Sicherheit des Systems gegenüber Angriffen mit technischen Mitteln (Cracker)

• Schutz der Verkehrsdaten unserer Nutzer_innen
• Schutz der gespeicherten Daten unserer Nutzer_innen (bei Diebstahl, Beschlagnahmung, usw.)

Konzept

Die erste Inkarnation des systemausfall-Servers war ein alter HP der PA-RISC-Architektur mit 60 MHz und einer guten Netzanbindung. Dabei stießen wir im Laufe der Zeit auf folgende Probleme:

• wir hatten keinen physischen Zugriff auf den Rechner - dies machte jedes Kernel-Upgrade ziemlich aufregend

• für manche Dienste benötigten wir recht neue Software-Versionen und mussten somit das Debian-stable System mit anderen releases vermischen - dies verkomplizierte Updates

• durch die große Anzahl installierter Pakete mit gegenseitigen Abhängigkeiten fühlte sich das System im Laufe der Zeit zunehmend fragil an - Veränderungen gefährdeten die Stabilität
• ein Eindringling hätte potentiell Zugriff auf alle Dienste des Servers erlangen können

Um diese Probleme bei der Neueinrichtung zu vermeiden, wollten wir den neuen Server modularer gestalten. Die Verwendung mehrerer getrennter Rechner kam jedoch aufgrund des Energieverbrauchs nicht in Frage.

Die Isolation der einzelnen Dienste lässt sich beispielsweise durch getrennte chroot-Umgebungen umsetzen. Dies stellt jedoch nur einen geringen Schutz dar, da es einem potentiellen Angreifer möglich ist, der chroot-Umgebung zu entkommen. Zudem würden beispielsweise alle Systeme die gleichen TCP-Ports teilen.

Wir haben stattdessen einige Jahre User-Mode-Linux genutzt, waren kurzzeitig bei Xen und aktuell KVM.

Kurz gesagt: in dem realen Linux-System (dem Host) werden mehrere selbständige Linux-Systeme (Gäste) gestartet. Jedes dieser Gast-Systeme verfügt über eine eigene virtuelle Netzwerk-Schnittstelle, um mit den anderen Gästen und dem Host zu kommunizieren.

Dienste

Auf den nachfolgenden Seiten dokumentieren wir die Einrichtung der von uns bereit gestellten Dienste.

• Mails und Listen

• Webserver -- Auslieferung von Webseiten

• Wikis

• Versionsverwaltung mit subversion

• Infinoted und Gobby -- ein kollaborativer Text-Editor

• Accountverwaltung mit LDAP

Administration

• Systemüberwachung mit Icinga 2

• Webdienste und Privatsphäre -- Konfiguration verschiedener Webdienste mit dem Blick auf die Privatsphäre

• Konfigurationsverteilung via ansible

• Kurzanleitung zum Umgang mit dem LVM auf

• Hardwarevirtualisierung mittels qemu/kvm

• FaxeKleinigkeiten

Alte Dokumente - nur noch teilweise gültig und ziemlich durcheinander

• Pootle -- Übersetzungsoftware

• FaxeRouterWRT -- Bis ca. 2007: vor dem Server kümmert sich ein Linksys WRT54G um den Netzwerkzugang und die Paketfilterung

• FaxeLXC -- Betriebssystemvirtualsierung mit Linux Containern

• FaxeUpgrades -- Protokolle verschiedener Upgrades des Servers

• FaxeUML -- bis Ende 2007 verwendete Virtualisierungslösung

• FaxeTrac -- ist eine Problemverwaltungssoftware. Es ist primär auf die Unterstützung bei der Software-Entwicklung ausgerichtet, eignet sich aber auch für die Organisation allgemeiner Projekte.

• FaxeKernel -- Ein selbstkompilierter Debian/GNU Linux Kernel mit verschiedenen Patches fuer das UML-Host- und UML-Gastsystem.

• FaxePolicy -- Richtlinien, nach denen wir versuchen, das System wartbar und konsistent zu halten.

• FaxeZugangsKontrolle -- Beschreibung der Zungangsregeln

• FaxeNeustart -- Schritte um den Server (neu) zu starten

• FaxeBackup -- Wie fertige ich ein Backup an

• UML-Gastsysteme -- Eine kurze Auflistung der Dienste sortiert nach den Servern.

• MailServerAdministration - neue Nutzer und Domains ...

• QMailInstallationHowto - die Einrichtung der Zukunftsmails

• ssl-ZertifikatErstellung - ... und unsere CA

CategorySystemausfall