Das kann doch ei­gent­lich nicht so schwie­rig sein! Soll­te man mei­nen, aber ir­gend­wie war ich beim Goo­g­len nach der rich­ti­gen An­lei­tung glück­los. Des­halb – quasi auch als Notiz an mich selbst – meine Ein­rich­tung.

An­fang des Mo­nats stand der Umzug mei­nes Ser­vers an - und wie so üb­lich star­tet man mit hohen An­sprü­chen („dies­mal mache ich alles bes­ser“) :-) Ins­be­son­de­re meh­re­re PHP-Alt­las­ten waren mir ein Dorn im Auge; vor­her hatte ich sträf­lich ein­fach PHP als Modul in Apa­che ein­ge­bun­den, was zur Folge ge­habt hätte, dass eine kom­pro­mit­tier­te PHP-Sei­te sämt­li­che ge­hos­te­ten Do­mä­nen ge­fähr­det hätte. Für das neue Setup hatte ich zu­nächst mpm-pe­ru­ser ge­plant ge­ha­be, bin dann aber doch auf PHP mit fast­cgi um­ge­schwenkt.

Vor einem Jahr hatte ich be­schrie­ben, wie ich ein ver­schlüs­sel­tes Back­up auf einen Rech­ner im Netz mit Du­pli­ci­ty mache. Du­pli­ci­ty er­le­digt die ei­gent­li­che Back­up-Auf­ga­be und die Ver­schlüs­se­lung mit gpg. An­schlie­ßend wer­den diese Daten per sftp auf das ent­fern­te Sys­tem ge­scho­ben. Was man hier­bei be­ach­ten kann, möch­te ich hier quasi als Fol­low-Up-Ar­ti­kel do­ku­men­tie­ren.

Für ein Pro­jekt ad­mi­nis­trie­re ich einen Ser­ver, auf dem ver­schie­de­ne Web­an­wen­dun­gen lau­fen. Si­cher­heits­po­li­cy ist, daß ein Zu­griff dar­auf nur über https und Cli­ent-Zer­ti­fi­ka­ten mög­lich sein darf - so weit, so ein­fach.

Dies ist die Ge­schich­te einer Nacht­schicht (ja, der Noob aus dem Titel bin ich). Übel­tä­ter war ein recht frisch in­stal­lier­ter Sa­ba­yon-Rech­ner, der plötz­lich nicht mehr boo­ten woll­te. Der Rech­ner kam noch bis zu den vier Buch­sta­ben GRUB, dann rühr­te sich nichts mehr. Nach einer Ker­nel Panic beim Ver­such, den Rech­ner mit Hilfe eines von einer CD ge­star­te­ten GRUBs (grml ftw!) zu boo­ten, war schon am Flu­chen über ver­meint­lich de­fek­te Hard­ware. Letzt­end­lich war (m)ein Fsck­up bei der In­stal­la­ti­on von GRUB2 auf der mit GPT or­ga­ni­sier­ten Plat­ten das Pro­blem.

Zum Jah­res­an­fang ein klein wenig Ad­min-Fu... ge­le­gent­lich kommt man in die Ver­le­gen­heit, auf einem ent­fern­ten Rech­ner Daten ab­le­gen zu wol­len, die vom je­wei­li­gen Admin nicht les­bar sein sol­len (bei­spiels­wei­se weil man die­sem nicht hin­rei­chend ver­traut). An­stoß für meine Über­le­gun­gen war die Not­wen­dig­keit, ein Back­up übers Netz zu ma­chen, wobei die Daten auf dem ent­fern­ten Rech­ner nicht les­bar (sprich: ver­schlüs­selt ab­ge­legt) sein soll­ten.

Ein­rich­ten ssh

Als Basis für den si­che­ren Zu­griff auf den ent­fern­ten Rech­ner habe ich ssh ge­wählt. Mit Au­then­ti­sie­rung über Pu­blic-Pri­va­te-Key­paa­re läßt sich der Zu­griff auch schön au­to­ma­ti­sie­ren - ent­we­der indem man den Pri­va­te Key auf dem zu si­chern­den Sys­tem un­ver­schlüs­selt hin­ter­legt oder durch Spei­chern des zu­ge­hö­ri­gen Pass­phra­ses in einer Key­a­gent-In­stanz, die dann na­tür­lich nach einem Sys­tem­start ma­nu­ell neu ein­zu­ge­ben ist.

Fol­gen­de (si­cher nicht un­ty­pi­sche) Auf­ga­ben­stel­lung pur­zel­te bei mir die Tage über den Schreib­tisch: Auf dem Team-Web­ser­ver soll web­dav ein­ge­rich­tet wer­den, um mit Pro­jekt­part­nern Da­tei­en aus­tau­schen zu kön­nen. Die Team­mit­glie­der (wel­che alle auch einen Shel­lac­count haben) sol­len voll­stän­di­gen Zu­griff haben und sich auch mit ihrem nor­ma­len User­na­me und Pass­wort an­mel­den kön­nen. Die Pro­jekt­part­ner sol­len nur auf ein­zel­ne Ver­zeich­nis­se zu­grei­fen kön­nen; na­tür­lich haben sie auch kei­nen Unix-Ac­count.

Ich habe mir er­folg­reich mei­nen Lap­top ver­kon­fi­gu­riert. An­fangs war da nur eine Win­dows-In­stal­la­ti­on (*cough*) 'drauf, dann kam ein pro­vi­so­ri­sches Linux hinzu. In­zwi­schen ar­bei­te ich fast aus­schlie­ß­lich unter Linux, des­halb habe ich die Win­dows-Par­ti­ti­on deut­lich ver­klei­nert. Zwei Pro­ble­me gab es zu lösen: Der freie Platz mußte LVM zu­ge­schla­gen wer­den, und die darin be­find­li­chen (mit LUKS ver­schlüs­sel­ten) Par­ti­tio­nen mu­ß­ten ver­grö­ßert wer­den.