CubelaPetar/notes
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

make more commits :-)

Browse Source
This commit is contained in:
Petar Cubela
2025-09-21 19:15:25 +02:00
parent 584265c22c
commit b1b4b12e1d
80 changed files with 1921 additions and 75 deletions
Download Patch File Download Diff File Expand all files Collapse all files

BIN
projects/.DS_Store vendored
View File

Binary file not shown.

BIN
projects/apsa/.DS_Store vendored
View File

Binary file not shown.

103
projects/apsa/nextcloud/Anleitung-User_Erstellung.html Normal file
View File

@@ -0,0 +1,103 @@
<h2 id="einleitung">Einleitung</h2>
<p>Hier beschreiben wir, die Erstellung neuer Userprofile und die damit
zusammenhaengende Erzeugung von User-spezifischen Ordnern. Diese Ordner
sind den Usern der Gruppen Anamnesenpraktikum - KJP/ETH zugeordnet.
Jeder User der Gruppe Anamenesenpraktikum erhaelt einen eigenen Ordner,
mit dem Namen des/der User/in. Diesen Ordner kann dann nur die jeweilige
Person einsehen bzw. Admin User.</p>
<h2 id="erstellung-userprofil">1. Erstellung Userprofil</h2>
<p>Nach der Anmeldung an der Nextcloud,
https://ambulanz.psychoanalyse-muenchen.de, klicken Sie rechts oben das
Logo ihres Nutzerprofiles und klicken daraufhin auf Konten:</p>
<figure>
<img src="Anleitung-images/part1.png" alt="step1" />
<figcaption aria-hidden="true">step1</figcaption>
</figure>
<p>Klicken Sie im naechsten Schritt auf + Neues Konto, links oben
dargestellt in der Web-UI,</p>
<figure>
<img src="Anleitung-images/part2.png" alt="step2" />
<figcaption aria-hidden="true">step2</figcaption>
</figure>
<p>und befuellen Sie die Daten fuer das neue Userprofil: Kontoname,
Anzeigename und <em>entweder</em> Passwort <em>oder</em> E-Mail Adresse
(bei Angabe einer Mail wird die Userin ein Einladungsmail erhalten und
Einweisungen zur Einrichtung des Passworts),</p>
<figure>
<img src="Anleitung-images/part3.png" alt="step3" />
<figcaption aria-hidden="true">step3</figcaption>
</figure>
<p>und klicken Sie auf Neues Konto hinzufuegen, nachdem Sie die
Informationen befuellt haben.</p>
<p>Im Anschluss muessen wir uns einmal mit dem neu erstellten User
anmelden, damit wir die Nachahm-Funktion der Nextcloud nutzen koenne,
um den spezifischen User-Ordner zu erstellen - im Falle von
Anamnesenpraktikanten. Dazu oeffnen Sie einen anderen Browser, als den
aktuellen mit dem Sie angemeldet sind, damit Sie Ihre aktuelle Sitzung
auf der Nextcloud nicht beenden muessen (ich nutze in meinem Fall
Safari),</p>
<figure>
<img src="Anleitung-images/part4.png" alt="step4" />
<figcaption aria-hidden="true">step4</figcaption>
</figure>
<p>und melden sich mit dem eben erstellten Nutzerprofil an. Sofern Sie
nur das eine Nutzerprofil erstellen koennen Sie, nach geklappter
Anmeldung das Fenster auch direkt wieder schliessen. Es ist nur eine
Erstanmeldung notwendig, damit das Nachahm Plugin der Nextcloud
funktioniert.</p>
<p>Gehen Sie nochmal in Ihrem urspruenglichen Browser, wo Sie mit Ihrem
eigenen Acc angemeldet sind.</p>
<p>Klicken Sie rechts vom neuen Userprofil auf die 3 Punkte und dann auf
Nachahmen, siehe Bild:</p>
<figure>
<img src="Anleitung-images/part5.png" alt="step5" />
<figcaption aria-hidden="true">step5</figcaption>
</figure>
<p>Nun sollten Sie mit dem neuen Userprofil angemeldet sein,
signalisiert durch eine geaendertes User-Logo oben rechts:</p>
<figure>
<img src="Anleitung-images/part6.png" alt="step6" />
<figcaption aria-hidden="true">step6</figcaption>
</figure>
<p>Erstellen Sie einen Ordner fuer das Nutzerprofil im jeweiligen, dem
Profil ueber deren Gruppe, zugeteilsten Ordner Anamnesepraktikum -
???, mit dem Namen des Nutzerprofils:</p>
<figure>
<img src="Anleitung-images/part7.png" alt="step7" />
<figcaption aria-hidden="true">step7</figcaption>
</figure>
<p>Im Anschluss muessen wir noch die Berechtigungen des Ordners
anpassen, sodass andere User in der gleichen Gruppe, den dem User
zugeordneten Ordner nicht sehen koennen. Dazu melden Sie sich wieder mit
dem neuen Nutzerprofil ab, damit Sie wieder in Ihrem eigenen
Admin-Account sind.</p>
<figure>
<img src="Anleitung-images/part8.png" alt="step8" />
<figcaption aria-hidden="true">step8</figcaption>
</figure>
<p>Wenn Sie wieder mit Ihrem Admin-Account angemeldet sind, gehen Sie
zum neuerstellten Ordner fuer das eben erstellte Nutzerprofil und
klicken Sie am Ordner links auf die drei Punkte und waehlen Details
oeffnen aus:</p>
<figure>
<img src="Anleitung-images/part9.png" alt="step9" />
<figcaption aria-hidden="true">step9</figcaption>
</figure>
<p>Scrollen Sie ganz nach unten und klicken Sie auf +Erweiterte
Berechtigungsregel hinzufuegen</p>
<figure>
<img src="Anleitung-images/part10.png" alt="step10" />
<figcaption aria-hidden="true">step10</figcaption>
</figure>
<p>Setzen Sie die Berechtigungen wie auf dem naechsten Bild gezeigt:</p>
<figure>
<img src="Anleitung-images/part11.png" alt="step11" />
<figcaption aria-hidden="true">step11</figcaption>
</figure>
<p>Hierin haben wir explizit der, dem User zugeordneten Gruppe, alle
Rechte verwehrt!, waehrend wir dem neuersetellten Nutzerprofil explizit
die Erlaubnis gegeben haben Lesen, Schreiben, und Dokumente Erstellen zu
koennen (sie koennen dem/der Nutzerin auch Rechte geben Loeschen und
Freigeben zu koennen.) Wir tun dies, damit sonst niemand aus der
gleichen Gruppe wie der/die Nutzerin, den Ordner des/der Nutzerin sehen
(und alles andere) kann.</p>

60
projects/apsa/nextcloud/Anleitung-User_Erstellung.md Normal file
View File

@@ -0,0 +1,60 @@
## Einleitung
Hier beschreiben wir, die Erstellung neuer Userprofile und die damit zusammenhaengende Erzeugung von User-spezifischen Ordnern.
Diese Ordner sind den Usern der Gruppen Anamnesenpraktikum - KJP/ETH zugeordnet. Jeder User der Gruppe Anamenesenpraktikum erhaelt einen
eigenen Ordner, mit dem Namen des/der User/in. Diesen Ordner kann dann nur die jeweilige Person einsehen bzw. Admin User.
## 1. Erstellung Userprofil
Nach der Anmeldung an der Nextcloud, https://ambulanz.psychoanalyse-muenchen.de, klicken Sie rechts oben das Logo ihres Nutzerprofiles und klicken daraufhin auf 'Konten':
![step1](/files/apsa/nextcloud/part1.png)
Klicken Sie im naechsten Schritt auf '+ Neues Konto', links oben dargestellt in der Web-UI,
![step2](/files/apsa/nextcloud/part2.png)
und befuellen Sie die Daten fuer das neue Userprofil: Kontoname, Anzeigename und _entweder_ Passwort _oder_ E-Mail Adresse (bei Angabe einer Mail wird die Userin ein Einladungsmail erhalten und Einweisungen zur Einrichtung des Passworts),
![step3](/files/apsa/nextcloud/part3.png)
und klicken Sie auf 'Neues Konto hinzufuegen', nachdem Sie die Informationen befuellt haben.
Im Anschluss muessen wir uns einmal mit dem neu erstellten User anmelden, damit wir die 'Nachahm'-Funktion der Nextcloud nutzen koenne, um den spezifischen User-Ordner zu erstellen - im Falle von Anamnesenpraktikanten. Dazu oeffnen Sie einen anderen Browser, als den aktuellen mit dem Sie angemeldet sind, damit Sie Ihre aktuelle Sitzung auf der Nextcloud nicht beenden muessen (ich nutze in meinem Fall Safari),
![step4](/files/apsa/nextcloud/part4.png)
und melden sich mit dem eben erstellten Nutzerprofil an. Sofern Sie nur das eine Nutzerprofil erstellen koennen Sie, nach geklappter Anmeldung das Fenster auch direkt wieder schliessen. Es ist nur eine Erstanmeldung notwendig, damit das 'Nachahm' Plugin der Nextcloud funktioniert.
Gehen Sie nochmal in Ihrem urspruenglichen Browser, wo Sie mit Ihrem eigenen Acc angemeldet sind.
Klicken Sie rechts vom neuen Userprofil auf die 3 Punkte und dann auf 'Nachahmen', siehe Bild:
![step5](/files/apsa/nextcloud/part5.png)
Nun sollten Sie mit dem neuen Userprofil angemeldet sein, signalisiert durch eine geaendertes User-Logo oben rechts:
![step6](/files/apsa/nextcloud/part6.png)
Erstellen Sie einen Ordner fuer das Nutzerprofil im jeweiligen, dem Profil ueber deren Gruppe, zugeteilsten Ordner 'Anamnesepraktikum - ???', mit dem Namen des Nutzerprofils:
![step7](/files/apsa/nextcloud/part7.png)
Im Anschluss muessen wir noch die Berechtigungen des Ordners anpassen, sodass andere User in der gleichen Gruppe, den dem User zugeordneten Ordner nicht sehen koennen.
Dazu melden Sie sich wieder mit dem neuen Nutzerprofil ab, damit Sie wieder in Ihrem eigenen Admin-Account sind.
![step8](/files/apsa/nextcloud/part8.png)
Wenn Sie wieder mit Ihrem Admin-Account angemeldet sind, gehen Sie zum neuerstellten Ordner fuer das eben erstellte Nutzerprofil und klicken Sie am Ordner links auf die drei Punkte und waehlen 'Details oeffnen' aus:
![step9](/files/apsa/nextcloud/part9.png)
Scrollen Sie ganz nach unten und klicken Sie auf '+Erweiterte Berechtigungsregel hinzufuegen'
![step10](/files/apsa/nextcloud/part10.png)
Setzen Sie die Berechtigungen wie auf dem naechsten Bild gezeigt:
![step11](/files/apsa/nextcloud/part11.png)
Hierin haben wir explizit der, dem User zugeordneten Gruppe, alle Rechte verwehrt!, waehrend wir dem neuersetellten Nutzerprofil explizit die Erlaubnis gegeben haben Lesen, Schreiben, und Dokumente Erstellen zu koennen (sie koennen dem/der Nutzerin auch Rechte geben Loeschen und Freigeben zu koennen.) Wir tun dies, damit sonst niemand aus der gleichen Gruppe wie der/die Nutzerin, den Ordner des/der Nutzerin sehen (und alles andere) kann.

BIN
projects/apsa/nextcloud/Anleitung-User_Erstellung.pdf Normal file
View File

Binary file not shown.

BIN
projects/apsa/nextcloud/Anleitung-images/part1.png Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 156 KiB

BIN
projects/apsa/nextcloud/Anleitung-images/part10.png Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 333 KiB

BIN
projects/apsa/nextcloud/Anleitung-images/part11.png Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 336 KiB

BIN
projects/apsa/nextcloud/Anleitung-images/part2.png Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 337 KiB

BIN
projects/apsa/nextcloud/Anleitung-images/part3.png Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 281 KiB

BIN
projects/apsa/nextcloud/Anleitung-images/part4.png Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 231 KiB

BIN
projects/apsa/nextcloud/Anleitung-images/part5.png Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 312 KiB

BIN
projects/apsa/nextcloud/Anleitung-images/part6.png Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 233 KiB

BIN
projects/apsa/nextcloud/Anleitung-images/part7.png Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 268 KiB

BIN
projects/apsa/nextcloud/Anleitung-images/part8.png Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 176 KiB

BIN
projects/apsa/nextcloud/Anleitung-images/part9.png Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 180 KiB

10
projects/kwa/20250910-einsatz.md Normal file
View File

@@ -0,0 +1,10 @@
## Themen
- [x] Vorschlag automatischer Download ProjektPro Backups
- [x] FritzBox entfernen
- [ ] VW 25
- [x] Apple Business Manager Handhabung (hierzu würde ich gerne am Mittwoch mit dir sprechen)
- [x] Konfiguration neues Telefon MW (ich habe es eingerichtet, allerdings wärs mir recht wenn nochmal jemand prüft ob alles soweit ok)
- [x] BusyContacts

356
projects/neosphere/ida/ipa.lab.softbox.net.md Normal file
View File

@@ -0,0 +1,356 @@
## Sources
- [FreeIPA - Quick Start Guide](https://www.freeipa.org/page/Quick_Start_Guide)
- [FreeIPA - Client Config](https://www.freeipa.org/page/ConfiguringFedoraClients)
## Credentials
- Directory Manager: '!Aladin123$'
- admin: '!aladin123'
- root: '!aladin123'
## OS
```bash
[sbxadmin@ipa ~]$ cat /etc/os-release
NAME="Fedora Linux"
VERSION="42 (Cloud Edition)"
RELEASE_TYPE=stable
ID=fedora
VERSION_ID=42
VERSION_CODENAME=""
PLATFORM_ID="platform:f42"
PRETTY_NAME="Fedora Linux 42 (Cloud Edition)"
ANSI_COLOR="0;38;2;60;110;180"
LOGO=fedora-logo-icon
CPE_NAME="cpe:/o:fedoraproject:fedora:42"
HOME_URL="https://fedoraproject.org/"
DOCUMENTATION_URL="https://docs.fedoraproject.org/en-US/fedora/f42/"
SUPPORT_URL="https://ask.fedoraproject.org/"
BUG_REPORT_URL="https://bugzilla.redhat.com/"
REDHAT_BUGZILLA_PRODUCT="Fedora"
REDHAT_BUGZILLA_PRODUCT_VERSION=42
REDHAT_SUPPORT_PRODUCT="Fedora"
REDHAT_SUPPORT_PRODUCT_VERSION=42
SUPPORT_END=2026-05-13
VARIANT="Cloud Edition"
VARIANT_ID=cloud
```
## FreeIPA - Base
```bash
The IPA Master Server will be configured with:
Hostname: ipa.lab.softbox.net
IP address(es): 10.11.12.65
Domain name: lab.softbox.net
Realm name: LAB.SOFTBOX.NET
The CA will be configured with:
Subject DN: CN=Certificate Authority,O=LAB.SOFTBOX.NET
Subject base: O=LAB.SOFTBOX.NET
Chaining: self-signed
BIND DNS server will be configured to serve IPA domain with:
Forwarders: 9.9.9.9, 10.11.12.254
Forward policy: only
Reverse zone(s): No reverse zone
```
## Install Summary
```bash
Invalid IP address fe80::be24:11ff:fede:cb30 for ipa.lab.softbox.net.: cannot use link-local IP address fe80::be24:11ff:fede:cb30
Enabling and restarting the IPA service
==============================================================================
Setup complete
Next steps:
1. You must make sure these network ports are open:
TCP Ports:
* 80, 443: HTTP/HTTPS
* 389, 636: LDAP/LDAPS
* 88, 464: kerberos
* 53: bind
UDP Ports:
* 88, 464: kerberos
* 53: bind
* 123: ntp
2. You can now obtain a kerberos ticket using the command: 'kinit admin'
This ticket will allow you to use the IPA tools (e.g., ipa user-add)
and the web user interface.
Be sure to back up the CA certificates stored in /root/cacert.p12
These files are required to create replicas. The password for these
files is the Directory Manager password
The ipa-server-install command was successful
```
## Complete Install log
```bash
The following operations may take some minutes to complete.
Please wait until the prompt is returned.
Adding [10.11.12.65 ipa.lab.softbox.net] to your /etc/hosts file
Disabled p11-kit-proxy
Synchronizing time
No SRV records of NTP servers found and no NTP server or pool address was provided.
Using default chrony configuration.
Attempting to sync time with chronyc.
Time synchronization was successful.
Configuring directory server (dirsrv). Estimated time: 30 seconds
[1/42]: creating directory server instance
Validate installation settings ...
Create file system structures ...
Perform SELinux labeling ...
Create database backend: dc=lab,dc=softbox,dc=net ...
Perform post-installation tasks ...
[2/42]: adding default schema
[3/42]: enabling memberof plugin
[4/42]: enabling winsync plugin
[5/42]: configure password logging
[6/42]: configuring replication version plugin
[7/42]: enabling IPA enrollment plugin
[8/42]: configuring uniqueness plugin
[9/42]: configuring uuid plugin
[10/42]: configuring modrdn plugin
[11/42]: configuring DNS plugin
[12/42]: enabling entryUSN plugin
[13/42]: configuring lockout plugin
[14/42]: configuring graceperiod plugin
[15/42]: configuring topology plugin
[16/42]: creating indices
[17/42]: enabling referential integrity plugin
[18/42]: configuring certmap.conf
[19/42]: configure new location for managed entries
[20/42]: configure dirsrv ccache and keytab
[21/42]: enabling SASL mapping fallback
[22/42]: restarting directory server
[23/42]: adding sasl mappings to the directory
[24/42]: adding default layout
[25/42]: adding delegation layout
[26/42]: creating container for managed entries
[27/42]: configuring user private groups
[28/42]: configuring netgroups from hostgroups
[29/42]: creating default Sudo bind user
[30/42]: creating default Auto Member layout
[31/42]: adding range check plugin
[32/42]: creating default HBAC rule allow_all
[33/42]: adding entries for topology management
[34/42]: initializing group membership
[35/42]: adding master entry
[36/42]: initializing domain level
[37/42]: configuring Posix uid/gid generation
[38/42]: adding replication acis
[39/42]: activating sidgen plugin
[40/42]: activating extdom plugin
[41/42]: configuring directory to start on boot
[42/42]: restarting directory server
Done configuring directory server (dirsrv).
Configuring Kerberos KDC (krb5kdc)
[1/11]: adding kerberos container to the directory
[2/11]: configuring KDC
[3/11]: initialize kerberos container
[4/11]: adding default ACIs
[5/11]: creating a keytab for the directory
[6/11]: creating a keytab for the machine
[7/11]: adding the password extension to the directory
[8/11]: creating anonymous principal
[9/11]: starting the KDC
[10/11]: configuring KDC to start on boot
[11/11]: enable PAC ticket signature support
Done configuring Kerberos KDC (krb5kdc).
Configuring kadmin
[1/2]: starting kadmin
[2/2]: configuring kadmin to start on boot
Done configuring kadmin.
Configuring ipa-custodia
[1/5]: Making sure custodia container exists
[2/5]: Generating ipa-custodia config file
[3/5]: Generating ipa-custodia keys
[4/5]: starting ipa-custodia
[5/5]: configuring ipa-custodia to start on boot
Done configuring ipa-custodia.
Configuring certificate server (pki-tomcatd). Estimated time: 3 minutes
[1/32]: configuring certificate server instance
[2/32]: stopping certificate server instance to update CS.cfg
[3/32]: backing up CS.cfg
[4/32]: Add ipa-pki-wait-running
Set start up timeout of pki-tomcatd service to 90 seconds
[5/32]: secure AJP connector
[6/32]: reindex attributes
[7/32]: exporting Dogtag certificate store pin
[8/32]: disabling nonces
[9/32]: set up CRL publishing
[10/32]: enable PKIX certificate path discovery and validation
[11/32]: authorizing RA to modify profiles
[12/32]: authorizing RA to manage lightweight CAs
[13/32]: Ensure lightweight CAs container exists
[14/32]: Enable lightweight CA monitor
[15/32]: Ensuring backward compatibility
[16/32]: updating IPA configuration
[17/32]: starting certificate server instance
[18/32]: configure certmonger for renewals
[19/32]: requesting RA certificate from CA
[20/32]: publishing the CA certificate
[21/32]: adding RA agent as a trusted user
[22/32]: configure certificate renewals
[23/32]: Configure HTTP to proxy connections
[24/32]: enabling CA instance
[25/32]: importing IPA certificate profiles
[26/32]: migrating certificate profiles to LDAP
[27/32]: adding default CA ACL
[28/32]: adding 'ipa' CA entry
[29/32]: Recording random serial number state
[30/32]: Recording HSM configuration state
[31/32]: configuring certmonger renewal for lightweight CAs
[32/32]: deploying ACME service
Done configuring certificate server (pki-tomcatd).
Configuring directory server (dirsrv)
[1/3]: configuring TLS for DS instance
[2/3]: adding CA certificate entry
[3/3]: restarting directory server
Done configuring directory server (dirsrv).
Configuring ipa-otpd
[1/2]: starting ipa-otpd
[2/2]: configuring ipa-otpd to start on boot
Done configuring ipa-otpd.
Configuring the web interface (httpd)
[1/21]: stopping httpd
[2/21]: backing up ssl.conf
[3/21]: configuring mod_ssl certificate paths
[4/21]: setting mod_ssl protocol list
[5/21]: configuring mod_ssl log directory
[6/21]: disabling mod_ssl OCSP
[7/21]: adding URL rewriting rules
[8/21]: configuring httpd
[9/21]: setting up httpd keytab
[10/21]: configuring Gssproxy
[11/21]: setting up ssl
[12/21]: configure certmonger for renewals
[13/21]: publish CA cert
[14/21]: clean up any existing httpd ccaches
[15/21]: enable ccache sweep
[16/21]: configuring SELinux for httpd
[17/21]: create KDC proxy config
[18/21]: enable KDC proxy
[19/21]: starting httpd
[20/21]: configuring httpd to start on boot
[21/21]: enabling oddjobd
Done configuring the web interface (httpd).
Configuring Kerberos KDC (krb5kdc)
[1/1]: installing X509 Certificate for PKINIT
Done configuring Kerberos KDC (krb5kdc).
Applying LDAP updates
Upgrading IPA:. Estimated time: 1 minute 30 seconds
[1/10]: stopping directory server
[2/10]: saving configuration
[3/10]: disabling listeners
[4/10]: enabling DS global lock
[5/10]: disabling Schema Compat
[6/10]: starting directory server
[7/10]: upgrading server
[8/10]: stopping directory server
[9/10]: restoring configuration
[10/10]: starting directory server
Done.
Restarting the KDC
dnssec-validation no
Configuring DNS (named)
[1/12]: generating rndc key file
[2/12]: adding DNS container
[3/12]: setting up our zone
[4/12]: setting up our own record
[5/12]: setting up records for other masters
[6/12]: adding NS record to the zones
[7/12]: setting up kerberos principal
[8/12]: setting up LDAPI autobind
[9/12]: setting up named.conf
created new /etc/named.conf
created named user config '/etc/named/ipa-ext.conf'
created named user config '/etc/named/ipa-options-ext.conf'
created named user config '/etc/named/ipa-logging-ext.conf'
[10/12]: setting up server configuration
[11/12]: configuring named to start on boot
[12/12]: changing resolv.conf to point to ourselves
Done configuring DNS (named).
Restarting the web server to pick up resolv.conf changes
Configuring DNS key synchronization service (ipa-dnskeysyncd)
[1/7]: checking status
[2/7]: setting up bind-dyndb-ldap working directory
[3/7]: setting up kerberos principal
[4/7]: setting up SoftHSM
[5/7]: adding DNSSEC containers
[6/7]: creating replica keys
[7/7]: configuring ipa-dnskeysyncd to start on boot
Done configuring DNS key synchronization service (ipa-dnskeysyncd).
Restarting ipa-dnskeysyncd
Restarting named
Updating DNS system records
Configuring SID generation
[1/8]: adding RID bases
[2/8]: creating samba domain object
[3/8]: adding admin(group) SIDs
[4/8]: updating Kerberos config
'dns_lookup_kdc' already set to 'true', nothing to do.
[5/8]: activating sidgen task
[6/8]: restarting Directory Server to take MS PAC and LDAP plugins changes into account
[7/8]: adding fallback group
[8/8]: adding SIDs to existing users and groups
This step may take considerable amount of time, please wait..
Done.
Configuring client side components
This program will set up IPA client.
Version 4.12.2
Using existing certificate '/etc/ipa/ca.crt'.
Client hostname: ipa.lab.softbox.net
Realm: LAB.SOFTBOX.NET
DNS Domain: lab.softbox.net
IPA Server: ipa.lab.softbox.net
BaseDN: dc=lab,dc=softbox,dc=net
Configured /etc/sssd/sssd.conf
Systemwide CA database updated.
Adding SSH public key from /etc/ssh/ssh_host_rsa_key.pub
Adding SSH public key from /etc/ssh/ssh_host_ecdsa_key.pub
Adding SSH public key from /etc/ssh/ssh_host_ed25519_key.pub
SSSD enabled
Configured /etc/openldap/ldap.conf
Configured /etc/ssh/ssh_config
Configured /etc/ssh/sshd_config.d/04-ipa.conf
Configuring lab.softbox.net as NIS domain.
Client configuration complete.
The ipa-client-install command was successful
Invalid IP address fe80::be24:11ff:fede:cb30 for ipa.lab.softbox.net.: cannot use link-local IP address fe80::be24:11ff:fede:cb30
Enabling and restarting the IPA service
==============================================================================
Setup complete
Next steps:
1. You must make sure these network ports are open:
TCP Ports:
* 80, 443: HTTP/HTTPS
* 389, 636: LDAP/LDAPS
* 88, 464: kerberos
* 53: bind
UDP Ports:
* 88, 464: kerberos
* 53: bind
* 123: ntp
2. You can now obtain a kerberos ticket using the command: 'kinit admin'
This ticket will allow you to use the IPA tools (e.g., ipa user-add)
and the web user interface.
Be sure to back up the CA certificates stored in /root/cacert.p12
These files are required to create replicas. The password for these
files is the Directory Manager password
The ipa-server-install command was successful
```

2
projects/neosphere/ml-server/20250827-new-server-setup.md
View File

@@ -29,7 +29,7 @@
- [ ] (optional) clean from snap
- [=] beszel reverse proxying via firewall. sophos intuitively not made for this
- [=] install beszel agent on all devices
- [ ] extend network diagram
- [ ] extend network diagram
- [x] write ansible playbook?
- [x] test ansible contruct
- [x] prepare boot stick

BIN
projects/sbx/.DS_Store vendored Normal file
View File

Binary file not shown.

1
projects/sbx/defaults/sbx-lab-network.md
View File

@@ -21,6 +21,7 @@
| srv-pve-01.wollmann.lan | | 10.11.12.50 | Wollmann - New Hypervisor | true |
| iLo | | 10.11.12.178 | Wollmann - pve iLo | true |
| pxe | BC:24:11:99:2D:8A | 10.11.12.69 | netbbot_xyz | true |
| pxe | BC:24:11:99:2D:8A | 10.11.12.69 | netbbot_xyz | true |
| metabase | | 10.11.12.99 | test for discopharma | false |
| pve-max | | 10.11.12.100 | test pve instance for maxi | false |
| sbx-sw-lab-00 | B0:7C:51:30:64:4E | 10.11.12.220 | central switch | true |

17
projects/sbx/defaults/sbx-linux-defaults.md Normal file
View File

@@ -0,0 +1,17 @@
## Base
### OS
- Base OS: Debian 13 (Trixie) -> very stable but older packages
- Base OS: Ubuntu 2?.? LTS -> when the newest packages and drivers are needed
- Other OS's: Depends on the situation
### Hostname
- hostname
- IP
- ninja installation
-

115
projects/sbx/manuals/Win_Server_VM_on_PVE.md Normal file
View File

@@ -0,0 +1,115 @@
Im folgenden wird die standard Methode zur Installation einer Windows (2022) VM auf einem Proxmox (Virtual Environment) - welches wir im Folgenden PVE bezeichnen - beschrieben.
## ToC (Table of Contents)
1. Win Server und VirtIO Driver ISO Download (auf nextcloud hinterlegt)
2. VM "HW" Konfig
3. OS Installation - Treiber Nach Installation - Passe Statische IP an
4. (Optional) Installiere DC/AD
## Quellenverzeichnis
- [Windows Server 2022 Download](https://www.microsoft.com/en-us/evalcenter/download-windows-server-2022)
- [Windows VirtIO Drivers](https://pve.proxmox.com/wiki/Windows_VirtIO_Drivers)
## 1. Win Server und VirtIO Driver ISO Download
Diese Anleitung nutzt Windows Server 2022 fuer die Installation Unter dem [Link](https://www.microsoft.com/en-us/evalcenter/download-windows-server-2022) kann die gewuenschte Windows Version heruntergeladen werden.
Zusaetzlich muss eine ISO mit den VirtIO Treibern fuer die Windows Installation heruntergeladen werden, damit wir dann Netzwerktreiber, Guest Agent, etc. auf dem Windows Server installieren koennen. Informationen zu der ISO kann in Proxmox' offizielen [Dokumenation](https://pve.proxmox.com/wiki/Windows_VirtIO_Drivers) nachgelesen werden.
Wenn der Download abgeschlossen ist, muessen die ISO Dateien auf dem PVE Host hinterlegt werden, siehe naechstes Bild.
Klicken Sie links auf das Storage, welches Ihre ISO Dateien beinhaltet. Gehen Sie zu 'ISO Images' und laden Sie die zuvor runtergeladenen ISOs zu PVE hoch:
![proxmox_0](/files/sbx/win_srv_on_pve/pve_iso_upload.png)
## 2. VM Konfig
Im naechsten Schritt setzen wir die VM in PVE auf, auf welcher wir den Windwos Server installieren werden.
1. Klicken Sie auf "Create VM", gezeigt im rechten oberen Rand der Web-UI:
![proxmox_1](/files/sbx/win_srv_on_pve/pve_vm_part1.png)
2. Geben Sie der VM eine gewuenschte 'VM ID' - diese muss eindeutig sein - und einen Namen:
![proxmox_2](/files/sbx/win_srv_on_pve/pve_vm_part2.png)
3. Waehlen Sie Im 'OS' Fenster als ISO Image Ihre runtergeladenen Windows Server ISO aus, siehe naechstes Bild. Waehlen Sie als Guest OS Typ "Microsoft Windows" aus und die entpsprechende Version, hier '11/2022/2025'. Zusaetzlich koennen Sie rechts anhaken die VirtIO Treiber direkt einzubinden; waehlen Sie hier auch die eben runtergeladenen VirtIO ISO aus, siehe Bild
![proxmox_3](/files/sbx/win_srv_on_pve/pve_vm_part3.png)
4. Setzen Sie die Konfig wie im naechsten Bild gezeigt:
![proxmox_4](/files/sbx/win_srv_on_pve/pve_vm_part4.png)
5. disks
![proxmox_5](/files/sbx/win_srv_on_pve/pve_vm_part5.png)
6. cpu
![proxmox_6](/files/sbx/win_srv_on_pve/pve_vm_part6.png)
7. memory
![proxmox_7](/files/sbx/win_srv_on_pve/pve_vm_part7.png)
8. network
![proxmox_8](/files/sbx/win_srv_on_pve/pve_vm_part8.png)
9. Confirm
![proxmox_9](/files/sbx/win_srv_on_pve/pve_vm_part9.png)
## 3. OS Installation
1. Im naechsten Schritt starten wir die VM; da dem System noch die Treiber fehlen, muss beim ersten Boot Prozess manuell die ISO im boot Menu ausgesucht werden. Schalten Sie die Maschine aus und erneut an. Siehe Bild, welches das gewohnte anzeigt. Klicken sie auf Installieren:
![proxmox_os_1](/files/sbx/win_srv_on_pve/pve_os_part1.png)
2. Waehlen Sie Ihre gewuenschtes Windows Server Betriebsystem aus. Wir waehlen hier: 'Windows Server 2022 Standard Evaluation (Desktop Experience)'. Und akzeptieren Sie die Terms of Services im naechsten Schritt.
![proxmox_os_2](/files/sbx/win_srv_on_pve/pve_os_part2.png)
3. Im naechsten Schritt nehmen wir die Partitionierung vor; hier muessen wir zunaechst entsprechende VirtIO Treiber installieren. Waehlen Sie hier die 'Custom' Methode aus:
![proxmox_os_3](/files/sbx/win_srv_on_pve/pve_os_part3a.png)
Klicken Sie im naechsten Schritt auf 'Load driver':
![proxmox_os_4](/files/sbx/win_srv_on_pve/pve_os_part3b.png)
Waehlen Sie im naechsten Schritt die Treiber aus, welche Ihrer OS entspricht. In userem Fall sind es die fuer Version 2022:
![proxmox_os_5](/files/sbx/win_srv_on_pve/pve_os_part3c.png)
Im Anschluss sollte Ihnen die Storage Drive angezeigt werden:
![proxmox_os_6](/files/sbx/win_srv_on_pve/pve_os_part3d.png)
Waehlen Sie die Drive aus und starten Sie die Installation.
4. Nach Abschluss der Installation sollte der Server neustarten und in Ihren neuen Windows Server booten. Sie werden aufgefordert ein neues Passwort fuer den lokalen Admin User zu erstellen.
![proxmox_os_7](/files/sbx/win_srv_on_pve/pve_os_part4.png)
5. Nun Sie koennen Sie sich anmelden:
![proxmox_os_8](/files/sbx/win_srv_on_pve/pve_os_part5.png)
6. Treiber Installation. Melden Sie sich an Ihrem neuen Server an oeffnen Sie den Datei Explorer und oeffnen Sie den Ordner zu den noch anhaengenden VirtIO Driver ISO:
![proxmox_os_9](/files/sbx/win_srv_on_pve/pve_os_part6.png)
Installieren Sie mit einem Doppelklick die 'virtio-win-gt-x64' Treiber.
Im Anschluss sollte der Server eine Netzwerkverbindung haben. Starten Sie den Server danach neu.
7. Wir installieren noch den `qemu-guest-agent`, indem Sie 'guest-agent' im explorer aus der VirtIO ISO, anklicken, und die 'qemu-ga-x86-64.exe' installieren:
![proxmox_os_10](/files/sbx/win_srv_on_pve/pve_os_part7.png)
Im Anschluss sollten die IP Adressen des Servers in der PVE Web-UI angezeigt werden:
![proxmox_os_11](/files/sbx/win_srv_on_pve/pve_os_part8.png)

BIN
projects/sbx/student/.DS_Store vendored Normal file
View File

Binary file not shown.

BIN
projects/sbx/student/exercises/.DS_Store vendored Normal file
View File

Binary file not shown.

137
projects/sbx/student/exercises/sheet00/exercise-00.md Normal file
View File

@@ -0,0 +1,137 @@
---
author: Petar Cubela
date: Thu Sep 18 2025
email: mail@petarcubela.de
title: Aufgabenblatt 00 - ssh Security und fail2ban (v1.1)
geometry: margin=2cm
output: pdf_document
---
# Aufgabenblatt 00
In diesem Blatt lernst du wichtige Grundlagen, um die Sicherheit eines Linux Servers zu gewaehrleisten.
`ssh` (_secure shell_) ist eines der wichtigsten Tools die ein Linux Administrator beherrschen sollte.
Dieses erlaubt es uns, eine Shell zu einem remote Linux (im allgemeinen Unix) System zu oeffnen,
um dann administrative Taetigkeiten am Server durch zu fuehren.
Die Authentifizierung passiert hier in der Regel mit Username und Passwort.
Es gibt aber Situationen in denen es nicht ratsam ist, Usernamen und Passwort fuer die Authentifizierung zu nutzen.
Zum Besipiel, wenn der `ssh` Port, 22, oeffentlich zuegaenglich ist, und damit jeder den _OpenSSH_ Server des Linux Servers erreichen koennte.
Ein Passwort koennte durch eine brute-force Attacke erraten werden oder durch andere Wege komprimittiert werden.
Aus dem Grunde gibt es `ssh` Key Paare, welche es uns ermoeglichen uns ohne Passwort am Server zu authentifizieren.
Einer der keys ist hier ein **privater** Schluessel, den niemand haben sollte und der immer sicher aufbewahrt werden sollte.
Der zweite key ist **public** und darf somit von anderen gesehen/gelesen werden. Der public Key wird am Linux Server
in der Datei `/home/$USER/.ssh/authorized_keys` abgelegt, waehrend der private Key am eigenen Rechner hinterlegt wird,
ebenfalls im Ordner `/home/$USER/.ssh/`. Beim Versuch sich mittels `ssh` am Ziel Server anzumelden, gleicht der Server seinen public
Key mit dem private Key des `ssh`-Clients ab und wenn die beiden zu einander passen, wird Zugang gewaehrt.
Wir lernen, wie wir ssh key Paare erzeugen und am Ziel Server zu hinterlegen, welche es uns erlauben, uns ohne Passwort an einem OpenSSH server zu authentifizieren.
Dies wird in Zukunft auch sehr nuetzlich sein, um Automatisierungstools gegen einen oder _mehrere_ Server laufen zu lassen.
Zusaetzlich lernen wir `fail2ban`, welches ein einfaches _intrusion detection system(IPS)_ ist, welches in der Lage ist Ports zu Diensten auf dem Server zu ueberwachen
und bei missbraeulichem Verhalten IP Addressen zu blocken. Zum Beispiel kann eine IP Adresse fuer eine Stunde geblockt werden, wenn der entsprechende `ssh`-Client drei mal das Passwort falsch eingibt.
Um Datein zu bearbeiten benutze einen beliebigen Text Editor, wie zum Beispiel `nano` oder `vim`. Diese sind in der Regel auf den meisten Linux Betriebssystemen vorinstalliert.
## Aufgabe 1 - ssh security and config
**a.** Erstelle ein `ssh` Key Paar auf deinem lokalen Rechner, lege den public key auf deinem remote Linux Server ab
und melde dich ohne Passwort mit `ssh` am Server an. `ssh USER@EXAMPLE.COM`.
Tools, welche gentuzt werden sollen:
- `ssh`
- `ssh-keygen` (wenn dieser Befehl benutzt wird, setze keien Passwort fuer das Key Paar, sonst musst ihr Dieses jedes mal eingeben, wenn die Keys genutzt werden)
- `ssh-copy-id`
**b.** Passe die Konfiguration des _ssh daemons_ `sshd`, unter dem Pfad `/etc/ssh/sshd_config`, so an, dass
- eine `root` Anmeldung nicht moeglich ist. (Der `root` User hat uneingeschraenkte Berechtigungen auf dem Server. Dieser sollte ueber `ssh` nie erreichbar sein.)
- die Passwort Authentifizierung nicht moeglich ist,
- und deiner Meinung nach die Sicherheit des `ssh`-Zugangs weiter erhoeht wird.
Nachdem der `ssh`-Dienst angepasst wurde, muss Dieser neugestartet werden, damit die Aenderugen geladen werden:
```bash
$ sudo systemctl restart ssh.service
$ sudo systemctl status ssh.service
```
## Aufgabe 2 - fail2ban to protect ssh
Installiere `fail2ban` und konfiguriere es so, dass
- `ssh` ein aktives `jail` ist
- bei 3 maliger Passwortfalscheingabe, die IP Adresse des Clients fuer 2 Stunden gebannt wird
Die Konfigurationsdateien von `fail2ban` sind im Pfad `/etc/fail2ban/` hinterlegt.
**Anleitung:**
Gehe wie folgt vor:
1. Installation:
```bash
sudo apt install fail2ban
```
2. Pruefe den Status des `fail2ban`-Dienstes mittels `systemd`:
```bash
$ systemctl status fail2ban.service
```
3. Lese den Inhalt einer default Konfigurations:
```bash
$ cd /etc/fail2ban/
$ head -20 jail.conf
```
4. Erstelle wie empfohlen eine _local_ jail Konfigurationsdatei:
```bash
$ cp jail.conf jail.local
```
5. Passe die `jail.local` Datei an, so dass die Vorgabe umegestzt ist.
```bash
$ sudo nano/vim jail.local
```
Recherchiere gegebenfalls im Internet, um dies umzusetzen. (Tipp: `ssh` speichert seine logs nicht mehr standardmaessig im Pfad `/var/log/`,
sondern nutzt `systemd-journald`)
6. Teste deine Konfig von einem auf dem `pve.lab.softbox.net` verfuegbaren Linux Host.
## Aufgabe 3 - nginx web server
Wir installieren hier einen der am meisten genutztne Web server auf der Welt [`nginx`](https://nginx.org/) und machen damit den ersten Schritt zu einer web page.
Installiere `nginx`:
```bash
$ sudo apt install nginx
```
Pruefe den `nginx`-Dienst via `systemctl`:
```bash
$ sudo systemctl status nginx
```
Besuche die Seite [http://student1.lab.softbox.net](http://student1.lab.softbox.net "http://student1.lab.softbox.net/"), welche dir die `nginx` welcome page zeigen sollte.
Die Konfigurationsdateien von `nginx` unter dem Pfad `/etc/nginx/` zu finden. Die `html` (+ `css` + etc.) sind in der Regel unter dem Pfad `/var/www/` zu finden,
wobei Dieser in `nginx`-Konfigurationsdateien beliebig waehlbar ist.
Pruefe auf welcher IP Adresse und welchem Port `nginx` _lauscht_ (im englischen: _listen_
```bash
$ sudo ss -tulpn | grep nginx
```
**Zusatz:** Nutze `man ss`, um dich mit dem Befehl `ss` und den gewaehlten Optionen auseinanderzusetzen. Dies ist ein sehr praktischer Befehl, der sehr haeufig genutzt wird.

BIN
projects/sbx/student/exercises/sheet00/exercise-00.pdf Normal file
View File

Binary file not shown.

74
projects/sbx/student/exercises/sheet01/sheet01.md Normal file
View File

@@ -0,0 +1,74 @@
---
author: Petar Cubela
date: Sep 21, 2025
email: mail@petarcubela.de
title: Aufgabenblatt 01 - base commands & user/group management (v0.1)
geometry: margin=2cm
output: pdf_document
---
# Aufgabenblatt 00 - base commands & user/group management
In diesem Blatt lernst du grudnlegende Basis Befehle fuer die Verwaltung und 'Bedienung' eines Linux Servers ohne Bildschirmumgebung.
Zusaetzlich lernst du wie User, Gruppen, Besitzrechte und Berechtigungen ersetllt und vergeben werden.
Zuletzt wir das gelernte, um selbststaendig einen git Server aufzusetzen; das hoert sich moeglicherweise komplizierter an als es ist,
aber kann mit dem zuvor gelernten schon umgesetzt werden.
Um Datein zu bearbeiten benutze einen beliebigen Text Editor, wie zum Beispiel `nano` oder `vim`. Diese sind in der Regel auf den meisten Linux Betriebssystemen vorinstalliert.
- Schreibe kurze Beschreibung zu den Grundlagen des User managements (user, groups, owner and permissions)
- erzaehle ueber die wichtigkeit dieser wenigen Befehle, welche uns ermoeglichen komplexe Dinge durchzufuehren
## Aufgabe 1 - Basisbefehl
- Lerne diese, sodass im sie im Schlaf bekannt sind.
1. cd
1. ls
1. mv
1. cp
1. rm
1. mkdir
1. rmdir
1. echo
1. cat
1. grep
1. touch
1. find
1. fdisk
1. ls***
1. cut
1. sort
1. uniq
## Aufgabe 2 - Create, modify and delete users/groups
### Notizen
- show the usage of the commands and its options:
- `useradd`
- `usermod`
- `userdel`
- `groupadd`
- `groupmod`
- `groupdel`
- teach linux ownership and permissions via `chown`,`grpown`, `chmod`
## Aufgabe 3 - git server - user/group management
Installiere git und konfiguriere einen git server. Erstelle einen dedizierten
User und eine entsprechende Gruppe `git`, mit dem Pfad zum _home_ folder, `/var/git/`.
Fuege den eigenen User zur Gruppe `git` hinzu, sodass dieser in der Lage ist,
Repositories dort abzulegen und zu verwalten. Entsprechend muessen die User/Group
Ownership und Permissions von `git`'s home folder angepasst werden.
### Notizen
- potentiel sollte auch die `umask` des Ordners angepasst werden

38
projects/sbx/student/exercises/sheet02/sheet02.md Normal file
View File

@@ -0,0 +1,38 @@
---
author: Petar Cubela
date: Sep 21, 2025
email: mail@petarcubela.de
title: Aufgabenblatt 02 - nextcloud installation and git usage (v0.1)
geometry: margin=2cm
output: pdf_document
---
# Aufgabenblatt 02 - nextcloud installation and git repo
In diesem Blatt lernst du
Um Datein zu bearbeiten benutze einen beliebigen Text Editor, wie zum Beispiel `nano` oder `vim`. Diese sind in der Regel auf den meisten Linux Betriebssystemen vorinstalliert.
## Aufgabe 1 - Nextcloud Installation
**a.** Install dependencies
**b.** Prepare database - mariadb
**c.** Setup web server - nginx/apache
**d.** Install nextcloud source files
## Aufgabe 2 - git basics
1. `git init`
1. `git add`
1. `git commit`
1. `git remote`
1. `git push`
1. `git pull`
Write simple python 'Hello, world!' script which gets pushed to local git server from last sheet.

60
projects/sbx/student/exercises/template/template-00.md Normal file
View File

@@ -0,0 +1,60 @@
---
author: Petar Cubela
date: Month 00, 2025
email: mail@petarcubela.de
title: Aufgabenblatt 00 - Titel (v1.0)
geometry: margin=2cm
output: pdf_document
---
# Aufgabenblatt 00
In diesem Blatt lernst du wichtige Grundlagen, um die Sicherheit eines Linux Servers zu gewaehrleisten.
`ssh` (_secure shell_) ist eines der wichtigsten Tools die ein Linux Administrator beherrschen sollte.
Dieses erlaubt es uns, eine Shell zu einem remote Linux (im allgemeinen Unix) System zu oeffnen,
um dann administrative Taetigkeiten am Server durch zu fuehren.
Die Authentifizierung passiert hier in der Regel mit Username und Passwort.
Es gibt aber Situationen in denen es nicht ratsam ist, Usernamen und Passwort fuer die Authentifizierung zu nutzen.
Zum Besipiel, wenn der `ssh` Port, 22, oeffentlich zuegaenglich ist, und damit jeder den _OpenSSH_ Server des Linux Servers erreichen koennte.
Ein Passwort koennte durch eine brute-force Attacke erraten werden oder durch andere Wege komprimittiert werden.
Aus dem Grunde gibt es `ssh` Key Paare, welche es uns ermoeglichen uns ohne Passwort am Server zu authentifizieren.
Einer der keys ist hier ein **privater** Schluessel, den niemand haben sollte und der immer sicher aufbewahrt werden sollte.
Der zweite key ist **public** und darf somit von anderen gesehen/gelesen werden. Der public Key wird am Linux Server
in der Datei `/home/$USER/.ssh/authorized_keys` abgelegt, waehrend der private Key am eigenen Rechner hinterlegt wird,
ebenfalls im Ordner `/home/$USER/.ssh/`. Beim Versuch sich mittels `ssh` am Ziel Server anzumelden, gleicht der Server seinen public
Key mit dem private Key des `ssh`-Clients ab und wenn die beiden zu einander passen, wird Zugang gewaehrt.
Wir lernen, wie wir ssh key Paare erzeugen und am Ziel Server zu hinterlegen, welche es uns erlauben, uns ohne Passwort an einem OpenSSH server zu authentifizieren.
Dies wird in Zukunft auch sehr nuetzlich sein, um Automatisierungstools gegen einen oder _mehrere_ Server laufen zu lassen.
Zusaetzlich lernen wir `fail2ban`, welches ein einfaches _intrusion detection system(IPS)_ ist, welches in der Lage ist Ports zu Diensten auf dem Server zu ueberwachen
und bei missbraeulichem Verhalten IP Addressen zu blocken. Zum Beispiel kann eine IP Adresse fuer eine Stunde geblockt werden, wenn der entsprechende `ssh`-Client drei mal das Passwort falsch eingibt.
Um Datein zu bearbeiten benutze einen beliebigen Text Editor, wie zum Beispiel `nano` oder `vim`. Diese sind in der Regel auf den meisten Linux Betriebssystemen vorinstalliert.
## Aufgabe 1 - ssh security and config
**a.** Erstelle ein `ssh` Key Paar auf deinem lokalen Rechner, lege den public key auf deinem remote Linux Server ab
und melde dich ohne Passwort mit `ssh` am Server an. `ssh USER@EXAMPLE.COM`.
Tools, welche gentuzt werden sollen:
- `ssh`
- `ssh-keygen` (wenn dieser Befehl benutzt wird, setze keien Passwort fuer das Key Paar, sonst musst ihr Dieses jedes mal eingeben, wenn die Keys genutzt werden)
- `ssh-copy-id`
**b.** Passe die Konfiguration des _ssh daemons_ `sshd`, unter dem Pfad `/etc/ssh/sshd_config`, so an, dass
- eine `root` Anmeldung nicht moeglich ist. (Der `root` User hat uneingeschraenkte Berechtigungen auf dem Server. Dieser sollte ueber `ssh` nie erreichbar sein.)
- die Passwort Authentifizierung nicht moeglich ist,
- und deiner Meinung nach die Sicherheit des `ssh`-Zugangs weiter erhoeht wird.
Nachdem der `ssh`-Dienst angepasst wurde, muss Dieser neugestartet werden, damit die Aenderugen geladen werden:
```bash
$ sudo systemctl restart ssh.service
$ sudo systemctl status ssh.service
```
*Zusatz:** Nutze `man ss`, um dich mit dem Befehl `ss` und den gewaehlten Optionen auseinanderzusetzen. Dies ist ein sehr praktischer Befehl, der sehr haeufig genutzt wird.

43
projects/sbx/student/student_linux_tasks.md Normal file
View File

@@ -0,0 +1,43 @@
## Tasks
Separate by different levels of difficulty. In the beginning only easier concepts should be presented.
Write guide which can be followed in order to learn and see concepts such as an manual to install a nextcloud instance.
In the process the student would learn how a mariadb database is setup. Just following some simple commands.
### Level 0
- [ ] base commands - 20 most useful commands: cd, ls, mkdir, mv, rm , cp, touch, find, grep, cat, ssh
- [x] ssh key-exchange authentication
- [x] ssh hardening - not root login, no password hardening
- [x] nginx
- [ ] user and group management
### Level 1
- [x] fail2ban-server
### Level 2
- [ ] git local and remote repo as github and internal gitea
### Level 3
- [ ] git server
- [ ] setup mysql/mariadb database
- [ ] nextcloud setup
### Level 4
- [ ] nmap
- [ ] ipcalc
- [ ] ufw
### Level 5
- [ ] simple mail server Ports: 25 (smtp), 587 (smpts), 143 (imap)
- [ ] tcpdump -> catch clear text passwd with tcpdump
- [ ] pki for mutual tls trust
- [ ] build each their own firewall/router with openbsd
- [ ] build together an firewall which will be the sbx_lab firewall

6
projects/ssr/meetings/20250919-meeting.md Normal file
View File

@@ -0,0 +1,6 @@
## Themen
- Password Manager -> BitWarden
- apple business manager -> 4 neue MacBooks sollen in Apple Business Manager einbinden -> Angebot + Einrichtung der Rechner
- MacBooks ->

7
projects/tu/general/TODO-TUM.md
View File

@@ -1,6 +1,5 @@
## TODO
### Allgemein
- [ ] herausfinden welche portbeleguneg an den switches am besten ist
@@ -10,10 +9,12 @@
- [x] TU: Tobias will extra Mail Postfach fuer GLT. Pruefe Mail Server. LRZ managed.
- [ ] TU: Finde Cental Management Software fuer die Aruba und MicroSense Switches -> lieber ueber Herrn Zach. ->> 20250723 Ich will den Central Zugang haben
- [ ] Landing Page: Unterschied: remote.glt.tum.de. und gw.glt.tum.de
- [=] MACmon Lizenz pruefen, verlaengern und kaufen -> oli hat angebot in auftrag gegeben
- [ ] RCM - separate MACmon Installation
- [ ] gw2 pruefen und abschalten
- [ ] gw2 pruefen und abschalten
- [ ] win10 VMs - pruefe requirements der laufenden Software - erstelle Uebersichtliste
- [x] MXI64 - Zugang aus anderen Netzen klappt nicht gescheit -> 18.09 Andy Hintermayer von. JCI fragen
-> ansicht funktioniert mit dem alten explorer browser oder edge im 'explorer-modus'
### ESXi