Ylläpitodokumentti / tix

TKO-wiki
Loikkaa: valikkoon, hakuun

Järjestelmä ja sijainti

TKO-äly ry:n tietojärjestelmä: jäsenkanta, tapahtumakalenteri, wikit, www-sivut. Sijaitsee TKT-laitoksen konehuoneessa Kumpulan kampuksella, Exactumissa.

Laite

Manufacturer: Dell Computer Corporation
Product Name: PowerEdge 1800
Serial Number: 7TRNM1J

Vastuuhenkilöt

TKO-äly ry
Markus Penttilä / +358 41 511 0669 / yllapito@tko-aly.fi
Mikko Rantanen / +358 40 548 3002 / yllapito@tko-aly.fi
Tuomas Junno / +358 50 598 2090 / yllapito@tko-aly.fi
Tomi Simsiö / +358 40 752 8881 / yllapito@tko-aly.fi
TKT-laitos
Petri Kutvonen / +358 50 415 1705 / petri.kutvonen@cs.helsinki.fi

Käyttöjärjestelmä

Ubuntu 10.04 LTS. Päivitetään uuteen jakeluun kun se tuntuu tarpeelliselta. Päivityksen syynä voi olla esimerkiksi uusi libc, Python, PHP tai jokin muu oheisohjelma, josta tarvitaan uusi versio.

Ohjelmisto

Pääasiallisesti apache, sendmail, named, mysql, php, mediawiki, svn. Käytössä on myös muita ohjelmia jotka eivät kommunikoi verkkoon.

Versiot ovat ne, mitkä käytössä olevan linux-jakelun pakettihallinnasta sattuvat kulloinkin tulemaan, poislukien mediawiki jota ylläpidetään käsin, ja josta käytetään riittävän uutta versiota (tietoturvapäivitysversiot asennetaan, pikkubugeja voidaan sietää).

Ulkomaailmaan näkyvät palvelut

Koko internetiin näkyvät varsinaiset palvelut ovat HTTP/S, SVN, SSH ja SMTP.

Näistä HTTP/S palvelee TKO-äly ry:n www-sivuja, jäsentietojärjestelmää, tapahtumakalenteria, fuksi- ja hallintowikiä sekä ruokavälityksen www-edustaohjelmistoa.

SVN tarjoaa TKO-äly ry:n käyttämien ja kehittämien ohjelmistojen kehityspuita.

SSH tarjoaa turvallisen etäkäytön palvelimen ylläpitäjille.

SMTP-liikenteen hoitaa sendmail, joka ei välitä postia edelleen (relaying). Palvelimen ylläpito ymmärtää myös roskapostin päälle, on valmis sietämään sen ja pyrkii olemaan välittämättä sitä eteenpäin esimerkiksi jättämällä vastaamatta lähettäjän osoitteeseen, että viestiä ei voitu toimittaa.

Tarjoamme myös normaalin traceroute-toiminnallisuuden (tyypillisesti UDP-liikennettä portteihin 33430-33500 tai ICMP-liikennettä).

Ulkomaailmasta sallitut portit edellämainituille palveluille

193.167.161.2 tcp 22 - pm10 # tix.tko-aly.fi. / SSH
193.167.161.2 tcp 25 - pm10 # tix.tko-aly.fi. / SMTP
193.167.161.2 tcp 80 - pm10 # tix.tko-aly.fi. / HTTP
193.167.161.2 tcp 443 - pm10 # tix.tko-aly.fi. / HTTPS
193.167.161.2 tcp 3690 - pm10 # tix.tko-aly.fi. / SVN
193.167.161.2 udp 33430-33500 - pm10 # tix.tko-aly.fi. / traceroute

Muu verkkoliikenne

Palvelimen kello on tahdistettu lähistöllä olevien NTP-palvelimien kiilinkari.cs.helsinki.fi ja time1.mikes.fi kanssa.

Vianselvityksessä käytetään pingiä ja traceroutea.

Toivomme, että palvelimelle päästetään ainakin

  • TCP-vastauspaketit ('established'),
  • DNS-vastausliikenne (UDP lähdeportista 53),
  • ICMP-liikenteestä ainakin paketit tyyppiä 0, 3, 8 ja 11 (echo-reply,
destination unreachable, echo-request ja time-exceeded), mutta myös
muut saa päästää läpi, ja
  • NTP (UDP lähdeportista 123).

Pääsynhallinta ja -valvonta

Pääsy palvelimelle on sallittu suppealle osajoukolle TKO-äly-aktiiveja, joiden oletetaan osaavan ylläpitää tuotantojärjestelmiä niiden vaatimalla huolellisuudella. Ylläpito-oikeudet on rajattu samoin kriteerein.

denyhosts-paketti on asennettu ja DENY_THRESHOLD_VALID = 5 muutettu.

Paikallisella palomuurilla estetään epätoivotut yhteydenotot.

NetFlow-data kerätään kaikesta liikenteestä sisään/ulos.

Varmuuskopiointi

Implementoidaan (prosessi käynnissä).