* externes Netz: eth0 144.76.9.122, per DHCP über Host-Bridge auf [[endor]]
* internes Netz: eth1 192.168.122.2/24, statisch über <tt>/etc/network/interfaces</tt>
* nginx:
-** Sites debian-typisch in <tt>/etc/nginx/sites-enabled/</tt>:
-*** pad.stratum0.org --> [[gapadriel]]
-*** gitli.stratum0.org --> [[gitli]]
-*** *.satan0.de, shirts.stratum0.org --> [[smaut]]
+** Sites debian-typisch in <tt>/etc/nginx/sites-enabled/</tt>
** SSL-Config in <tt>/etc/nginx/ssl_params</tt> wird von allen Sites inkludiert -> zentrale Konfiguration von Ciphers etc.
-** SSL-Certs für jede Site in <tt>/etc/nginx/ssl/$sitename.{crt,key}</tt>
+** LetsEncrypt/certbot Certs in <tt>/etc/letsencrypt</tt>, nginx-Config in <tt>/etc/nginx/letsencrypt.conf</tt>
** Genereller Redirect von http auf https und HTTPS Strict Transport Security
+* Port Forwardings:
+** 2222/tcp → [[theodem]]:22 (SSH für Vorstands-gitolite)
+** 20022/tcp → [[shelog]]:22 (SSH für Shell-Server)
+** 64738/tcp,udp → [[telmir]] (Mumble)
+** 61553/tcp,udp → [[fredo]] (tinc))
+** 11370/tcp → [[huryn]] (SKS Keyserver sync)
+** 8448/tcp → [[metiadoc]] (Matrix federation)
+** 113/tcp → [[metiadoc]] (identd für IRC-Bridge)
+* LetsEncrypt:
+** Relevante Doku in <tt>/usr/share/doc/letsencrypt.sh/</tt>
+** neue Domains in <tt>/etc/letsencrypt.sh/domains.txt</tt> eintragen
+** Hook in <tt>/etc/letsencrypt.sh/hooks.sh</tt>: aktualisiert DNS-TLSA-Records, wartet TTL ab und deployt Certs nach <tt>/var/lib/letsencrypt.sh/live-certs/</tt>
+** in cron.daily: <tt>letsencrypt.sh -c -k /etc/letsencrypt.sh/hooks.sh; systemctl restart nginx</tt>
+** für Tests bitte ''unbedingt'' die staging-API ohne Rate Limiting benutzen, siehe <tt>CA=...</tt> in <tt>/etc/letsencrypt.sh/config.sh</tt>
+
+== SSH-Proxy per Gandolf ==
+
+ Host gandolf
+ HostName gandolf.stratum0.org
+
+ Host telmir smaut huryn errond-1 jamwise gitli
+ ProxyCommand ssh -q -x gandolf -W %h:22
== Log ==
+* jessie-backports hinzugefügt und letsencrypt.sh installiert --[[Benutzer:Daniel Bohrer|Daniel Bohrer]] 22:49, 19. Okt. 2016 (CEST)
* unattended-upgrades eingerichtet, erstmal nur aus debian-security. siehe <tt>/etc/apt/apt.conf.d/02.periodic</tt> und <tt>/etc/cron.daily/apt</tt> für Doku --[[Benutzer:Daniel Bohrer|Daniel Bohrer]] 01:28, 23. Mai 2015 (CEST)
* <tt>/etc/nginx/ssl_params</tt>: remove Google DNS resolver for privacy reasons, remove resolve time directive --[[Benutzer:Daniel Bohrer|Daniel Bohrer]] 03:12, 22. Mai 2015 (CEST)
* Diese Seite in <tt>/etc/motd</tt> erwähnt. --[[Benutzer:Daniel Bohrer|Daniel Bohrer]] 03:12, 22. Mai 2015 (CEST)