sauber machen
This commit is contained in:
@@ -1,71 +0,0 @@
|
||||
# SOP: Konfiguration Postfix SMTP Relay (APS-SMTP01)
|
||||
|
||||
## 1. Zweck & Übersicht
|
||||
Diese Dokumentation beschreibt die Konfiguration des zentralen Postfix Mail-Relays (**APS-SMTP01**). Das System dient als Brücke, um internen Geräten (Druckern, Scannern) und automatisierten IT-Skripten den E-Mail-Versand über unseren offiziellen Provider zu ermöglichen.
|
||||
|
||||
**System-Details:**
|
||||
* **Server:** Linux (Ubuntu/Fedora basierend)
|
||||
* **Hostname:** `aps-smtp01.aps.local`
|
||||
* **IP-Adresse:** [Bitte interne IP ergänzen]
|
||||
* **Dienst:** Postfix (MTA - Mail Transfer Agent)
|
||||
|
||||
## 2. Zentrale Konfigurationsdateien
|
||||
Die gesamte Konfiguration befindet sich im Verzeichnis `/etc/postfix/`. Die wichtigsten Dateien sind:
|
||||
|
||||
* **`/etc/postfix/main.cf`**: Die Hauptkonfigurationsdatei mit den globalen Parametern.
|
||||
* **`/etc/postfix/sasl_passwd`**: Enthält die Zugangsdaten für den externen Relay-Host (verschlüsselt via postmap).
|
||||
* **`/etc/aliases`**: Definiert E-Mail-Weiterleitungen für lokale Benutzer.
|
||||
|
||||
## 3. Konfigurations-Ausschnitt (main.cf)
|
||||
Die folgenden Parameter sind für den Betrieb als Relay entscheidend:
|
||||
|
||||
```bash
|
||||
# Beispiel-Konfiguration für Relay mit Authentifizierung
|
||||
relayhost = [smtp.dein-provider.de]:587
|
||||
mynetworks = 127.0.0.0/8, 192.168.1.0/24 [Hier interne Subnetze erlauben]
|
||||
smtp_sasl_auth_enable = yes
|
||||
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
|
||||
smtp_tls_security_level = may
|
||||
header_size_limit = 4096000
|
||||
```
|
||||
|
||||
## 4. Administrative Befehle & Wartung
|
||||
Nach Änderungen an der Konfiguration müssen folgende Schritte durchgeführt werden:
|
||||
|
||||
### Konfiguration prüfen und laden:
|
||||
```bash
|
||||
# Syntax-Check der main.cf
|
||||
postfix check
|
||||
|
||||
# Konfiguration neu laden (ohne Neustart des Dienstes)
|
||||
systemctl reload postfix
|
||||
```
|
||||
|
||||
### Passwort-Datenbank aktualisieren:
|
||||
Wenn die `sasl_passwd` geändert wurde, muss die Datenbank neu generiert werden:
|
||||
```bash
|
||||
postmap /etc/postfix/sasl_passwd
|
||||
systemctl restart postfix
|
||||
```
|
||||
|
||||
### Überprüfung der Logs (Fehlersuche):
|
||||
```bash
|
||||
# Echtzeit-Überwachung der Mail-Logs
|
||||
tail -f /var/log/mail.log
|
||||
# Alternativ via journalctl
|
||||
journalctl -u postfix -f
|
||||
```
|
||||
|
||||
## 5. Testen des E-Mail-Versands
|
||||
Um die Funktionalität des Relays direkt auf dem Server zu testen:
|
||||
|
||||
```bash
|
||||
echo "Testmail von APS-SMTP01" | mail -s "Testbetreff" de@deine-domain.de
|
||||
```
|
||||
|
||||
## 6. Bekannte Probleme (Troubleshooting)
|
||||
* **Relay access denied:** Prüfen Sie den Parameter `mynetworks`. Die IP des sendenden Geräts muss dort erlaubt sein.
|
||||
* **Connection timed out (Port 25/587):** Prüfen Sie die Firewall-Regeln auf dem Server und im Netzwerk (Ausgehende Verbindung zum Provider).
|
||||
|
||||
---
|
||||
*Erstellt für die IT-Dokumentation - Projekt: IT Internal Repository*
|
||||
@@ -1,80 +0,0 @@
|
||||
# Konfiguration eines SFTP-Servers auf Fedora Linux
|
||||
|
||||
Diese Anleitung beschreibt die Einrichtung eines sicheren SFTP-Servers unter Verwendung von OpenSSH. Der Fokus liegt auf Sicherheit durch die Einschränkung des Benutzerzugriffs (Chroot) und die Deaktivierung des Shell-Zugriffs.
|
||||
|
||||
## 1. Benutzer anlegen
|
||||
Zuerst erstellen wir einen dedizierten Benutzer für den SFTP-Zugriff. Um die Sicherheit zu erhöhen, deaktivieren wir den normalen SSH-Terminal-Zugriff (`/sbin/nologin`).
|
||||
|
||||
```bash
|
||||
# Benutzer erstellen (ohne Shell-Zugriff)
|
||||
sudo useradd -m -s /sbin/nologin sftpuser
|
||||
|
||||
# Passwort für den Benutzer festlegen
|
||||
sudo passwd sftpuser
|
||||
```
|
||||
|
||||
## 2. Firewall-Konfiguration
|
||||
SFTP läuft über das SSH-Protokoll (Port 22). Dieser muss in der Firewall freigegeben werden.
|
||||
|
||||
```bash
|
||||
# SSH-Dienst in der Firewall erlauben
|
||||
sudo firewall-cmd --permanent --add-service=ssh
|
||||
|
||||
# Konfiguration neu laden
|
||||
sudo firewall-cmd --reload
|
||||
```
|
||||
|
||||
## 3. SSH-Konfiguration (Einschränkungen)
|
||||
Um den Benutzer in seinem Home-Verzeichnis zu isolieren (Chroot) und nur SFTP zu erlauben, muss die Datei `/etc/ssh/sshd_config` angepasst werden.
|
||||
|
||||
1. Öffnen Sie die Konfigurationsdatei: `sudo nano /etc/ssh/sshd_config`
|
||||
2. Fügen Sie am Ende der Datei folgende Zeilen hinzu:
|
||||
|
||||
```text
|
||||
Match User sftpuser
|
||||
ForceCommand internal-sftp
|
||||
PasswordAuthentication yes
|
||||
ChrootDirectory %h
|
||||
AllowTcpForwarding no
|
||||
X11Forwarding no
|
||||
```
|
||||
|
||||
* **Match User:** Wendet die Regeln nur auf diesen Benutzer an.
|
||||
* **ForceCommand internal-sftp:** Erlaubt nur SFTP-Befehle, keinen interaktiven Shell-Zugriff.
|
||||
* **ChrootDirectory %h:** Sperrt den Benutzer in sein Home-Verzeichnis ein.
|
||||
|
||||
## 4. Verzeichnisberechtigungen (Wichtig für Chroot)
|
||||
Damit der `Chroot`-Mechanismus funktioniert, muss das Home-Verzeichnis dem Benutzer `root` gehören und darf für andere nicht schreibbar sein.
|
||||
|
||||
```bash
|
||||
# Besitzer auf root setzen
|
||||
sudo chown root:root /home/sftpuser
|
||||
sudo chmod 755 /home/sftpuser
|
||||
|
||||
# Einen Unterordner für Uploads erstellen, in dem der Benutzer schreiben darf
|
||||
sudo mkdir /home/sftpuser/uploads
|
||||
sudo chown sftpuser:sftpuser /home/sftpuser/uploads
|
||||
```
|
||||
|
||||
## 5. SELinux-Anpassungen (Fedora-spezifisch)
|
||||
Auf Fedora verhindert SELinux standardmäßig, dass der SSH-Dienst in Chroot-Umgebungen Schreibzugriff auf Home-Verzeichnisse hat. Dies muss explizit erlaubt werden.
|
||||
|
||||
```bash
|
||||
# Schreibzugriff für SFTP-Chroot in SELinux aktivieren
|
||||
sudo setsebool -P ssh_chroot_rw_homedirs on
|
||||
```
|
||||
|
||||
## 6. Dienst neu starten und testen
|
||||
Nachdem alle Änderungen vorgenommen wurden, muss der SSH-Dienst neu gestartet werden.
|
||||
|
||||
```bash
|
||||
# SSH-Dienst neu starten
|
||||
sudo systemctl restart sshd
|
||||
```
|
||||
|
||||
### Testen des Zugriffs:
|
||||
Von einem entfernten Rechner oder lokal:
|
||||
```bash
|
||||
sftp sftpuser@<IP-ADRESSE-DES-SERVERS>
|
||||
```
|
||||
*Hinweis: Ein Login via normalem SSH (`ssh sftpuser@...`) sollte nun automatisch abgelehnt werden.*
|
||||
@@ -1,45 +0,0 @@
|
||||
1. Felhasználó létrehozása
|
||||
Hozzunk létre egy felhasználót (pl. sftpuser), de tiltsuk le neki a shell hozzáférést, hogy ne tudjon belépni a terminálba, csak fájlokat másolni:
|
||||
1 sudo useradd -m -s /sbin/nologin sftpuser
|
||||
2 sudo passwd sftpuser
|
||||
|
||||
2. Tűzfal (Firewall) beállítása
|
||||
Fedora alatt a firewalld fut. Engedélyezni kell az SSH-t (ami az SFTP-t is viszi):
|
||||
1 sudo firewall-cmd --permanent --add-service=ssh
|
||||
2 sudo firewall-cmd --reload
|
||||
|
||||
3. Az SFTP korlátozása (Opcionális, de ajánlott)
|
||||
Ha azt szeretnéd, hogy a felhasználó csak az SFTP-t használhassa, és ne lásson bele a teljes szerver fájlrendszerébe, módosítsd az SSH konfigurációt:
|
||||
|
||||
1. Nyisd meg: sudo nano /etc/ssh/sshd_config
|
||||
2. Menj a fájl végére és add hozzá:
|
||||
|
||||
1 Match User sftpuser
|
||||
2 ForceCommand internal-sftp
|
||||
3 PasswordAuthentication yes
|
||||
4 ChrootDirectory %h
|
||||
5 AllowTcpForwarding no
|
||||
6 X11Forwarding no
|
||||
Megjegyzés: A ChrootDirectory %h bezárja a felhasználót a saját home mappájába.
|
||||
|
||||
3. Fontos: Ha ChrootDirectory-t használsz, a home mappa tulajdonosának a root-nak kell lennie:
|
||||
|
||||
1 sudo chown root:root /home/sftpuser
|
||||
2 sudo chmod 755 /home/sftpuser
|
||||
3 # Hozz létre egy mappát, amibe írhat is:
|
||||
4 sudo mkdir /home/sftpuser/feltoltes
|
||||
5 sudo chown sftpuser:sftpuser /home/sftpuser/feltoltes
|
||||
|
||||
4. Indítsd újra az SSH-t:
|
||||
1 sudo systemctl restart sshd
|
||||
|
||||
4. SELinux (A Fedora "lelke")
|
||||
Mivel Fedora alatt dolgozunk, az SELinux alapértelmezés szerint blokkolhatja az SFTP írási jogokat, ha nem a szokványos módon használod. Engedélyezd az SFTP írást a home mappákba:
|
||||
|
||||
1 sudo setsebool -P ssh_chroot_rw_homedirs on
|
||||
(Ha nem használsz Chroot-ot, akkor is érdemes ezt futtatni, ha hiba van.)
|
||||
|
||||
Összegzés:
|
||||
* Ha csak gyorsan kell: useradd + passwd + firewall-cmd -> KÉSZ.
|
||||
* Ha biztonságosan kell: Használd a Match User részt az sshd_config-ban, hogy ne tudjon "mászkálni" a szerveren.
|
||||
|
||||
@@ -1,41 +0,0 @@
|
||||
+ Angel
|
||||
+ Aalbek
|
||||
+ Beek
|
||||
Donau
|
||||
+ Eider
|
||||
+ Elbe
|
||||
+ Emmer
|
||||
+ Ems
|
||||
Enz
|
||||
+ Fintau
|
||||
+ Flottbek
|
||||
+ Goldbach
|
||||
+ Hamme
|
||||
+ Hellbach
|
||||
+ Jasenitz
|
||||
+ Juemme
|
||||
+ Linde
|
||||
+ Orthbrookgraben
|
||||
+ Lottbek
|
||||
+ Bille
|
||||
+ Iller
|
||||
Ahr_Struensee-Haus
|
||||
+ Müritz
|
||||
+ Weser
|
||||
+ Radegast
|
||||
+ Seseke
|
||||
+ Siede
|
||||
+ Zorge
|
||||
Elbe 01 - Stuensee - Haus
|
||||
|
||||
|
||||
Auf Elbe:
|
||||
+ Elena Rattelmüller
|
||||
+ Gloria Blewussi
|
||||
+ Sarah Bidar
|
||||
+ Kevin Vischer
|
||||
+ Saskia Koiteck
|
||||
+ Tamara Look
|
||||
+ Marie Kopte
|
||||
+ Vanessa Mettenbrink
|
||||
+ Anne Häusler
|
||||
@@ -1,12 +0,0 @@
|
||||
Liebe Kolleginnen und Kollegen,
|
||||
|
||||
auf dem Drucker Elbe im Erste Etage stehen folgende E-Mail-Adressen für „Senden als E-Mail“ zur Verfügung:
|
||||
|
||||
Kosten aps – Continia
|
||||
kosten.aps.7739934@cdc.continiaonline.com
|
||||
|
||||
Einkauf aps – Continia
|
||||
einkauf.aps.7739934@cdc.continiaonline.com
|
||||
|
||||
Viele Grüße
|
||||
IT Team
|
||||
Reference in New Issue
Block a user