mapWOC logo

Inhalt

Vorheriges Thema

mapWOC-Kommandozeilenwerkzeug

Nächstes Thema

CA für mapWOC aufsetzen

Diese Seite

Ausführlichere Konfiguration eines Einzelsystems

Dieses Kapitel beschreibt die Konfiguration der automatischen Installation im Detail. Diese Konfiguration gilt auch für das Vorgehen bei älteren mapwoc-Installationen (bzw. bei manueller mapWOC-Installation ohne das Paket mapwoc-quick).

Für einen schnellen Einstieg, lesen Sie das Kapitel “mapWOC installieren”. Dort wird die automatische Installation (inkl. Standardkonfiguration) beschreiben.

Auf die Konfiguration eines gesicherten Verkehrs der Komponenten untereinender wird separat im Kapitel “Setup CA” eingegangen.

Beachten Sie, dass in diesem Handbuch eine Konfiguration zur Evaluation von mapWOC vorgestellt wird. Im Produktivbetrieb sollte mapWOC immer in Zusammenarbeit mit Sicherheitsbeauftragten und Systemadministratoren installiert werden.

Bemerkung

Die drei Komponenten mapwoc-master, mapwoc-node und mapwoc-redirector lassen sich über Konfigurationsdateien oder über die Befehle parametrisieren. Eine ausführliche englischsprachige Beschreibung lässt sich mit

mapwoc-node --help

oder

man mapwoc-node
man mapwoc-node.config

aufrufen.

Als Voreinstellung wird die Datei /etc/mapwoc/mapwoc-node.config geladen. Es kann jedoch auch eine andere Konfigurationsdatei geladen werden:

mapwoc-node --config /path/to/testing-node.config

Das hier beispielhaft an mapwoc-node gezeigte Verhalten gilt auch für mapwoc-master und mapwoc-redirector (vgl. auch Kapitel “mapWOC-Konfigurationsdateien”.).

Die drei Komponenten schreiben Log-Informationen auf die Standardausgabe stdout und in eine komponentenabhängige Logdatei (mapwoc-node.log, mapwoc-master.log, mapwoc-redirector.log).

Konfiguration im Detail

Eine Schritt-für-Schritt-Anleitung:

  1. Neuen Nutzer anlegen:

    adduser --disabled-password mapwoc
    usermod -a -G kvm mapwoc
  2. Umgebung anlegen:

    mkdir -p /var/lib/mapwoc/master/credentials /var/lib/mapwoc/master/nodes/
    mkdir -p /var/lib/mapwoc/master/work/
    mkdir -p /var/lib/mapwoc/node/work /var/lib/mapwoc/node/results
    chown -R mapwoc:mapwoc /var/lib/mapwoc
    chmod 700 -R /var/lib/mapwoc/

    (Wenn die Standard-Einstellungen bezüglich der Datenspeicherung benutzt werden sollen.)

    Wichtig

    Von nun an werden alle Aktionen als Nutzer mapwoc ausgeführt (su - mapwoc). Die Default-Konfigurationsdateien unter /etc/mapwoc müssen bei Bedarf für diesen Nutzer schreibbar gemacht werden.

  3. Sich bekannt machen

    Der mapwoc-master wird in regelmäßigen Abständen mit dem rsync-Programm nach neuen Ergebnissen auf den Nodes sehen. Diese Art der Kommunikation ist mit ssh-Schlüsseln abgesichert. Ein solches Schlüsselpaar muss einmalig für den Master erstellt werden und der öffentliche Teil auf jeder Node als vertrauenswürdig hinterlegt werden. Weiterhin müssen dem master die hosts auf denen die Nodes laufen bekannt gemacht werden.:

    mkdir /home/mapwoc/.ssh
    chmod 700 /home/mapwoc/.ssh

    Das Schlüsselpaar wird (passwortlos) mit:

    ssh-keygen -f master_key

    erzeugt und (entsprechend der Konfigurationsdatei) in /var/lib/mapwoc/master/key/ hinterlegt (Achtung: restriktive 0700-Rechte für diesen Ordner mit chmod 700 <dir> setzen, ansonsten wird das Schlüsselpaar nicht benutzt!):

    mv /home/mapwoc/master_key* /var/lib/mapwoc/master/credentials/
    chmod 700 /var/lib/mapwoc/master/credentials/

    Nun wird ein Remote-Login mit diesem Schlüssel erlaubt:

    cat /var/lib/mapwoc/master/credentials/master_key.pub >> ~/.ssh/authorized_keys

    Und der Host wird bekanntgemacht:

    touch ~/.ssh/known_hosts
    echo -n "localhost ssh-rsa " >> ~/.ssh/known_hosts
    ssh-keygen -e  -f /etc/ssh/ssh_host_rsa_key | tail -n+3 | head -n-1 |
        awk '{printf "%s", $0}' >> ~/.ssh/known_hosts

    Alternativ zu letztem Schritt kann:

    ssh localhost

    aufgerufen und die dann aufkommende Frage mit ‘yes’ beantwortet werden (danach mit Ctrl-C abbrechen).

  4. Honey-Client-Dateien für die Node hinterlegen.

    Dazu müssen Sie vorher Honey-Clients angelegt haben. Informationen dazu finden Sie im nächsten Kapitel mapWOC benutzen.

  5. Datei-Rechte oder Pfade in der Datei /etc/mapwoc/mapwoc-node.config anpassen.

  6. Datei-Rechte oder Pfade in der Datei /etc/mapwoc/mapwoc-master.config anpassen.

  7. Datei-Rechte oder Pfade in der Datei /etc/mapwoc/mapwoc-redirector.config anpassen.

  8. Den mapwoc-redirector starten:

    mapwoc-redirector
    
  9. Eine mapwoc-node starten:

    mapwoc-node
    
  10. Dem mapwoc-master Zugang zu der mapwoc-node bekannt geben:

    Dazu im node_config_dir (über die Konfigurationsdatei /etc/mapwoc/mapwoc-master.config auf /var/lib/mapwoc/master/nodes/ voreingestellt), eine Datei anlegen, z.B. demo-node.config:

    [demo-node]
    name=Demo Node
    description=This node runs on the same host as the master
    rsync_address=localhost
    ip=localhost
    port=18158
    
  11. mapwoc-master starten:

    mapwoc-master
    
  12. Die grafische Oberfläche aufsetzen und starten:

  • Eine Ausgangs-Konfigurationsdatei erstellen.

    paster make-config "mapwocgui" mapwoc-gui.ini
    
  • Die erstellte Datei mapwoc-gui.ini gegebenenfalls anpassen:

    Soll ein bereits existierendes Zertifikat genutzt werden, muss die Zeile

    ssl_pem =
    

    durch

    ssl_pem = /path/to/certificate
    

    ersetzt werden. Soll mit selbst-signierten Zertifikaten gearbeitet werden, wird

    ssl_pem = *
    

    eingetragen. Soll die ssl-Verschlüsselung ausgeschaltet werden, kann die Zeile entfernt oder durch ein “#” auskommentiert werden. Weiterhin kann der Port und das Interface konfiguriert werden. Mit

    host = 0.0.0.0
    port = 8080
    

    wird die grafische Oberfläche über Port 8080 auf allen Netzwerkinterfaces zur Verfügung stehen. Außerdem sollten die Werte für beaker.session.secret und authkit.cookie.secret durch mehr oder weniger zufällige Werte ersetzt werden. Wurde mapwoc-master so konfiguriert, dass es auf einen anderen Port oder anderem Interface lauscht, ist der Wert master.port (master.host) anzupassen.

  • Datenbank und initialen Nutzer einrichten:

    paster setup-app mapwoc-gui.ini
    
  • Die GUI starten:

    paster serve mapwoc-gui.ini