Spotter-Cluster/Hosting
2
0
Fork 0
Code Issues 5 Pull Requests Actions Packages Projects Releases Activity

Update after migration to Ubuntu 24.04

Browse Source
This commit is contained in:
Disassembler 2024-12-08 12:58:02 +01:00
parent 25145e8370
commit 57d84218a3
Signed by: Disassembler
GPG Key ID: 524BD33A0EE29499
21 changed files with 354 additions and 436 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

10
1.-Hosting-a-server/1.1.-Informace-o-hostingu.md
View File

@ -1,13 +1,15 @@
# Informace o hostingu
## Serverhosting
Serverhosting poskytuje firma [Hetzner Online GmbH](https://www.hetzner.com/rechtliches/impressum) se sídlem v Německu. Tarif hostingu je označován jako CX31. Hostovaným serverem je virtuální stroj v QEMU/KVM hypervizoru a jako umístění hostingu bylo vybráno datacentrum v obci [Falkenstein/Vogtland](https://mapy.cz/?source=osm&id=54446), cca 15 km od Českých hranic. Mimo serverhostingu nejsou u společnosti Hetzner využívány žádné další služby.
Serverhosting poskytuje firma [Hetzner Online GmbH](https://www.hetzner.com/rechtliches/impressum) se sídlem v Německu. Tarif hostingu je označován jako CPX31. Hostovaným serverem je virtuální stroj v QEMU/KVM hypervizoru a jako umístění hostingu bylo vybráno datacentrum v obci [Falkenstein/Vogtland](https://mapy.cz/?source=osm&id=54446), cca 15 km od Českých hranic. Mimo serverhostingu nejsou u společnosti Hetzner využívány žádné další služby.
Udávané parametry hostingu:
- 2 vCPU
- 4 vCPU
- 8 GB RAM
- 80 GB Disk space
- 160 GB Disk space
- 20 TB Traffic
- € 10.77 / měs.
- € 15.85 / měs.
**URL** pro administraci serverhostingu: https://console.hetzner.cloud/.
Přístupové údaje jsou individuální, projekty je možno sdílet a nastavovat oprávnění jednotlivým uživatelům.

36
1.-Hosting-a-server/1.2.-Informace-o-serveru.md
View File

@ -1,30 +1,32 @@
# Informace o serveru
## Server
- **CPU:** 2x Intel Xeon (Skylake, IBRS) @ 3 GHz
- **CPU:** 4x AMD EPYC 7002 @ 3.3 GHz
- **RAM:** 8 GB DDR4
- **Úložiště:** 80 GB VirtIO SCSI SSD
- **Úložiště:** 160 GB VirtIO SCSI SSD
- **Síťové rozhraní:** 1x 10Gbit/s VirtIO NIC
- **Virtuální konzole** dostupná z webového rozhraní pro administraci serverhostingu https://console.hetzner.cloud/
- **Virtuální konzole** dostupná z webového rozhraní pro administraci serverhostingu <https://console.hetzner.cloud/>
- **IPv4**: 159.69.247.130
- **IPv6**: 2a01:4f8:c010:1385::1/64
- **Hostname**: server.spotter.cz
## Operační systém a služby
- GNU/Linux distribuce **Ubuntu 20.04** x86_64
- Vzdálený terminál **OpenSSH 8.2**
- Systém detekce narušení **Fail2ban 0.11**
- Rekurzivní DNS resolver **Bind 9.16**
- GNU/Linux distribuce **Ubuntu 24.04** x86_64
- Vzdálený terminál **OpenSSH 9.6**
- Systém detekce narušení **Fail2ban 1.1**
- Rekurzivní DNS resolver **Bind 9.18**
- Webový server **Apache 2.4** z repozitáře deb.sury.org
- PHP aplikační server **PHP-FPM 7.4** z repozitáře deb.sury.org
- Databázový server **PostgreSQL 12.5**
- Databázový server **MariaDB 10.3**
- In-memory databázový server **Redis 5.0**
- FTP souborový server **PureFTPd 1.0.49**
- SMTP poštovní server **Postfix 3.4**
- POP3/IMAP/ManageSieve poštovní server **Dovecot 2.3**
- Antivirus **ClamAV 0.102**
- Antispam **Rspamd 2.7** z repozitáře Rspamd
- Správa LXC kontejnerů **LXC 4.0.2**
- PHP aplikační server **PHP-FPM 7.4** a **PHP-FPM 8.3** z repozitáře deb.sury.org
- Databázový server **PostgreSQL 16.6**
- Databázový server **MariaDB 10.11**
- In-memory databázový server **Redis 7.0**
- FTP souborový server **PureFTPd 1.0.50**
- SMTP poštovní server **Postfix 3.8.6**
- POP3/IMAP/ManageSieve poštovní server **Dovecot 2.3.21**
- Antivirus **ClamAV 1.0.7**
- Antispam **Rspamd 3.10** z repozitáře Rspamd
- Správa kontejnerů **Podman 4.9**
Instalace, konfigurace a zabezpečení provedeno dle standardu @Disassembler.

55
1.-Hosting-a-server/1.3.-Nastavení-a-zabezpečení-sítě.md → 1.-Hosting-a-server/1.3.-Nastaveni-a-zabezpeceni-site.md
View File

@ -1,28 +1,18 @@
# Nastavení a zabezpečení sítě
## Síťová rozhraní
Primární síťové rozhraní je `ens3` s IP adresami **159.69.247.130** a **2a01:4f8:c010:1385::1**, taktéž vypsanými v [informacích o serveru](1.2.-Informace-o-serveru). IPv4 je přidělována dynamicky pomocí DHCP protokolu z DHCP serveru ve správě společnosti Hetzner. IPv6 je nastavena staticky, ale alokace je taktéž spravována společností Hetzner. Přidělené IP jsou vypsány ve webovém rozhraní pro správu serverhostingu.
Primární síťové rozhraní je `ens3` s IP adresami **159.69.247.130** a **2a01:4f8:c010:1385::1**, taktéž vypsanými v [informacích o serveru](1.2.-Informace-o-serveru.md). IPv4 je přidělována dynamicky pomocí DHCP protokolu z DHCP serveru ve správě společnosti Hetzner. IPv6 je nastavena staticky, ale alokace je taktéž spravována společností Hetzner. Přidělené IP jsou vypsány ve webovém rozhraní pro správu serverhostingu.
Dále je na serveru nastaveno rozhraní síťového mostu `lxcbr0` sdílené mezi hostitelem a LXC kontejnery. Na hostiteli má toto rozhraní staticky přiřazenou IPv4 **10.0.3.1/24**
Dále je na serveru nastaveno rozhraní síťového mostu `cni-podman0` sdílené mezi hostitelem a Podman kontejnery. Na hostiteli má toto rozhraní staticky přiřazenou IPv4 **10.88.0.1/16**. Podman kontejnery mají IPv4 přidělované dynamicky z rozsahu **10.88.0.0/16**
LXC kontejnery mají staticky přidělené IPv4 v konfiguraci kontejneru následovně:
- 10.0.3.2 onlyoffice
- 10.0.3.3 gitlab
- 10.0.3.4 seeddms
- 10.0.3.5 seeddms-postgres
- 10.0.3.8 odoo
- 10.0.3.9 odoo-postgres
- 10.0.3.10 decidim
- 10.0.3.11 decidim-postgres
- 10.0.3.12 sahana
- 10.0.3.13 sahana-postgres
Na serveru je zapnut IPv4 forwarding (konfigurace v souboru `/etc/sysctl.d/50-ip-forward.conf`) a obě síťová rozhraní jsou spravována pomocí `systemd-networkd`.
Na serveru je zapnut IPv4 forwarding (konfigurace v souboru `/etc/sysctl.d/50-ip-forward.conf`). Fyzická síťová rozhraní jsou spravována pomocí `systemd-networkd`.
## Firewall
Na serveru je nastaven firewall pomocí `iptables` a pomocného skriptu `firewall` s konfigurací v adresáři `/etc/firewall/`. Následující pravidla jsou nastavena staticky:
**IPv4, tabulka *filter*, chain *INPUT***
**IPv4 i IPv6, tabulka *filter*, chain *INPUT***
- Zahoď fragmentované pakety, u kterých nikdy nepřišel první fragment
- Přijmi ICMP pakety (ping, informace o fragmentaci, nedostupnosti sítě atd.)
- Zahoď TCP pakety s neplatnými příznaky (např. [christmas tree packet](https://en.wikipedia.org/wiki/Christmas_tree_packet) - jednoduchá základní ochrana proti DoS, fingerprintingu a tichému scanování portů)
@ -34,29 +24,18 @@ Na serveru je nastaven firewall pomocí `iptables` a pomocného skriptu `firewal
- Přijmi příchozí nová TCP spojení na portech 110 a 995 (POP3 a POP3S)
- Přijmi příchozí nová TCP spojení na portech 143 a 993 (IMAP a IMAPS)
- Přijmi příchozí nová TCP spojení na portu 22 (SSH) z adres dasm.dasm.cz a infra.dasm.cz (@Disassembler)
- Přijmi příchozí nová UDP i TCP spojení na portu 53 (DNS) z adres v subnetu 10.0.3.0/24 (LXC kontejnery)
- Přijmi příchozí nová UDP i TCP spojení na portu 53 (DNS) z adres v subnetu 10.88.0.0/16 (z kontejnerů)
- Přijmi příchozí nová TCP spojení na portu 5432 (PostgreSQL) z adres v subnetu 10.88.0.0/16 (z kontejnerů)
- Přijmi příchozí nová spojení z localhostu
- Zahoď všechna ostatní spojení
**IPv4, tabulka *nat*, chain *PREROUTING***
- Příchozí nová TCP spojení na portu 2222 pocházející z IP rozsahů českých ISP přesměruj na 10.0.3.2 (GitLab LXC kontejner), port 22 (SSH). Zdrojem pro rozsahy IP je služba [IPdeny](http://www.ipdeny.com/ipblocks/data/countries/cz.zone).
**IPv4, tabulka *nat*, chain *POSTROUTING***
- Aplikuj maškarádu na spojení ze subnetu 10.0.3.0/24, která jsou směrována mimo subnet 10.0.3.0/24
**IPv6, tabulka *filter*, chain *INPUT***
- Přijmi ICMP pakety (ping, informace o nedostupnosti sítě atd.)
- Zahoď TCP pakety s neplatnými příznaky (např. [christmas tree packet](https://en.wikipedia.org/wiki/Christmas_tree_packet) - jednoduchá základní ochrana proti DoS, fingerprintingu a tichému scanování portů)
- Přijmi pakety z předchozích korektně navázaných spojení
- Přijmi příchozí nová TCP spojení na portu 21 (FTP)
- Přijmi příchozí nová TCP spojení na portech 40000-49999 (FTP passive)
- Přijmi příchozí nová TCP spojení na portech 80 a 443 (HTTP a HTTPS)
- Přijmi příchozí nová TCP spojení na portech 25, 465 a 587 (SMTP, SMTPS a Submission)
- Přijmi příchozí nová TCP spojení na portech 110 a 995 (POP3 a POP3S)
- Přijmi příchozí nová TCP spojení na portech 143 a 993 (IMAP a IMAPS)
- Přijmi příchozí nová TCP spojení na portu 22 (SSH) z adres nas.dasm.cz a infra.dasm.cz (@Disassembler)
- Přijmi příchozí nová spojení z localhostu
- Zahoď všechna ostatní spojení
**Podman NAT**
- Příchozí nová TCP spojení na portu 8801 pocházející z localhostu (127.0.0.1) přesměruj do OnlyOffice kontejneru na port 80 (HTTP)
- Příchozí nová TCP spojení na portu 8802 pocházející z localhostu (127.0.0.1) přesměruj do Gitea kontejneru na port 8080 (HTTP)
- Příchozí nová TCP spojení na portu 8803 pocházející z localhostu (127.0.0.1) přesměruj do SeedDMS kontejneru na port 8080 (HTTP)
- Příchozí nová TCP spojení na portu 8804 pocházející z localhostu (127.0.0.1) přesměruj do Odoo kontejneru na port 8080 (HTTP)
- Příchozí nová TCP spojení na portu 8805 pocházející z localhostu (127.0.0.1) přesměruj do Decidim kontejneru na port 8080 (HTTP)
- Příchozí nová TCP spojení na portu 2222 pocházející odkudkoliv přesměruj do Gitea kontejneru na port 22 (SSH).
## Systém detekce narušení
@ -64,10 +43,10 @@ Na serveru je nainstalován systém detekce narušení **Fail2ban**. Ten princip
Monitorovány jsou následující služby:
- **SSH**
- Soubor: `/var/log/auth.log` a tentýž soubor i v LXC kontejneru GitLab
- Soubor: `/var/log/auth.log` a log Gitea `/srv/gitea/data/data/log/gitea.log`
- Počet pokusů: 5
- **HTTP(S)**
- Soubor: `/var/log/apache2/*error.log` a log webového rozhraní pro maily RoundCube `/usr/share/roundcube/logs/errors`
- Soubor: `/var/log/apache2/*error.log`, log webového rozhraní pro maily RoundCube `/usr/share/roundcube/logs/errors` a log Gitea `/srv/gitea/data/data/log/gitea.log`
- Počet pokusů: 10
- **PHP** (zneužití funkce `fopen()`)
- Soubor: `/var/log/apache2/*access.log`

60
1.-Hosting-a-server/1.4.-Zalohovani-serveru.md Normal file
View File

@ -0,0 +1,60 @@
# Zálohování serveru
Server je zálohován na úložiště @Disassembler pomocí utility `rsync` a protokolu SSH. Zálohování probíhá jednou denně ve 23:10 s retencí 60 záloh. Zálohování je až do odvolání bezplatné.
Jsou zálohovány následující soubory a adresáře (výpis v rsync --include-file formátu).
Uživatelská data, včetně dumpů databází a persisteních dat kontejnerů jsou uložena v adresáři `/srv/`.
```
+ etc
+ etc/acme-sh/***
+ etc/apache2/***
+ etc/bind/***
+ etc/containers/***
+ etc/cron.d/***
+ etc/dbbackup.conf
+ etc/default/***
+ etc/dovecot/***
+ etc/fail2ban/***
+ etc/firewall/***
+ etc/fstab
+ etc/hostname
+ etc/hosts
+ etc/logrotate.d/***
+ etc/mailadmin.conf
+ etc/mailname
+ etc/mysql/***
+ etc/php/***
+ etc/postfix/***
+ etc/postgresql/***
+ etc/pure-ftpd/***
+ etc/redis/***
+ etc/report.conf
+ etc/resolv.conf
+ etc/rspamd/***
+ etc/sysctl.d/***
+ etc/systemd/***
+ lib
+ lib/systemd
+ lib/systemd/system/***
+ root/***
+ srv/***
+ usr
+ usr/share
+ usr/share/nextcloud/***
+ usr/share/roundcube/***
+ var
+ var/lib
+ var/lib/redis/***
+ var/lib/rspamd/***
- *
```
## WordPress
Mimo výše uvedené každodenní zálohy serveru se vytváří každý den ve 23:00 i záloha s archivy [WordPress](../2.-Webovy-server/2.3.-WordPress.md) instancí a dumpy jejich [databází](../4.-Databazove-servery.md). Tato záloha je dostupná na [FTP serveru](../3.-FTP-server.md) pod účtem *backup*. Vždy je dostupná pouze jediná záloha z předcházejícího dne (resp. mezi 23:00 a 0:00 ze současného). V případě potřeby je tedy zálohu možno manuálně stáhnout a uchovat mimo server nebo úložiště @Disassembler.

117
1.-Hosting-a-server/1.4.-Zálohování-serveru.md
View File

@ -1,117 +0,0 @@
Server je zálohován na úložiště @Disassembler pomocí utility `rsync` a protokolu SSH. Zálohování probíhá jednou denně ve 23:10 s retencí 60 záloh. Zálohování je až do odvolání bezplatné.
Jsou zálohovány následující soubory a adresáře (výpis v rsync --include-file formátu).
Uživatelská data, včetně dumpů databází jsou uložena v adresáři `/srv/`, uživatelská data kontejnerů jsou pod `/var/lib/spoc/`.
```
+ etc
+ etc/acme-sh
+ etc/acme-sh/**
+ etc/apache2
+ etc/apache2/**
+ etc/bind
+ etc/bind/**
+ etc/cron.d
+ etc/cron.d/**
+ etc/dbbackup.conf
+ etc/default
+ etc/default/**
+ etc/dovecot
+ etc/dovecot/**
+ etc/fail2ban
+ etc/fail2ban/**
+ etc/firewall
+ etc/firewall/**
+ etc/fstab
+ etc/hostname
+ etc/hosts
+ etc/logrotate.d
+ etc/logrotate.d/**
+ etc/mailadmin.conf
+ etc/mailname
+ etc/mysql
+ etc/mysql/**
+ etc/php
+ etc/php/**
+ etc/postfix
+ etc/postfix/**
+ etc/postgresql
+ etc/postgresql/**
+ etc/pure-ftpd
+ etc/pure-ftpd/**
+ etc/redis
+ etc/redis/**
+ etc/report.conf
+ etc/resolv.conf
+ etc/rspamd
+ etc/rspamd/**
+ etc/sysctl.d
+ etc/sysctl.d/**
+ etc/systemd/
+ etc/systemd/**
+ lib
+ lib/systemd
+ lis/systemd/system
+ lib/systemd/system/**
+ root
+ root/**
+ srv
+ srv/**
+ usr
+ usr/share
+ usr/share/nextcloud
+ usr/share/nextcloud/**
+ usr/share/roundcube
+ usr/share/roundcube/**
+ var
+ var/lib
+ var/lib/lxc
+ var/lib/lxc/**
+ var/lib/redis
+ var/lib/redis/**
+ var/lib/rspamd
+ var/lib/rspamd/**
+ var/lib/spoc
+ var/lib/spoc/**
- *
```
## WordPress
Mimo výše uvedené každodenní zálohy serveru se vytváří každý den ve 23:00 i záloha s archivy [WordPress](/2.-Webov%C3%BD-server/2.3.-WordPress) instancí a dumpy jejich [databází](/4.-Datab%C3%A1zov%C3%A9-servery). Tato záloha je dostupná na [FTP serveru](/3.-FTP-server) pod účtem *backup*. Vždy je dostupná pouze jediná záloha z předcházejícího dne (resp. mezi 23:00 a 0:00 ze současného). V případě potřeby je tedy zálohu možno manuálně stáhnout a uchovat mimo server nebo úložiště @Disassembler.

36
2.-Webový-server/2.1.-Apache,-PHP-a-TLS.md → 2.-Webovy-server/2.1.-Apache,-PHP-a-TLS.md
View File

@ -1,3 +1,5 @@
# Apache, PHP a TLS
## Apache HTTP Server
Konfigurace Apache HTTP Serveru se nachází v adresáři `/etc/apache2/`. Konfigurace *virtualhostů* jednotlivých subdomén je pak v podadresáři `/etc/apache2/sites-available/`, resp. `/etc/apache2/sites-enabled/`. Každý jednotlivý konfigurační soubor se týká pouze jednoho virtualhosta, resp. jedné subdomény. V případě webů běžících přímo na doméně druhého řádu jsou tyto vždy zároveň aliasovány i subdoménou `www` ve stejném konfiguračním souboru. Všechny virtualhosty mají nastaveno automatické přesměrovávání HTTP na HTTPS, včetně zaslání HTTP Strict Transport Security (HSTS) hlavičky.
@ -9,47 +11,48 @@ V hlavním konfiguračním souboru Apache `/etc/apache2/apache2.conf` je nastave
### Seznam virtualhostů
- **000-default** - Virtualhost pro subdoménu **server.spotter.cz** a fallback virtualhost pro celý Apache HTTP Server
- **cluster.spotter.tv**
- **decidim.spotter.cz** - Proxy pro [LXC kontejner](/5.-LXC-kontejnery) Decidim
- **dms.spotter.ngo** - Proxy pro [LXC kontejner](/5.-LXC-kontejnery) SeedDMS
- **git.spotter.cz** - Proxy pro [LXC kontejner](/5.-LXC-kontejnery) GitLab
- **decidim.spotter.cz** - Proxy pro [Podman kontejner](../5.-Podman-kontejnery.md) Decidim
- **dms.spotter.ngo** - Proxy pro [Podman kontejner](../5.-Podman-kontejnery.md) SeedDMS
- **gitea** - Proxy pro [Podman kontejner](../5.-Podman-kontejnery.md) Gitea
- **jobseeker.cz** - Virtualhost pro doménu **jobseeker.cz** a subdoménu **www.jobseeker.cz**
- **job.spotter.cz**
- **kurzy.spotter.cloud** - Proxy pro [Podman kontejner](../5.-Podman-kontejnery.md) Odoo
- **loga.spotter.cz**
- **old.spotter.tv**
- **repo.spotter.cz**
- **se.spotter.ngo** - Proxy pro [LXC kontejner](/5.-LXC-kontejnery) Sahana Eden
- **spotter.cloud** - Proxy pro [LXC kontejner](/5.-LXC-kontejnery) Odoo
- **spotter.cloud** - Proxy pro [Podman kontejner](../5.-Podman-kontejnery.md) Odoo
- **spotter.cz** - Virtualhost pro doménu **spotter.cz** a subdoménu **www.spotter.cz**
- **spotter.name** - Virtualhost pro doménu **spotter.name** a subdoménu **www.spotter.name**
- **spotter.ngo** - Virtualhost pro doménu **spotter.ngo** a subdoménu **www.spotter.ngo**
- **spotter.sk** - Virtualhost pro doménu **spotter.sk** a subdoménu **www.spotter.sk**
- **spotter.tv** - Virtualhost pro doménu **spotter.tv** a subdoménu **www.spotter.tv**
- **spuntovka.spotter.cloud** - Proxy pro [Podman kontejner](../5.-Podman-kontejnery.md) Odoo
- **trend.spotter.cz**
- **trendspotter.cz** - Nevyužita
- **voda.spotter.cz** - Proxy pro [LXC kontejner](/5.-LXC-kontejnery) Decidim
- **voda.spotter.cz** - Proxy pro [Podman kontejner](../5.-Podman-kontejnery.md) Decidim
Pro výpis jednotlivých prezentací a aplikací, viz stránku [Weby a domény](2.2.-Weby-a-domény).
Pro výpis jednotlivých prezentací a aplikací, viz stránku [Weby a domény](2.2.-Weby-a-domeny.md).
### Funkce a zabezpečení Apache
V Apache HTTP Serveru jsou aktivní následující moduly
- access_compat, alias, auth_basic, authn_core, authn_file, authz_core, authz_host, authz_user, autoindex, brotli, deflate, dir, env, expires, filter, headers, http2, mime, mpm_event, negotiation, proxy, proxy_fcgi, proxy_http, reqtimeout, rewrite, setenvif, socache_shmcb, ssl, status, wsgi
- access_compat, alias, auth_basic, authn_core, authn_file, authz_core, authz_host, authz_user, autoindex, deflate, dir, env, expires, filter, headers, http2, mime, mpm_event, negotiation, proxy, proxy_fcgi, proxy_http, proxy_wstunnel, reqtimeout, rewrite, setenvif, socache_shmcb, ssl, status, wsgi
Apache server neposílá hlavičku s informací o verzi. OpenSSL je nastaveno pro podporu moderních a mainstreamově používaných protokolů a šifer následnovně:
- **Verze OpenSSL:** 1.1.1
- **Verze OpenSSL:** 3.0.13
- **Podporované protokoly:** TLSv1.2, TLSv1.3
- **Podporované sady šifer:** ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
- **Vynucení preferencí šifer serveru:** Ano
- **Podpora komprese:** Ne
- **Podporované sady šifer:** ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CHACHA20-POLY1305
- **OCSP stapling:** Ano
Výsledek Qualys SSL testu:
[SSL_Server_Test__server.spotter.cz__Powered_by_Qualys_SSL_Labs_.pdf](uploads/f97676c7c17555bd2ad26846a015596c/SSL_Server_Test__server.spotter.cz__Powered_by_Qualys_SSL_Labs_.pdf)
[SSL_Server_Test__server.spotter.cz__Powered_by_Qualys_SSL_Labs_.pdf](../attachments/SSL_Server_Test__server.spotter.cz__Powered_by_Qualys_SSL_Labs_.pdf)
## PHP
PHP 7.4 interpret běží v samostatném manažeru procesů PHP-FPM a nesdílí tak paměťový prostor Apache HTTP Serveru, jako by tomu bylo v *tradičním* nastavení s mod_php7. Apache HTTP Server komunikuje s PHP-FPM přes FastCGI rozhraní zprostředkované pomocí *mod_proxy_fcgi* a unixových socketů v adresáři `/run/php/`. Hlavní konfigurační soubor pro PHP-FPM je `/etc/php/7.4/fpm/php.ini` a jednotlivé fondy procesů jsou definovány konfiguračními soubory v `/etc/php/7.4/fpm/pool.d/`. V současnosti jsou zde nastaveny tři fondy s 16 dynamicky vytvářenými PHP procesy - `vmail` pro Roundcube, `cloud` pro NextCloud a `www` pro WordPress a ostatní weby.
PHP 8.3 interpret běží v samostatném manažeru procesů PHP-FPM a nesdílí tak paměťový prostor Apache HTTP Serveru, jako by tomu bylo v *tradičním* nastavení s mod_php8. Apache HTTP Server komunikuje s PHP-FPM přes FastCGI rozhraní zprostředkované pomocí *mod_proxy_fcgi* a unixových socketů v adresáři `/run/php/`. Hlavní konfigurační soubor pro PHP-FPM je `/etc/php/8.3/fpm/php.ini` a jednotlivé fondy procesů jsou definovány konfiguračními soubory v `/etc/php/8.3/fpm/pool.d/`. V současnosti jsou zde nastaveny tři fondy s 16 dynamicky vytvářenými PHP procesy - `vmail` pro Roundcube, `cloud` pro NextCloud a `www` pro ostatní weby.
Z důvodu udržení kompatility prezentací běžící na platformě [WordPress](2.3.-WordPress.md) ja na serveru instalován i PHP interpret ve verzi 7.4, který je nastaven ekvivalentním způsobem jako výše uvedené PHP 8.3.
### Funkce a zabezpečení PHP
@ -57,15 +60,14 @@ V PHP-FPM jsou aktivní následující rozšíření
- bcmath, bz2, calendar, ctype, curl, dba, dom, exif, fileinfo, ftp, gd, geoip, gettext, gnupg, iconv, imagick, imap, intl, json, ldap, mbstring, mysqli, mysqlnd, opcache, pdo, pdo_dblib,
do_mysql, pdo_pgsql, pdo_sqlite, pgsql, phar, posix, readline, shmop, simplexml, soap, sockets, sqlite3, sysvmsg, sysvsem, sysvshm, tokenizer, wddx, xdebug, xml, xmlreader, xmlrpc, xmlwriter, xsl, zip
PHP neposílá hlavičku s informací o verzi. Funkce spouštění externích procesů jsou zakázány. Odesílání mailů funkcí `mail()` a jejími deriváty je logováno do souboru `/var/log/phpmail.log`.
PHP neposílá hlavičku s informací o verzi. Funkce spouštění externích procesů jsou zakázány. Odesílání mailů funkcí `mail()` a jejími deriváty je logováno do souboru `/var/log/php8.3mail.log`, resp. `/var/log/php7.4mail.log`.
Výčet některých nastavení PHP:
- max_execution_time = 600
- max_input_time = 600
- max_input_vars = 5000
- memory_limit = 128M
- memory_limit = 256M
- post_max_size = 16M
- upload_max_filesize = 16M
- max_file_uploads = 100
- disable_functions = pcntl_alarm, pcntl_fork, pcntl_waitpid, pcntl_wait, pcntl_wifexited, pcntl_wifstopped, pcntl_wifsignaled, pcntl_wifcontinued, pcntl_wexitstatus, pcntl_wtermsig, pcntl_wstopsig, pcntl_signal, pcntl_signal_get_handler, pcntl_signal_dispatch, pcntl_get_last_error, pcntl_strerror, pcntl_sigprocmask, pcntl_sigwaitinfo, pcntl_sigtimedwait, pcntl_exec, pcntl_getpriority, pcntl_setpriority, pcntl_async_signals, exec, passthru, popen, proc_open, shell_exec, system

49
2.-Webový-server/2.2.-Weby-a-domény.md → 2.-Webovy-server/2.2.-Weby-a-domeny.md
View File

@ -1,53 +1,54 @@
# Weby a domény
## Weby
Soupis webů a jejich URL.
### spotter.cz
- **https://spotter.cz/** a **https://www.spotter.cz/** - [WordPress](2.3.-WordPress) web Spotter.cz
- **https://decidim.spotter.cz/** - Proxy pro Decidim [LXC kontejner](/5.-LXC-kontejnery)
- **https://git.spotter.cz/** - Proxy pro GitLab [LXC kontejner](/5.-LXC-kontejnery)
- **https://spotter.cz/** a **https://www.spotter.cz/** - [WordPress](2.3.-WordPress.md) web Spotter.cz
- **https://decidim.spotter.cz/** - Proxy pro Decidim [Podman kontejner](../5.-Podman-kontejnery.md)
- **https://git.spotter.cz/** - Proxy pro Giea [Podman kontejner](../5.-Podman-kontejnery.md)
- **https://job.spotter.cz/** - Single page prezentace JobSeeker
- **https://loga.spotter.cz/** - Úložiště log (nedá se procházet)
- **https://repo.spotter.cz/alpine/** - Repozitář [distribučního serveru](2.4.-Distribu%C4%8Dn%C3%AD-server) SpotterVM Alpine balíků pro hostitele (nedá se procházet)
- **https://repo.spotter.cz/alpine/** - Repozitář [distribučního serveru](2.4.-Distribucni-server.md) SpotterVM Alpine balíků pro hostitele (nedá se procházet)
- **https://repo.spotter.cz/doc/** - Dokumentace SpotterVM vytvořená systémem Sphinx
- **https://repo.spotter.cz/lxc/** - Repozitář [distribučního serveru](2.4.-Distribu%C4%8Dn%C3%AD-server) SpotterVM LXC kontejnerů aplikací (chráněn heslem, nedá se procházet)
- **https://repo.spotter.cz/tools/** - Nástroje [distribučního serveru](2.4.-Distribu%C4%8Dn%C3%AD-server) pro zjišťování konektivity SpotterVM
- **https://server.spotter.cz** - [NextCloud](2.5.-NextCloud-a-OnlyOffice) - Úložiště souborů, platforma pro kolaborativní nástroje a rozhraní pro kancelářský balík
- **https://server.spotter.cz/admin/** - MailAdmin - Webové rozhraní [správy mailů](/6.-Mailov%C3%BD-server#webov%C3%A1-rozhran%C3%AD)
- **https://repo.spotter.cz/Podman/** - Repozitář [distribučního serveru](2.4.-Distribucni-server.md) SpotterVM Podman kontejnerů aplikací (chráněn heslem, nedá se procházet)
- **https://repo.spotter.cz/tools/** - Nástroje [distribučního serveru](2.4.-Distribucni-server.md) pro zjišťování konektivity SpotterVM
- **https://server.spotter.cz** - [NextCloud](2.5.-NextCloud-a-OnlyOffice.md) - Úložiště souborů, platforma pro kolaborativní nástroje a rozhraní pro kancelářský balík
- **https://server.spotter.cz/admin/** - MailAdmin - Webové rozhraní [správy mailů](../6.-Mailovy-server.md#webov%C3%A1-rozhran%C3%AD)
- **https://server.spotter.cz/ftp/** - FTP úložiště (chráněno heslem)
- **https://server.spotter.cz/onlyoffice/** - [OnlyOffice](2.5.-NextCloud-a-OnlyOffice) - Backend s API pro kancelářský balík
- **https://server.spotter.cz/rspamd/** - Rspamd - Webové rozhraní [antispamu](/6.-Mailov%C3%BD-server#webov%C3%A1-rozhran%C3%AD)
- **https://server.spotter.cz/onlyoffice/** - [OnlyOffice](2.5.-NextCloud-a-OnlyOffice.md) - Backend s API pro kancelářský balík
- **https://server.spotter.cz/rspamd/** - Rspamd - Webové rozhraní [antispamu](../6.-Mailovy-server.md#webov%C3%A1-rozhran%C3%AD)
- **https://server.spotter.cz/sql/** - Adminer - Webové rozhraní pro správu databází
- **https://server.spotter.cz/webmail/** - RoundCube - Webové rozhraní [mailového klienta](/6.-Mailov%C3%BD-server#webov%C3%A1-rozhran%C3%AD)
- **https://server.spotter.cz/webmail/** - RoundCube - Webové rozhraní [mailového klienta](../6.-Mailovy-server.md#webov%C3%A1-rozhran%C3%AD)
- **https://trend.spotter.cz/** - Single page prezentace TrendSpotter
- **https://voda.spotter.cz/** - Proxy pro Decidim [LXC kontejner](/5.-LXC-kontejnery)
- **https://voda.spotter.cz/** - Proxy pro Decidim [Podman kontejner](../5.-Podman-kontejnery.md)
### spotter.tv
- **https://spotter.tv/** a **https://www.spotter.tv/** - [WordPress](2.3.-WordPress) web Spotter.tv a zároveň hlavní URL pro správu sítě webů (multisite) WordPress
- **https://cluster.spotter.tv/wp/** - [WordPress](2.3.-WordPress) web Cluster.Spotter.tv (novější instance, neveřejná - chráněná heslem)
- **https://spotter.tv/** a **https://www.spotter.tv/** - [WordPress](2.3.-WordPress.md) web Spotter.tv a zároveň hlavní URL pro správu sítě webů (multisite) WordPress
- **https://cluster.spotter.tv/wp/** - [WordPress](2.3.-WordPress.md) web Cluster.Spotter.tv (novější instance, neveřejná - chráněná heslem)
- **https://old.spotter.tv/** - Stará statická prezentace Spotter.tv
### spotter.cloud
- **https://spotter.cloud/** a **https://www.spotter.cloud/** - Proxy pro Odoo [LXC kontejner](/5.-LXC-kontejnery)
- **https://kurzy.spotter.cloud/** - Proxy pro Odoo [LXC kontejner](/5.-LXC-kontejnery)
- **https://spuntovka.spotter.cloud/** - Proxy pro Odoo [LXC kontejner](/5.-LXC-kontejnery)
- **https://spotter.cloud/** a **https://www.spotter.cloud/** - Proxy pro Odoo [Podman kontejner](../5.-Podman-kontejnery.md)
- **https://kurzy.spotter.cloud/** - Proxy pro Odoo [Podman kontejner](../5.-Podman-kontejnery.md)
- **https://spuntovka.spotter.cloud/** - Proxy pro Odoo [Podman kontejner](../5.-Podman-kontejnery.md)
### spotter.ngo
- **https://spotter.ngo/** a **https://www.spotter.ngo/** - [WordPress](2.3.-WordPress) web Spotter.ngo
- **https://dms.spotter.ngo/** - Proxy pro SeedDMS [LXC kontejner](/5.-LXC-kontejnery)
- **https://se.spotter.ngo/** - Proxy pro Sahana Eden [LXC kontejner](/5.-LXC-kontejnery)
- **https://spotter.ngo/** a **https://www.spotter.ngo/** - [WordPress](2.3.-WordPress.md) web Spotter.ngo
- **https://dms.spotter.ngo/** - Proxy pro SeedDMS [Podman kontejner](../5.-Podman-kontejnery.md)
### spotter.name
- **https://spotter.name/** a **https://www.spotter.name/** - [WordPress](2.3.-WordPress) web Spotter.name
- **https://spotter.name/** a **https://www.spotter.name/** - [WordPress](2.3.-WordPress.md) web Spotter.name
### spotter.sk
- **https://spotter.sk/** a **https://www.spotter.sk/** - [WordPress](2.3.-WordPress) web Spotter.sk
- **https://spotter.sk/** a **https://www.spotter.sk/** - [WordPress](2.3.-WordPress.md) web Spotter.sk
### trendspotter.cz
@ -59,7 +60,7 @@ Soupis webů a jejich URL.
## Domény
Všechny domény s výjimkou `spotter.ngo` jsou registrovány u Forpsi a obsluhovány z jejich jmenných serverů. Doména `spotter.ngo` je registrována u 101domain.com. Informace o registrátorech a přístupové údaje k administračním webovým rozhraním jsou vypsány na stránce [Informace o hostingu](/1.-Hosting-a-server/1.1.-Informace-o-hostingu).
Všechny domény s výjimkou `spotter.ngo` jsou registrovány u Forpsi a obsluhovány z jejich jmenných serverů. Doména `spotter.ngo` je registrována u 101domain.com. Informace o registrátorech a přístupové údaje k administračním webovým rozhraním jsou vypsány na stránce [Informace o hostingu](../1.-Hosting-a-server/1.1.-Informace-o-hostingu.md).
Všechny domény jsou nastaveny následovně:
@ -77,6 +78,6 @@ Doména **spotter.cz**, na které fungují i mailové služby má dále následu
| @ | MX | 10 server.spotter.cz. |
| @ | TXT | v=spf1 a mx -all |
| _dmarc | TXT | v=DMARC1; p=reject |
| dkim._domainkey | TXT | (veřejný DKIM klíč, viz [Mailový server](/6.-Mailov%C3%BD-server)) |
| dkim._domainkey | TXT | (veřejný DKIM klíč, viz [Mailový server](../6.-Mailovy-server.md)) |
TTL všech záznamů je nastaveno na 900 s.

13
2.-Webový-server/2.3.-WordPress.md → 2.-Webovy-server/2.3.-WordPress.md
View File

@ -1,3 +1,5 @@
# WordPress
## Seznam WP instancí
- Spotter.tv - https://spotter.tv/
@ -13,11 +15,12 @@
- **Heslo:** L0vecluster
### Známé problémy:
- Plugin *revslider* není kompatibilní s PHP 7.x a musí být vypnut. Tento plugin je ale vyžadován tématy instalovanými na **https://spotter.ngo/** a **https://cluster.spotter.tv/wp/**.
- Plugin *revslider* není kompatibilní s PHP 7 nebo novějším a musí být vypnut. Tento plugin je ale vyžadován tématy instalovanými na **https://spotter.ngo/** a **https://cluster.spotter.tv/wp/**.
- Současně používané šablony nejsou kompatibilní s PHP 8. Z tohoto důvodu je na serveru instalován i PHP interpret ve verzi 7.4, viz [Apache, PHP a TLS](2.1.-Apache,-PHP-a-TLS.md).
### Další informace
- Tato instance používá MariaDB databázi `wp` a databázového uživatele `wp`, viz [Databázové servery](/4.-Databázové-servery).
- K této instanci přísluší FTP přístup uživatele `wp`, viz [FTP server](/3.-FTP-server).
- Tato instance používá MariaDB databázi `wp` a databázového uživatele `wp`, viz [Databázové servery](../4.-Databazove-servery.md).
- K této instanci přísluší FTP přístup uživatele `wp`, viz [FTP server](../3.-FTP-server.md).
## Cluster instance
@ -34,5 +37,5 @@ Přístup je chráněn HTTP autentizací
- **Heslo:** L0vecluster
### Další informace
- Tato instance používá MariaDB databázi `wp_cluster` a databázového uživatele `wp_cluster`, viz [Databázové servery](/4.-Databázové-servery).
- K této instanci přísluší FTP přístup uživatele `wp_cluster`, viz [FTP server](/3.-FTP-server).
- Tato instance používá MariaDB databázi `wp_cluster` a databázového uživatele `wp_cluster`, viz [Databázové servery](../4.-Databazove-servery.md).
- K této instanci přísluší FTP přístup uživatele `wp_cluster`, viz [FTP server](../3.-FTP-server.md).

2
2.-Webový-server/2.4.-Distribuční-server.md → 2.-Webovy-server/2.4.-Distribucni-server.md
View File

@ -1,3 +1,5 @@
# Distribuční server
Distribuční server je koncipován jako klasické úložiště statických souborů dostupné přes HTTPS protokol v podadresářích subdomény **https://repo.spotter.cz/**.
Dále je na stejné subdoméně dostupná dokumentace projektu SpotterVM a také webové nástroje určené k testování konektivity VM.

8
2.-Webový-server/2.5.-NextCloud-a-OnlyOffice.md → 2.-Webovy-server/2.5.-NextCloud-a-OnlyOffice.md
View File

@ -1,3 +1,5 @@
# NextCloud a OnlyOffice
[NextCloud](https://nextcloud.com/) je webové rozhraní pro souborové úložiště a platforma pro kolaborativní nástroje. Dá se s ním nahradit spousta cloudových služeb nabízených různými společnostmi - Google, Microsoft, atd. K NextCloudu existují i [desktopoví a mobilní klienti](https://nextcloud.com/clients/) umožňující synchronizaci souborů a zpřístupnění některých dalších služeb (CalDAV/CardDAV - kontakty, kalendáře, úkoly) přímo z PC nebo smartphone.
## Webové rozhraní
@ -6,12 +8,10 @@
* **Login:** admin
* **Heslo:** XjsL!x3jSj-mN8YG
Ostatní uživatelé se autentizují skrze IMAP, tj. stejným uživatelským jménem a heslem jako k [mailovému serveru](/6.-Mailov%C3%BD-server).
Ostatní uživatelé se autentizují skrze IMAP, tj. stejným uživatelským jménem a heslem jako k [mailovému serveru](../6.-Mailovy-server.md).
## OnlyOffice
Na serveru je nainstalován backend [OnlyOffice DocumentServer](https://github.com/ONLYOFFICE/DocumentServer), což je komponenta pro práci s dokumenty, která je součástí komunitní verze kancelářského balíku OnlyOffice. DocumentServer jede ve vlastním [LXC kontejneru](5.-LXC-kontejnery) a omezuje použití na 25 spojení současně.
Na serveru je nainstalován backend [OnlyOffice DocumentServer](https://github.com/ONLYOFFICE/DocumentServer), což je komponenta pro práci s dokumenty, která je součástí komunitní verze kancelářského balíku OnlyOffice. DocumentServer jede ve vlastním [Podman kontejneru](../5.-Podman-kontejnery.md) a omezuje použití na 25 spojení současně.
Frontend k OnlyOffice je instalován jako aplikace NextCloudu. Všechny soubory v OpenDocument a Open Office XML formátech uložené v NextCloudu jsou otevírány v OnlyOffice editorech. DocumentServer samotný nemá žádná administrační nebo uživatelská rozhraní, jedná se pouze o API ovládané z NextCloudu.
Komunitní verze OnlyOffice DocumentServer do února 2020 umožňovala editaci i z mobilních zařízení, ale v únoru byla tato funkcionalita odebrána. Na serveru je nasazen patch od @Disassembler, který tyto funkce obnovuje. NextCloud i OnlyOffice tak mohou být používány i z mobilních zařízení.

4
3.-FTP-server.md
View File

@ -1,6 +1,8 @@
# FTP server
FTP souborový server **PureFTPd** z repozitáře @Disassembler přidává ke standardním vlastnostem PureFTPd navíc podporu silného hashovacího algoritmu Argon2 pro ukládání otisků hesel.
PureFTPd je nastaven jako virtuální server. Využívá tedy přihlašovací údaje uložené v [PostgreSQL databázi](4.-Datab%C3%A1zov%C3%A9-servery) `ftp`, které mapuje na uživatele existující na systému, zpravidla uživatele `www-data` pro adresáře využívané Apache HTTP Serverem a uživatele `nobody` pro ostatní účely. Každý uživatele je izolován ve svém domovském adresáři. PureFTPd běží v režimu vynucujícím explicitní TLS šifrování (protokol ftpes://). Administrace uživatelů FTP serveru je prováděna z příkazové řádky nástrojem `ftpadmin`.
PureFTPd je nastaven jako virtuální server. Využívá tedy přihlašovací údaje uložené v [PostgreSQL databázi](4.-Databazove-servery.md) `ftp`, které mapuje na uživatele existující na systému, zpravidla uživatele `www-data` pro adresáře využívané Apache HTTP Serverem a uživatele `nobody` pro ostatní účely. Každý uživatele je izolován ve svém domovském adresáři. PureFTPd běží v režimu vynucujícím explicitní TLS šifrování (protokol ftpes://). Administrace uživatelů FTP serveru je prováděna z příkazové řádky nástrojem `ftpadmin`.
Na serveru je vytvořen adresář `/srv/www/ftp` určený pro sdílení dat, který je domovským adresářem virtuálního uživatele `ftp`. Tento adresář je dostupný i přes HTTPS protokol na adrese **https://server.spotter.cz/ftp/** se stejným uživatelským jménem a heslem jako na FTP.

65
4.-Databazove-servery.md Normal file
View File

@ -0,0 +1,65 @@
# Databázové servery
Na serveru jsou nainstalovány dva databázové systémy. MySQL kompatibilní **MariaDB 10.11**, která je v současnosti využívána pouze instancemi WordPressu a **PostgreSQL 16**, který je využíván mailovým serverem, [FTP serverem](3.-FTP-server.md), [NextCloudem](2.-Webovy-server/2.5.-NextCloud-a-OnlyOffice.md) a [Podman kontejneru](5.-Podman-kontejnery.md). Superadministrátorský přistup je u obou databázových systémů omezen na lokální připojení po unixovém socketu, takže nové databáze a databázové uživatele je možno zakládat pouze z příkazové řádky serveru.
Administrační rozhraní **[Adminer](https://www.adminer.org/)** pro správu existujících databází je na **URL: https://server.spotter.cz/sql/**.
[Podman kontejner](5.-Podman-kontejnery.md) [OnlyOffice](2.-Webovy-server2.5.-NextCloud-a-OnlyOffice.md) si řeší správu PostgreSQL databáze, kterou máí nainstalovanou ve svém kontejneru, vlastním způsobem a uživatelské přístupy k nim nejsou v kontextu administrace relevantní.
Žádný z databázových serverů není veřejně přístupný z internetu.
## MySQL databáze a uživatelé
[WordPress](2.-Webovy-server/2.3.-WordPress.md) multisite
- **Login:** wp
- **Heslo:** sq#Wg5ZtxgZ^fn_3
- **Databáze:** wp
[WordPress](2.-Webovy-server/2.3.-WordPress.md) cluster.spotter.tv/wp/
- **Login:** wp_cluster
- **Heslo:** v3Sytt4$sXN=J4M5
- **Databáze:** wp_cluster
## PostgreSQL databáze a uživatelé
[FTP](3.-FTP-server.md)
- **Login:** ftp
- **Heslo:** zYxLChjj9XkFc9KRjIa7tHNhFA
- **Databáze:** ftp
[Dovecot + Postfix](6.-Mailovy-server.md)
- **Login:** vmail
- **Heslo:** COdP5ZTVsT9t7xJkFMzXkzIoZo
- **Databáze:** vmail
[RoundCube](6.-Mailovy-server.md)
- **Login:** roundcube
- **Heslo:** DdbQgfLSGxn6XB5WBWrRAQ15Qe
- **Databáze:** roundcube
[NextCloud](2.-Webovy-server/2.5.-NextCloud-a-OnlyOffice.md)
- **Login:** cloud
- **Heslo:** FoZiJxKdfDBziDmkgrrROslLqI
- **Databáze:** cloud
## PostgreSQL databáze a uživatelé aplikací v kontejnerech
[Decidim](5.-Podman-kontejnery.md)
- **Login:** decidim
- **Heslo:** mD2XC4Sr6u8Brfdg
- **Databáze:** decidim
[Odoo](5.-Podman-kontejnery.md)
- **Login:** odoo
- **Heslo:** XCvY33HuxObbLJKryfFVPl
- **Databáze:** odoo
[Gitea](5.-Podman-kontejnery.md)
- **Login:** gitea
- **Heslo:** A3thbbgBHSmi6LE5Pseq9MVfMi
- **Databáze:** gitea
[SeedDMS](5.-Podman-kontejnery.md)
- **Login:** seeddms
- **Heslo:** ForqHs4oI4r99skHfLAoTrW
- **Databáze:** seeddms

63
4.-Databázové-servery.md
View File

@ -1,63 +0,0 @@
Na serveru jsou nainstalovány dva databázové systémy. MySQL kompatibilní **MariaDB 10.3**, která je v současnosti využívána pouze instancemi WordPressu a **PostgreSQL 12**, který je využíván mailovým serverem, [FTP serverem](3.-FTP-server) a [NextCloudem](/2.-Webový-server/2.5.-NextCloud-a-OnlyOffice). Superadministrátorský přistup je u obou databázových systémů omezen na lokální připojení po unixovém socketu, takže nové databáze a databázové uživatele je možno zakládat pouze z příkazové řádky serveru.
Administrační rozhraní **[Adminer](https://www.adminer.org/)** pro správu existujících databází je na **URL: https://server.spotter.cz/sql/**.
[LXC kontejnery](/5.-LXC-kontejnery) Decidim, Odoo, Sahana Eden a SeedDMS mají každý svůj vlastní databázový server PostgreSQL vytvářený v rámci aplikačního prostředí SpotterVM. [GitLab](5.-LXC-kontejnery) a [OnlyOffice](2.5.-NextCloud-a-OnlyOffice) si řeší správu PostgreSQL databází, které mají nainstalované ve svých LXC kontejnerech, vlastním způsobem a uživatelské přístupy k nim nejsou v kontextu administrace relevantní.
Žádný z databázových serverů není veřejně přístupný z internetu.
## MySQL databáze a uživatelé
[WordPress](/2.-Webov%C3%BD-server/2.3.-WordPress) multisite
- **Login:** wp
- **Heslo:** sq#Wg5ZtxgZ^fn_3
- **Databáze:** wp
[WordPress](/2.-Webov%C3%BD-server/2.3.-WordPress) cluster.spotter.tv/wp/
- **Login:** wp_cluster
- **Heslo:** v3Sytt4$sXN=J4M5
- **Databáze:** wp_cluster
## PostgreSQL databáze a uživatelé
[FTP](/3.-FTP-server)
- **Login:** ftp
- **Heslo:** zYxLChjj9XkFc9KRjIa7tHNhFA
- **Databáze:** ftp
[Dovecot + Postfix](/6.-Mailov%C3%BD-server)
- **Login:** vmail
- **Heslo:** COdP5ZTVsT9t7xJkFMzXkzIoZo
- **Databáze:** vmail
[RoundCube](/6.-Mailov%C3%BD-server)
- **Login:** roundcube
- **Heslo:** DdbQgfLSGxn6XB5WBWrRAQ15Qe
- **Databáze:** roundcube
[NextCloud](/2.-Webový-server/2.5.-NextCloud-a-OnlyOffice)
- **Login:** cloud
- **Heslo:** FoZiJxKdfDBziDmkgrrROslLqI
- **Databáze:** cloud
## PostgreSQL databáze a uživatelé v kontejnerech
[Decidim](5.-LXC-kontejnery)
- **Login:** decidim
- **Heslo:** bAsQHZCYk4oIHXXIkxU7jMKs
- **Databáze:** decidim
[Odoo](5.-LXC-kontejnery)
- **Login:** odoo
- **Heslo:** MBrvas4lsHgMUgB5t5PwN6Gb
- **Databáze:** odoo
[Sahana Eden](5.-LXC-kontejnery)
- **Login:** sahana
- **Heslo:** PGpUEZhF1XykjILXNkbV8a
- **Databáze:** sahana
[SeedDMS](5.-LXC-kontejnery)
- **Login:** seeddms
- **Heslo:** ForqHs4oI4r99skHfLAoTrW
- **Databáze:** seeddms

114
5.-LXC-kontejnery.md
View File

@ -1,114 +0,0 @@
LXC (Linux Containers) je virtualizační metoda na úrovni linuxového jádra, umožňujících běh izolovaných systémových a aplikačních prostředí (kontejnerů) sdílejících linuxové jádro hostitele. Přístup k webovým rozhraním kontejnerů je zprostředkováván skrze [Apache HTTP Server](/2.-Webov%C3%BD-server/2.1.-Apache,-PHP-a-TLS) proxy. Síťová nastavení jsou rozepsána na stránce [Nastavení a zabezpečení sítě](/1.-Hosting-a-server/1.3.-Nastaven%C3%AD-a-zabezpe%C4%8Den%C3%AD-s%C3%ADt%C4%9B).
## OnlyOffice
OnlyOffice DocumentServer běží v LXC kontejneru založeném na Debianu 10 Buster.
- **IPv4:** 10.0.3.2/24
- **RootFS:** `/var/lib/lxc/onlyoffice/`
Kontejner je instalován jako persistentní a nemá žádné externí závislosti. V kontejeru jsou instalovány dedikované služby a komponenty, které DocumentServer striktně vyžaduje - PostgreSQL databáze, Redis in-memory data store, RabbitMQ a nginx HTTP server. OnlyOffice DocumentServer samotný je instalovaný z [repozitáře OnlyOffice](https://helpcenter.onlyoffice.com/server/linux/document/linux-installation.aspx) a obsahuje patch na obnovu funkcí mobilních editorů, které byly v komunitní verzi DocumentServeru vývojáři odebrány.
Apache server hostitele na tento kontejner [přeposílá požadavky](https://helpcenter.onlyoffice.com/server/document/document-server-proxy.aspx) z kontextu https://server.spotter.cz/onlyoffice. Aplikace samotná nemá žádná administrační nebo uživatelská rozhraní, jedná se pouze o API ovládané z NextCloudu.
## GitLab
GitLab běží v LXC kontejneru založeném na Debianu 10 Buster.
- **IPv4:** 10.0.3.3/24
- **RootFS:** `/var/lib/lxc/gitlab/`
Kontejner je instalován jako persistentní a mimo mailového serveru nemá žádné externí závislosti.
K [odesílání mailů](/6.-Mailov%C3%BD-server) používá účet **gitlab@spotter.cz**.
Přístup k aplikaci
- **URL:** https://git.spotter.cz/
- **Git SSH:** ssh://git@git.spotter.cz:2222
- **Login:** root
- **Heslo:** iA\*6kOPq65.OV8C58Kh=D8v;aN
Přístupy jednotlivých uživatelů a nastavení projektů a oprávnění k nim jsou individuální. Přístup na SSH port je omezen pouze na IP adresy českých ISP, viz [Nastavení a zabezpečení sítě](/1.-Hosting-a-server/1.3.-Nastaven%C3%AD-a-zabezpe%C4%8Den%C3%AD-s%C3%ADt%C4%9B).
## SeedDMS
Běží v LXC kontejnerech založených na Alpine linuxu. Kontejnery jsou instalovány stejným způsobem jako na SpotterVM.
- **IPv4:** 10.0.3.4/24 (seeddms) a 10.0.3.5/24 (seeddms-postgres)
- **RootFS:** `/var/lib/spoc/containers/seeddms/`
- **Persistentní úložiště:** `/var/lib/spoc/volumes/seeddms/`
Kontejnery jsou instalovány jako efemérní a mimo mailového serveru nemají žádné externí závislosti.
K [odesílání mailů](/6.-Mailov%C3%BD-server) používá účet **dms@spotter.cz**.
Přístup k aplikaci
- **URL:** https://dms.spotter.ngo/
- **Login:** admin
- **Heslo:** L0vedms
## Odoo
Běží v LXC kontejnerech založených na Alpine linuxu. Kontejnery jsou instalovány stejným způsobem jako na SpotterVM.
- **IPv4:** 10.0.3.8/24 (odoo) a 10.0.3.9/24 (odoo-postgres)
- **RootFS:** `/var/lib/spoc/containers/odoo/`
- **Persistentní úložiště:** `/var/lib/spoc/volumes/odoo/`
Kontejnery jsou instalovány jako efemérní a mimo mailového serveru nemají žádné externí závislosti.
K [odesílání mailů](/6.-Mailov%C3%BD-server) používá účet **cloud@spotter.cz**.
Přístup k aplikaci
- **URL:** https://spotter.cloud/
- **Login:** admin
- **Heslo:** UBwFtDu2uNvZQiF4
## Decidim
Běží v LXC kontejnerech založených na Alpine linuxu. Kontejnery jsou instalovány stejným způsobem jako na SpotterVM.
- **IPv4:** 10.0.3.10/24 (decidim) a 10.0.3.11/24 (decidim-postgres)
- **RootFS:** `/var/lib/spoc/containers/decidim/`
- **Persistentní úložiště:** `/var/lib/spoc/volumes/decidim/`
Kontejnery jsou instalovány jako efemérní a mimo mailového serveru nemají žádné externí závislosti.
K [odesílání mailů](/6.-Mailov%C3%BD-server) používá účet **decidim@spotter.cz**.
Přístup k aplikaci
- **URL:** https://decidim.spotter.cz/ a https://voda.spotter.cz/
- **URL administrace:** https://decidim.spotter.cz/system/
- **Login:** admin@example.com
- **Heslo:** P8vDKAc3FdEte9Hw
Při registraci organizace budete potřebovat následující údaje:
- **Host:** decidim.spotter.cz nebo voda.spotter.cz
- **Secondary hosts:** <prázdné>
Překlady jsou evidentně dělány bez testování, takže ve výběru jazyků je první "Angličtina" čeština a druhá "Angličtina" slovenština. Skutečná angličtina je "English".
Nastavení SMTP:
- **From:** decidim@spotter.cz
- **User name:** decidim@spotter.cz
- **Password:** m8DnHxmbmGutS5tf
- **Address:** server.spotter.cz
- **Port:** 587
Až budete registrovat administrátora organizace nebo uživatele, heslo musí mít nejméně 15 znaků.
- **API** pro přístup z vnějšku https://decidim.spotter.cz/api/
- **API Dokumentace** https://decidim.spotter.cz/api/docs
## Sahana Eden
Běží v LXC kontejnerech založených na Alpine linuxu. Kontejnery jsou instalovány stejným způsobem jako na SpotterVM.
- **IPv4:** 10.0.3.12/24 (sahana) a 10.0.3.13/24 (sahana-postgres)
- **RootFS:** `/var/lib/spoc/containers/sahana/`
- **Persistentní úložiště:** `/var/lib/spoc/volumes/sahana/`
Kontejnery jsou instalovány jako efemérní a mimo mailového serveru nemají žádné externí závislosti.
K [odesílání mailů](/6.-Mailov%C3%BD-server) používá účet **se@spotter.cz**.
Přístup k aplikaci
- **URL:** https://se.spotter.ngo/
- **Login:** admin@example.com
- **Heslo:** mV3qaQdgTt1Pw8Ie

93
5.-Podman-kontejnery.md Normal file
View File

@ -0,0 +1,93 @@
# Podman kontejnery
Podman je nástroj pro vytváření, správu a běh izolovaných systémových a aplikačních prostředí (kontejnerů) sdílejících linuxové jádro hostitele. Přístup k webovým rozhraním kontejnerů je zprostředkováván skrze [Apache HTTP Server](2.-Webovy-server/2.1.-Apache,-PHP-a-TLS.md) proxy. Síťová nastavení jsou rozepsána na stránce [Nastavení a zabezpečení sítě](1.-Hosting-a-server/1.3.-Nastaveni-a-zabezpeceni-site.md). Všechny kontejnery jsou provozovány jako efemérní, t.j. po svém ukončení jsou vymazány a zachována zůstanou pouze data v persistentních úložištích, která jsou do kontejnů během jejich spouštění připojena.
## OnlyOffice
- **Image:** `docker.io/onlyoffice/documentserver:latest`
- **Persistentní úložiště:** `/srv/onlyoffice/DocumentServer/`
OnlyOffice DocumentServer běží v kontejneru založeném na Ubuntu 22.04 (jammy). Kontejner mimo persistentního úložiště nemá žádné externí závislosti. V kontejeru jsou instalovány dedikované služby a komponenty, které DocumentServer striktně vyžaduje - PostgreSQL databáze, Redis in-memory data store, RabbitMQ a nginx HTTP server.
Apache server hostitele na tento kontejner [přeposílá požadavky](https://helpcenter.onlyoffice.com/server/document/document-server-proxy.aspx) z kontextu https://server.spotter.cz/onlyoffice. Aplikace samotná nemá žádná administrační nebo uživatelská rozhraní, jedná se pouze o API ovládané z NextCloudu.
## Gitea
- **Image:** `docker.io/gitea/gitea:latest-rootless`
- **Persistentní úložiště:** `/srv/gitea/conf/`, `/srv/gitea/data/`
Gitea běží v kontejneru založeném na Alpine linuxu 3.20. Kontejner mimo persistentního úložiště závisí na funkcích mailového serveru a PostgreSQL databáze poskytované hostitelem.
K [odesílání mailů](6.-Mailovy-server.md) používá účet **gitea@spotter.cz**.
Přístup k aplikaci:
- **URL:** https://git.spotter.cz/
- **Git SSH:** ssh://git@git.spotter.cz:2222
- **Login:** j.podhorecky@gmail.com
Přístupy jednotlivých uživatelů a nastavení projektů a oprávnění k nim jsou individuální.
## SeedDMS
- **Image:** `ghcr.io/disassembler0/seeddms:latest`
- **Zdroje pto sestavení:** <https://git.spotter.cz/Spotter-Cluster/seeddms>
- **Persistentní úložiště:** `/srv/seeddms/conf/`, `/srv/seeddms/data/`
SeedDMS 6.0.28 běží v kontejneru založeném na Alpine linuxu 3.15. Kontejner mimo persistentního úložiště závisí na funkcích mailového serveru a PostgreSQL databáze poskytované hostitelem.
K [odesílání mailů](6.-Mailovy-server.md) používá účet **dms@spotter.cz**.
Přístup k aplikaci:
- **URL:** https://dms.spotter.ngo/
- **Login:** admin
- **Heslo:** L0vedms
## Odoo
- **Image:** `ghcr.io/disassembler0/odoo:latest`
- **Zdroje pto sestavení:** <https://git.spotter.cz/Spotter-Cluster/odoo>
- **Persistentní úložiště:** `/srv/odoo/conf/`, `/srv/odoo/data/`
Odoo 14 Běží v kontejneru založeném na Alpine linuxu 3.12. Kontejner mimo persistentního úložiště závisí na funkcích mailového serveru a PostgreSQL databáze poskytované hostitelem.
K [odesílání mailů](6.-Mailovy-server.md) používá účet **cloud@spotter.cz**.
Přístup k aplikaci:
- **URL:** https://spotter.cloud/
- **Login:** admin
- **Heslo:** UBwFtDu2uNvZQiF4
## Decidim
- **Image:** `ghcr.io/disassembler0/decidim:latest`
- **Zdroje pto sestavení:** <https://git.spotter.cz/Spotter-Cluster/decidim>
- **Persistentní úložiště:** `/srv/decidim/migrate/`, `/srv/decidim/storage/`, `/srv/decidim/uploads/`
Decidim 0.26.2 běží v kontejneru založeném na Debianu 11 (bullseye). Kontejner mimo persistentního úložiště závisí na funkcích mailového serveru a PostgreSQL databáze poskytované hostitelem.
K [odesílání mailů](6.-Mailovy-server.md) používá účet **decidim@spotter.cz**.
Přístup k aplikaci:
- **URL:** https://decidim.spotter.cz/ a https://voda.spotter.cz/
- **URL administrace:** https://decidim.spotter.cz/system/
- **Login:** admin@example.com
- **Heslo:** P8vDKAc3FdEte9Hw
Při registraci organizace budete potřebovat následující údaje:
- **Host:** decidim.spotter.cz nebo voda.spotter.cz
- **Secondary hosts:** <prázdné>
Překlady jsou evidentně dělány bez testování, takže ve výběru jazyků je první "Angličtina" čeština a druhá "Angličtina" slovenština. Skutečná angličtina je "English".
Nastavení SMTP:
- **From:** decidim@spotter.cz
- **User name:** decidim@spotter.cz
- **Password:** m8DnHxmbmGutS5tf
- **Address:** server.spotter.cz
- **Port:** 587
Až budete registrovat administrátora organizace nebo uživatele, heslo musí mít nejméně 15 znaků.
- **API** pro přístup z vnějšku https://decidim.spotter.cz/api/
- **API Dokumentace** https://decidim.spotter.cz/api/docs

21
6.-Mailový-server.md → 6.-Mailovy-server.md
View File

@ -1,3 +1,5 @@
# Mailový server
Mailový server je složen z následujících komponent
- SMTP daemon **Postfix**
- POP3, IMAP a ManageSieve server **Dovecot**
@ -6,9 +8,9 @@ Mailový server je složen z následujících komponent
- Webový poštovní klient **RoundCube**
- Webové rozhraní pro správu schránek a aliasů **MailAdmin**
**Postfix** a **Dovecot** používají virtuální domény, schránky a aliasy definované v [PostgreSQL databázi](4.-Datab%C3%A1zov%C3%A9-servery) `vmail`, které jsou spravovány webovým rozhraním **MailAdmin**. **Rspamd** je nastaven jako *milter*, kterému **Postfix** předává všechny odchozí i příchozí zprávy k antivirové a antispamové kontrole. Je kontrolováno několik desítek tisíc různých indikátorů a do **Redis** databáze jsou ukládány různé cache, statistiky, bayes vzorky atd. **Rspamd** také používá globálně dostupné URL blacklisty, reputační listiny a distribuované databáze vzorků. Odchozí maily jsou podepisovány **DKIM** klíčem, který je společně se **SPF** a **DMARC** záznamy zveřejněn v DNS.
**Postfix** a **Dovecot** používají virtuální domény, schránky a aliasy definované v [PostgreSQL databázi4.-Databazove-servery.md) `vmail`, které jsou spravovány webovým rozhraním **MailAdmin**. **Rspamd** je nastaven jako *milter*, kterému **Postfix** předává všechny odchozí i příchozí zprávy k antivirové a antispamové kontrole. Je kontrolováno několik desítek tisíc různých indikátorů a do **Redis** databáze jsou ukládány různé cache, statistiky, bayes vzorky atd. **Rspamd** také používá globálně dostupné URL blacklisty, reputační listiny a distribuované databáze vzorků. Odchozí maily jsou podepisovány **DKIM** klíčem, který je společně se **SPF** a **DMARC** záznamy zveřejněn v DNS.
Klient **RoundCube** se přihlašuje lokálně přes IMAP a odesílá přes Submission port s podporou STARTLS. Nastavení samotného klienta, nesouvisející s maily, ukládá do [PostgreSQL databáze](4.-Datab%C3%A1zov%C3%A9-servery) `roundcube`.
Klient **RoundCube** se přihlašuje lokálně přes IMAP a odesílá přes Submission port s podporou STARTLS. Nastavení samotného klienta, nesouvisející s maily, ukládá do [PostgreSQL databáze](4.-Databazove-servery.md) `roundcube`.
## Webová rozhraní
@ -28,9 +30,9 @@ Antispam **Rspamd**
## Seznam schránek
GitLab
Gitea
- **Mail:** gitlab@spotter.cz
- **Heslo:** bx34XPA.LBAx
- **Heslo:** yGWGLj.9W7ux
- Je povoleno pouze odesílání
Odoo, NextCloud
@ -48,11 +50,6 @@ Decidim
- **Heslo:** m8DnHxmbmGutS5tf
- Je povoleno pouze odesílání
Sahana Eden
- **Mail:** se@spotter.cz
- **Heslo:** 5Hw2r8mPjc.y
- Je povoleno pouze odesílání
Spotter
- **Mail:** info@spotter.cz
- **Heslo:** Z2d+yD8LnAsm
@ -61,6 +58,10 @@ JP
- **Mail:** jp@spotter.cz
- **Heslo:** L0veroundcube
KB
- **Mail:** kb@spotter.cz
- **Heslo:** dih3aaJ6|gwk
## Obecná nastavení mailových klientů
Příchozí server
@ -94,4 +95,4 @@ ieBGEDVnmS1KyBOvfIoL5Juj4fO4U+WGLkkK7S7xpuDS0XenL3xS/8EQvu1Oyhmed65B77gCb0B
OHJNN8xNuqXuN0oZXMPo3/nfLYS4wIDAQAB
```
Ostatní DNS záznamy jsou uvedeny na stránce [Weby a domény](/2.-Webov%C3%BD-server/2.2.-Weby-a-dom%C3%A9ny).
Ostatní DNS záznamy jsou uvedeny na stránce [Weby a domény](2.-Webovy-server/2.2.-Weby-a-domeny.md).

17
README.md Normal file
View File

@ -0,0 +1,17 @@
## Obsah
1. Hosting a server
1. [Informace o hostingu](1.-Hosting-a-server/1.1.-Informace-o-hostingu.md)
2. [Informace o serveru](1.-Hosting-a-server/1.2.-Informace-o-serveru.md)
3. [Nastavení a zabezpečení sítě](1.-Hosting-a-server/1.3.-Nastaveni-a-zabezpeceni-site.md)
4. [Zálohování serveru](1.-Hosting-a-server/1.4.-Zalohovani-serveru.md)
2. Webový server
1. [Apache, PHP a TLS](2.-Webovy-server/2.1.-Apache,-PHP-a-TLS.md)
2. [Weby a domény](2.-Webovy-server/2.2.-Weby-a-domeny.md)
3. [WordPress](2.-Webovy-server/2.3.-WordPress.md)
4. [Distribuční server](2.-Webovy-server/2.4.-Distribucni-server.md)
5. [NextCloud a OnlyOffice](2.-Webovy-server/2.5.-NextCloud-a-OnlyOffice.md)
3. [FTP server](3.-FTP-server.md)
4. [Databázové servery](4.-Databazove-servery.md)
5. [Podman kontejnery](5.-Podman-kontejnery.md)
6. [Mailový server](6.-Mailovy-server.md)

BIN
attachments/SSL_Server_Test__server.spotter.cz__Powered_by_Qualys_SSL_Labs_.pdf Normal file
View File

Binary file not shown.

17
home.md
View File

@ -1,17 +0,0 @@
## Obsah
1. Hosting a server
1. [Informace o hostingu](1.-Hosting-a-server/1.1.-Informace-o-hostingu)
2. [Informace o serveru](1.-Hosting-a-server/1.2.-Informace-o-serveru)
3. [Nastavení a zabezpečení sítě](1.-Hosting-a-server/1.3.-Nastaven%C3%AD-a-zabezpe%C4%8Den%C3%AD-s%C3%ADt%C4%9B)
4. [Zálohování serveru](1.-Hosting-a-server/1.4.-Z%C3%A1lohov%C3%A1n%C3%AD-serveru)
2. Webový server
1. [Apache, PHP a TLS](2.-Webov%C3%BD-server/2.1.-Apache,-PHP-a-TLS)
2. [Weby a domény](2.-Webov%C3%BD-server/2.2.-Weby-a-dom%C3%A9ny)
3. [WordPress](2.-Webov%C3%BD-server/2.3.-WordPress)
4. [Distribuční server](2.-Webov%C3%BD-server/2.4.-Distribu%C4%8Dn%C3%AD-server)
5. [NextCloud a OnlyOffice](2.-Webov%C3%BD-server/2.5.-NextCloud-a-OnlyOffice)
3. [FTP server](3.-FTP-server)
4. [Databázové servery](4.-Datab%C3%A1zov%C3%A9-servery)
5. [LXC kontejnery](5.-LXC-kontejnery)
6. [Mailový server](6.-Mailov%C3%BD-server)

BIN
uploads/bdab2d085a4538d5c0ad977a90493490/SSL_Server_Test__server.spotter.cz__Powered_by_Qualys_SSL_Labs_.pdf
View File

Binary file not shown.

BIN
uploads/f97676c7c17555bd2ad26846a015596c/SSL_Server_Test__server.spotter.cz__Powered_by_Qualys_SSL_Labs_.pdf
View File

Binary file not shown.