meta data for this page
  •  

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision 		Previous revision
aufsetzen_synology_server_dsm [2019/05/15 07:43]
192.168.47.202 		— (current)
Line 1: Line 1:
-==== Einrichten der Synology DS1515+ ==== 
- 
-  - Ins Netzwerk hängen 
-  - Reset-Knopf hinten drücken, 10 sec gedrückt halten währenddem vorne das Gerät eingeschaltet wird 
-   (Damit wird die Netzwerk-Adresse freigegeben und er sucht sich eine IP über DHCP) 
-  - über [[http://find.synology.com]] die Station finden - ich musste das Programm Synology Assistant installieren, damit es klappte 
-  - Anmelden im Webbrowser, der durch den Synology Assistant oder manuell geöffnet wurde - nach dem Reset ist das Passwort leer 
-  - Über Systemsteuerung - Aktualisierung&Wiederherstellung - "Standard wiederherstellen" (oben rechts) das NAS auf seine Werkseinstellungen zurücksetzen 
-    * System startet neu, Webbrowser offen lassen 
-    * Im Webbrowser (evtl. aktualisieren) erscheint jetzt ein Dialog, um alles zurückzusetzen 
-    * alle Defaults übernehmen, Admin-Passwort vergeben, Servername vergeben und installieren lassen (Dauer: ca. 10 Minuten) 
-    * QuickConnect-Einrichtung überspringen 
-    * Keine statistischen Daten an Synology übermitteln 
-  - Es erscheint nun eine Frage, ob der Status überprüft werden soll  
-    * Ja und dahinter erscheint das Paketzentrum. Hier wird das Paket **MariaDB** installiert. 
-  - Systemsteuerung - Dateidienste starten  
-    * Arbeitsgruppen-Name ist VALAIR 
-    * Mac-Dienste deaktivieren 
-    * Übernehmen klicken 
-    * Netzwerk, oben "Netzwerk-Schnittstelle": Lan1: Fixe IP vergeben gemäss IP-Sheet  
-      * Webbrowser wird automatisch auf neue Adresse umgeleitet 
-    * Terminal & SNMP:  
-      * ssh-Dienst aktivieren   
-    * Übernehmen klicken 
-    * Benachrichtigung einrichten und testen 
-  - Package MailServer installieren 
-  - Unter Applikationen - MailServer - SMTP folgende Einstellungen vornehmen: 
-    * SMTP aktivieren: ja 
-    * Hostname: dsm01.valair.ch 
-    * Rest alles default belassen 
-    * Damit werden die Mails (z.B. check_auftraege, siehe weiter unten) verschickt  
-  - Unter Systemsteuerung - Gemeinsamer Ordner folgende Freigaben einrichten: 
-    * daten 
-    * system 
-  - Benutzergruppen eröffnen 
-    * zugriff_0 
-    * zugriff_1 
-    * zugriff_5 
-    * zugriff_9 
-  - Benutzer eröffnen gemäss Passwortliste 
-  - Kopieren der Daten ab Harddisk oder altem Server 
- 
-== Einrichten des MariaDB-Servers == 
-    * MariaDB Package installieren 
-    * In der Package-Einrichtung den Port auf ''4306'' setzen (statt 3306) 
-    * Der DB-Server muss umkonfiguriert werden. Dazu muss ssh (putty) gestartet werden und wir müssen uns mit root anmelden. 
-    * Die normale Konfiguration eines MariaDB-Servers liegt in ''/etc/mysql/my.cnf''. Diese Datei rühren wir aber nicht an, denn das Synology MariaDB Package stellt für eigene Anpassungen daran die Datei ''/var/packages/MariaDB/etc/my.cnf'' zur Verfügung. Existiert eine solche Datei, wird sie eingelesen und erhält Vorrang über die Einstellungen in ''/etc/my.cnf''. 
-    * Wir erstellen also mit ''vi /var/packages/MariaDB/etc/my.cnf'' die Datei und füllen sie mit folgendem Inhalt: 
-<code>  
-[client] 
-port = 4306 
-socket = /run/mysqld/mysqld.sock 
- 
-[mysqld] 
-#port = 4306 nicht mehr nötig - ist jetzt in der Package-Steuerung enthalten 
-skip-name-resolve 
-skip-host-cache 
-lower_case_table_names=1 
-group_concat_max_len=50000000 
- 
-max_allowed_packet = 64M 
-innodb_buffer_pool_size = 800M 
- 
-event_scheduler=ON 
- 
- 
-ssl 
-ssl-ca = /var/packages/MariaDB/etc/ca-cert.pem 
-ssl-cert = /var/packages/MariaDB/etc/server-cert.pem 
-ssl-key = /var/packages/MariaDB/etc/server-key.pem 
- 
-</code> 
- 
-== Rückspielen des MariaDB Backups == 
-    * Jeden Tag werden alle Datenbanken in ein Dump-File exportiert. Jedes wird mit dem Datenbanknamen und dem Monats-Tag gekennzeichnet; der Stand am Monatsende mit dem ganzen Datum. 
-    * Das Backup wird durch das Script /volume1/system/backup/mysql/dump_databases.sh durchgeführt. Es ist in der Systemsteuerung des DSM unter Aufgabenplanung eingetragen und wird jeden Abend um 21:30 Uhr gestartet 
-      * Ist noch kein root-Passwort in MariaDB festgelegt, dann so: <code>mysql -uroot < /volume1/system/backup/mysql/full_dump.sql</code> 
-      * sonst <code> mysql -uroot -p < /volume1/system/backup/mysql/full_dump.sql </code> 
-      * Das root-Passwort ist nun sofort gesetzt, da alle Passwörter aus dem Backup übernommen wurden. 
-      * Anschliessend muss die Datenbank auf den neusten MariaDB-Stand gebracht werden, falls bisher eine ältere Version eingesetzt wurde, mit <code>/usr/bin/mysql_upgrade -uroot -p</code> 
-== Backup einrichten == 
-      * Um den freien Zugang zum Hauptserver zu erlangen, muss ein privater SSL-Key erstellt werden und dieser muss auf den anderen Server übertragen werden:<code> 
-cd ~ 
-ssh-keygen -t rsa 
-</code> 
-      * (alle Default-Werte übernehmen --> in ~/.ssh/ entstehen ein id_rsa.pub als öffentlicher Schlüssel und ein id_rsa als privater Schlüssel. 
-      * Der öffentliche Schlüssel muss nun zum anderen Server übertragen werden und dort in die Datei  /.ssh/authorized_keys eingetragen werden)<code> 
-scp .ssh/id_rsa.pub root@valair.casaluna.ch: 
-ssh root@portal.haas-ag.ch 
-cat id_rsa.pub >> .ssh/authorized_keys 
-rm id_rsa.pub 
-exit 
-</code> 
-    * Nun muss der eigene private Schlüssel noch geschützt werden:<code> 
-chmod o-r-w-x .ssh/id_rsa 
-chmod g-r-w-x .ssh/id_rsa 
-</code> 
-    * Wenn jetzt noch einmal ssh root@valair.casaluna.ch aufgerufen wird, sollte das Login sofort und ohne Passwort möglich sein 
-    * Nun muss das Backup-Script in /volume1/system überprüft werden in einem Editor /volume1/system/backup_valair.sh 
-    * Wenn alles ok ist, kann das Script zeitgesteuert ausgeführt werden: 
-       * Systemsteuerung - Aufgabenplaner - Erstellen - Benutzerdefiniertes Script 
-       * Vorgang: Backup von Server XXX 
-       * Benutzer:  admin 
-       * Script: /volume1/system/backup_valair.sh 
- 
- 
- 
-== MariaDB mit Zertifikat ausstatten == 
- 
-Damit die Kommunikation zwischen Client und MySQL-Server verschlüsselt wird, generieren wir ein Zertifikat und installieren es auf dem Server. Das ca-cert.pem, das Zertifikat der Ausgabestelle, verteilen wir dann über die Start-Scripts auf die Clients, die Zugriff auf die Datenbank benötigen. 
-Dann können wir die Benutzer umstellen und bei ihnen mittels REQUIRE ISSUER = ... sicherstellen, dass die Verbindung auch tatsächlich verschlüsselt wird. 
- 
- 
-    * Issuer-Zertifikat und Server-Zertifikat erstellen 
-<code> 
- cd /volume1/system 
- [ -e certs ] && rm -Rf certs 
- mkdir certs 
- cd certs 
- openssl genrsa 2048 > ca-key.pem 
- openssl req -new -x509 -nodes -days 3600 \ 
-         -key ca-key.pem -out ca-cert.pem -subj '/C=CH/ST=Thurgau/L=Sitterdorf/O=Valair AG/CN=valair' 
- openssl req -newkey rsa:2048 -days 3600 \ 
-         -nodes -keyout server-key.pem -out server-req.pem  -subj '/C=CH/ST=Thurgau/L=Sitterdorf/O=Valair AG/OU=valairdb/CN=valair.casaluna.ch' 
- openssl rsa -in server-key.pem -out server-key.pem 
- openssl x509 -req -in server-req.pem -days 3600 \ 
-         -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem 
- 
-</code> 
-    * Die ca-cert.pem ist für die Clients bestimmt und wird nach /volume1/daten/44 IT/9/flightops kopiert: 
-<code> 
- cp ca-cert.pem /volume1/daten/44\ IT/9/flightops/ 
-</code>  
-    * Ebenso wichtig ist es nun, die Zertifikate in die ''/var/packages/MariaDB/etc/my.cnf'' einzutragen, mit folgenden Zeilen: 
-<code> 
-ssl 
-ssl-ca = /volume1/system/certs/ca-cert.pem 
-ssl-cert = /volume1/system/certs/server-cert.pem 
-ssl-key = /volume1/system/certs/server-key.pem 
-</code> 
-    * Anschliessend unbedingt mysql neu starten: 
-<code> 
-/usr/share/mysql/mysql.server restart 
-</code> 
-     
-    * Nun werden die Benutzer umgestellt. Dazu muss mit REQUIRE ISSUER verlangt werden, dass sie das dbuser-Zertifikat zeigen. 
- 
- 
- 
-=== Weitere Augaben === 
-In der Systemsteuerung, Aufgabenplanung sind noch zwei weitere Jobs aufzunehmen: 
-  * /volume1/system/check_auftraege.sh: Sendet morgens 07:30 eine E-Mail, wenn Auftragstotale nicht übereinstimmen 
-  * /volume1/system/calc_lfz_status.sh: Rechnet morgens um 03:00 den Luftfahrzeugstatus für alle Helikopter neu 
- 
-