CSSCurrent de:Cryptshare on Microsoft Azure

Aus Cryptshare Documentation
Version vom 5. Juni 2024, 11:12 Uhr von imported>Frorathm
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Wechseln zu:Navigation, Suche



Willkommen bei Cryptshare on Microsoft Azure!

In diesem Artikel finden Sie eine Anleitung, wie Sie Ihren Cryptshare Server für Microsoft Azure installieren. Neben der manuellen Installation eines Cryptshare Servers in Ihrer Azure Infrastruktur, ist es möglich, dass Sie sich Ihren Cryptshare Server vollautomatisiert installieren lassen können. Bitte nutzen Sie hierfür unser Angebot im Azure Marketplace.

1 Manuelle Installation

Bitte entnehmen Sie die allgemeine Beschreibung zur Installation eines selbstinstallierten Systems der Schnellstartanleitung.

2 Automatisierte Installation - Azure Marketplace

2.1 Vorbereitung

Um eine reibungsfreie Inbetriebnahme Ihres Cryptshare Servers zu gewährleisten, führen Sie bitte zunächst die Schritte durch, die in der Schnellstartanleitung in Kapitel 2 ("Vorbereitungen") beschrieben werden.

2.2 Inbetriebnahme des Cryptshare Servers

Um Cryptshare on Microsoft Azure zu nutzen, ist es zunächst notwendig, eine Ressourcengruppe zu erstellen. Geben Sie der Ressourcengruppe eine Bezeichnung und wählen Sie die Region aus, die Ihrem Standort, an dem Sie Cryptshare on Microsoft Azure einsetzen, am nächsten liegt. Für die Nutzung aus Deutschland empfehlen wir die Region "(Europa) Europa, Westen". Mittels "Überprüfen + erstellen" können Sie Ihre Angaben überprüfen, bevor Sie die Ressourcengruppe durch Klicken auf den Button "Erstellen" anlegen. Wählen Sie die App "Cryptshare Server" im Azure Marketplace, klicken Sie auf "Jetzt holen" und bestätigten Sie mit "weiter". Im sich anschließend öffnenden Azure Portal starten Sie die Erstellung des Cryptshare Servers über den Button "Erstellen".

2.3 Grundeinstellungen

Cryptshare on Microsoft Azure verwendet derzeit die jeweils aktuelle Ubuntu LTS Version als Betriebssystem. Für den Zugriff auf die Betriebssystemebene legen Sie bitte einen Administrator/Superuser und die Authentifizierungsmethode fest.

  • Kennwort: Vergeben Sie hier ein Passwort, mit welchem sich der Administrator/Superuser z.B. per SSH einloggen kann.
  • Öffentlicher SSH-Schlüssel: Tragen Sie hier den SSH-Schlüssel ein.

Legen Sie nach diesem Schritt fest, welches Bezahlmodell Sie für diese Azure Maschine wählen möchten. Bitte beachten Sie, dass das Modell ausschließlich für die von Microsoft bereitgestellte Infrastruktur und deren Betrieb gilt. Cryptshare selbst wird derzeit nur als Bring-Your-Own-License-Variante angeboten und wird dementsprechend nicht über Microsoft abgerechnet. Wählen Sie nun die zuvor erstellte Ressourcengruppe und den gewünschten Standort aus und bestätigen Sie die Angaben mittels "OK".

2.4 Einstellungen der virtuellen Maschine

Wählen Sie unter dem Punkt "Virtual Machine Size" die passende Maschine für Ihre Bedürfnisse aus. Falls Sie bei der Auswahl einer passenden Maschine unsicher sein sollten, nutzen Sie gerne unsere bereitgestellte Entscheidungshilfe hier. Als nächstes wählen Sie das virtuelle Netzwerk aus, in dem sich Ihr Cryptshare Server befinden wird. Sie können hier, unter Angabe von Name und Adressbereich, ein neues Netzwerk erstellen oder ein bestehendes verwenden. Anschließend konfigurieren Sie bitte das zu verwendende Subnetz. Legen Sie nun das "DNS Label Prefix" fest. Dieses Prefix wird für die Bildung der URL, über die der Cryptshare Server erreichbar sein wird, verwendet. Würden Sie beispielsweise "cryptshare-test" eintragen und Ihren Server in Europa (Westen) betreiben, würde Ihre URL "cryptshare-test.westeurope.cloudapp.azure.com" lauten. Bitte beachten Sie hierbei, dass URLs eindeutig sein müssen und die Erstellung Ihres Cryptshare Servers fehlschlagen kann, sollte die URL bereits vergeben sein. Bitte bestätigen Sie Ihre Angaben mittels "OK".

2.5 Festlegen der Festplattenkonfiguration

Mit diesen Einstellungen können Sie den Festplattentyp (Standard (HDD), Standard SSD oder Premium (Premium SSD)) für das Betriebssystem und den Datenträger, auf dem später die verschlüsselten Cryptshare Transfers abgelegt werden, festlegen. Für die Festplattengröße finden Sie hier entsprechende Empfehlungen.

2.6 Überprüfen der Konfiguration und Erstellen der virtuellen Maschine

Bitte überprüfen Sie die Angaben und bestätigen Sie diese mittels "OK". In nächsten Dialog können Sie Ihren virtuellen Cryptshare Server in Microsoft Azure durch Klicken auf "Erstellen" bereitstellen!

2.7 Einrichten eines SSH-Zugangs

Für administrative Tätigkeiten auf Betriebssystemebene ist ein SSH-Zugang notwendig. Um diesen einzurichten, navigieren Sie in Ihrem Azure Portal zu dem Punkt "Virtuelle Computer" und wählen Sie die gerade erstellte Maschine aus.  Unter dem Menüpunkt "Netzwerk" können Sie nun den eingehenden Port für die entsprechende Netwerkkarte/Subnetz freigeben. Klicken Sie hierzu auf "Regel für eingehenden Port hinzufügen".

Achten Sie hierbei aus Sicherheitsgründen darauf, dass Sie diese Verbindung nur von Ihrem Standort aus aufbauen können (z.B. indem Sie nur bestimmten IPs den Zugriff auf die virtuelle Maschine erlauben).

Nachdem Sie die Einstellungen gemäß Ihrer Unternehmensrichtlinie vorgenommen haben, geben Sie unter "Zielportbereiche" den Port 22 (SSH) frei.  Im Anschluss daran können Sie sich via SSH mit Ihrem Cryptshare Server auf Microsoft Azure verbinden.

2.8 Konfiguration der Updatebenachrichtigung via Postfix

Um zu gewährleisten, dass Sie wichtige Systembenachrichtigungen vom Cryptshare Server erhalten, empfehlen wir zusätzlich die Konfiguration eines Postfix-Mailservers. Um Postfix zu installieren, verbinden Sie sich per SSH mit dem Cryptshare Server (siehe 2.7). Führen Sie anschließend folgenden Befehl aus:

sudo -i

Dieser Befehl erleichtert die folgenden Schritte und führt alle nachfolgenden Befehle als root aus. Fahren Sie mit folgendem Befehl fort, welcher Postfix installiert und konfiguriert:

apt-get install apticron

Durch diesen Befehl öffnet sich ein Konfigurationsmenü. Wählen Sie hier den Menüpunkt "Satellite System". Im nächsten Schritt können Sie den "System mail name" anpassen oder den Standardwert hierfür übernehmen. Bitte halten Sie sich bei der optionalen Anpassung an die FQDN-Schreibweise. Geben Sie im nächsten Schritt den SMTP relay host an. Anschließend können Sie den Postfix Server konfigurieren. Bitte geben Sie hierfür nacheinander folgende Befehle ein:

echo <SMTP relay host>:<Port> <user>:<password> > /etc/postfix/relay_password

postmap hash:/etc/postfix/relay_password

Bearbeiten Sie nun die Datei main.cf, welche sich im Verzeichnis etc/postfix/ befindet.

vim /etc/postfix/main.cf
Folgende Befehle sind für die Bearbeitung mittels vim hilfreich:
i Einfügen bzw. Bearbeitung aktivieren
esc
wq
Speichern und schließen
esc
q
Speichern ohne zu schließen

Bitte überprüfen Sie folgende Einträge und passen Sie ggf. an.

smtpd_use_tls=yes

smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
myhostname = <hostname>
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = <use postfix recommendations>
relayhost = <SMTP relay host>:<Port>
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = loopback-only
inet_protocols = all

Fügen Sie im Anschluss folgende Zeilen hinzu:

smtp_sasl_password_maps=hash:/etc/postfix/relay_password
smtp_sasl_auth_enable=yes
smtp_sasl_security_options = noanonymous
smtp_tls_security_level = encrypt
mynetworks_style = host

Diese Einstellungen ermöglichen es Postfix, und später Cryptshare, Ihren Mailserver als Relay für den Versand von E-Mails zu verwenden.

Durch die Verwendung von Postfix kann der Cryptshare Server E-Mails über localhost senden. Eine Anpassung des Mailservers im Administrationsinterface muss nicht vorgenommen werden.

Wenn Sie eine feste Absenderadresse für Ihre Cryptshare Transfers verwenden (z.B. cryptsharetransfers@ihrefirma.de), muss auch der folgende Parameter hinzugefügt werden:

sender_canonical_maps = regexp:/etc/postfix/sender_canonical

Falls Sie den sender_canonical_maps Parameter verwenden, erstellen Sie die Datei "sender_canonical" mit der zuvor festgelegten Absenderadresse im Verzeichnis /etc/postfix/

echo /.+/ <sender address> > /etc/postfix/sender_canonical

Geben Sie im Anschluss folgenden Befehl ein:

postmap hash:/etc/postfix/sender_canonical

Um die Konfiguration von Postfix abzuschließen, starten Sie nun Postfix neu:

/etc/init.d/postfix restart

Um die Benachrichtigung im Falle von Betriebssystemaktualisierungen zu aktivieren, führen Sie folgenden Befehl aus:

dpkg-reconfigure apticron

Geben Sie Ihre Mailadresse an und speichern Sie Ihre Änderung. Um auch bei Ausfall der VM eine Benachrichtigung zu erhalten, verschieben Sie den Cronjob.

mv  /etc/cron.d/apticron /etc/cron.daily/apticron

3 Serverkonfiguration

Herzlichen Glückwunsch! Ihr Cryptshare Server ist nun erfolgreich installiert. Für die weitere Konfiguration und Einrichtung des Cryptshare Servers lesen Sie bitte die Schnellstartanleitung.