*********************** mapWOC-Cluster aufbauen *********************** Zum Aufbau eines mapWOC-Clusters sind (mindestens) zwei Rechner notwendig. Beide Maschinen werden aufgesetzt und das mapWOC-System sowie die Abbilder der VMn installiert. Die beiden Rechner werden an das Netzwerk angeschlossen und entsprechend konfiguriert. Ein Rechner *R1* wird zum Master *M* ernannt. Zusätzlich wird auf *R1* ein Knoten *K1* eingerichtet. Master und Knoten laufen in der Regel unter zwei unterschiedlichen Benutzern auf *R1*. Auf Rechner *R2* wird ein Knoten *K2* eingerichtet. Für *M* wird ein SSH-Schlüsselpaar erzeugt und auf den beiden Knoten *K1* und *K2* bekannt gemacht (i.d.R. *~/.ssh/authorized_keys*). Ferner benötigt der Master zum autorisierten Zugriff auf die Knoten deren Fingerprints (*known_hosts*). Über jeweils eine mapWOC-Konfigurationsdatei werden die beiden Knoten *K1* und *K2* auf dem Master registriert. Nach dem Start aller mapWOC-Dienste sind *K1* und *K2* in der Benutzeroberfläche unter dem Menüpunkt *Knoten* sichtbar. Um den Knoten *K2* aus dem Cluster herauszunehmen wird gegensätzlich gearbeitet: der SSH-Schlüssel des Masters *A* wird auf *K2* entfernt. Ferner muss auf dem Master *M* die Konfigurationsdatei *K2* entfernt werden. Nach Neustart der mapWOC-Dienste (master und node) besitzt *M* nur noch einen Knoten *K1*. Konfiguration eines weiteren Knotens ==================================== .. attention:: Die hier angegebene Konfiguration ist als Beispiel zu verstehen und sollte für den Produktivbetrieb sorgfältig mit vorhandener Infrastruktur und Sicherheitspolicy in Einklang gebracht werden. #. Pakete installieren:: apt-get install mapwoc #. Nutzer einrichten:: adduser --disable-password mapwoc usermod -a -G kvm mapwoc .. note:: Dieser Schritt entfällt, wenn das Paket mapwoc-quick installiert wurde. .. important:: Folgende Schritte sind als Nutzer mapwoc auszuführen (sofern ausreichende Rechte vorhanden sind). #. Sicherstellen, dass der sshd Schlüssel-basierte Authentifizierung erlaubt: Dazu muss die Datei :file:`/etc/ssh/sshd_config` die Zeile "PubkeyAuthentication yes" enthalten (Standard-Einstellung). #. Zugriff auf Resultate via öffentlichen Schlüssel (default: /var/lib/mapwoc/master/credentials/master_key.pub) vom master erlauben:: mkdir ~/.ssh # master_key.pub vom Master auf Node kopieren. cat master_key.pub >> .ssh/authorized_keys rm master_key.pub #. Dem Master den Node-host bekannt machen. Entweder /home/mapwoc/.ssh/known_hosts auf master-seite per Hand anpassen oder mit .. code-block:: bash ssh -i /var/lib/mapwoc/master/credentials/master_key ip-of-node SSH diesen Eintrag schreiben lassen (die aufkommende Frage ist dann mit 'yes' zu beantworten). #. Die Datei :file:`/etc/mapwoc/mapwoc-node.config` anpassen, damit die Node auch nach außen lauscht: ctrl_interface= (Also das localhost nach dem "=" entfernen). Weitere Änderungen nur, wenn von den Default-Ports oder -Pfaden abgewichen werden soll. #. HC-Dateien für die node hinterlegen: :ref:`Eigene Clients hinzufügen ` oder :ref:`ref-demo-hc`. #. Auf der master-Seite ist eine node-configuration zu estellen:: [remote-node] name=Remote Node description=This node runs on a different host than the master rsync_address=hostname ip=10.2.1.2 port=18158 (rsync_address und ip sind den Gegebenheiten anzupassen.) #. Netzwerk Es ist sicherzustellen, dass der Redirector-Port (i.d.R. 80) auf den master weitergeleitet wird (z.B. mit ssh port-forwarding oder rinetd). Wenn das Paket mapwoc-quick installiert wurde, gibt es in :file:`/etc/rinetd.conf` bereits einen Eintrag:: localhost 80 localhost 8123 Um die rinetd-Weiterleitung auf den master zu biegen, muss das zweite localhost (connectaddress) durch die IP des masters ersetzt werden. Da der redirector standardmäßig nur auf localhost lauscht, muss dies auf dem master geändert werden. Dort ist in der Datei :file:`/etc/mapwoc/mapwoc-redirector.conf` der Wert von *redirector_interface=* entfernt werden (Zeichen hinter dem "=" entfernen). Beide Dienste (rinetd auf der node, mapwoc-redirector auf dem master) müssen neu gestartet werden, damit die Änderungen wirksam werden. #. Die Node starten:: mapwoc-node .. note:: Auf den zusätzlichen Knoten müssen weder mapwoc-redirector, mapwoc-master noch die GUI gestartet werden. Es muss allerdings sichergestellt sein, dass die HoneyClients den Redirector auf dem master erreichen. #. Den Master neu starten:: # Auf dem master mapwoc-master