projects / Institute / commitdiff
? search:
summary | shortlog | log | commit | commitdiff | tree
raw | patch | inline | side by side (parent: 07607b9)
Wordsmithing. Punt redundant mention of make-cadir.
authorMatt Birkholz <matt@birchwood-abbey.net>
Mon, 11 Mar 2024 22:26:06 +0000 (17:26 -0500)
committerMatt Birkholz <matt@birchwood-abbey.net>
Mon, 11 Mar 2024 23:33:54 +0000 (18:33 -0500)
README.html patch | blob | history
README.org patch | blob | history

diff --git a/README.html b/README.html
index fd9a8efaa5d979d8557852c4610f5df2ab38d9dc..21865734f7a8dfe231a45727be5b91d4aff6bb21 100644 (file)
--- a/README.html
+++ b/README.html
@@ -3,7 +3,7 @@
 "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
 <html xmlns="http://www.w3.org/1999/xhtml" lang="en" xml:lang="en">
 <head>
-<!-- 2024-03-09 Sat 10:34 -->
+<!-- 2024-03-11 Mon 17:33 -->
 <meta http-equiv="Content-Type" content="text/html;charset=utf-8" />
 <meta name="viewport" content="width=device-width, initial-scale=1" />
 <title>A Small Institute</title>
@@ -48,7 +48,7 @@ connects to Front making the institute email, cloud, etc. available to
 members off campus.
 </p>
 
-<pre class="example" id="org908d63b">
+<pre class="example" id="org842edc1">
                 =                                                   
               _|||_                                                 
         =-The-Institute-=                                           
@@ -703,14 +703,6 @@ e.g. <code>root@core.small.private</code>.</dd>
 <dt><a href="Secret/root-sec.pem"><q>Secret/root-sec.pem</q></a></dt><dd>The ASCII armored OpenPGP secret key.</dd>
 </dl>
 
-<p>
-When <a href="#org671a111">The CA Command</a> sees an empty <a href="Secret/CA/"><q>Secret/CA/</q></a> directory, as
-though just created by running the EasyRSA <code>make-cadir</code> command in
-<a href="Secret/"><q>Secret/</q></a> (a new, encrypted volume), the <code>./inst CA</code> command creates
-all of the certificates and keys mentioned above.  It may prompt for
-the institute's full name.
-</p>
-
 <p>
 The institute administrator updates a couple encrypted copies of this
 drive after enrolling new members, changing a password, issuing VPN
@@ -1030,7 +1022,7 @@ example result follows the code.
 </pre>
 </div>
 
-<div class="TEXT" id="orgb05406e">
+<div class="TEXT" id="orgde5cea3">
 <p>
 =&gt; 10.62.17.0/24
 </p>
@@ -1483,7 +1475,7 @@ USB-Ethernet adapter, or a wireless adapter connected to a
 campground Wi-Fi access point, etc.</li>
 </ol>
 
-<pre class="example" id="org9215090">
+<pre class="example" id="org6d09f97">
 =============== | ==================================================
                 |                                           Premises
           (Campus ISP)                                              
@@ -1506,7 +1498,7 @@ This avoids the need for a second Wi-Fi access point and leads to the
 following topology.
 </p>
 
-<pre class="example" id="org451080a">
+<pre class="example" id="orgc1e3280">
 =============== | ==================================================
                 |                                           Premises
            (House ISP)                                              
@@ -1659,8 +1651,8 @@ The <code>all</code> role contains tasks that are executed on all of the
 institute's servers.  At the moment there is just the one.
 </p>
 </div>
-<div id="outline-container-org6c2f99f" class="outline-3">
-<h3 id="org6c2f99f"><span class="section-number-3">6.1.</span> Include Particulars</h3>
+<div id="outline-container-org4e59c64" class="outline-3">
+<h3 id="org4e59c64"><span class="section-number-3">6.1.</span> Include Particulars</h3>
 <div class="outline-text-3" id="text-6-1">
 <p>
 The <code>all</code> role's task contains a reference to a common institute
@@ -1801,8 +1793,8 @@ uses the institute's CA and server certificates, and expects client
 certificates signed by the institute CA.
 </p>
 </div>
-<div id="outline-container-org61196f1" class="outline-3">
-<h3 id="org61196f1"><span class="section-number-3">7.1.</span> Include Particulars</h3>
+<div id="outline-container-org9ff2317" class="outline-3">
+<h3 id="org9ff2317"><span class="section-number-3">7.1.</span> Include Particulars</h3>
 <div class="outline-text-3" id="text-7-1">
 <p>
 The first task, as in <a href="#orgd60dcd1">The All Role</a>, is to include the institute
@@ -1827,8 +1819,8 @@ membership roll, so these are included was well.
 </div>
 </div>
 </div>
-<div id="outline-container-orgf305da5" class="outline-3">
-<h3 id="orgf305da5"><span class="section-number-3">7.2.</span> Configure Hostname</h3>
+<div id="outline-container-org2ecf1fc" class="outline-3">
+<h3 id="org2ecf1fc"><span class="section-number-3">7.2.</span> Configure Hostname</h3>
 <div class="outline-text-3" id="text-7-2">
 <p>
 This task ensures that Front's <q>/etc/hostname</q> and <q>/etc/mailname</q> are
@@ -1858,8 +1850,8 @@ delivery.
 </div>
 </div>
 </div>
-<div id="outline-container-org2e0d608" class="outline-3">
-<h3 id="org2e0d608"><span class="section-number-3">7.3.</span> Add Administrator to System Groups</h3>
+<div id="outline-container-org0365651" class="outline-3">
+<h3 id="org0365651"><span class="section-number-3">7.3.</span> Add Administrator to System Groups</h3>
 <div class="outline-text-3" id="text-7-3">
 <p>
 The administrator often needs to read (directories of) log files owned
@@ -1918,8 +1910,8 @@ those stored in <a href="Secret/ssh_front/etc/ssh/"><q>Secret/ssh_front/etc/ssh/
 </div>
 </div>
 </div>
-<div id="outline-container-orgb71ce41" class="outline-3">
-<h3 id="orgb71ce41"><span class="section-number-3">7.5.</span> Configure Monkey</h3>
+<div id="outline-container-org4dc1eb8" class="outline-3">
+<h3 id="org4dc1eb8"><span class="section-number-3">7.5.</span> Configure Monkey</h3>
 <div class="outline-text-3" id="text-7-5">
 <p>
 The small institute runs cron jobs and web scripts that generate
@@ -1975,8 +1967,8 @@ Monkey uses Rsync to keep the institute's public web site up-to-date.
 </div>
 </div>
 </div>
-<div id="outline-container-orge5a6f0f" class="outline-3">
-<h3 id="orge5a6f0f"><span class="section-number-3">7.7.</span> Install Unattended Upgrades</h3>
+<div id="outline-container-orged061bf" class="outline-3">
+<h3 id="orged061bf"><span class="section-number-3">7.7.</span> Install Unattended Upgrades</h3>
 <div class="outline-text-3" id="text-7-7">
 <p>
 The institute prefers to install security updates as soon as possible.
@@ -1991,8 +1983,8 @@ The institute prefers to install security updates as soon as possible.
 </div>
 </div>
 </div>
-<div id="outline-container-org3da9c14" class="outline-3">
-<h3 id="org3da9c14"><span class="section-number-3">7.8.</span> Configure User Accounts</h3>
+<div id="outline-container-org328bd8d" class="outline-3">
+<h3 id="org328bd8d"><span class="section-number-3">7.8.</span> Configure User Accounts</h3>
 <div class="outline-text-3" id="text-7-8">
 <p>
 User accounts are created immediately so that Postfix and Dovecot can
@@ -2035,8 +2027,8 @@ recipient" replies.  The <a href="#orge7fe793">Account Management</a> chapter de
 </div>
 </div>
 </div>
-<div id="outline-container-org9e626f9" class="outline-3">
-<h3 id="org9e626f9"><span class="section-number-3">7.9.</span> Install Server Certificate</h3>
+<div id="outline-container-org2ab49c8" class="outline-3">
+<h3 id="org2ab49c8"><span class="section-number-3">7.9.</span> Install Server Certificate</h3>
 <div class="outline-text-3" id="text-7-9">
 <p>
 The servers on Front use the same certificate (and key) to
@@ -2263,8 +2255,8 @@ created by a more specialized role.
 </div>
 </div>
 </div>
-<div id="outline-container-orgc70152d" class="outline-3">
-<h3 id="orgc70152d"><span class="section-number-3">7.12.</span> Configure Dovecot IMAPd</h3>
+<div id="outline-container-org26190b7" class="outline-3">
+<h3 id="org26190b7"><span class="section-number-3">7.12.</span> Configure Dovecot IMAPd</h3>
 <div class="outline-text-3" id="text-7-12">
 <p>
 Front uses Dovecot's IMAPd to allow user Fetchmail jobs on Core to
@@ -2620,8 +2612,8 @@ the users' <q>~/Public/HTML/</q> directories.
 </div>
 </div>
 </div>
-<div id="outline-container-org6af4461" class="outline-3">
-<h3 id="org6af4461"><span class="section-number-3">7.14.</span> Configure OpenVPN</h3>
+<div id="outline-container-orgf920b5f" class="outline-3">
+<h3 id="orgf920b5f"><span class="section-number-3">7.14.</span> Configure OpenVPN</h3>
 <div class="outline-text-3" id="text-7-14">
 <p>
 Front uses OpenVPN to provide the institute's public VPN service.  The
@@ -2904,8 +2896,8 @@ Debian install and remote access to a privileged, administrator's
 account.  (For details, see <a href="#org8d60b7b">The Core Machine</a>.)
 </p>
 </div>
-<div id="outline-container-orgb954e91" class="outline-3">
-<h3 id="orgb954e91"><span class="section-number-3">8.1.</span> Include Particulars</h3>
+<div id="outline-container-orga30cdd5" class="outline-3">
+<h3 id="orga30cdd5"><span class="section-number-3">8.1.</span> Include Particulars</h3>
 <div class="outline-text-3" id="text-8-1">
 <p>
 The first task, as in <a href="#org9240129">The Front Role</a>, is to include the institute
@@ -2927,8 +2919,8 @@ particulars and membership roll.
 </div>
 </div>
 </div>
-<div id="outline-container-org64f83db" class="outline-3">
-<h3 id="org64f83db"><span class="section-number-3">8.2.</span> Configure Hostname</h3>
+<div id="outline-container-orgc3412ed" class="outline-3">
+<h3 id="orgc3412ed"><span class="section-number-3">8.2.</span> Configure Hostname</h3>
 <div class="outline-text-3" id="text-8-2">
 <p>
 This task ensures that Core's <q>/etc/hostname</q> and <q>/etc/mailname</q> are
@@ -2961,8 +2953,8 @@ proper email delivery.
 </div>
 </div>
 </div>
-<div id="outline-container-org50a4e06" class="outline-3">
-<h3 id="org50a4e06"><span class="section-number-3">8.3.</span> Configure Systemd Resolved</h3>
+<div id="outline-container-orge61e556" class="outline-3">
+<h3 id="orge61e556"><span class="section-number-3">8.3.</span> Configure Systemd Resolved</h3>
 <div class="outline-text-3" id="text-8-3">
 <p>
 Core runs the campus name server, so Resolved is configured to use it
@@ -3385,8 +3377,8 @@ craps up <q>/var/log/</q> and the Systemd journal.
 </div>
 </div>
 </div>
-<div id="outline-container-org1d7bca1" class="outline-3">
-<h3 id="org1d7bca1"><span class="section-number-3">8.7.</span> Add Administrator to System Groups</h3>
+<div id="outline-container-org86f8fed" class="outline-3">
+<h3 id="org86f8fed"><span class="section-number-3">8.7.</span> Add Administrator to System Groups</h3>
 <div class="outline-text-3" id="text-8-7">
 <p>
 The administrator often needs to read (directories of) log files owned
@@ -3406,8 +3398,8 @@ these groups speeds up debugging.
 </div>
 </div>
 </div>
-<div id="outline-container-org4dc1eb8" class="outline-3">
-<h3 id="org4dc1eb8"><span class="section-number-3">8.8.</span> Configure Monkey</h3>
+<div id="outline-container-orgc79baad" class="outline-3">
+<h3 id="orgc79baad"><span class="section-number-3">8.8.</span> Configure Monkey</h3>
 <div class="outline-text-3" id="text-8-8">
 <p>
 The small institute runs cron jobs and web scripts that generate
@@ -3474,8 +3466,8 @@ described in <a href="#org1ac6235">*Configure Apache2</a>).
 </div>
 </div>
 </div>
-<div id="outline-container-org3075413" class="outline-3">
-<h3 id="org3075413"><span class="section-number-3">8.9.</span> Install Unattended Upgrades</h3>
+<div id="outline-container-org1c76b4a" class="outline-3">
+<h3 id="org1c76b4a"><span class="section-number-3">8.9.</span> Install Unattended Upgrades</h3>
 <div class="outline-text-3" id="text-8-9">
 <p>
 The institute prefers to install security updates as soon as possible.
@@ -3507,8 +3499,8 @@ with Nextcloud on the command line.
 </div>
 </div>
 </div>
-<div id="outline-container-org328bd8d" class="outline-3">
-<h3 id="org328bd8d"><span class="section-number-3">8.11.</span> Configure User Accounts</h3>
+<div id="outline-container-org4a578a7" class="outline-3">
+<h3 id="org4a578a7"><span class="section-number-3">8.11.</span> Configure User Accounts</h3>
 <div class="outline-text-3" id="text-8-11">
 <p>
 User accounts are created immediately so that backups can begin
@@ -3550,8 +3542,8 @@ describes the <code>members</code> and <code>usernames</code> variables.
 </div>
 </div>
 </div>
-<div id="outline-container-org4b51fec" class="outline-3">
-<h3 id="org4b51fec"><span class="section-number-3">8.12.</span> Install Server Certificate</h3>
+<div id="outline-container-org8af85b3" class="outline-3">
+<h3 id="org8af85b3"><span class="section-number-3">8.12.</span> Install Server Certificate</h3>
 <div class="outline-text-3" id="text-8-12">
 <p>
 The servers on Core use the same certificate (and key) to authenticate
@@ -3775,8 +3767,8 @@ installed by more specialized roles.
 </div>
 </div>
 </div>
-<div id="outline-container-org26190b7" class="outline-3">
-<h3 id="org26190b7"><span class="section-number-3">8.16.</span> Configure Dovecot IMAPd</h3>
+<div id="outline-container-orgd1b1ae5" class="outline-3">
+<h3 id="orgd1b1ae5"><span class="section-number-3">8.16.</span> Configure Dovecot IMAPd</h3>
 <div class="outline-text-3" id="text-8-16">
 <p>
 Core uses Dovecot's IMAPd to store and serve member emails.  As on
@@ -5559,8 +5551,8 @@ applied first, by which Gate gets a campus machine's DNS and Postfix
 configurations, etc.
 </p>
 </div>
-<div id="outline-container-orgf2f2ea0" class="outline-3">
-<h3 id="orgf2f2ea0"><span class="section-number-3">9.1.</span> Include Particulars</h3>
+<div id="outline-container-org9d95455" class="outline-3">
+<h3 id="org9d95455"><span class="section-number-3">9.1.</span> Include Particulars</h3>
 <div class="outline-text-3" id="text-9-1">
 <p>
 The following should be familiar boilerplate by now.
@@ -5929,8 +5921,8 @@ the daemon listens <i>only</i> on the Gate-WiFi network interface.
 </div>
 </div>
 </div>
-<div id="outline-container-org2ab49c8" class="outline-3">
-<h3 id="org2ab49c8"><span class="section-number-3">9.6.</span> Install Server Certificate</h3>
+<div id="outline-container-org1a2f9ae" class="outline-3">
+<h3 id="org1a2f9ae"><span class="section-number-3">9.6.</span> Install Server Certificate</h3>
 <div class="outline-text-3" id="text-9-6">
 <p>
 The (OpenVPN) server on Gate uses an institute certificate (and key)
@@ -5957,8 +5949,8 @@ and Front) do.
 </div>
 </div>
 </div>
-<div id="outline-container-orgf920b5f" class="outline-3">
-<h3 id="orgf920b5f"><span class="section-number-3">9.7.</span> Configure OpenVPN</h3>
+<div id="outline-container-org556ffbd" class="outline-3">
+<h3 id="org556ffbd"><span class="section-number-3">9.7.</span> Configure OpenVPN</h3>
 <div class="outline-text-3" id="text-9-7">
 <p>
 Gate uses OpenVPN to provide the institute's campus VPN service.  Its
@@ -6085,8 +6077,8 @@ Wireless campus devices can get a key to the campus VPN from the
 configured manually.
 </p>
 </div>
-<div id="outline-container-org4e59c64" class="outline-3">
-<h3 id="org4e59c64"><span class="section-number-3">10.1.</span> Include Particulars</h3>
+<div id="outline-container-org447849b" class="outline-3">
+<h3 id="org447849b"><span class="section-number-3">10.1.</span> Include Particulars</h3>
 <div class="outline-text-3" id="text-10-1">
 <p>
 The following should be familiar boilerplate by now.
@@ -6102,8 +6094,8 @@ The following should be familiar boilerplate by now.
 </div>
 </div>
 </div>
-<div id="outline-container-org2ecf1fc" class="outline-3">
-<h3 id="org2ecf1fc"><span class="section-number-3">10.2.</span> Configure Hostname</h3>
+<div id="outline-container-org4c3996e" class="outline-3">
+<h3 id="org4c3996e"><span class="section-number-3">10.2.</span> Configure Hostname</h3>
 <div class="outline-text-3" id="text-10-2">
 <p>
 Clients should be using the expected host name.
@@ -6130,8 +6122,8 @@ Clients should be using the expected host name.
 </div>
 </div>
 </div>
-<div id="outline-container-orge61e556" class="outline-3">
-<h3 id="orge61e556"><span class="section-number-3">10.3.</span> Configure Systemd Resolved</h3>
+<div id="outline-container-org065d2c9" class="outline-3">
+<h3 id="org065d2c9"><span class="section-number-3">10.3.</span> Configure Systemd Resolved</h3>
 <div class="outline-text-3" id="text-10-3">
 <p>
 Campus machines use the campus name server on Core (or <code>dns.google</code>),
@@ -6202,8 +6194,8 @@ and file timestamps.
 </div>
 </div>
 </div>
-<div id="outline-container-org0365651" class="outline-3">
-<h3 id="org0365651"><span class="section-number-3">10.5.</span> Add Administrator to System Groups</h3>
+<div id="outline-container-orgab509e9" class="outline-3">
+<h3 id="orgab509e9"><span class="section-number-3">10.5.</span> Add Administrator to System Groups</h3>
 <div class="outline-text-3" id="text-10-5">
 <p>
 The administrator often needs to read (directories of) log files owned
@@ -6223,8 +6215,8 @@ these groups speeds up debugging.
 </div>
 </div>
 </div>
-<div id="outline-container-orged061bf" class="outline-3">
-<h3 id="orged061bf"><span class="section-number-3">10.6.</span> Install Unattended Upgrades</h3>
+<div id="outline-container-orge010cca" class="outline-3">
+<h3 id="orge010cca"><span class="section-number-3">10.6.</span> Install Unattended Upgrades</h3>
 <div class="outline-text-3" id="text-10-6">
 <p>
 The institute prefers to install security updates as soon as possible.
@@ -9164,7 +9156,7 @@ routes on Front and Gate, making the simulation less&#x2026; similar.
 </div></div>
 <div id="postamble" class="status">
 <p class="author">Author: Matt Birkholz</p>
-<p class="date">Created: 2024-03-09 Sat 10:34</p>
+<p class="date">Created: 2024-03-11 Mon 17:33</p>
 <p class="validation"><a href="https://validator.w3.org/check?uri=referer">Validate</a></p>
 </div>
 </body>
diff --git a/README.org b/README.org
index f0756e848fe36e9723f227890bb8b7f4e3817333..3a0dd1cf3af9aaaaba6ca88e1956a106217c2619 100644 (file)
--- a/README.org
+++ b/README.org
@@ -561,12 +561,6 @@ Finally, the institute uses an OpenPGP key to secure sensitive emails
     e.g. ~root@core.small.private~.
   - [[file:Secret/root-sec.pem][=Secret/root-sec.pem=]] :: The ASCII armored OpenPGP secret key.
 
-When [[*The CA Command][The CA Command]] sees an empty [[file:Secret/CA/][=Secret/CA/=]] directory, as
-though just created by running the EasyRSA ~make-cadir~ command in
-[[file:Secret/][=Secret/=]] (a new, encrypted volume), the ~./inst CA~ command creates
-all of the certificates and keys mentioned above.  It may prompt for
-the institute's full name.
-
 The institute administrator updates a couple encrypted copies of this
 drive after enrolling new members, changing a password, issuing VPN
 credentials, etc.
Small Institute Networking