V8.00.000.2025.06.17

Signed-off-by: Marc S. Weidner <msw@coresecret.dev>
2025-09-05 17:15:05 +02:00
parent 2e83b6a7cc
commit 4c89e79afc
23 changed files with 942 additions and 332 deletions
--- a/.preseed/preseed.yaml
+++ b/.preseed/preseed.yaml
@@ -104,6 +104,7 @@ image: "linux-image-6.12.41+deb13-amd64"
                               # "linux-image-6.12.30+bpo-amd64"
                               # "linux-image-6.12.38+deb13-amd64"
 needrun: false                 # Static linking to "${TARGET}/run" can cause problems if this data is "burned" into the target.
+provider: "netcup"             # MUST be one of "contabo", "hetzner", "netcup" or leave empty.

 ################################################################################################################################
 # Dropbear settings
@@ -115,7 +116,7 @@ dropbear:
                               # Additional ultra hardening of the dropbear initramfs environment via firewall.
                               # The "bastion_ipv4" MUST be provided.
  port: 42137                  # SSH Port dropbear initramfs should listen.
-  pub_key: "/.preseed/unlock_wrapper_pubring.gpg"
+  pub_key:  "/.preseed/unlock_wrapper_pubring.gpg"
                               # './path/to/unlock_wrapper_pubring.pgp' to check the signature of: 'unlock-wrapper.sh.sha512.sig'
  sha_file: "/.preseed/unlock_wrapper.sh.sha512"
                               # './path/to/unlock_wrapper.sh.sha512' to verify the integrity of: 'unlock-wrapper.sh'
@@ -425,7 +426,7 @@ grub_parameter:
 grub:
  background:                  # RECOMMENDED settings: JPG 1280 x 1024 px or JPG 1920 x 1080 px
    enable: true               # If you want to add a GRUB background.
-    path: "/includes/target/etc/default/grub.d/hexagon_1280_720.png"
+    path: "/includes/target/etc/default/grub.d/club_1280_720.png"
  bootdev: "/dev/sda"          # Due notably to potential USB sticks, the location of the primary drive cannot be determined
                               # safely in general, so this needs to be specified.
  force_efi: true              # Force GRUB installation to the EFI removable media path?
@@ -530,6 +531,7 @@ network:
 # Security settings
 ################################################################################################################################
 security:
+  ufw_out: deny                # Policy for ufw outbound traffic. MUST be either 'allow' or 'deny'.
  unauthenticated: false       # The installer will ensure that any packages are signed and authenticated.
  unauthenticated_ssl: false   # This ensures that the connection between the installer, and the server from which files
                               # are downloaded, is encrypted and signed by a trusted certificate authority.
@@ -558,10 +560,12 @@ software:
  # util-linux
  # vim-common
  # zstd
+  #
  ##############################################################################################################################
  ### Installed by 4110_update_sources.sh
  ##############################################################################################################################
  # unattended-upgrades
+  #
  ##############################################################################################################################
  ### Installed by 4130_installation_toolset.sh
  ##############################################################################################################################
@@ -603,33 +607,56 @@ software:
  # wget
  # whois
  # zsh
+  #
  ##############################################################################################################################
  ### Installed by 4140_installation_microcode.sh
  ##############################################################################################################################
  # amd64-microcode
  # intel-microcode
+  #
  ##############################################################################################################################
  ### Installed by 4150_installation_chrony.sh
  ##############################################################################################################################
  # chrony
+  #
  ##############################################################################################################################
  ### Installed by 4220_installation_cryptsetup.sh
  ##############################################################################################################################
  # cryptsetup
  # cryptsetup-initramfs
+  #
  ##############################################################################################################################
  ### Installed by 4230_installation_grub.sh
  ##############################################################################################################################
  # grub2-common
  # grub-efi-amd64 || grub-efi-arm64 || grub-efi-ia32
+  #
+  ##############################################################################################################################
+  ### Installed by 4305_installation_netsec.sh
+  ##############################################################################################################################
+  # fail2ban
+  # ufw
+  #
  ##############################################################################################################################
  ### Installed by 4310_dropbear_build.sh
  ##############################################################################################################################
  # dropbear-initramfs
+  #
  ##############################################################################################################################
-  ### Installed by 4420_installation_ssh.sh
+  ### Installed by 4330_installation_ssh.sh
  ##############################################################################################################################
  # ssh
+  #
+  ##############################################################################################################################
+  # Installed by 4510_accounts_hardening.sh
+  ##############################################################################################################################
+  # libpam-google-authenticator
+  # keychain
+  # wamerican
+  # wbritish
+  # wfrench
+  # wngerman
+  #
  ##############################################################################################################################
  # core software
  ##############################################################################################################################
@@ -643,7 +670,6 @@ software:
  - git
  - knot-dnssecutils
  - knot-dnsutils
-  - libpam-google-authenticator
  - locate
  - rsyslog
  - screen
@@ -688,19 +714,6 @@ software:
  ##############################################################################################################################
  - mdadm
  ##############################################################################################################################
-  # password
-  ##############################################################################################################################
-  - keychain
-  - wamerican
-  - wbritish
-  - wfrench
-  - wngerman
-  ##############################################################################################################################
-  # security
-  ##############################################################################################################################
-  - fail2ban
-  - ufw
-  ##############################################################################################################################
  # sw dev
  ##############################################################################################################################
  #- build-essential
@@ -752,7 +765,7 @@ ntp:
 ################################################################################################################################
 ssh:
  allow_hardening: true        # For additional hardening of SSH connections via TCP wrapper: '/etc/hosts.allow'.
-  # If "allow_hardening" = "true", at least one 'allow_ipv4' MUST be provided.
+                               # If "allow_hardening" = "true", at least one 'allow_ipv4' MUST be provided.
  allow_ipv4:                  # Provide Bastion / Jump-Server / static VPN-Exit-Nodes IPv4: will be added: 'f2ban-ignoreip'.
    - 202.61.246.50
  allow_ipv6:                  # Provide Bastion / Jump-Server / static VPN-Exit-Nodes IPv6: will be added: 'f2ban-ignoreip'.