C'T Debian Server - Seite 2

Seite 2 von 2 - Forum: Linux and other OS auf overclockers.at

URL: https://www.overclockers.at/linux/ct_debian_server_182706/page_2 - zur Vollversion wechseln!

als dns kannst bind verwenden, da hast du aber dhcp auch gleich dabei, findest aber sicher auch leicht was das nur dns kann.

Bei linux ist ein firewall großteils unnötig, es ist nur der missglaube entstanden, dass du einen firewall brauchst, weil windows normalerweise mit einem fetten haufen an offenen ports mitkommt und wie war das bin mir nicht sicher ob die zahlen stimmen, aber ich glaub ein windows nt system war ein jahr nach dem ersten release mit allen updates ohne zusatzsoftware durchschnittlich nach 20 minuten von einem wurm befallen nur das windows komplexer geworden ist, mehr umfang hat, das ganze unübersichtlicher geworden ist und der würmer traffic seit dem um ein x faches angestiegen ist.

Deswegen brauchst du bei einem windows system einen (personal) firewall, bei linux hast du genau das zeug mitlaufen, dass du haben willst, die dienste ssh, ftp, smtp, imap ...... sind darauf ausgelegt, dass sie eh nur auf die reagieren, die zugang drauf haben. Also von sicherheitssachen her eher unspektakulär.

Bei ipchains (dem linux firewall) hast du alles, was netzwerkmanagement braucht drinnen, du kannst den zugriff auf irgendwas von der mac adresse, der ip der bah absperren, so wie sonst auch, aber du hast auch sämtliches nat zeug und packetfiltering und sowas drinnen. Die anwendung ist imho nicht einmal ähnlich, von sicherheit her kanns dir was bringen, weil du alle zugänge in einem file geloggt hast und auch dienstunabhängig eine dos attake abfangen kannst aber ich denk nicht, dass du damit probleme haben wirst.

Wenn du wirklich in security mehr machen willst kannst du dir zb amal selinux und tripwire anschauen, dann vllt noch die config files etwas umbügeln, root per ssh sperren, die zugriffsrechte verändern, dass nicht jeder alles anschauen kann und dann vllt noch mit xen virtualisieren, dass dir in einer ungünstigen situation maximal ein dienst abschmiert und nicht alles abgesehen davon gibts noch viel mehr. Aber wenn du das gemacht hast kannst dir sicher sein, dass dein server sagen wir mal so eher keiner der tief hängenden früchte ist und die chance, dass dir den jemand zamhaut ist extrem gering.

Es ist wichtiger wenn du die updates regelmäsig einspielst und bugreports zu den diensten durchliest.

Debian ist eins der wenn nicht sogar das sicherste server os das allein macht das ding praktisch unknackbar.

Hab ich soeben jegliches interesse an security zerstört? Kann sein, aber du brauchst dir drum gar nicht so den kopf zu zerbrechen die chancen sind sehr gering.

bind find ich fast a bissl übertrieben. Das Ding is riesengroß und wird von den meisten für die primitivsten Sachen verwendet. Ich würd was kleiners empfehlen wie pdns. Das is auch leichter zu konfigurieren nach meiner Erfahrung.
Die Virtualisierung is auch so eine Sache. Ich würd das für den Anfang amal lassen. Du wirst auch so mit den Paketen genug zu tun haben und XEN oder VMware oder was auch immer du willst kannst später immer noch einspielen.

@Marcellus: Dabei das Debian das sicherste OS is muss ich dir leider wiedersprechen. Ein BSD is z.B. wesentlich sicherer als die meisten Linux distros. Genauso gibts z.B. auch für Debian einen gepatchten Kernel und Pakete die die Sicherheit nochamal um vieles verbessern (http://www.adamantix.org/).
Ich z.B. verwend einen Gentoo hardened Kernel mit grsecurity. Das is schon ziemlich heftig weil ich derzeit probleme hab folding@home zum laufen zu bringen weil mir da einige Sicherheitseinstellungen dazwischenpfuschen.

@mpix: Ich schätz du verwendest das ganze zuhause, also muss du nicht auf die Sicherheit von anderen Usern und Daten schauen was das ganze schon um ein Eck einfacher macht. Schnapp dir einfach ein Debian und setz den Mailserver auf (fetchmail/postfix, procmail, courier/cyrus). Wenn das soweit rennt kannst du dich um Probleme wie Sicherheit etc. kümmern, weils ja eh "nur " um deine eigenen Daten geht. Von sich aus is das System schon sicher genug dass nix so schnell passiert wenn dein root passort nicht "god", "sex", "love" oder "secret" is.

Zitat von Bowser

Also ich hab mir den Server jetzt kurz durchgeschaut und kann dir von der ct Version nur abraten. Die verwenden als Mailserver ein ClarkConnect Komplettpaket. Das is eine nach 30 Tagen ablaufenden Testversion wenn ich das jetzt richtig gelesen hab!
Ganz ehrlich. Schnapp dir ein Debian, schmeiß fetchmail bzw postfix drauf (jenachdem wie deine Infrastruktur ausschaut), ein procmail dazu und du hast schon ein laufendes mailsystem. Dazu noch einen IMAP Server (Courier oder Cyrus), SSH kommt quasi auch vorkonfiguriert, Apache, PHP, MySQL ist absolut keine hexerei und von SAMBA gibts hunderte gute HowTos. Für AntiVirus uns SPAM kann ich dir die Kombination ClamAV, Amavis, Spamassassin, Pyzor, Razor empfehlen. Auch in genügend HowTos beschrieben wennst die Sachen nur laufen haben willst und net mehr.
Firewall is so eine Sache, denn bei der derzeitigen Software is eine Firewall eigentlich nicht mehr nötig, zumindes eine richtige Firewall. Das Problem ist, dass die meisten etwas anderes unter Firewall verstehen als es eigentlich ist.
Beim Nameserver frag ich mich jetzt wass du meinst. Einen richtigen Nameserver wirst kaum brauchen und deine eigene Domain darfst sowieso nur hosten wennst mindestens 2 Systeme rennen hast die räumlich getrennt sind. Wennst hinter einem Router oder so hängst kanns wieder Sinn machen, aber dann is die Firewall unnötig.

Ich hab die letzten Postings des Threads nur ueberflogen, da ich aber doch schon einiges an Erfahrung (auch beruflich) mit populaeren Daemons fuer viele verschiedene Einsatzzwecke gesammelt habe, erlaube ich mir trotzdem, meinen Senf dazuzugeben:

httpd: Apache 2.2, alles andere ist schnulli-wulli. Lighty mag ganz nett sein wenn man genau EINE darauf getrimmte Applikation fahren moechte, aber sonst ist Schluss, sobald man mal einen Konfigurationswert im Scope eines Verzeichnisses setzen moechte. Somit leider auch fuer viele Webapplikationen quasi unbrauchbar. Fuer kleines, nur statisches Hosting finde ich thttpd sehr angenehm.

smtpd: postfix all the way. Die exim-Konfiguration ist im Vergleich zur Eingaengigkeit von postfix imho ein mittleres Verbrechen; zu sendmail sag' ich erst besser gar nichts, wird durch die Boardsoftware eh nur zensiert. Zu qmail, aka "dem Mailserver aus der Neusteinzeit", kann ich nichts sagen, habe ihn aufgrund der Lizenz gar nie in Betracht gezogen.

imapd: Hab nur courier probiert. Fuer brauchbar befunden. Nichtquelloffene all-in-one-Loesungen halte ich generell fuer keine brauchbare Idee, wenn ich mir ansehe was manche sysadmin-Kollegen mit ihren Mailbombboxen trotz (oder wegen?) Klickibunti-Interfaces so auffuehren, moechten mir die Traenen kommen.

dbms: mysql 5.0, einfach weil weitverbreitet, leicht verfuegbar, gut dokumentiert. Fuer Sachen wie Echtzeitreplikation eignet sich das System meiner Meinung nach nicht wirklich; wie es mit PostgreSQL da aussieht, kann ich nicht sagen (angeblich aber gut). Das duerfte aber eh nur Leute betreffen, die sich in diese Richtung speziell weiterbilden moechten.

dns: Man kann bind nehmen. Man kann sich aber auch mit einem Seil um den Hals vom Donauturm springend mit einer Magnum in die Schlaefe schieszen. Nur weil man etwas kann, tut man es nicht. powerdns kann ich empfehlen; der frisst auch bind-zones. djbdns wird mancherorts eingesetzt; ich halt's hier wie mit qmail.

file: Mit Windows (non-Server-2003) Clients im Netzwerk kommt man an samba eh nicht herum. Fuer alle ernsthaften Anwendungen ist nfs4 sehr nett. Etwas schwieriger einzurichten als nfs[23], dafuer auch endlich wirklich brauchbar.

antispam: spamassassin.

dhcp: udhcpd (oder, in Verbindung mit DNS, dnsmasq. Fuer kleinere Sites durchaus ausreichend und brauchbar.)

ftp: ftp ist pfui, fuer alles, was non-anonymous oder auch nur im entferntesten sensibel ist, laesst man das steinalte Drecksprotokoll in der Kiste. Fuer alles andere gibt's eigetlich oftpd - anonymous only, hat gar keine schreibenden funktionen implementiert, und nutzt den sendfile()-syscall zum senden von Files. Mehr kann man echt nicht verlangen.


Noch einige Antworten/Reaktionen auf die eine oder andere aufgeschnappte Impression:

"Ein BSD is z.B. wesentlich sicherer als die meisten Linux distros."
- Bullshit.

"Bei ipchains (dem linux firewall) hast du alles..."
- (Achtung, Nitpicking folgt). ipchains ist seit Linux 2.4 durch iptables ersetzt, und das Frontend/Interface zu netfilter, dem kernelinternen Paketfilter. Eine Firewall ist immer ein Konzept zur Absicherung eines Netzwerks/Hosts; ein Paketfilter hoechstens eine Teilkomponente dieser.

- Den c't-Server finde ich ganz nett, auch wenn ich nicht weisz, wie es da mit der Repository-Pflege aussieht. Xen ist imho auch nicht grade die attraktivste Form der Virtualisierung; linux-vserver ist imho fuer kleine Setups die mit Abstand sinnigste Variante. Interessant wird auch, wie sich kvm und lguest entwickeln, noch ist das aber nicht ganz abzusehen.

- Das grsecurity-Patchset ist uebrigens ganz cool; ich kenne nur keine aktiv maintainte Distro, die es (inkl. PaX) einsetzt. Auszer Gentoo Hardened, aber das ist quasi-tot bzw. im Sterben.


So, das war's fuer mich - jeden Tag eine gute Tat

Ich bin jetzt eindeutig für einen ubuntu lampp sever antivirus noch avast drauf und gut is(der checkt auch deine mails)!

lg CF

Zitat von COLOSSUS

Zitat von $yrus

das mein ich ja, der plex ist eben in a schon verfügbar, wenn ich den pioneer in de bestelle, komme ich mit den vk auf ziemlich selben preis, wie wenn ich mir den plex beim ditech abhole...

@COLOSSUS: Danke für die wirklich ausführliche Antwort !!
Hilft wirklich sehr !!

Eine Frage, die ich leider noch imemr nicht ganz beantwortet habe, auch über google nicht so richtig ist: Warum Virtualisierung ?? Gehts auch ohne gut oder MUSS ich das machen um einen wirklich guten Server zu haben ??
Irgendwie ist das einzige, wovor ich wirklich ein bissl Angst habe, da ich das noch NIE gemacht habe und auch den Sinn eben nicht ganz verstehe ..
Vielleicht könnte da mal einer was dazu sagen ?!

Danke vielmals !!

Ich würd dir empfehlen die Virtualisierung fürs erste amal zu lassen. Du wirst auch mit dem Rest genug zu tun haben.
Virtualisierung bringt dir halt einige Vorteile wie z.B. dass du einzelne Prozesse in verschiedenen Systemen auf der selben Maschine laufen hast und die sich eben gegenseitig nicht beeinflussen können bei einem crash. Außerdem is es ganz nett ein LVM zu haben, weil man so Partitionen online vergrößern kann und nicht nur die letzte Partition auf der Festplatte.

Zitat von Bowser

Wieso sollte Gentoo Hardened am sterben sein? Ich fahr derzeit sehr gut damit und es kommen regelmäßig updates. Ich will das jetzt nicht abstreiten weil ich mich grad damit noch nicht so beschäftigen hab können, aber mir kommts eben nicht so vor.

Zitat von Bowser

Ich würd dir empfehlen die Virtualisierung fürs erste amal zu lassen. Du wirst auch mit dem Rest genug zu tun haben.
Virtualisierung bringt dir halt einige Vorteile wie z.B. dass du einzelne Prozesse in verschiedenen Systemen auf der selben Maschine laufen hast und die sich eben gegenseitig nicht beeinflussen können bei einem crash. Außerdem is es ganz nett ein LVM zu haben, weil man so Partitionen online vergrößern kann und nicht nur die letzte Partition auf der Festplatte.

Hab jetzt ein bissl im google rumgesucht und finde einfach keinen coolen Text darüber, was man bei der virtualisierung genau macht und warum ..
Ich denke nicht, dass ich das bei meinem Server machen werde .. Zumindest nicht von anfang an .. Doch ich möchte einfach mal was drüber lesen, weils mich sehr interessiert ..

Kennt vielleicht einer eine nette Seite wo das drinnen steht ??

Danke !!

Da gabs doch mal so eine Seite ... wie hieß die noch ... achja genau, Wikipedia! scnr

http://en.wikipedia.org/wiki/Virtualization
http://de.wikipedia.org/wiki/Virtualisierung_(Informatik)

Zitat von nexus_VI

Da gabs doch mal so eine Seite ... wie hieß die noch ... achja genau, Wikipedia! scnr

http://en.wikipedia.org/wiki/Virtualization
http://de.wikipedia.org/wiki/Virtualisierung_(Informatik)

overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2025