Server - aber unter welchem OS?

[wie auch immer]

Hi!

Ich möchte in absehbarer Zeit einen Server aufsetzen. Auf diesem soll Dateifreigabe per NFS, Druckerfreigabe über CUPS und mldonkey laufen.
System hat einen PII 450MHZ, ram-Austattung noch offen - bin aber Schüler,also auch ne Preisfrage...
Zusätzlich erschwerend ist,dass ich eigentlich ein UNIX-noob bin. Hab nur ein wenig mit kubuntu herum gespielt.

Jetzt stellt sich die Frage nach dem OS: Debian(aber dann ich welcher Version?),Ubuntu Serverinstallation, *-BSD(aber welches?) - Solaris läuft auf der alten Mühle wohl sowieso eher schlecht.

Die Frage nach dem Betriessystem stellt sich bei mir eigentlich nur weil ich nicht weiß welches ein noob einigermaßen sicher als Server laufen lassen kann. Auch Resourcenverbrauch spielt natürlich eine Rolle.

mfg
Fabian

[Maikel]

Welche Antwort erwartest du in einem debianforum?

Für das was du willst empfehle ich dir die NetISO [1] von debian Sarge zu ziehen und dann darauf die benötigten Programme einzuspielen.
Ubuntu Serverinstallation kommt so ziemlich auf das selbe raus. Bei ubuntu liegt der unterschied eher in der Desktopwelt (da ist es aktueller).

[1] http://cdimage.debian.org/pub/cdimage-t ... etinst.iso

[wie auch immer]

Hab mir ne objektve Antwort erwartet - aber erstmal danke für die Antwort

Gibt es denn jemand der meint,dass es ein noob nicht schafft einen sicherern Debianserver mit erwähnten Diensten einzurichten? OpenBSD wirbt zb mit standertmäßiger Sicherheit...

[rolo]

du wirst halt ein bischen (viel) lernen müssen, wenn du bisher keine erfahrung mit unix-artigen systemen hast.. ein server ist so sicher wie du ihn machst, das ist auch bei openbsd nicht anders. für den anfang, kannst du dich hier einlesen:
http://debiananwenderhandbuch.de/
hier wirst du auch noch einiges finden
http://www.debianforum.de/wiki/?page=Ebooks
und, natürlich wird dir in einem debianforum, debian empfohlen, was glaubst du, warum wir das benutzen.

[wie auch immer]

ok - vielen Dank

werde dann wohl, sobald ich das in Angriff nehme nochmal vorbei schauen und gegebenenfalls ein paar Fragen stellen.

EDIT:
Aber grundsätzlich: muss ich ein minimal-Debian installieren(weil weniger installiert=weniger potentielle Sicherheitslücken), NFS + CUPS konfigurieren, mldonkey in eine chroot-Umgebung stecken. - Hört sich eigentlich nicht allzu schwierig an,oder habe ich was vergessen? Achja die Festplatte wird über einen PCI-Controller laufen,da gilt es dann auch noch Probleme zu umschiffen.
:EDIT

mfg
Fabian

[init 0]

Hi,

du kannst ja ruhig Kubuntu als Server hernehmen. Es ist überhaupt nichts dabei. Die Konfiguration, bis auf Kleinigkeiten, ist genau wie bei Debian. Ich denke sowieso dass Projekte wie Ubuntu/Kubuntu die Zukunft von Debian ist. Natürlich bräuchtest du auf dem Server keine grafische Oberfläche. Für einen Anfänger gibts aber auch keinen Zwang mehr sich die Internas gleich vom Anfang an mit Gewalt anzutun. Da es unter Linux nicht wirklich unterschieden wird zwischen Server/Desktop kann man auf einen "Desktop" alles draufinstallieren was sonst auf einen Server draufkommt. Umgekehrt natürlich auch. Nur vom mldonkey solltest du nicht zu viel erwarten. Auf einen PII 450 könnte es da gelegentlich zu Engpässen kommen. Die Firewall solltest du nicht vergessen. Ein Linuxserver läuft wenn man ihn lässt recht lange und unscheinbar vor sich hin. So vergisst man leicht ihn abzusichern und zu beobachten.

[meandtheshell]

Debian(aber dann ich welcher Version?),Ubuntu Serverinstallation, *-BSD(aber welches?)

debian sarge oder freebsd - ubuntu ist was für den desktop markt

EDIT:
Aber grundsätzlich: muss ich ein minimal-Debian installieren(weil weniger installiert=weniger potentielle Sicherheitslücken),

ja richtig

mldonkey in eine chroot-Umgebung stecken

spar dir die mühe - das habe ich auch bis vor ein paar monaten falsch eingeschätzt - aus einer chroot umgebung bist du wenn man es drauf hat in ca. 2 min drausen

Hört sich eigentlich nicht allzu schwierig an,oder habe ich was vergessen?

auf jeden fall vorher einmal die bereiche die du angehen möchtest da lesen
http://debiananwenderhandbuch.de/

nimm das image das Maikel dir gennant hat - für den fall das du debian nehmen möchtest

@ Init 0

Ich denke sowieso dass Projekte wie Ubuntu/Kubuntu die Zukunft von Debian ist

äh - nein - Ubuntu/Kubuntu zeigt was man mit geld machen kann um in den markt der desktop systeme vorstossen zu können - man nehme geld ein paar debian entwickler und mache Ubuntu/Kubuntu - es wird eher so sein das dieses wissen in debian zurück fließen wird aber kern bleibt sicher debian ganz einfach weil kernel und packete wichtiger sind für die leute als desktop geschichten

Da es unter Linux nicht wirklich unterschieden wird zwischen Server/Desktop

- wenn nicht hier wo dann? xserver läuft völlig unabhängig vom kernel space bzw. nur ganz wenige direkt zugriffe auf die hardware durch system calls sind notwendig

Ein Linuxserver läuft wenn man ihn lässt recht lange und unscheinbar vor sich hin.

recht allgem. - server dienste gibt es viele - ftp,tftp,http,https und und und

Natürlich bräuchtest du auf dem Server keine grafische Oberfläche. Für einen Anfänger gibts aber auch keinen Zwang mehr sich die Internas gleich vom Anfang an mit Gewalt anzutun.

also das sehe ich ganz anders - entweder man macht es ordentlich - und dazu zählt eben einmal das man versteht was vor sich geht - oder man lässt es bleiben - ich fliege auch lieber mit einem piloten nach london der "die interna" verstanden hat als einer der eine doku übers fliegen gesehen hat und seit 2 tagen chief flight officer ist

[Maikel]

Also generell stimmt es schon das OpenBSD mit secure by default sicherer ist als debian.
Nur finde ich das BSD komplizierter als Linux ist. Und da du schon ein paar Schritte mit Kubuntu gemacht hast würde ich dann nicht zu BSD wechseln...

Aber was anderes, was willst du mit den NFS Shares erreichen?
Wenn du nen Windowsrechner hast brauchst du Samba und nicht NFS.

Zum absichern: Ja, je weniger läuft und desto weniger offen desto sicherer. Allerdings kommt der Angriff ja eh über offene Ports wo ne unsichere Applikation hinter läuft.
Den Esel chrooten ist schon mal ne guter Anfang.

[meandtheshell]

Den Esel chrooten ist schon mal ne guter Anfang.

wenn das vieh drauf ist dann bitte in einer virtuellen umgebung alla virtual machine siehe Xen - und da ist dann sonst gar nichts unter dieser vm - nur der esel - in der vm lass ich nicht einmal das ping packet

[wie auch immer]

nochmals danke für die vielen Antworten!

das Problem ist nur das es 450Mhz und vermutlich 256MB ram - virtual machine ist also vermutlich nicht...

wie sieht es denn mit user mode linux aus? verbraucht das ähnlich viele resourcen?

ansonsten ist chroot die einzige methode um ein programm nur zugriff auf einen einzigen ordner zu gestatten?

Achja zu NFS : ich will alle Rechner, die ich hier stehen habe zu Linux migrieren - wie sieht es denn da mit der Sicherheit aus?- Sollte ich was anderes nehmen, oder ist das okay?

[meandtheshell]

das Problem ist nur das es 450Mhz und vermutlich 256MB ram - virtual machine ist also vermutlich nicht...

ja genau deshalb Xen - ist keine voll sondern eine paravirtualisierung

wie sieht es denn mit user mode linux aus? verbraucht das ähnlich viele resourcen?

nein - um einiges mehr als Xen - was anscheinend noch genialer ist (war gestern bei einem vortrag auf den wiener linux wochen) ist linux-vserver
http://linux-vserver.org/ kann dazu noch nichts sagen - bin erst beim docu lesen - aber der overhead liegt bei NUR ca. 2%

ansonsten ist chroot die einzige methode um ein programm nur zugriff auf einen einzigen ordner zu gestatten?

chroot ist NICHT sicher - die arbeit mit Xen und auch die komplexität überschätzen die leute mit docu lesen und installieren hast du das nach 1-2 tagen am laufen

Achja zu NFS : ich will alle Rechner, die ich hier stehen habe zu Linux migrieren - wie sieht es denn da mit der Sicherheit aus?- Sollte ich was anderes nehmen, oder ist das okay?

nein nfs ist gut - is ja quasi standart hier

[wie auch immer]

dann noch mal Frage wegen mldonkey - stimmt es,dass da Engpässe zu erwarten sind-vorallem im Verbund mit genannten Diensten und angenommen ich benutze xen?- was ich da so im mldonkey-forum gelesen habe,sind da Leute mit deutlich weniger als 450Mhz.

[meandtheshell]

dann noch mal Frage wegen mldonkey - stimmt es,dass da Engpässe zu erwarten sind-vorallem im Verbund mit genannten Diensten und angenommen ich benutze xen?- was ich da so im mldonkey-forum gelesen habe,sind da Leute mit deutlich weniger als 450Mhz.

naja es kommt drauf an was alles an diensten drauf laufen soll - ist ja klar - aber noch einer der großen vorteile von xen ist das man den überblick hat - bsp. normal ist es heute so, die leute haben einen pc da drauf läuft alles mögliche - mailsystem, webserver, firewall, fileserver, und und und - erstens ein brutaler aufwand das halbwegs sicher zu bekommen zweitens bei nur >3 diensten ist es in der regel so das man ganz einfach den überblick verliert - bei Xen mach ich für jeden dienst eine VM - sehr sicher - sehr failsafe (wenn der apache meint er muss sein OS abwürgen - soll er aber die firewall, ftp und alle anderen wo jeder eine eigenen VM haben kümmert das nicht) - was noch spassig ist - hast du schon einmal versucht einen dienst mit all seinen files auf eine andere physikalische maschine umzuziehen mit all dem neuen einrichten der firewall des routings und und und - das ist ein tag gar nichts den du brauchst - wenn ein dienst unter einer VM bei Xen läuft ist das alles ein einzeiler in der kommand line (so als würde ich eine file von einer maschine zur anderen kopieren) - hier ist es eben eine ganze VM - für den dienst der VM ist das vollkommen transparent - das dauert vielleicht 2 min anstatt zwei tage und man vermurkst nix - für mich stellt sich die frage da nicht mehr so einfach ist das ...

aber den linux-vserver sehe ich mir heute an - scheint noch cooler zu sein vorallem weil er nativ glaube ich fast alle arch. unterstützt die es unter debian gibt - Xen leider nur x86 zurzeit und ab v3.x dann noch ein paar weitere

markus

edit:
die frage wegen deines pc´s - noch ein vorteil von Xen & Co - was glaubst du wie viele so alte pc´s so in rechenzentren rumstehen die man doch nicht rausschmeißt aber die nur mehr einen dienst pro masch. schaffen und wo man jeden tag rechnen muss das so ein teil über den jordan geht - die leute gehen einfach her kaufen einen neuen pc auf den mit Xen 10 dienste von den alten laufen lassen kannst und somit die alten kisten rauswerfen kannst - ich würde also ca. 350 euro investieren für einen neuen pc - celeron teil oder so - da hast du dann genug leistung und machst für jeden dienst mit xen eine VM das ist sicher und extrem zeitsparend

[Maikel]

Ich kann nicht nachvollziehen wieso es durch den Esel zu Engpässen kommen sollte.
Die Netzwerklast die er erzeugt schlägt sich ja nicht dermassen auf die CPU oder den RAM aus.

Natürlich wäre XEN besser. Daher habe ich chroot als guten Anfang bezeichnet. Es ist nicht die beste Lösung mit chroot, aber besser als in normaler Umgebung allemal.

Zu nfs: Wenn du nur Linux hast dann ist NFS iO. Ich wollte nur nachfragen, nicht das du WIN hast und dann mit NFS nicht weiterkommst.

[wie auch immer]

ok - danke für die Antworten - habt mir sehr geholfen!

[meandtheshell]

das wäre was http://geizhals.net/eu/a78381.html
dann noch eine HD dazu oder hast so zeug eh zuhause

[init 0]

@meandtheshell

man merk gleich dass du ..( nene da spare ich mir )
Lasst ihn Xen installieren, das passt schon. Lass doch den Anfänger doch gleich LFS installieren. Aus ne chroot Umgebung in 2 Minuten raus wen man es kann? Wenn man es kann geht alles schnell. Zeigs uns doch. Wenn du ihm schon dermassen davon abraten tust, muss es doch ein Kinderspiel für dich sein oder?

[meandtheshell]

@meandtheshell

man merk gleich dass du ..( nene da spare ich mir )

die datenbank von df.de ist groß genug - du musst dich nicht zurück halten

Lasst ihn Xen installieren, das passt schon.

das denke ich auch

Lass doch den Anfänger doch gleich LFS installieren.

nein wozu - für den produktiven einsatz macht das wenig sinn - die pflege ist zu zeitaufwändig - zum spielen und sein wissen vertiefen aber absolut gut

Aus ne chroot Umgebung in 2 Minuten raus wen man es kann? Wenn man es kann geht alles schnell.

ja

Zeigs uns doch.

ok
per system call

Code: Alles auswählen

fchroot( ) 

oder (nur pseudocode)

Code: Alles auswählen

while(1) {
			stat(".",&sbuf);
			/* we are out! -- ".." is same as "." == "/" */
			if(sbuf.st_ino == last_inode)
					break;
			last_inode = sbuf.st_ino;
			chroot("..");
		}

was noch geht - die chroot wurzel tiefer kopieren - auf einem anderen terminal (vorher unter der wurzel stehen) das entry flag es chroot directorys ändern auf andere konsole wechseln und aus chroot rausmaschieren

noch einiges mehr dazu im netz zu finden

Wenn du ihm schon dermassen davon abraten tust

ja den wenn ich weiß das etwas nicht gut ist dann rate ich einem nicht dazu so einfach ist das - soll ich mich dafür entschuldigen? gerade deshalb ist das ein gutes forum weil es so gut wie immer für jeden einen anderen gibt der einem weiterhelfen kann - ich habe auch schon oft profitiert ...

muss es doch ein Kinderspiel für dich sein oder?

wie du selber sagtest wenn man weiß wie ist alles leicht

ansonsten weiß ich nicht was man von deinem posting halten soll ... naja?

gruesse markus

[init 0]

OK, OK,

du und Google habens mir gezeigt. Du hast Recht und ich einiges dazugelernt.
Die Frage ist ob ihm eine Xen virtuelle Maschine den hilft. Es kann ihm den Einbruch auch nicht verhindern. Ob der Eindringling nun die Kontrolle über die echte Maschine oder über
die Virtuelle hat wird ihm egal sein. Er kann seinem Vorhaben auch in einer virtuellen Maschine nachgehen oder?
Aber brechen wir ab. Wie gesagt du hattest recht. Ich zieh den Hut.

[meandtheshell]

Die Frage ist ob ihm eine Xen virtuelle Maschine den hilft. Es kann ihm den Einbruch auch nicht verhindern.

es bleibt nach wie vor eine frage des aufwandes - gehn tut es (ich wüsste spontan nicht wie?) - aber der aufwand wäre pervers hoch - aber Xen hat ja viele vorteile siehe andere postings

Ob der Eindringling nun die Kontrolle über die echte Maschine oder über
die Virtuelle hat wird ihm egal sein.

eben nicht - genau das ist einer der vorteile

Er kann seinem Vorhaben auch in einer virtuellen Maschine nachgehen oder?

ja kann er aber mit viel viel mehr aufwand und dann bleibt der schaden auf diese VM begrenzt - die anderen VM´s und vorallem domäne null kannst du aber so extrem absichern das da fast gar nichts mehr geht - das eben kannst du nicht wenn du ein OS hast da eben diverse dienste diverse offen ports brauchen und und und

[Ryven]

Netter Einbruchsversuch, nur eine Konsole war ja außerhalb des chroot.
Sprich deine Ausführung ist naja, etwas einfach gehalten. In diesem Punkt.

[meandtheshell]

Netter Einbruchsversuch, nur eine Konsole war ja außerhalb des chroot.
Sprich deine Ausführung ist naja, etwas einfach gehalten. In diesem Punkt.

hm - in der tat etwas komisch geschrieben und rein vom text her nicht ganz klar - bin halt immer so extrem verwirrt das solle es klarer machen was gemeint war

One simple method to escape from a chroot-ed environment is as follows: First, create or open a file and retain the file-descriptor, then chroot into a subdirectory at equal or lower level with regards to the file. This causes the root to be moved down in the filesystem. Next, use fchdir() on the file-descriptor to escape from that new root. This will consequently escape from the old root as well, as this was lost in the last chroot() Syscall.

wenn du im netz suchst findest du noch einige varianten mehr dazu

gruesse markus

[oli_f]

First, create or open a file and retain the file-descriptor, then chroot into a subdirectory at equal or lower level with regards to the file.

Hmm vielleicht verstehe ich das falsch, aber dazu brauche ich doch erst eine Shell ausserhalb des chroot?