Zugriff auf Debian Rechner hinter einem Firewall

[frindly]

Hallo,
ich möchte für eine Bekannte einen Debian REchner als FileServer in der Firma aufstellen. Auf diesem Rechner möchte ich zwecks Wartungsarbeiten einen (root)Zugriff haben.
Wie geh ich das am besten an? ein ssh oder openssh? Was muss ich auf dem Rechner installieren, oder welche Dienste starten.
Und wie komm ich dann von aussen da dran. Leider bin ich noch recht undedart was solche Fernzugriffe angeht. Deshalb würd ich gern eine Erläuterung für beide Seiten (Server-Client) und dazwischen hängt ein Firewall. Da muss dann ja auch ein löchlein rein... oder?
Ich würde mich über eine (wenn auch Stichpunktartike) Anleitung freuen....
Gruss

[FitzeFatze]

ein ssh oder openssh?

hää?
Je nachdem welche Clients drauf zugreifen sollen, brauchst du Samba (Windows) oder NFS (unix).
In der Firewall muss Port 22 (es sei denn, du änderst ihn) freigemacht werden.


Sorry, aber falls der Server produktiv arbeiten soll (so wie es sich anhört), rate ich von deinem Vorhaben ab.

ciao

[daFreak]

Hi,

auf dem Server

Code: Alles auswählen

aptitude install ssh

ggf. dyndns auf der Firewall einrichten
dann musst du von der Firewall aus ein NAT auf die IP des Servers machen, mit Port 22/TCP
auf dem Server in der /etc/ssh/sshd.conf(Bin mir grad nicht so sicher) den root-Zugriff verbieten

Code: Alles auswählen

/etc/init.d/sshd restart

damit die einstellungen aktiv werden

Auf dem Client führst du dann

Code: Alles auswählen

ssh *benutzer*@*ip*des*servers*

aus

das ganze über einen normalen Useraccount und dann mit su auf root

ein ssh oder openssh?

Sorry, aber falls der Server produktiv arbeiten soll (so wie es sich anhört), rate ich von deinem Vorhaben ab.

Warum?

[FitzeFatze]

hallo,

ein ssh oder openssh?

Sorry, aber falls der Server produktiv arbeiten soll (so wie es sich anhört), rate ich von deinem Vorhaben ab.

Warum?

was passiert, wenn das System ausfällt, der Fehler nicht sofort behoben werden kann und die Firma nicht mehr auf wichtige Daten zugreifen kann?

Auch wenn das jetzt vllt ein worst case Szenario ist, man muss immer mit sowas rechnen. Und im schlimmsten Fall geht die Firma pleite.


ciao

[daFreak]

Sorry, aber falls der Server produktiv arbeiten soll (so wie es sich anhört), rate ich von deinem Vorhaben ab.

Warum?

was passiert, wenn das System ausfällt, der Fehler nicht sofort behoben werden kann und die Firma nicht mehr auf wichtige Daten zugreifen kann?

Auch wenn das jetzt vllt ein worst case Szenario ist, man muss immer mit sowas rechnen. Und im schlimmsten Fall geht die Firma pleite.

ja gut,

das Risiko muss frindly abschätzen. Und mit Verantwortung ist Vorsicht geboten
Falls der Fileserver in einer DMZ steht oder direkt vom Internet erreichbar sein soll, solltest du auch über eine Firewalllösung nachdenken und das System abhärten. Angriffe könnten natürlich auch aus dem internen Netz kommen.
Egal ob FTP/SMB/NFS/SSH. Da muss man die Configs entsprechend abstimmen damit es sicher ist.

[frindly]

@fitzefatze
ja warum sollte ich das nicht machen? welche form der fernwartung währe denn ok???

ja ich will mit windows drauf zugreifen... samba? hmm richtet das debian nicht von haus aus dann ein?

[daFreak]

@fitzefatze
ja warum sollte ich das nicht machen? welche form der fernwartung währe denn ok???

ja ich will mit windows drauf zugreifen... samba? hmm richtet das debian nicht von haus aus dann ein?

SSH kann man schon sicher einstellen und auch mit Zertifikaten arbeiten. Noch sicherer wäre natürlich ein VPN, aber es ist die Frage ob das von der Firma überhaupt gewollt ist.

Und mit Samba wirst du wohl nur im internen Netz arbeiten können.

[Lohengrin]

dann musst du von der Firewall aus ein NAT auf die IP des Servers machen, mit Port 22/TCP auf dem Server

Am Besten eine andere Port-Nummer nach außen. Das hält schon mal die meisten Angreifer ab. Außerdem kannst du so verschiedene Rechner hinter dem Router per SSH erreichen, obwohl sie intern alle Port 22 haben.

[frindly]

hallo,
warum sollte der server bei ssh nutzung ausfallen?
das hab ich ncoh nicht ganz verstanden.

der rechner selbst steht hinter einem firewall und soll für windows rechner zunächst als reiner file-server dienen, so das die nutzer die daten dort ablegen können.
ich selbst (nicht vor ort) möchte eigentlich nur zu wartungszwecken von der ferne darauf zugreifen und reinschauen können. wenn vpn sicherer ist ... warum nicht. aber ich benötige keinen zugriff auf die daten sondern nur .. eine shell, damit die die daten z.b. auf dem server kopieren kann etc...

[mistersixt]

Dann ist ssh genau das Tool, was Du einsetzen solltest.

Gruss, mistersixt.

[Cologne4711]

Hallo,

ja warum sollte ich das nicht machen?

Ich peröhnlich mache so gut wie nichts für Freunde - kleine Tips sind ok, aber ich habe keine Lust der erste Ansprechparnter bei Problem zu sein.

Du solltest Dir auf jeden Fall eine Backuplösung einfallen lassen. Im Normalfall wäre das ein Backupserver auf den alles gespiegelt wird. Vielleicht reicht in deinem Fall ja auch ein NAS oder eine externe Festplatte die regelmässig für Backups angeschlossen wird.
Ohne diese Absicherung würde ich aber keine produktiven Daten einfach auf einen Server spielen.

MfG

[frindly]

ein NAS stand auch im Raum. Aber ich halte nicht sooo viel davon. Bei einem Server kann man im Notfall eine Platte ausbauen und woanders einbauen. Das ist bei einem NAS glaub ich nicht so leicht möglich. Ausserdem... Wenn ich in den Server zwei Platten setzte und die Daten von Platte 1 (wo die Freigaben drauf sind) auf Platte 2 kopieren lasse mit einem Script (z.b. jeden Tag in ein Verzeichnis /dev/sdb2/%datum% ) dann kann ich als root die daten der vergangenheit herzaubern, aber ein mitarbeiter z.b. durch einen virus nicht alle daten infizieren, weil die backup daten zunächst nicht erreichbar währen. es sei denn ein windows virus würde auf das debian übersrpingen... hih
das bietet mir nas nicht.

[bytezero]

Bei einem Server kann man im Notfall eine Platte ausbauen und woanders einbauen. Das ist bei einem NAS glaub ich nicht so leicht möglich.

Das würde ich so nicht unterschreiben.

Es gibt da mittlerweile sehr schöne Lösungen, die raid und hot-plug unterstützen.

----cut---

Vielleicht wäre das auch für Dich interessant:
http://www.freenas.org/index.php?option ... id=faqs:de

[FitzeFatze]

ein NAS stand auch im Raum. Aber ich halte nicht sooo viel davon. Bei einem Server kann man im Notfall eine Platte ausbauen und woanders einbauen. Das ist bei einem NAS glaub ich nicht so leicht möglich. Ausserdem... Wenn ich in den Server zwei Platten setzte und die Daten von Platte 1 (wo die Freigaben drauf sind) auf Platte 2 kopieren lasse mit einem Script (z.b. jeden Tag in ein Verzeichnis /dev/sdb2/%datum% ) dann kann ich als root die daten der vergangenheit herzaubern, aber ein mitarbeiter z.b. durch einen virus nicht alle daten infizieren, weil die backup daten zunächst nicht erreichbar währen. es sei denn ein windows virus würde auf das debian übersrpingen... hih
das bietet mir nas nicht.

Vorallem ist es nicht sonderlich "sinnvoll", seine einzige Backuplösung im selben Rechner zu haben. Und dann auch noch auf einem wiederbeschreibbaren Medium.

Blitzeinschlag / Brand: beide Platten tot.

Ich weiß, ich weiß. worst case.

-> Einmal am Tag ein Backup auf Bänder / CD / DVD schreiben. Backupserver im anderen Raum, am besten im anderen Gebäude.
(Klar, das macht man bei wirklich wichtigen Daten, aber da ich deine nicht einschätzen kann, rate ich dir einfach mal dazu.)

adieu

[frindly]

auch an den worst case fall habe ich gedacht.
mir schwebte eine sicherung mit govault laufwerken vor. die sind als festplatte leicht beschreibbar und verfügen für den notfall über einen s-ata anschluss, so das man sie ohne den wechselrahmen in betrieb nehmen könnte um an die daten zu kommen...
ich dachte an das generationen prinzip, das immer einige der govault tapes in einem anderen gebäude lagern...
auch das währe sicher über ein script leicht zu realisieren...

[Lohengrin]

Meine Lieblingslösung für Backup sieht so aus:

1) Server mit Backuppc
2) Der Pool liegt in etwas Verschlüsseltem auf einem Raid5 oder Raid6.
3) Die Raid-Platten liegen in verschiedenen Gebäuden.

Selbstverständlich muss das Zentrale Ding rekonstruierbar sein.
Seit große Festplatten und schnelles Netzwerk bezahlbar sind, gehören Sicherungen auf Band ins Museum.

Hatte bisher noch keine Gelegenheit so etwas zusammenzupuzzeln.