Daten für Webserver (DMZ) via Dateiserver (Intranet) mounten

[Lutheyus]

Hallo Leute

Bin gerade dabei die Infrastruktur für ein kleines Netzwerk zu planen, und zwar:

Gateway-Server
- Firewall
- Router
- IDS
- verschiedene Proxies

Internet-Server (DMZ)
- WWW-Server
- allfällige andere öffentliche Dienste

Intranet-Server (im abgesicherten Subnetz mittels weiterer Firewall)
- File-Server
- DB-Server
- Log-Server
- Mail-Server

Da ja der Intranet-Server die wichtigen Daten enthalten wird, ist dessen Inhalt periodisch zu sichern; wahrscheinlich gewisse Daten täglich und nur inkrementell und andere (oder sogar alle Daten) wöchentlich als Vollsicherung auf eine externe Festplatte. Aus diesem Grund wäre es praktisch, wenn die Daten für den WWW-Server auch hier wären, sodass diese ebenfalls gesichert würden.

Meine Frage ist nun, ob es vom Sicherheitsaspekt her unkritisch wäre die Daten für den WWW-Server via den File-Server zu mounten? Zusätzlich wird ja auch die MySQL-DB vom WWW-Server sowie vom Gateway-Server (IDS-Logging) angesprochen. Welche weiteren Sicherungs-Massnahmen, neben Firewall- und Zugriffs-Regeln als auch Einträgen in hosts.allow bzw. hosts.deny würded ihr vorschlagen? Würde SELinux in Frage kommen oder wärde dies in meinem Fall ein Overkill?

Vielen Dank.

[Jens]

man könnte ggf. noch über einen Reverse Proxy nachdenken, wenn es um öffentliche Auftritte geht.

Gruß Jens

[uname]

ob es vom Sicherheitsaspekt her unkritisch wäre die Daten für den WWW-Server via den File-Server zu mounten?

Da du wahrscheinlich vom Intranet aus auch den WWW-Server administrieren willst (SSH nur vom Intranet, Nutzen von SSH-Keys), solltest du dein Backup durch SSH durchziehen. Nutze keine alternative Mounttechnik wie NFS oder Samba usw.

Du kannst dir mal SSHFS anschauen oder folgendes inkrementelle Backup mit "rsync über ssh" nutzen. Die Datenbank des WWW-Servers musst du vorher als Datei dumpen.

http://wiki.ubuntuusers.de/Skripte/Backup_mit_RSYNC

[Lutheyus]

man könnte ggf. noch über einen Reverse Proxy nachdenken, wenn es um öffentliche Auftritte geht.

Ich hatte schon vor Squid als normalen Web-Proxy einzusetzten. Ist es denn überhaupt möglich ihn gleichzeitig als Reverse-Proxy zu betrieben? Ich hab' vor einiger Zeit zu diesem Thema mal im Internet nachgeforscht, doch ich fand keine Infos.

EDIT:

Da du wahrscheinlich vom Intranet aus auch den WWW-Server administrieren willst (SSH nur vom Intranet, Nutzen von SSH-Keys), solltest du dein Backup durch SSH durchziehen. Nutze keine alternative Mounttechnik wie NFS oder Samba usw.

Du kannst dir mal SSHFS anschauen oder folgendes inkrementelle Backup mit "rsync über ssh" nutzen. Die Datenbank des WWW-Servers musst du vorher als Datei dumpen.

http://wiki.ubuntuusers.de/Skripte/Backup_mit_RSYNC

Irgendwie komme ich nicht ganz mit. Wieso sollte ich die Daten für den Webserver, welche sich auf dem Intranet-Server befinden, nicht via NFS oder Samba mounten? Der Backup wird ja lokal auf dem Intranet-Server gemacht, so brauche ich auch die Daten nicht durch SSH durchzuschleusen.

Danke Euch nochmals
Gruss

[uname]

Irgendwie komme ich nicht ganz mit. Wieso sollte ich die Daten für den Webserver, welche sich auf dem Intranet-Server befinden, nicht via NFS oder Samba mounten? Der Backup wird ja lokal auf dem Intranet-Server gemacht, so brauche ich auch die Daten nicht durch SSH durchzuschleusen.

Habe noch mal alles gelesen. Du hast ja von Internet-Server und Intranet-Server gesprochen, wobei du den Intranet-Server sichern willst. Dort bist du im lokalen Netzwerk und kannst natürlich einfach per NFS irgendwie sichern, die Sicherheit ist dort nicht so wichtig und NFS mag praktisch sein. Das genannte Script kannst du aber wahrscheinlich trotzdem für inkrementelle Backups nutzen.
Ich für meinen Fall nutze meist zur Kommunikation zwischen Linux/UNIX-Systemen für alles SSH. Auch im Intranet, wo die Sicherheit egal ist. Ist einfach um einiges einfacher alles einheitlich zu haben als mit mehreren Protokollen rumzuhantieren.