Der aktuell im Einsatz befindliche Server ist mittlerweile ein recht altertümliches Flickwerk. Die Hardware besteht aus einem K7S5A Sockel-A Mainboard, Athlon XP 1900+ untertaktet auf 1GHz, 1,5GB RAM, 2 PATA-Platten und ein SATA-Controller mit 2 SATA-Platten. DIe 4 Platten haben allesamt ihre besten Zeiten hinter sich, einige SMART-Werte sind schon recht bedenklich.
Die "neue" Hardware liegt aber weitestgehend schon bereit:
ASUS A8V Deluxe Sockel 939, A64 3500+ und 2GB RAM (wird evtl noch auf 4GB erweitert).
2 neue WD 500GB RE3 liegen auch schon parat und werden ggf vorerst am Onboard-SATA-Controller im SW-Raid1 betrieben (oder am Controller aus dem alten Server, der wurde erst Mitte 08 gekauft). 2 weitere folgen demnächst noch. Bei Bedarf werden weitere Platten (jeweils 2 im Raid1) per LVM eingebunden, voraussichtlich werden diese dann nur /storage und ggf /home erweitern (partitionierung kommt weiter unten).
Zielsetzung ist ein sicherer Homeserver der Dienste fürs LAN und fürs Internet bereitstellt.
Im Detail sollen das sein:
- Netzwerk-Fileserver (NFS und Samba)
- Netzlaufwerke für 2-3 User (später evtl per VPN erreichbar)
- "Backup-Netzlaufwerke" (An den Clients: /home/username/backup)
- Webserver
- FTP-Server
- DHCP
Zum Einsatz kommt Debian Etch für amd64, als Webserver lighttpd und vsftpd für FTP.
Soweit zu den "Vorgaben", jetzt bleiben aber noch ein paar Grundsatzfragen offen, was bei der Partitionierung anfängt:
Alle Partitionen (ausser boot) sollen in einem Verschlüsselten LVM liegen. Durch einzelne Partitionen soll die Sicherheit der Userbezogenen Daten weiter erhöht werden. Angedacht ist bisher folgende Partitionierung:
Partitionen:
/boot (50MiB)
/ (2GiB)
/swap (1GiB je Platte)
LVM:
/home (90GiB)
/tmp (900MiB)
/var/www (2 GiB)
/var/ftp (5GiB)
/var/backups (???)
/var/log (50MiB)
/var/storage (rest)
1. Bei /var/backups bin ich noch unschlüssig, ob es nicht sinnvoller wäre, wenn die Backups der User in ihren home-Verzeichnissen liegen. Es geht dabei um Rücksicherung wichtiger Daten (Adressbücher, Firmendaten (Buchhaltung) etc pp). Backups auf DVDs werden von den wirklich kritischen Sachen natürlich dennoch gemacht, aber im entscheidenden Moment sind erfahrungsgemäß Optische Datenträger meistens fehlerhaft (Kratzer...).
2. Für /var/www und /var/ftp bin ich mir über die Größe noch nicht ganz sicher. Ich habe Daten, die ich auf /var/www, /var/ftp und /var/storage (hier liegen die im ganzen LAN zugänglichen Daten) haben müsste - per Verlinkung wird der Sicherheitsaspekt ja wieder Ausgehebelt wenn ich www- und ftp-user auf /var/storage zugreifen lasse. Welche Lösung wäre hier die eleganteste ohne dass ich ca 30GB 3-fach vorhalten muss? (ganz zu schweigen vom synchronisieren bei Änderungen)
3. Ist es sinnvoll auch für /usr und /usr/share eigene Partitionen anzulegen, die mit ro und nodev ins Dateisystem eingebunden werden?
4. Andere sinnvolle Partitionen? Evtl manche überflüssig? In diversen sicherheits-howtos werden mitunter 10-15 Partitionen angelegt, in anderen wiederum nur ~5, und die meisten haben gute Erklärungen dafür weshalb so viele oder weshalb eben wenige....
5. Meine Idee für die /home Verzeichnisse war folgende:
In den /home-Verzeichnissen sollen alle nicht versteckten Daten (also auch keine configdaten etc) die in den /home Verzeichnissen auf den Clients liegen gespiegelt werden. Die Clients wiederum spiegeln natürlich auch Änderungen die am Server vorliegen. Egal an welchem PC im LAN, der User hat also überall Lokal die selben Daten in seinem home-Verzeichnis und eine Sicherung davon am Server (von der er nichts bemerkt, also kein separates Verzeichnis dafür o.ä.). Wäre sowas praxistauglich zu lösen? auch wenn der User an 2 PCs gleichzeitig angemeldet ist?
Ich denke diese 5 Punkte reichen erstmal - es kommen wohl noch ein paar andere Dinge im späteren Verlauf, aber dann würde das ganze wohl zu unübersichtlich.