Sicherheit für Root Server / VServer

[craano]

Hallo,

folgendes Szenario möchte ich kurz vorstellen und um Eure Meinung bitten.

Ich plane einen Root - Server oder einen VServer zu mieten.
Der Server soll nur einem einzigen Zweck dienen. Er soll als zentraler Datensicherungsserver für unsere (in Deutschland zerstreute) Familie dienen.

Dazu habe ich einige Vorarbeit geleistet und mit einem VMware Server "geübt", bis ich soweit alle Fragen und Probleme, auch dank der Mithilfe vieler Board Nutzer hier, für mein geplantes Setup gelöst hatte.

Damit die Clients (ausschließlich Linux) Ihre Daten auf den Server packen können, sollen sie eine NFSv4 Freigabe durch einen SSH - Tunnel mounten.
NFSv4 hat den Vorteil, das man es recht simple durch einen solchen Tunnel quetschen kann und auf dem Server nur der SSH Port nach außen hin offen sein muss.

Auf dem Server soll also nur der NFS - Server laufen und ein SSHD. Mittels iptables blocke ich alle Ports bis auf 22 (oder halt den, auf dem der SSHD auch immer lauschen wird) nach außen (Standard Policy in allen Tabellen DROP).
Ein SSH Login ist nur mittels Public Key möglich.

OS soll Debian oder Ubuntu sein, denn damit habe ich die meiste Erfahrung.

Per Cronjob will ich alle zwei Tage

Code:

apt-get update
apt-get upgrade

ausführen lassen und ebenfalls

Code:

rkhunter -c --cronjob > result

starten und die Datei dann regelmäßig sichten.

Zusätzlich suche ich noch, bevor ich mieten werden, einen Logfile Analyzer und werde mich mit diesem vertraut machen.

Was meinen die erfahrenden Server Betreiber hier, ist damit für genügend Sicherheit gesorgt?

Grüße.
craano.

[marce]

klingt an sich gut.

Das einzige, worüber man diskutieren könnte ist das autmatische Einspielen von Updates - aber das ist Philosophie...

Was mir in der kurzen Aufstellung hier fehlt wäre evtl. ein Backupkonzept. Gerade, wenn es um solche Daten geht...

[drcux]

warum nicht gleich über sshfs mounten?

[mattias1]

Auch wenn du deine Entscheidung schon getroffen hast...

Warum keinen Server @Home. DSL Leitung (wird eh an dem Upload der Clients hängen) und DynDns?

Sollte wesentlich günstiger kommen als ein root Server. Oder?

[RichieX]

Meine Meinung: Also sicherer kann man es kaum machen. Performanter vielleicht schon, aber eben wieder zulasten der Sicherheit.

Viel eher solltest du dir die Tarife der Anbieter bezüglich Traffic anschauen!

@mattias1
Vielleicht nicht verfügbar, oder doch einfach zu langsam.

RichieX

[craano]

Guten Abend,

so, der Reihe nach.
Zu allererst, ich bin noch ganz heiser von dem Fest gerade in der ColorLine Arena in HH.

Ob automatische Updates sinnvoll sind oder nicht, habe ich auch drüber nachgedacht. Auf meinem Desktop mache ich das nicht, weil ich zB ua den proprietären ATI Treiber benutze und VMware. Bei einem Kernel Update muss ich mich immer um den Grafiktreiber kümmern und um die Konfig Skripte der VMware.
Auf dem Server, den ich mieten möchte, gibt es diese Probleme ja nicht, da kein X und keine VMware. Ich denke, wenn ich eine stabile Debian oder ein Ubuntu LTS verwende, dann dürften die automatischen Updates keine Probleme mache und ich stelle sicher, dass ich alle kritischen Updates sehr zeitnah einspiele.

Ein Backup Konzept habe ich noch nicht wirklich. Es gibt aber Vserver, die vom Hoster gesichert werden, so etwas habe ich mal in einer Werbung gelesen. Ideal wäre eine Backup Festplatte, da würde ich dann regelmäßig per Cron Job syncen. Das ist sicherlich ein entscheidendes Kriterium bei der Serverauswahl, danke für den Hinweis.

Auch sshfs habe ich in Erwägung gezogen und auch getestet. Die Fuse Dinger liefen bei mir nicht so zuverlässlich und ich hatte des öfteren Verbindungsabbrüche oder Time outs. An NFSv4 gefällt mir persönlich sehr das Freigabe Konzept mit dem Pseudofilesystem. Dort hat man alles im Überblick, kann sehr genau die Zugriffsmöglickeiten steuern und auch alles bequem per Bind mounts mit einbinden. Nur eine Datei (etc/exports) muss ich im Blick haben, ich finde das sehr smart.

Einen Server @Home möchte ich nicht, da ich dafür keine professionelle hardware habe und nicht anschaffen möchte. Ich habe eine kleinen File-Routing-Firewall-Maschine zu Hause über DynDNS angeschlossen, ist aber mehr eine kleine Spielerei. Eben nice to have. 24h Dauerbetrieb möchte ich aber nur mit entsprechender Hardware das ganze Jahr über an haben. (Brandgefahr, Ausfallsicherheit etc).

Ein Mietserver, der nur diese Aufgabe erfüllen soll, ist preislich sicherlich nicht so teuer, ein kleiner tuts ja.

Wieso kann man mein Vorhaben denn noch performanter machen? Ich denke, eine andere Alternative wäre noch ein VPN, damit habe ich jedoch noch keine Erfahrung. Wäre das performanter?
Ich weiß nicht, ob die Einrichtung eines VPN nicht etwas aufwendig ist, nur um die oben beschrieben Aufgabe zu erfüllen. Am Ende ist der Flaschenhals sowieso der Upload der Clients. SSH und NFSv4 nehmen meiner Meinung nur unmerklich Einfluss auf die Geschwindigkeit bei der geringen DSL Upload Bandbreite, also weiß ich nicht, ob eine Geschwindigkeitssteigerung überhaupt möglich ist.

Danke für Eure Anregungen. Ich habe ja noch keine Eile und bin für alle Verbesserungsvorschläge offen. Noch habe ich ja nicht einmal einen Server ausgeguckt. Bevor es soweit ist, möchte ich ein fertiges Konzept haben. Lieber erst sorgfältig und etwas länger planen als dann auf die Fresse fallen.

Grüße.
craano.

[choener]

Auch sshfs habe ich in Erwägung gezogen und auch getestet. Die Fuse Dinger liefen bei mir nicht so zuverlässlich und ich hatte des öfteren Verbindungsabbrüche oder Time outs.

Das sollte eher an der Verbindung, als an sshfs / fuse liegen. Die Verbindung wäre dann auch nicht stabiler über den Tunnel.

Für Datensicherung würde sich auch Unison gut eignen. Man synchronisiert damit (auch über ssh) sehr einfach zwei Verzeichnisse.

[craano]

Das sollte eher an der Verbindung, als an sshfs / fuse liegen. Die Verbindung wäre dann auch nicht stabiler über den Tunnel.

Für Datensicherung würde sich auch Unison gut eignen. Man synchronisiert damit (auch über ssh) sehr einfach zwei Verzeichnisse.

Ich habe das zu Hause im LAN getestet, Verbindung verursacht also keine Probleme. Ist aber auch schon ein Weilchen her. Ich habe in der letzten Zeit viel über NFSv4 gelesen und bin immer wieder auf Kommentare gestoßen, dass es sich sehr gut routen lässt auch bei geringer Bandbreite. Zudem gefällt mir wie oben schon geschrieben die Konfiguration sehr gut.

Ich werde aber auf jeden Fall noch einmal einen Blick auf sshfs werfen.

Das oben erwähnte Backup habe ich auf den (Backup)Server bezogen, ob ich auch diesen sichern will.

Für die clients möchte ich einfach eine Freigabe für jeden Benutzer (sind insgesamt nur fünf) mounte. Dann kann jeder seine wichtigen Daten dort hinein kopieren. Es geht mir nur um eine Datensicherung und keine Systemsicherung. Sicherlich ist es eine Überlegung wert gleich /home/$USER mit rsync oder Unison zu synchronisieren, wenn ich jetzt so darüber nachdenke, auch ganz nett.

Grüße.
craano.