Abend,

ich habe von meinem Chef den Auftrag erhalten, in unserer Firma auf einigen Rechnern eine Art Mailserver in einer Virtuellen Maschine unter Linux einzurichten. Alle Rechner sind das nicht, es haben nicht alle Onlineverbindung. Er verspricht sich davon mehr Sicherheit, vor allem bei den technisch eher weniger bewanderten, die doch schnell mal eine Mail öffnen ohen vorher die brain.exe zu starten. Alle Rechner laufen unter Windows XP/2000, als Virtuelle Maschine dachte ich an VirtualBox bzw. VirtualPC (ja nachdem was man da evtl. bei gewerblichen Einsatz bezahlen muss).

Da ich das ganze einrichten muss und nur begrenzte Linuxkenntnisse habe, dachte ich
a.) an eine irgendwie abgespeckte Linuxversion, da der Einsatz einer VM mit z. B. Ubuntu doch recht Ressourcenfressendwäre oder
b.) eine "normale" Distribution (mit Ubuntu mit KDE komme ich einigermaßen zurecht) und dort nach der Konfiguration die Ressourcenfresser abschalten (hab mal gelesen, dass Linux an sich nicht viel braucht, aber KDE/Gnome nicht so sparsam mit den Systemressourcen umgehen). Über eine Batchdatei kann man sicher einstellen, dass Thunderbird nach dem Linuxstart automatisch startet, so wäre nur der Start der VM nötig und alles verfügbar.

Die Mails sollen in der VM verbleiben, einen echten Mailserver haben wir nicht, wird es auch in Zukunft wohl nicht geben (lohnt nicht).

Vorerst ist das mal nur für Mails per Thunderbird vorgesehen, später sollen evtl. noch ein paar Windowsprogramme dazu kommen, welche in Wine laufen müssten. Das sind Programme die wir zur Abrechnung mit Kunden/Lieferanten benötigen und speziell haben schreiben lassen. Eine Linuxversion existiert nicht - eine schreiben kostet evtl. wieder Geld, hab ich nie nachgefragt).

Jetzt die große Frage:
Ist das machbar? Welche Distribution würde sich denn anbieten (für Variante a. und b.)? Bei b. wäre mir (K)ubuntu ganz lieb, damit habe ich schon ein paar Erfahrungen gemacht.

→ unixboard (http://www.unixboard.de/vb3/showthread.php?t=41131)

→ Linux-Club (http://www.linux-club.de/viewtopic.php?f=43&t=100335)

Hör mal auf, diese Quatschidee kreuz & quer durch sämtliche Foren zu posten.

Ohne Dir jetzt konrekt helfen zu können, würde ich gerne mal eine Diskussion über Dein Vorhaben anregen hier. Haltet ihr da draußen DAS für sinnvoll?
Warum kein Server, den man sichert? Warum Thunderbird nicht nativ in Windows laufen lassen?
Ich raffe irgendwie die Sinnhaftigkeit dieses Vorhabens nicht wirklich...

So kann er sich keinen Exe-Anhang erklicken.....

Warum kein Server, den man sichert?


Server ist quatsch, die Daten sollen nicht zentral abgelegt werden. Die Mails sollen nur nicht in der gleichen Umgebung landen, wo auch sensible Daten sich befinden.

Wir haben niemanden in der Firma der Zeit hat das Ding zu verwalten und mein Chef wird das Geld nicht ausgeben wollen.


Warum Thunderbird nicht nativ in Windows laufen lassen?

siehe oben, die Mails (und die Anhänge) sollen getrennt von sinsiblen Daten aufbewahrt werden.

Wir haben in der Firma pro Standort ca. 3-4 Leute die überhaupt Internetzugang haben (insgesamt ca. 20 PC), die anderen rechner sind immer Offline. Eine Vernetzung zwischen den Rechnern gibt es keine, ist auch nicht nötig. Nur diese Rechner sollen geschützt werden, da die Mitarbeiter dort mit sensiblen Firmendaten arbeiten.

dann wird Dir aber eine VM, in der ein unsicheres System läuft auch nicht helfen.

Da wäre dann etwas möglichst komplett getrenntes und abgeschottetes am sichersten - z.B. ein ded. Server (kann ja auch nur ein entsprechend ausgestatteter PC sein, es muss ja nicht ded. Serverhardware sein - damit sind die Kosten auch im Rahmen), auf dem z.B. ein Mailserver, bedienbar über Weboberfläche und entsprechend kastrierter Funktionalität) könnte ich mir da sehr gut vorstellen...

Es gibt da auch schon fertige Produkte - da ist auch der Einarbeitungs- und Administrationsaufwand im Rahmen, vermutlich auf jeden Fall weniger als bei einer "komplexen" VMWare-Installation mit entsprechenden Gästen - die müssen ja auch gepflegt werden - pro Client.

Ich würde diese Firewall (http://web84.bces-1740.de/assets/images/Bolzenschneider.jpg) empfehlen, das ist wirklich sicher :)

dann wird Dir aber eine VM, in der ein unsicheres System läuft auch nicht helfen.

Wieso? Wenn Schadprogramme in der VM bleiben, ist das unsichere Hostsystem nicht betroffen. Nochmal: Die Mails bleiben in der VM, sie kommen nicht auf den Host.


vermutlich auf jeden Fall weniger als bei einer "komplexen" VMWare-Installation mit entsprechenden Gästen - die müssen ja auch gepflegt werden - pro Client.

Ich glaube du denkst die Daten sollen zentral abrufbar sein. Sollen sie nicht. Wenn jeder nur auf die Mails zugreifen kann, die er selber bekommt, reicht das vollkommen aus. Wir sind bisher ohne Mailserver ausgekommen und werdes es auch in Zukunft, es geht hier darum dass Schadprogramme in der VM eingesperrt bleiben sollen. Jeder Onlinerechner bekommt eine VM verpasst, dort ein Linux drauf mit Thunderbird und der entsprechend eingestellt, fertig.

Bitte: Das Thema Server spielt hier absolut keine Rolle - mir war vorher bewusst, dass der Hinweis kommen wird. Heutzutage wird allzuschnell für jeden Zweck ein Server eingerichtet, obwohl es auch einfacher und billiger gänge.

Was für ein Schwachsinn.

Dein Chef soll sich mal vernünftig und gegen Geld beraten lassen.

Setzt doch ein mail2fax Gateway ein. Dann gibt es überhaupt keine Exe auf den Rechnern :ugly:

Ansonsten schau dir mal das Linux Terminal Server Projekt an, oder NX Server.
Macht jedenfalls mehr Sinn als in auf jedem, und wenn es nur 4 pro Filiale sind,
eine VM zu installieren.

**kopfschüttel**

http://www.pendrivelinux.com/qemu-ubuntu-804-with-a-shared-folder/#more-416

Was ich als größtes Problem sehe, ist der 2. Wunsch.

Ihr wollt also in Zukunft per WINE Windows Software im Dauereinsatz verwenden? Das würde ich mal testen, ob die Software überhaupt mit WINE geht. Die wenigste Software außer dem handelsüblichen Standard lässt sich mit WINE starten.

Ansonsten ist die Idee gar nicht so dumm. In manchen kleinen Firmen sieht es halt anders aus als in großen oder an Unis. Für einen zweiten Rechner, ein getrenntes Netz oder einen Admin ist halt kein Geld da.

Solange die Maschine keine Verbindung zum Host hat per Windows Freigaben oder Samba, kann in der Regel nix passieren.

Die OSE Version von VirtualBox bietet sich an, die kann man auch in Unternehmen dank OSS kostenfrei einsetzen.

Es gibt übrigens auch fertige Installationen (Howto, Ende Kapitel 1). Einfach eine laden, installieren und entsprechend einrichten.

http://www.linuxforen.de/forums/showthread.php?t=236444

Aber wie gesagt: Sobald Shared Clipboard, Shared Folders oder Windows Freigaben / Samba ins Spiel kommen, ist kein Unterschied mehr da.

Und auch mal Gedanken machen, wie man im Windows Host den Zugang zum Internet abklemmt: Login als User statt Admin, Bios Kennwort, host Datei mit unsinnigem Inhalt und DNS Server nicht existent.

Sobald der Host ins Internet geht, war es da eh mit der Sicherheit (siehe Sicherheitslücken im IE beim Öffnen von Bildern etc.).

Mach Dir bevor Du etliche Stunden investierst auch mal darüber wie denn das Anwendungsszenario aussehen soll.

Ich habe leider die Erfahrung gemacht dass Benutzer (und auch Chefs sind zuweilen Benutzer) lieber auf Sicherheit verzichten als darauf z.B. Word[TM]-Anhänge versenden und empfangen zu können.

Du musst also Deinem Chef klarmachen dass in einem derart abgekapselten System lediglich reine E-Mails ohne Anhänge verarbeitet werden können. In diesem Fall könntet Ihr aber natürlich auch ein Faxgerät verwenden.

Den 2. Wunsch, Windows Programme unter WINE in einer Virtuellen Maschine auf einem Windows Host zu verwenden halte ich schlicht für Schwachsinn. Wieso denn nicht direkt auf dem Host verwenden? Auch wegen der Sicherheit? Wenn diese Software extra für Eure Bedürfnisse erstellt wurde sollten diese Aspekte ja eigentlich schon abgedeckt sein !?

WINE ist ebenso unsicher - und macht den Sicherheitsgewinn durch Thunderbird in der Linux-VM zunichte. Sinnvoll ist das schon. Auch Anhänge kann man da öffnen. Schlimmstenfalls ist die VM dann kompromittiert. Aber das wird wohl unter Linux eher nicht der Fall sein, aufgrund der geringen Verbreitung. Word-Dokumente kann man da ja auch in OpenOffice öffnen, das wäre auch kein Problem und sicherheitstechnisch im Rahmen des normalen sowie der Schutz durch die Abkappselung der VM ansich.

Auch Anhänge kann man da öffnen.

Naja, öffnen geht ja gerade noch - wenn man zu der vorhandenen Installation noch eine komplette Office-Suite dazu packt und die Mitarbeiter entsprechend schult.

Problematisch wirds wenn Du die mühsam in den letzten 4 Stunden zusammengetragene Excel[TM]-Tabelle noch schnell vor Feierabend wie versprochen abschicken möchtest, und dann feststellen musst dass sowas vom System nicht vorgesehen / zugelassen ist. :ugly:

Ist natürlich unter Umständen etwas überspitzt dargestellt, aber wenn ich mir meine Kunden vorstelle wie die reagieren würden wenn sie sowas vorgesetzt bekämen... :D

Die Leute sind leider sogar zu doof, eine Taskleiste zu bedienen. Wenn da drin auch noch eine VM ist...Aber bei Virtualbox sieht es ja aus wie ein normales Programm des Hosts...

OpenOffice is ja eh meist mit dabei - und kennen sie vielleichts chon von Win. Ist halt nur was für ne Handvoll lernfähiger und -williger Mitarbeiter und nen ganz kleines Einsatzgebiet und "einigermaßen" hohen Sicherheitsbedenken. Aber so eine VM raucht auch schnell mal ab: Stürzt der PC ab, sind solche geöffneten Dateien schnell tot, also muß man dann das Backup zurücksspielen. VOn der ganzen VM, die ja in einer oder mehreren Image-Dateien gespeichert wird (zumindest der Inhalt der VM).

Mir sind die Schwierigkeiten und Probleme die so eine Lösung mit sich bringen kann durchaus bewusst. Auch habe ich meinen Chef darüber informiert, was auf ihn zukommt. Ob er das jetzt gelaubt hat oder meint ich male den Teufel an die Wand (oder will mich vor dem Aufwand drücken ;)) weiß ich nicht. Auf jeden Fall wird er es sehen, wenn die VM@Linux läuft. Dann werde ich auch sehen ob die Arbeit nicht vielleicht umsonst war.

@stefan.becker


In manchen kleinen Firmen sieht es halt anders aus als in großen oder an Unis. Für einen zweiten Rechner, ein getrenntes Netz oder einen Admin ist halt kein Geld da.

Genau hier liegt das Problem. Unsere Aufträge aus den USA, Kanada und Mexiko sind seit Ende September um 70% eingebrochen. Es wird meiner Meinung nach vile zu schnell nach einem Server für jeden Kinderkram geschriehen - gerade in der Linuxszene (nichts für Ungut).

Die fertigen Images werd ich mir mal ansehen, vielleicht erspart mir das einiges an Aufwand.


Ich habe leider die Erfahrung gemacht dass Benutzer (und auch Chefs sind zuweilen Benutzer) lieber auf Sicherheit verzichten als darauf z.B. Word[TM]-Anhänge versenden und empfangen zu können.

Das habe ich - wie schon geschrieben - bereits erläutert. Wenn das ganze läuft und er es trotzdem nicht so einsetzt wie es sein muss, hat er Pech gehabt - ich leider auch weil ich darfs ausbaden.


Den 2. Wunsch, Windows Programme unter WINE in einer Virtuellen Maschine auf einem Windows Host zu verwenden halte ich schlicht für Schwachsinn. Wieso denn nicht direkt auf dem Host verwenden? Auch wegen der Sicherheit? Wenn diese Software extra für Eure Bedürfnisse erstellt wurde sollten diese Aspekte ja eigentlich schon abgedeckt sein !?

Richtig, sind Programme die nur von uns und ein paar wenigen Firmen mit dem gleichen Produkten und/oder Absatzmärkten eingesetzt werden. Das heißt aber nicht, dass die Software fehlerfrei ist - gerade diese wenigen (technisch unversierten) Nutzen tragen kaum dazu bei, dass die Entwickler die Software verbessern. Die haben wichtere Kunden als uns und konzentrieren sich darauf, ab und an kommt mal ein Update.

Wir haben Software die die Abwicklung mit Kunden aus Fernost vereinfacht (wegen Sprachproblemen und so). Von einem anderen Unternehmen haben wir die Info, dass es da scheinbar schon Versuche gegeben hat, an Daten zu kommen. Wenn diese nicht unter Wine laufen ist das kein Weltuntergang. Abrechnungen laufen eh nur 2 oder 3 im Monat, das lässt sich evtl. auch anders regeln.

OpenOffice haben wir schon am laufen, das geht auch ohne Wine.

Ich würde sagen du hast auf jeden Fall um einiges Mehraufwand wenn du auf jedem PC einen eMail Server laufen hast! Warum wird nicht einfach ein gescheiter eMail Server mit einem guten Viren & Spam Filter installiert? Von wie viel Arbeitsplaetzen reden wir denn hier.? Glaubst du nicht dass es mehr Zeit kostet lauter einzelne Server zu verwallten?






lg Citty :rolleyes:

Der Begriff "Server" ist hier wohl fehl am Platze. Im Endeffekt würde bei der Lösung doch nur ein Client mit nem Thunderbird laufen.

OK naja meiner Meinung nach nicht sinnvoll! Was passiert z.B. wenn ein User einen verseuchten USB-Stick an die PC's ansteckt! Hier wird das Problem Sicherheit irgendwie ziemlich verkompliziert und meiner Meinung nach von der falschen Seite angegangen! Meine User würden mir die PC's um die Ohren schmeißen wenn ich Ihnen so etwas aufzwingen will!

lg Citty

Kann man alles per Bios abklemmen. Ob noch jemand damit arbeiten will / kann, ist ne andere Sache.

100 % sicher bist du eh nur mit getrennten Netzen.

Eines intern für die Unternehmensanwendungen, ohne Internet, ohne USB am PC etc.

Und eines extern.