Heyho,

die Frage klingt zwar etwas banal nach 0815-wieder-ein-Noob-fragt, aber ganz so schlimm ist es nicht.

Mal etwas Vorwissen zu meinem Kenntnisstand: ich betreibe im privaten Kreis mehrere Gameserver (mehrere Minecraft-Instanzen, CSS, ...), Clanpages sowie einige Homepages einiger User für private Zwecke und 1 NonProfit TS3-Server. Auf der Kiste läuft noch ein hardened Debian 5 und einige User haben ihre privaten Backupdaten ebenfalls eingebunden (SMB). Die Konfiguration hierüber konnte ich mittels Subdomain-Auflösung und NAT bewerkstelligen. Webmin, Plesk oder anderes Zeug läuft hier nicht. Als Webserver kommt noch Apache zum Einsatz. Erfahrung in Debian ist also hinreichend vorhanden.

Beruflich administriere ich Anwendungen auf RHEL 5/6 und einigen Solaris 5 und 10-Stationen, bin entsprechend auch in den Mailverteilern von Oracle und RedHat, gerade was die Security-Mails betrifft und Workarounds.

Bei meinem kleinen Hobby-Debian hatte ich mir bisher keine Gedanken bzgl. der Sicherheit u.a. gemacht. Da nun doch aber recht viele Prozesse laufen, welche man prinzipiell als Angreifer zu betrachten hat, kam ich auf böse Gedanken und modifizierte Testweise mal einen Minecraftserver.

In der Tat war es damit möglich, trotz restriktivem User im System fopen-commands abzusetzen und passwd sowie shadow auszulesen. Der nächste Schritt bestand darin den md5 gpu beschleunigt zurückzurechnen und voilà da war zumindest ein sudo-User enttarnt.

Sicherlich kann man nicht argumentieren und den Programmierern der Anwendungen böses Vorwerfen, aber rein theoretisch wäre dies durch ein Einschleusen von Source durch Skriptkiddy's (was in der Vergangenheit ja öfter geschah) ja möglich.

In einem anderen Fall hatte ich den Apache leicht modifiziert und kam durch Buffer Overflows auf Speicherbereiche anderer Prozesse und konnte über modifizierte URL's den CSS-Server crashen.

Nun gibt es im *nix-Bereich so einige Möglichkeiten, wie man sein System abhärten kann. Spontan würden mir hier als "Sandboxes" openvz, (free)bsd-jails, secure-chroot (wirklich secure?) einfallen sowie die weiter in sich geschlossenen Virtualisierungssysteme (VMware ESXi, VirtualBox, kvm, xen). Mit all jenen habe ich mich nicht beschäftigt. Ebenso wenig hatte ich mich mit speziell für den Businessbereich entwickelten Distributionen (ClearOS, Zentyal) beschäftigt. Ich habe auch weniger die Lust mich nun wochenlang in jedes der Tools reinzulesen, und stückchenweise die Performance und Möglichkeiten zu evaluieren. Wieso das Rad neu erfinden, wenn andere erfahrene Nutzer helfen könnten? ;)

Daher die Frage, welches OS mit welcher Sicherungstechnik wäre denn geeignet, wenn die Anforderungen auf folgendes hinauslaufen:
- gute Performance (was meiner Meinung nach virtualbox/vmware und esx ausschließt)
- security mailinglist, um schnellstmöglich handeln zu können
- jede Anwendung in sich geschlossen, ohne Auswirkungen zu anderen Anwendungen
- nice to have: TFS-Server, sharepoint -> wäre natürlich mit anderen Methoden auch "mixbar"
- nice to have: einfache Administration sobald das System einmal läuft -> Ich hatte mir Virtualisierungssuites wie Archipelago-Project, Proxmox u.a. angesehen; laufen auf kvm/openvz-Basis


Persönlich liebäugel ich ja echt mit einer openBSD bzw FreeBSD-Umgebung, da hier schon allein die Fehleranfälligkeit der Systeme an sich geringer als bei einem Linux sein sollte (schon durch Linux' Komplexität vermute ich mal), aber auch, um Erfahrungen mit Jails zu sammeln. Die Dokumentationen sind sehr vielseitig und umfangreich (gerade openBSD); anders als bei Solaris 11, welches ich ebenfalls im Blick hätte. Die Frage ist halt, ob Linux-Distributionen genauso der Abhärtung mächtig wären, oder wo Vor- oder Nachteile von FreeBSD liegen. Und hier tendiere ich auch eher in richtung FreeBSD, da ich dort jails seh, eine aktivere Entwicklung als ein One-Man-Driven Projekt wie bei openBSD, und die Aussage "Sicherheit in Standardinstallation" ist nicht aussagekräftig, da es genau darum geht, gefahrlos potenziell gefährliche Prozesse auszuführen.
Für mein Desktopssytem ist und war jede BSD-Distribution ein absolutes nogo durch meine AMD-Karte; sprich hier müsste ich mich komplett in die Materie lesen (was ich nicht als Problem seh, sollte es Vorteilhaft gegenüber Debian/RHEL/...) sein.


So, viel zu langer Post, aber so könnt ihr besser einschätzen, auf was ich hinauswill. :)

So, viel zu langer Post, aber so könnt ihr besser einschätzen, auf was ich hinauswill. :)
Ehrliche Meinung: Aufwändiger Trollpost.

Ein paar der Dinge, die Du "als Fakten" schreibst passen einfach nicht mit der Realität zusammen.

Ein paar der Dinge, die Du "als Fakten" schreibst passen einfach nicht mit der Realität zusammen.

Wenn Du jetzt noch Auszüge dessen bringen könntest; davon ab, dass allein schon die Behauptung allein von Unwissen und einiger Frechheit zeugt.:mad:

Windows 2008 R2 mit Hyper-V

...oder Mac OS X Server?

Ehrlich, wenn du nicht mal weißt, welches OS du einsetzen willst, dann lass das mit dem Rootserver

Hallo großer Meister,

ich habe es sicher nur überlesen.... Was hast du noch gleich mit der Kiste vor?

Wenn du bereits Solaris Maschinen administrierst dann nimm doch gleich:

Zones, Crossbow, ZFS :)

Solaris 11 schlecht dokumentiert? Puhhh... Da du ja Solaris Systeme administrierst müsstest du wissen dass wenn etwas dokumentiert ist, dann Solaris und dieses sogar in Deutsch. Solaris 11 ist aus Opensolaris hervorgegangen, was dir sicher klar ist. Wenn du also keinen Zugang zum Suppotcenter von Oracle (was du aber sicher hast, da du ja solche Maschinen administrierst) hast, könntest du google einfach nach Möglichkeiten zu OpenSolaris fragen.

Oder meinst du eher: „Schritt für Schritt Anleitungen“ mit genauer Befehlsvorgabe?
Virtualbox ist dann doch eher etwas in Richtung Desktopvirtualisierung oder?
ESX, XEN, KVM können aus meiner Sicht schon einiges. Auch hinsichtlich Performance. Natürlich kann man nicht alles einfach virtualisieren. Was wolltest du noch gleich machen?
Vielleicht solltest du dir mal http://smartos.org/ anschauen? Da du RHEL 5/6 Maschinen an der Hand hast und dir die ganzen Mailings gibst hast du auch folgendes mitbekommen http://www.ovirt.org/

BSD, Solaris, RHEL, Debian, ESX, KVM…… Du scheinst doch einen ganz guten Überblick zu haben. Warum ist deine Frage dann so unspezifisch?

Ich würde auch mal auf einen Troll mit Buzzwordliste tippen.

*Kopfschüttel* und ich füttere ihn noch….

Beste Grüße

Sinnlos echt...

seht her, wenn ich etwas in einer Firma administriere, so ist diese des Kunden willen auf Sicherheit bedacht. Einzelne Applicationen auf einem Server betreiben? Undenkbar. Da käme schon eher ein mit Blades realisiertes ESX-Cluster in Betracht. Aber auch jenes dient bei uns nur für Testsysteme und die Sandboxen zum experimentieren mit neuen Plugins o.ä. Die Wirksysteme sind allesamt physisch und zwar für jede Anwendung bzw jeden Kunden spezifisch zusammengestellt. Aus diesem Grund sind meine Kenntnisse in den Bereichen eben auch recht marginal. Dass ich für ein privates Hobby ein Cluster zusammenstelle... netter Vorschlag.

Solaris 11 aus openSolaris hervorgegangen? Ahja... es bietet zwar den GPL-Ansatz von openSolaris, aber nur weil Samsung von Apfel kopiert, habe ich mit einem Galaxy noch kein IPhone.
Wer einmal die Doku von Solaris gelesen hat, weiß, wovon ich rede. Strukturiert, wie docs.redhat.com? Alles an einem Ort auffindbar und detailliert beschrieben? Mh... naja.

Ich weiß nicht, wie ihr auf Troll kommt... weil Hintergrundwissen vorhanden ist, und ich um meinen Standpunkt zu äußern etwas umfassender meine Frage formuliert habe, diese demnach nicht mit einem 0815 Standard-Kurzsatz von den "Professionals" beantwortet werden konnte? Sehr nett und gleichfalls eine gute Werbung für das Forum; ich find es eher traurig. Wenn man keine Ahnung hat, und noch nichtmal weiß, wo man den Source vom Apache findet und/oder diesen fachgerecht interpretiert, dann einfach mal Klappe halten. Keine Antwort im Thread hätte zumindest gezeigt, dass ich die Frage etwas zu fachlich gestellt habe, oder das Knowhow hier im Forum nicht vorhanden ist.

ZFS ist bei einem kleinen Server mit nur 2 HDD's? Wohl etwas übertrieben...

Was ich mit dem Server vorhabe, steht auch oben drin, lieber Kernel-Error. Zumindest hatte Deine Antwort einige Begriffe in den Raum geworfen, was man bei den anderen nicht gerade behaupten konnte... Eine direkte Antwort oder gar ein Erfahrungsbericht wäre mir lieber gewesen. OVirt kannte ich bisher zwar nicht, da ich mich eher in Richtung Proxmox und openNode umschaute, und es hier auf den ersten Blick keinen Mehrwert darstellt.

TheDarkRose: mal von der unqualifizierten Troll-Antwort (ach ich vergas, dass ich ja der Troll bin) mal abgesehen, war nicht meine Frage nach dem OS allgemein, sondern in Abhängigkeit von der Virtualisierungstechnik gestellt. Dies scheint jedoch nur dem geübten Blick eines höher intelligenten Wesens ersichtlich zu sein.


Eher durch Zufall beim Aufräumen meiner Bookmarks kam ich nochmals hier an und las mit verwundern, dass doch noch einige "Antworten" zustande kamen. Ich hatte mich in der Zeit allerdings in einem weiteren Forum erkundigt, wo mein Anliegen zufriedenstellend zumindest diskutiert wurde. Der geübte Googl'er könne den Thread womöglich sogar finden.

Mein Kenntnisstand für "Kleinserver" à la Hetzner:
1. Möglichkeit: FreeBSD mit Jails. Systemupdates ohne Probleme möglich; ein kompletter Rebuild der World updated sogar, ein Port-update vorausgesetzt, das System auf eine neue Revision. Wenn sollte ein Windows eingesetzt werden, kann man auf VBox zurückgreifen.
2. Möglichkeit: x-beliebige Distro mit openVZ+KVM oder XEN (paravirtualisiert), was ein ähnliches Sicherheitslevel bringen sollte. AppArmor/SELinux wäre eine weitere Möglichkeit, gekoppelt mit ACL's.

Aufgrund schon vorhandener Erfahrungen und des geringen Aufwandes fiel meine Wahl in dem Falle jedoch auf #2. Debian 5 wurde beibehalten, openVZ für jeden einzelnen Gameserver sowie XEN für evtl. dazukommende Windows basierte Server.

Aber da fällt mir ja ein, dass ich nur ein dümmlich fragender Troll bin. Frage ich mich, weswegen ich mir die Mühe mache, alles hinzuschreiben -.-

Warum paravirtualisieren? Magst du Performance verschenken? Einfach KVM und fertig. Geht auch mit Windows Guests und KVM/libvirt kann von Haus aus den Bildschirm des Guests als VNC publizieren.

Warum paravirtualisieren? Magst du Performance verschenken? Einfach KVM und fertig. Geht auch mit Windows Guests und KVM/libvirt kann von Haus aus den Bildschirm des Guests als VNC publizieren.

ähm. du weisst was paravirtualisierung ist?
warum sprichst du von performace verschenken?

//richard

Solaris 11 aus openSolaris hervorgegangen?

http://de.wikipedia.org/wiki/Solaris_(Betriebssystem)#Versions.C3.BCbersicht



Wer einmal die Doku von Solaris gelesen hat, weiß, wovon ich rede. Strukturiert, wie docs.redhat.com? Alles an einem Ort auffindbar und detailliert beschrieben?

http://docs.oracle.com



Ich weiß nicht, wie ihr auf Troll kommt...

Du bist irgenwas zwischen 18 und 25 oder?



ZFS ist bei einem kleinen Server mit nur 2 HDD's? Wohl etwas übertrieben...

http://en.wikipedia.org/wiki/ZFS#Data_Integrity
http://en.wikipedia.org/wiki/ZFS#Copy-on-write_transactional_model
http://en.wikipedia.org/wiki/ZFS#Deduplication
http://en.wikipedia.org/wiki/ZFS#Dynamic_striping



OVirt kannte ich bisher zwar nicht, da ich mich eher in Richtung Proxmox und openNode umschaute, und es hier auf den ersten Blick keinen Mehrwert darstellt.

Du solltest einen zweiten Blick versuchen oder richtig lesen bzw. verstehen.




Was ich mit dem Server vorhabe, steht auch oben drin, lieber Kernel-Error.

Du meinst: "Welches OS für Rootserver?" Öhm... ja :) Darf ich dann noch mal die Frage stellen was du vor hast mir der Kiste? Ich kann noch immer nicht folgen. Nachdem ich jetzt Gameserver gelesen habe... Lege ich mich wohl besser wieder hin, hm?



Aber da fällt mir ja ein, dass ich nur ein dümmlich fragender Troll bin.

Dümmlich? Nein.. es passt einfach alles nicht zusammen. Würdest du mit deinen Schlagworten etwas anfangen können, hättest du diese Frage nicht gestellt. Es ist keine Schande etwas nicht zu wissen. Keine kann alles bis ins kleinste Detail wissen.

Meinen Azubis gebe ich immer gerne:
http://www.tty1.net/smart-questions_de.html



Sehr nett und gleichfalls eine gute Werbung für das Forum; ich find es eher traurig.

Reicht ihm mal bitte jemand ein Taschentuch?

Beste Grüße

http://de.wikipedia.org/wiki/Solaris_(Betriebssystem)#Versions.C3.BCbersicht

Ah OK, hier gebe ich definitiv zu, mich bzgl Solaris nicht ganz so beschäftigt zu haben. Mit openSolaris war ich auf den von der Community anhand der Solaris Sources erstellten Versionen fixiert. Gerade auch, weil wir in der Firma bei Solaris 11 vom Nachfolger der von uns eingesetzten sprachen. Und nein, bevor die Vermutung kommt, unsere Firma ist keine 20 Mann-Bude ;)



http://docs.oracle.com

Die URL ist mir durchaus bewusst. Dennoch in Sachen Struktur, Komfort etc weder mit jener von RedHat noch dem Arch-Wiki oder gar dem Ubuntuusers vergleichbar... bei weitem nicht. Brauchen wir auch nicht streiten; ist meine Meinung reinweg aus der täglichen Betriebserfahrung heraus.



Du bist irgenwas zwischen 18 und 25 oder?

Etwas unter 30 wäre die korrekte Antwort



http://en.wikipedia.org/wiki/ZFS#Data_Integrity
http://en.wikipedia.org/wiki/ZFS#Copy-on-write_transactional_model
http://en.wikipedia.org/wiki/ZFS#Deduplication
http://en.wikipedia.org/wiki/ZFS#Dynamic_striping

Die Features von ZFS sind mir schon klar. Ich kann mich düster an einen ChaosRadioExpress Podcast erinnern, wo von der Nutzung von ZFS bei Single-HDD's abgeraten wurde. Ich seh es auch recht kritisch eine eierlegende Wollmilchsau wie ZFS für ein kleines privates Projekt zu vergewaltigen. Ein schnelles googlen nach bad performance zfs bringt auch recht viele Heulbeiträge. Mag etwas anderes sein, wenn ein ordentliches HW-Raid dahinter steht.



Du meinst: "Welches OS für Rootserver?" Öhm... ja :) Darf ich dann noch mal die Frage stellen was du vor hast mir der Kiste? Ich kann noch immer nicht folgen. Nachdem ich jetzt Gameserver gelesen habe... Lege ich mich wohl besser wieder hin, hm?

Gern zitier ich mich nocheinmal selbst:


Ziel

- gute Performance (was meiner Meinung nach virtualbox/vmware und esx ausschließt)
- security mailinglist, um schnellstmöglich handeln zu können
- jede Anwendung in sich geschlossen, ohne Auswirkungen zu anderen Anwendungen
- nice to have: TFS-Server, sharepoint -> wäre natürlich mit anderen Methoden auch "mixbar"
- nice to have: einfache Administration sobald das System einmal läuft -> Ich hatte mir Virtualisierungssuites wie Archipelago-Project, Proxmox u.a. angesehen; laufen auf kvm/openvz-Basis
Was läuft drauf?

mehrere Gameserver (mehrere Minecraft-Instanzen, CSS, ...), Clanpages sowie einige Homepages einiger User für private Zwecke und 1 NonProfit TS3-Server

Um es genau zu machen laufen 2 CSS Clanserver, 1 Minecraft-Instanz (official Server), 2 Minecraft-CraftBukkit, 1xBF1942 Server, 1COD2, 1COD MW sowie 1 spezieller und privater COD5 mit Nazi-Zombie-Mod. Für fast jeden der Clans eine Homepage welche die selbst verwalten, sowie 1 TS3 Serverinstanz auf mehreren virtuellen Servern. Ändert an der Tatsache selbst aber nichts. ;)
In weiter Ferne, so meine Zeit es zulässt möchte ich für mich privat noch einen Proxy mit Adblock-Funktion sowie einen jdownloader-Fileserver drauf laufen lassen.
Daher auch die Anfrage nach in sich geschlossenen Umgebungen, was in erster Linie ja nach VBox klingen möge, welche jedoch performancemäßig gut sind. Und genau da käme openVZ, kvm, xen und co in Betracht. Meine Frage als solche war eher ein Aufruf zu einer Diskussion für Leute, welche Knowhow in dieser Richtung haben, aber auch mal über den Tellerrand geschaut haben und ein größeres Spektrum abzudecken vermögen und hier gezielt von bestimmten Lösungen abraten, andere jedoch empfehlen könnten.

Ich habe nie behauptet, mich mit diesen Umgebungen/Tools auszukennen. Im Gegenteil, ich wollte mich mit einer Lösung intensiv beschäftigen. Daher auch der Aufruf, welche man mir hier aus Erfahrungswerten her empfehlen könnte. Um sinnfreie Diskussionen ausschließen zu können à la "Nimm VBox; reicht aus in den meisten Fällen" gab es noch etwas Hintergrundwissen dazu.



Meinen Azubis gebe ich immer gerne:
http://www.tty1.net/smart-questions_de.html

Nun, Du gehörst also zu der Gruppe, welche sich keine größeren Gedanken um eine Fragestellung machen? Zu den diskussionsunbereiten Autoritärpersonen, für welche es schlichtweg nur 1 Lösung gibt, und alles andere völliger Schrott ist? ;) Einen solchen Abteilungsleiter kannte ich in meiner alten Firma auch, bis ich bei einem grün gefärbten Unternehmen eine Chance bekam und fix kündigen konnte. Du glaubst nicht, wozu Teamwork in der Lage wäre. Denk mal drüber nach. :)
Die Fragestellung ist dem geübten Blick eines des Lesens mächtigen, aber auch dem zum denken willigen, durchaus ersichtlich gewesen.

TheDarkRose: ich möchte legiglich meine Sharepoint und TFS-Umgebung, welche ich jetzt aufbaue, mittels VBox realisieren. Der kritische Wirkbetrieb läuft unter openVZ. Eine FreeBSD-Sandbox läuft auch unter VBox, da ich mich mit XEN nicht beschäftigen wollte. Danke dennoch.

Ziel

- gute Performance (was meiner Meinung nach virtualbox/vmware und esx ausschließt)
- security mailinglist, um schnellstmöglich handeln zu können
- jede Anwendung in sich geschlossen, ohne Auswirkungen zu anderen Anwendungen
- nice to have: TFS-Server, sharepoint -> wäre natürlich mit anderen Methoden auch "mixbar"
- nice to have: einfache Administration sobald das System einmal läuft -> Ich hatte mir Virtualisierungssuites wie Archipelago-Project, Proxmox u.a. angesehen; laufen auf kvm/openvz-Basis


Um es genau zu machen laufen 2 CSS Clanserver, 1 Minecraft-Instanz (official Server), 2 Minecraft-CraftBukkit, 1xBF1942 Server, 1COD2, 1COD MW sowie 1 spezieller und privater COD5 mit Nazi-Zombie-Mod. Für fast jeden der Clans eine Homepage welche die selbst verwalten, sowie 1 TS3 Serverinstanz auf mehreren virtuellen Servern.
Hier sollte LXC (http://wiki.debian.org/LXC) völlig ausreichend sein. Gibt es auch im ubuntuusers Wiki: http://wiki.ubuntuusers.de/LXC

TFS-Server und Sharepoint kenne ich nicht.
Was meinst du den mit einfacher Administration? Neue virtuelle Server anlegen? Das ist ein einfaches cp und danach ein lxc-start. Alles schön, schnell und einfach mit dem Terminal zu erledigen.
Löschen geht auch einfach: lxc-stop und danach ein rm.


In weiter Ferne, so meine Zeit es zulässt möchte ich für mich privat noch einen Proxy mit Adblock-Funktion sowie einen jdownloader-Fileserver drauf laufen lassen.

Das gehört dort eigentlich nicht drauf ;) Bestätigt dennoch Kernel-Errors Alterseinschätzung.
Oder meintest du damit eine weitere Kiste bei dir Zuhause?

Edit: Aber ob dein Arbeitsspeicher für diese Dienste ausreicht ist fraglich.

LXC... das kannte ich echt noch nicht. Genial. Danke! :)

Den Rest kommentier ich nicht weiter ;)

um es kurz zu machen, lxc ist sowas wie openvz aber mainline.
derzeit würde ich lxc aber noch nicht einsetzen um programme einzusperren, die als root laufen müssen bzw. bösarig sind.

//richard

Bei LXC entfällt im Gegensatz zu openVZ das Einrichten von virtuellen Netzwerken inklusive Routing.

Was spricht den zum aktuellen Entwicklungsstand gegen den Einsatz? Die Berechtigungen des root-Nutzers innerhalb des Containers entfernt man und gibt ihm nur benötigte Rechte. Auch gibt man dem Container nur bestimmte Geräte aus /dev usw.
Gemeinsam verwendete Verzeichnisse werden read-only gemounted.

Zurzeit teste ich LXC in einer VM unter Debian. Bisher konnte ich weder ausbrechen noch das "Host"-System beeinträchtigen. Aber ich teste weiter.

hi!

lxc verwendet gleich wie openvz veth.
(wenn ich nicht irre kommt veth sogar direkt von openvz).

der uid-namespace ist noch nicht 100%ig.
es gibt immer wieder probleme, dass im kernel gegen uid==0 geprüft wird.
was bei lxc dann übel ist.

das problem mit dem entfernen der capabilities ist, dass nicht einfach alle entfernen kannst.
zb. CAP_AUDIT_CONTROL. bei manchen aktuellen distros geht dann pam nicht mehr.
du kannst es dir also aussuchen, andere distro im container verwenden oder
damit leben, dass der root im container das audit-system vom host ändern kann...

//richard