Desktop PC als Server mit Virtualisierung?

**lou_ziffer** · 12.01.24, 12:00

Hallo Leute! Schön, dass es dieses Forum noch gibt. Ich habe einen Desktop PC, den ich gerne als Server einsetzen würde:

AMD Ryzen5 3,9GHz
32GB G.Skill Aegis DDR4 3000 MHz
Samsung 970 EVO Plus NVMe M.2 SSD, 500 GB (eventuell erweiterbar durch eine zweite)

Da ich viele Jahre nicht mehr direkt mit Linux gearbeitet habe, bin ich bei weitem nicht auf dem aktuellen Stand, wie man einen Server sinnvoll und richtig einrichtet. Ich möchte einerseits wieder etwas damit "üben", also Erfahrung sammeln, andererseits würde ich auch gerne die ein oder andere Produktiv-Anwendung damit betreiben.

Meine Fragen sind:

1) Ist Ubuntu noch zu empfehlen? Ich brauche ein sicheres aber auch modernes System für den Einsatz als Server. Ich habe dabei an aktuelle Ubuntu Server Edition mit LTS (oder is ohne LTS mehr zu empfehlen?) gedacht.

2) Virtualisierung. Ich möchte wie gesagt mit dem Gerät auch etwas herumspielen. Ich dachte deswegen würde es eventuell Sinn machen, den Server zu virtualisieren. Nur haben sich bei meiner Recherche mehr Fragezeichen ergeben als richtige Erkenntnisse. Ich habe gelesen, dass man heutzutage KVM nutzt um zu virtualisieren. Irgendwo meine ich aber auch gelesen zu haben, dass so eine Virtualisierung sehr intensives Logging betreibt, weshalb sich SSDs viel schneller abnutzen als ohne Virtualisierung. Was sind eure Erfahrungen dazu? Ich hätte gerne ein System in dem ich ganz einfach neue Geräte anlegen und löschen sowie backupen kann. Geht das mit KVM und wie macht ihr das bei euch? Ist das obige System überhaupt für Virtualisierung geeignet oder sollte man das nur mit "echten" Serverkomponenten machen?

3) Backup. Wie habt ihr euer Backup-System eingerichtet. Ich möchte im Falle eines Ausfalls schnell reagieren können (z.B. von einer SSD auf eine neue umsteigen und das Backup einspielen). Ein "Echtzeit" Backup a la RAID ist nicht notwendig. Es reicht, wenn alles z.B. alle zwei Tage synchronisiert wird.

4) File Server. Ein Anwendungsfall den ich gerne umsetzen würde ist, einen lokalen (und von außen oder über VPN erreichbaren) File Server zu betreiben. Ich habe einige externe Festplatten herumliegen, die schlecht organisiert sind. Ich möchte das alles an einem zentralen Ort haben und vor allem Ã¼ber eine Schnittstelle erreichbar haben (nicht die externen Festplatten an und umstecken müssen). Wie macht ihr das? Ein weiterer Punkt ist, dass ich beruflich ausschließlich auf macOS arbeite (was der Grund ist, warum ich Linux seit vielen Jahren nicht mehr aktiv verwendet habe) und dort natürlich APFS verwendet wird. Im Optimalfall würde ich gerne mit macOS, Linux und Windows auf die Files zugreifen können und hätte gerne alles perfekt synchron (also Filenamen und Metadaten mit allen Systemen kompatibel). Mir ist bewusst, dass das leider nicht geht (oder mittlerweile doch?). Daher würde es mir auch genügen, wenn macOS 100% kompatibel ist. Wie geht ihr damit um?

5) Andere Anwendungen. Ich würde gerne die ein oder andere Blockchain Node laufen lassen und auch einen privaten Webserver aufsetzen und ihn für Web-Front/Backend-Testprojekte und Docker-Experimente usw. nutzen. Was macht ihr mit euren Servern sonst noch?

6) Sicherheit. Was sollte man zum Thema Sicherheit beachten? Ich dachte auch unter diesem Aspekt an eine Virtualisierungslösung. Wenn ein virtueller Server kompromitiert wird, sollen zumindest die anderen davon nicht betroffen werden. Meinem Verständnis nach, ist das bei Docker nicht gegeben, ich habe mit Docker allerdings keine Erfahrung. Ich kann mir auch vorstellen, dass gerade wenn man Blockchain Nodes oder ähnliches laufen lässt, es vermehrt zu Angriffen kommen könnte.

7) LAN Architektur. Würdet ihr eine kompliziertere LAN-Struktur aufsetzen, also z.B. mehrere VLANs um Desktop- und Mobile-Geräte vom Server zu trennen? Was gibt es dabei zu beachten?

Ich danke euch schon im Voraus und bin gespannt auf eure Antworten!
Lou

**nopes** · 12.01.24, 14:07

zu 1) Ja, ich nehme eigentlich nur noch LTS, einige Jahre sollte ich die Distri noch nutzen können; ich bin mir sicher das können so auch andere Distributionen

zu 2) inzwischen nimmt man besser Container bzw Docker für sowas

zu 3) Auf meinem Laptop habe ich TimeShift eingerichtet, gebraucht habe ich das aber noch nicht, auf Servern verwende ich idR einfach cp, scp bzw rsync, ganz klar bin ich da aber nicht wirklich drin

zu 4) OwnCloud bzw NextCloud

zu 5) MQTT, HomeAssistant, Teamspeak, Node-Red, rtl_433, Sandstorm (.io) und wo immer ich Lust drauf kriege (Blockchain ist nicht dabei, diese Technologie ist einfach nur schlecht für die Umwelt sonst nichts)

zu 6) Bei Docker ist es genauso, wie bei VMs (oder chroot), schlecht eingestellt schützen sie nicht

zu 7) ein LAN keine VLANs, IPv4, vermutlich wäre IPv6 und VLANs Zeitgemäßer, jedesmal wenn ich damit anfange, breche ich schnell ab - werde wohl alt :-)

**spychodelics** · 14.01.24, 12:28

Hallo Lou_ziffer,

ergänzend zu dem Beitrag von nopes kann ich Dir nur empfehlen die mal Unraid anzusehen. Ich bin davon eben zwar gerade über die Weihnachtsfeiertage weg zu einem normalen Archlinux mit "Cockpit-Project" aber wenn man nicht wie ich Sonderfälle hat ist man bei Unraid relativ gut aufgehoben.

Unraid bietet eigentlich alle benötigten Funktionen in einer angenehmen Oberfläche:

NAS
KVM
Docker

und hat einen Community gepflegten App-"Store" der die Funktionalität noch erweitert.

Backups mache ich per Restic beim herunterfahren.

**ThorstenHirsch** · 14.01.24, 13:08

Zitat von nopes

Blockchain ist nicht dabei, diese Technologie ist einfach nur schlecht für die Umwelt sonst nichts

Das sind nur PoW-Blockchains wie Bitcoin*. Gibt's neben Bitcoin überhaupt noch nennenswerte PoW-Blockchains? Ich denke nicht.

* = Ich weiß, dass die Bitcoiner dies bestreiten, aber mich überzeugen deren Argumente nicht.

edit: Noch ein Punkt...

Zitat von nopes

zu 6) Bei Docker ist es genauso, wie bei VMs (oder chroot), schlecht eingestellt schützen sie nicht

Zweiter Halbsatz - ja, aber die unterschiedlichen Architekturen haben direkt Einfluss auf die Sicherheit. Wenn ein Angreifer über eine Sicherheitslücke den Service kompromittieren kann, ist er bei einer VM zunächst noch darin "gefangen" und muss noch eine Sicherheitslücke in der VM finden. Bei Docker wird der Prozess nur über den Namespace im Kernel des Hosts isoliert, das heißt ein erfolgreicher Angreifer wäre direkt im Host. Aber es gibt Ansätze um diesen Angriffsvektor zu unterbinden.

**Huhn Hur Tu** · 15.01.24, 05:37

1) Ist Ubuntu noch zu empfehlen?
Ist es nicht, war es nur in den ersten Tagen. Ich verwende seit einigen Jahre nur noch Debian, ist einfach entspannter.

2) Virtualisierung.
KVM, libvirt via virsh, schoen via konsole zu bedienen oder ~virtmanager als GUI

3) Backup.
BorgBackup

4) File Server.
Lokal NFS/Samba und remote via Owncloud oder SCP

6) Sicherheit.
Es ist immer so sicher wie du dich damit beschaeftigst. Jede Anwendung hat ihre Methoden, da gibt es ausser FW (Geofencing um RU/US/CA/bekannte Military/Intelligance/China und Nordkorea IPs auszuschliessen) nichts was man drueberstreut und dann sicher ist.

7) Wenn du ein DNS / DHCP betreiben willst (Nicht den ******* aus dem Plasterouter) dann IPV6 und VLAN, wenn du Wert auf IPs zum lesen legst, dann IPV4 intern und nach aussen maskiert.

Ich persoenlich habe einen Server am DSL laufen, mit einigen KVM Instanzen deren Anwendungen, wenn von ausser erreichbar sein muessen zuerst mal andere Ports. Damit sind alle Skriptangriffe weg. Dann zusaetzlich ein Fail2Ban, das erlegt diejenigen, die auch mal einen Portscan machen und Bruteforce versuchen. Evtl. noch Portknocking fuer SSH, kein root login, kein Passwort, nur noch via Key.
Ab dem Punkt an dem du von Leuten angegriffen wirst, die ehrliches Interesse an deinem Server haben, ists dann aus.

**DrunkenFreak** · 18.01.24, 07:37

Zitat von ThorstenHirsch

Das sind nur PoW-Blockchains wie Bitcoin*. Gibt's neben Bitcoin überhaupt noch nennenswerte PoW-Blockchains? Ich denke nicht.

* = Ich weiß, dass die Bitcoiner dies bestreiten, aber mich überzeugen deren Argumente nicht.

edit: Noch ein Punkt...

Zweiter Halbsatz - ja, aber die unterschiedlichen Architekturen haben direkt Einfluss auf die Sicherheit. Wenn ein Angreifer über eine Sicherheitslücke den Service kompromittieren kann, ist er bei einer VM zunächst noch darin "gefangen" und muss noch eine Sicherheitslücke in der VM finden. Bei Docker wird der Prozess nur über den Namespace im Kernel des Hosts isoliert, das heißt ein erfolgreicher Angreifer wäre direkt im Host. Aber es gibt Ansätze um diesen Angriffsvektor zu unterbinden.

Und deshalb ist Docker meiner Meinung nach einer vollen Virtualisierung unterlegen. Dazu kommt, dass die Wartung der Container deutlich aufwendiger ist. Um einzelne Dienste zu trennen und in alle Richtungen zu skalieren, ist das Zeug knapp in Ordnung, wenn man sich denn der Komplexität hingeben will.

**nopes** · 18.01.24, 08:43

Was man beim Thema VM oder Container auch nicht vergessen darf, ist das Software heute oft im Container kommt, in irgendwelchen Entwicklungs Prozessen wird das auch gerne genommen (CI/CD Pipelines). Daher sind Container mMn wichtiger als VMs, wenn es um drum geht Erfahrung mit aktuellen Verfahren aufzubauen.
Egal ob VM oder Container, wenn du einen Service damit betreibst, musst du dich kümmern, um den Service selbst, auch um den Service, der deinen Services umsetzt (Docker, KVM, Qemu usw), aber auch um den Service der das verwaltet (proxmox, vagrant usw). Sicherheit bzw ausbrechen ist schon immer ein Thema gewesen (deswegen hatte ich auch chroot erwähnt, auch bei chroot geht es ums isolieren), hier noch ein paar Links dazu:
https://www.reddit.com/r/cybersecuri...ice/?rdt=55826
https://cloud.google.com/blog/produc...y-in-plaintext
https://www.panoptica.app/research/7...pe-a-container
https://en.wikipedia.org/wiki/Virtual_machine_escape
http://www.unixwiz.net/techtips/mirr...oot-break.html

**lou_ziffer** · 06.02.24, 23:16

Leute, danke für eure Antworten!

Zu 1 und 2) Ich überlege, die Virtualisierung über Proxmox zu machen. Ich habe allerdings in diversen Forenbeiträgen gelesen, dass Proxmox ziemlich viele Logs schreibt (angeblich ca. 30 GB pro Tag) und daher SDDs sehr schnell in die Knie gehen bzw. w. o. geben. Die Leute empfehlen dafür eine Enterprise SSD zu nehmen. Welche SSDs verwendet ihr und habt ihr Erfahrung mit Proxmox diesbezüglich?

3) Backup. Ich werde dieses Thema mal etwas hintanstellen. Wahrscheinlich wird es dann etwas wie rsync werden. Auch gibt es Proxmox Backup Server, aber ich bin nicht sicher ob das für den Heimgebrauch geeignet ist. Ein Backup der gesamten Daten im "NAS" werde ich wahrscheinlich dann alle paar Tage per Script über rsync machen lassen.

4) Habt ihr euch mal Seafile angeschaut? Das scheint mir eine schlanke Alternative zu sein. Owncloud kann mir fast zu viel. Ich denke die meisten der Features würde ich da nicht verwenden. Ich möchte hauptsächlich einen Dropbox-Ersatz. Fotos usw. brauche ich nicht. Für Lokal werde ich SMB nehmen, da NFS offenbar kein Locking unterstützt.

5) Andere Anwendungen. Das ist der Hauptgrund, warum ich eine Virtualisierungslösung haben möchte. Um auch mal experimentieren zu können, ohne das Hauptsystem in Gefahr zu bringen.

6) Sicherheit. Das macht mir ein etwas ungutes Gefühl. Einen Server mit Ports nach außen zu betreiben birgt halt immer das Risiko, dass dieser kompromittiert und für illegale Zwecke eingesetzt wird, für die man dann eventuell selbst haftet?! Macht ihr euch diesbezüglich Gedanken und habt ihr irgendwelche Monitoring-Scripts am Laufen um so etwas zu erkennen?

7) LAN-Architektur. Ich denke ich werde es jetzt einmal ohne VLANs aufsetzen. Zwar hätte ich gerne alle Smart Home Geräte in einem separaten Netzwerk, aber meiner Recherche nach, scheint das alles andere als unproblematisch aufzusetzen zu sein. Mit dem Risiko, dass über den iRobot jemand in mein Netzwerk eindringt, muss ich wohl vorerst leben. ;-) Ich habe derzeit 1 Git Switches im Einsatz. Für SMB ist mir das aber immer noch zu langsam eigentlich. Hat von euch jemand einen 10 Gbit Switch im Einsatz und könnte eventuell eine Marke/Serie (ohne Lüfter) empfehlen?

**Dukel** · 07.02.24, 00:25

Du kannst ja eine HDD mit einbauen und die Logs darauf schreiben lassen.

**nopes** · 07.02.24, 15:36

Festplatten würde ich keine mehre kaufen. Die üblichen Lebensdauerformeln spucken einige Hunderjahre aus. Das Thema bei SSD und wie lange halten die, hängt davon ab welcher NAND Speicher verbaut ist - https://de.wikipedia.org/wiki/NAND-F..._NAND-Speicher . Am längsten halten Speicher wo SLC NANDs verbaut sind, die kann man aber praktisch garnicht kaufen und selbst wenn sie kosten viel mehr und besonders schnell sind sie idR auch nicht. Heute wird üblicherweise überall TLC bzw QLC basierte Speicher verkauft. Bei Samsung, dem größten NAND-Speicher-Produzenten, steht PRO steht für MLC, EVO für TLC, QVO für QLC. PRO Varianten kosten etwa das dreifache, der EVO Variante, EVO und QVO kosten etwa gleich viel. In meiner Praxis ist noch keine SSD Festplatte kaputt gegangen, ich hatte PROs und EVOs recht intensiv im Einsatz, ich würde mir daher eine EVO holen, selbst bei zwei total Ausfällen, wäre das immer noch billiger, Festplatten sind bei mir raus (da ist auch mehr verbaut, was kaputt gehen könnte, als bei SSDs)

Seafile, es gibt einige pastbins, da spricht nichts gegen. Die Frage ist eher, warum überhaupt noch NFS/SMB, SmartDevices können damit nichts anfangen. Es ist ja schon so, dass das jeder Service die Sicherheit schwächt, wenn du nun ein Tablet integrieren willst, brauchst du einen neuen Service dafür. Wenn es um Filesharing geht und Lösungen wie zB OwnCloud nicht benutzt werden soll, wäre ein Web Service ala pastebin für micht die nächste logische Wahl, die laufen halt auf allen Plattformen und ich muss mich nicht um mehrere Services mit der gleichen Aufgabe kümmern.