Übungsprojekt: Heimserver

[Dragosani]

Hallo,

ich habe es mir in den Kopf gesetzt, mir endlich mal einen Heimserver aufzubauen, um damit ein wenig Übung mit Servern zu bekommen - früher oder später soll es mal ein Root Server werden, jedoch täte ich diesen erst mieten, wenn ich mir sicher sein kann, daß ich damit keinen Mist baue.

Als ServerOS nehmen ich Debian ohne WM wie Gnomes oder KDE. Mit diesem will ich mich dann immer per SSH verbinden, um die Einstellungen zu machen - eben genau wie ich es bei einem Root Server täte.

Folgende Server sollen darauf laufen:

Apache
MySQL
sendmail (will ich auch jeden Fall testen)
cups (kann es gut im Heimnetz gebrauchen)
Samba (ebenfalls nur Heimnetz)

Eine iptables Firewall will ich auch versuchen einzurichten.

Ich stelle mir nun natürlich die Frage, wie ich es schaffen kann, den Server so sicher wie möglich zu halten.

Zum einen natürlich die (sogar mir) bekannten grundlegenden Dinge: nur so viele Dienste, wie wirklich nötig laufen lassen, dort immer mal nach Sicherheitspatchen etc. suchen.

Aber wie finde ich heraus, ob es da etwas neues gibt? Klar kann ich mehrfach täglich ein update laufen lassen, aber das kann ja bei einem RootServer auch nicht unbedingt so klasse sein, oder?

Immerhin ist es so theoretisch Möglich, daß fehlerhafte Pakete ggf. geladen werden.

Gibt es da eine Webseite, wo man sich per Mail immer aktuell halten kann?

Habt ihr sonst nich hilfreiche Tipps für mich?

 

[Navy]

Da Du ja Debian nutzten willst, klärt sich das tägliche Suchen nach Sicherheitsupdates von alleine, denn Debian verwendet Pakete die lang bewährt, getestet und stabil sind. Aus diesem Grund wirst Du auch kaum aktuelle Pakete bei Debian finden (es sei denn über Fremdrepositories), jedoch wäre es ratsam /mindestens/ einmal im Monat eine Überprüfung nach Updates durchzuführen -- oder diese automatisiert als Cronjob laufen zu lassen.

Die Idee der Firewall ist nicht schlecht, nur solltest Du dafür einen weiteren Server als eben diesen verwenden, denn einen Server als Router/Paketfilter und Dienstserver zu konfigurieren ist immer eine schlechte Idee.

 

[Dragosani]

Danke für Deine Antwort

Die Updates wollte ich schon öfter als einmal im Monat fahren, anfänglich werde ich sie manuell anstoßen, aber ein CronJob ist schon eingeplant dafür Möchte das immerhin auch lernen.

Stimmt, bei Debian muss ich da evtl. nicht so vorsichtig sein. Wie würde ich ansonsten vorgehen? Man hat ja eine endliche Anzahl von Diensten laufen, in meinem Fall sind es ja recht wenige. Da könnte man also regelmäßig auf die jeweligen HP gehen und nach Neuerungen schauen, oder?

Das mit der Abtrennung von Firewall und System habe ich noch nicht ganz verstanden. In einem größeren Netzwerk wird das ganz bestimmt Sinn machen (da würde man dann wohl einen Rechner mit FW und Proxy Server hinstellen, und die restlichen Server/Clients dahinter?).
In meinem Fall würde ich gern den Umgang mit einem "RootServer" üben, welchen ich mir irgendwann einmal anschaffen möchte. Da sollte ich wohl eher nicht mit ausgelagerten Firewalls arbeiten, oder?

 

[Navy]

Nein, das nachsehen auf der Website der Projekte/Programme würde Dir nciht viel helfe, da diese ja die neusten Releases erstellen. Debian hingegen hat durchaus mehrere Jahre alte Versionen eines Programms und gibt nur selten aktuelle Backports raus. Die Updates die dort durchgeführt werden sind also Anpassungen und keine Releases der Programme.

Nein, ein rootserver hat nur bedingt mit Deinem Projekt zu tun. Ein solcher Server steht ja für sich alleine im Netz ohne eine direkte Verbindung zu Clients. In Deinem lokalen Netz sieht das aber anders aus. Dort willst Du den Server ja als Zugangskontrolle für dieses Netz nutzen, also musst Du aufpassen, daß schädliche Pakete die an einen Client gerichtet sind den Server nicht passieren, auf einem Rootserver hast Du im Regelfall eine überschaubare Menge an Diensten, die an sich nicht angreifbar sein sollten und damit auch keine "Firewall" benötigen.

 

[Dragosani]

Stimmt, ein RootServer an sich hat nur grundlegend etwas mt dem Übungsprojekt zu tun. Einen Samba etc. braucht ein RootServer natürlich nicht. Da wird wohl primär nur Dinge wie ein Apache, eine DB und solcherlei Server laufen.

Das angestrebte Projekt ist ja quasi eine Erweiterung für den Heimgebrauch, wo ich eben cups und Samba durchaus brauche. Eine Firewall will ich da eigentlich auch vor allem nur zu Übungszwecken installieren. Von Außen wird der Server eh zunächst nicht erreichbar sein, und wenn dann steht er hinter dem Router.

Gut, so langsam komme ich wohl dahinter. Aber nehmen wir an, ich möchte doch ein aktuelles Paket nutzen, das könnte ich dann ja einkompilieren und müßte mich da ja um die Updates selbser kümmern, oder? Bei soetwas wäre der erste Weg die HP?

 

[Navy]

Wenn Du neuere Pakete verwenden möchtest ist ubunut-server oder fedora vielleicht etwas für Dich. Ersteres ist ein Debian und dadurch sehr einfach zu administrieren, letzteres ist übertrieben gesagt immer am "Rande der Stabilität", da es durchaus auch sehr neue Releases verwendet.

Sofern Du nicht vor hast Deinen Server direkt ins Netz zu hängen ist das Vorgehen OK, dennoch halte Dich an die Grundlagen des gesunden Menschenverstandes und nutze immer starke Passwörter und schalte ab was Du nicht an Servern brauchst...

 

[Dragosani]

Ubuntu nutze ich als Desktop System, das brauche ich nicht als Server Da soll es schon Debian sein

Ich werde mich einfach mal daran versuchen, beispielsweise Samba direkt zu kompilieren. Wie sich dann das Paketupdate verhält etc.pp.

Wie gesagt: der Übungs-Homeserver soll nicht direkt ans Netz, üben will ich da aber schon den "Ernstfall" RootServer (plus eben einiger Heimdienste).

Passwörter etc. wähle ich immer "sicher". Sprich eine Mischung aus Groß- und Kleinbuchstaben inkl. Zahlen. Wo es möglich ist baue ich auch Sonderzeichen ein. Dienste die ich nicht brauche, installiere ich nichtmal.