Re: FBSD als proxy, mail, news, ....

Also ich kann der Versuchung nicht widerstehen, mal was generelles zu
sagen.

Den *BSD - Leuten wird immer vorgeworfen, dass sie unfreundlich zu
neuen Usern sind, ich glaube das sollte man mal relativieren.

Zunaechst mal nervt es mich, wenn schlichte Formsachen das Lesen einer
email erschweren, in der mich jemand bittet, ihm bei der Loesung eines
Problems zu helfen. Mich nervt ein "AW: " im Subject. mich nervt der
folgende Header. Niemand von uns ist zu bloed, sich diese Infos aus
dem echten Header zu holen. Die Message-ID hat keine echte Domain und
vor jeden Absatz in der Anwtort noch mal seinen vollen Namen zu
schreiben passt einfach nicht ins normale Quoting, nach dem dritten
mal wissen wir, wie Du heisst.

In <DE7D44483D7ED211BF3300A0C93B227748B710(at)in_sv_off>, Samer, Michael, IN wrote:
> > -----Ursprüngliche Nachricht-----
> > Von: Andreas Braukmann [SMTP:braukmann(at)tse-online.de]
> > Gesendet am: Mittwoch, 25. August 1999 15:18
> > An: de-Bsd-Chat (E-Mail)
> > Cc: sam.vanratt(at)gmx.net
> > Betreff: Re: FBSD als proxy, mail, news, ....

OK, genug genoergelt, jetzt mal zu konstruktiven Dingen:

Jeder von uns hat seinen Job gelernt, indem er als Depp angefangen
hat. Du hast es allerdings in einer Hinsicht schwerer: Waehrend wir
meistens lokale Lans oder zumindest nicht-kritische Netze in
freundlicher Umgebung (Uni) hatten, faengt Du Netzwerkverwaltung an
mit einem wichtigen Netz in einem Zeitalter, wo Attaken ein Sport
sind. Insofern ist die Kritik, dass Du nicht so naiv an die Sache
rangehen darfst, auch dann noch akzeptabel, wenn man auf den Werdegang
der anderen Leute hinweist.

Ein guter Firewall hat keine eigenen Services. Eigentlich brauchst Du
vor Deinem Firewall ein zusaetzliches Ethernetsegment, wo der Router
und der/die Rechner fuer die Services rumfliegen.

In der Praxis machen es viele Leute nicht so, dann sollten aber
folgende Regeln gelten:
- Sowenig Software wie moeglich da rauf
- Nur Software, die als hochqualitativ gilt und moeglichst klein ist.
- Spezialsoftware wie Novell-Zugriff ist unter Garantie voll von
  Sicherheitsluecken, von denen keiner weiss. Finger weg von allem,
  was nicht bei jeder zweiten Site laeuft. Wenn das von Firmen aus dem
  PC-integrationsbereich kommt, dann sind um so mehr
  Sicherheitsluecken drin, je groesser diese Firma ist.
- Fuer jedes Softwarepaket einschliesslich des Betriebsystems musst Du
  Dich auf den Mailinglisten aufhalten, wo Sicherheitsprobleme dieser
  Software gemeldet werden. Dazu die bugtraq - liste.

Bei dem Aufwand, den Du treibst, wuerde ich aber sagen, dass genug
Geld und Zeit fuer den zusaetzlichen Rechner da ist.

> [Samer, Michael, IN] Was macht squid so gut gegenüber Apache?!
> Einfach zu verwalten oder schneller oder besser konfigurierbar oder.... Die
> einen bevorzugen Apache, die anderen schwören auf squid; wieso?

Ich hab einen recht langsamen Rechner mit wenig RAM als Proxy, da ist
der Apache besser. Ich finde mich in der Konfiguration besser zurecht
und ich kenne mich ein bisschen in den Sourcen des Apache aus und hab
mir kleine Tunings fuer das proxy-Modul des Apache geschrieben (kein
Performance-Tuning :-).

DAT ist ein typisches write-only Backupmedium.

Zum restlichen Thread ist klar zu sagen: Du setzt (hoffentlich noch)
falsche Prioritaeten. Ein moderner PC unter einem modernen UNIX kann
all die Services, die Du aufgelistet hast, auf jeden Fall schnell
genug erfuellen, auch wenn er ein bisschen bloed konfiguriert ist und
evtl. nicht die schnellste Software hat. Den Unterschied zwischen
100Mbit und Gigabit Ethernet beim Zugriff auf einen Proxy wird keiner
merken, bei Mail schon gar nicht.

Du verdaddelst wertvolle Zeit, die in Lernen der Sicherheitsprobleme
besser investiert waere. Es gibt sehr viele Leute, die lieber an
Rechnern schrauben und staendig neue Software ausprobieren als sich
eingehend mit der essentiellen Software zu beschaeftigen. Sieht auch
besser aus, wenn der Boss reinkommt. Das ist aber dem Job, den Du dort
zu tun hast, nicht angemessen. Dann lieber den "Boss-Key" wie frueher
bei den Spielen: Auf Knopfdruck wird der Editor mit dem Configfile
durch ein Xterm mit einem laufenden ./configure ersetzt :-)

Ich persoenlich wuerde mich uebrigens freuen, von dem Werdegang des
Netzes in weiteren Fragen oder Erfahrungsberichten zu hoeren. Ein
bisschen "cool down", weniger Schlagworte, ein anstaendiger Mailer und
dieser Thread entwickelt sich zu einem, der in den Archiven fuer den
naechsten Menschen in Deiner Situation wertvolle Informationen
enthaelt.

Your humble BSD advocate
        Martin

-- 
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
Martin Cracauer <cracauer@cons.org> http://www.cons.org/cracauer/
  Tel.: (private) +4940 5221829 Fax.: (private) +4940 5228536
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-chat" in the body of the message