© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Am 01.03.2013 14:53, schrieb Oliver Fromme:
> bernhard(at)gtkx.de <bernhard(at)gtkx.de> wrote:
> > Die Belastung des gesamten "Home-Servers" ist kein Problem sie ist im
> > Normalfall unter 10%.
> >
> > Der Grund warum VMWare Workstation benutzt wird liegt in der Möglichkeit
> > vom Host (XP) abgeschottete V-LAN's (switches) aufzubauen So ist der
> > 1.V-Server die Firewall mit direkter Anbindung (OpenVPN) zum Internet.
> > Der Tunnel wird über ein eigenes V-LAN (NAT) aufgebaut, so dass ein
> > Cracker keine Möglichkeit hat in das XP einzubrechen oder per tcpdump
> > den Verkehr zu lesen. Der 2. V-Server ist ein IMap-Server (mit dem auch
> > diese Mail verschickt wurde) aufgebaut mit Postfix und courier und der
> > 3. und 4. Server sind Web-Server.
> > Verbunden sind die 4 V-Server über ein eigenes V-LAN ohne Verbindung zum
> > XP. Die Webserver haben über ein 3. V-LAN (Host Only) die Möglichkeit
> > über samba ein freigegebenes Verzeichnis in XP zu mounten. Die Firewall
> > filtert und leitet die Pakete per NAT/PAT an die entsprechenden V-Server
> > weiter. Aus der Sicht des Internets sind nur die "benötigten" TCP Ports
> > offen. Ein Cracker hat im Grunde keine Möglichkeit in das XP einzudringen.
> >
> > Warum nicht alles in einen V-Server packen? Das ist ganz einfach, hackt
> > ein Cracker das System, dann hat er Zugriff auf alles! Und wenn man beim
> > Basteln was versaut ist alles versaut! Außerdem hat es Vorteile, wenn
> > man pro Dienst einen eigenen (V)-Server verwendet, denn manche Dienste
> > benötigen unterschiedliche Ressourcen und es macht den Crackern das
> > leben schwer.
> >
> > VMWare Workstation bietet noch die Möglichkeit die V-Server zu Teams
> > zusammen zu fassen und darüber die V-Server mit einem Zeitversatz zu
> > starten.
>
> Was Du da beschreibst (VLANs, OpenVPN, NAT, ...) geht ganz
> genauso mit FreeBSD und z.B. VirtualBox. Mir ist unklar,
> warum Du Dich mit XP herumärgerst.
>
> Darüber hinaus würde ich es auf maximal zwei V-Server
> reduzieren, wenn überhaupt, und die restlichen Dienste mit
> Hilfe von FreeBSD-Jails voneinander abschotten. Dann kommt
> ein Cracker auch nicht weiter, falls er es schafft, einen
> der Dienste erfolgreich zu kapern. Jails sind außerdem
> resourcenschonender als V-Server, insbesondere auch was
> den Speicherverbrauch betrifft.
>
> Übrigens: Mit background_fsck wäre ich vorsichtig, ganz
> besonders wenn das XP so instabil ist wie Du schreibst (was
> ich gerne glaube). Falls das XP erneut crasht, während das
> FreeBSD gerade noch mit dem Background-fsck beschäftigt
> ist, können böse Dinge passieren.
>
> Gruß
> Olli
>
ja, da hast du nicht unrecht, jedoch ist es halt so, dass man nicht
allwissend geboren wird und alles seine Zeit braucht. Auch der Umgang
mit FreeBSD muss erst erlernt werden. Jedoch, das Prinzip "ein Dienst 1
Server" habe ich versucht umzusetzen. Und dieses Prinzip habe ich nicht
erfunden. Und nach meiner nun 12 Jähren IT-Berufserfahrung muss ich
sagen, dass der Erfinder dieses Prinzips recht hat. Wie viel Ärger habe
ich schon gehabt, weil auf einem Server mehr als 1 Dienst lief!
XP ist zwar als Host-System nicht die Beste Wahl, aber der ganze
"Home"-Server wurde aus Restbeständen zusammengebaut: Kosten 0,00 €.
Alle anderen Lösungen hätten mich erheblich mehr gekostet. Weil VMWare
Workstation nicht mehr als 3 Interfaces pro V-Server und 10 V-LANs
zulässt, lässt sich die N-Tier Netz-Architektur nicht uneingeschränkt
realisieren. So ist zum Beispiel die Datenbank für den Webserver auf dem
selben V-Server. Ein Unding bei N-Tier! N-Tier setzt eine Trennung von
Dienst und Daten voraus. Und dazwischen wäre eine weitere Firewall
(eigener V-Server) zu installieren. Jails? Bei N-Tier verboten, weil die
Dienste denn selben RAM-Bereich benutzen!!
Nicht auszudenken was passieren könnte wen ein Cracker über den
Web-Dienst zugriff auf den Mail-Dienst bekommen könnte.
Sicherheit hat halt seinen Preis.
Gruß Bernhard
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Fri 01 Mar 2013 - 18:56:53 CET