Re: gmirror & fsck

On Fri, 01 Mar 2013 18:56:28 +0100, bernhard(at)gtkx.de wrote:
> Am 01.03.2013 14:53, schrieb Oliver Fromme:
> > bernhard(at)gtkx.de <bernhard(at)gtkx.de> wrote:
> > > Die Belastung des gesamten "Home-Servers" ist kein Problem sie ist im
> > > Normalfall unter 10%.
> > >
> > > Der Grund warum VMWare Workstation benutzt wird liegt in der Möglichkeit
> > > vom Host (XP) abgeschottete V-LAN's (switches) aufzubauen So ist der
> > > 1.V-Server die Firewall mit direkter Anbindung (OpenVPN) zum Internet.
> > > Der Tunnel wird über ein eigenes V-LAN (NAT) aufgebaut, so dass ein
> > > Cracker keine Möglichkeit hat in das XP einzubrechen oder per tcpdump
> > > den Verkehr zu lesen. Der 2. V-Server ist ein IMap-Server (mit dem auch
> > > diese Mail verschickt wurde) aufgebaut mit Postfix und courier und der
> > > 3. und 4. Server sind Web-Server.
> > > Verbunden sind die 4 V-Server über ein eigenes V-LAN ohne Verbindung zum
> > > XP. Die Webserver haben über ein 3. V-LAN (Host Only) die Möglichkeit
> > > über samba ein freigegebenes Verzeichnis in XP zu mounten. Die Firewall
> > > filtert und leitet die Pakete per NAT/PAT an die entsprechenden V-Server
> > > weiter. Aus der Sicht des Internets sind nur die "benötigten" TCP Ports
> > > offen. Ein Cracker hat im Grunde keine Möglichkeit in das XP einzudringen.
> > >
> > > Warum nicht alles in einen V-Server packen? Das ist ganz einfach, hackt
> > > ein Cracker das System, dann hat er Zugriff auf alles! Und wenn man beim
> > > Basteln was versaut ist alles versaut! Außerdem hat es Vorteile, wenn
> > > man pro Dienst einen eigenen (V)-Server verwendet, denn manche Dienste
> > > benötigen unterschiedliche Ressourcen und es macht den Crackern das
> > > leben schwer.
> > >
> > > VMWare Workstation bietet noch die Möglichkeit die V-Server zu Teams
> > > zusammen zu fassen und darüber die V-Server mit einem Zeitversatz zu
> > > starten.
> >
> > Was Du da beschreibst (VLANs, OpenVPN, NAT, ...) geht ganz
> > genauso mit FreeBSD und z.B. VirtualBox. Mir ist unklar,
> > warum Du Dich mit XP herumärgerst.
> >
> > Darüber hinaus würde ich es auf maximal zwei V-Server
> > reduzieren, wenn überhaupt, und die restlichen Dienste mit
> > Hilfe von FreeBSD-Jails voneinander abschotten. Dann kommt
> > ein Cracker auch nicht weiter, falls er es schafft, einen
> > der Dienste erfolgreich zu kapern. Jails sind außerdem
> > resourcenschonender als V-Server, insbesondere auch was
> > den Speicherverbrauch betrifft.
> >
> > Übrigens: Mit background_fsck wäre ich vorsichtig, ganz
> > besonders wenn das XP so instabil ist wie Du schreibst (was
> > ich gerne glaube). Falls das XP erneut crasht, während das
> > FreeBSD gerade noch mit dem Background-fsck beschäftigt
> > ist, können böse Dinge passieren.
> >
> > Gruß
> > Olli
> >
>
> ja, da hast du nicht unrecht, jedoch ist es halt so, dass man nicht
> allwissend geboren wird und alles seine Zeit braucht. Auch der Umgang
> mit FreeBSD muss erst erlernt werden.

Insbesondere Ollis Empfehlung hinsichtlich background_fsck
würde ich an Deiner Stelle _schnell_ lernen, das sage ich
nicht aus angeborener Großkotzigkeit, sondern aus eigenem
Schaden, der auf eben dieses Feature zurückzuführen ist.
Ergebnis war ein Dateisystem in einem derart inkonsistenten
Zustand, daß fsck keine Reparatur mehr durchführen konnte
und wichtige Daten verloren gingen.

Die Frage, die Du _Dir_ beantworten mußt, ist also folgende:
Bin ich bereit, möglichweise beim Systemstart 10 bis 20
Minuten (abhängig von Plattengröße und -art) zu warten,
bis fsck durch läuft und mich _entweder_ in ein konsistentes
Dateisystem entläßt _oder_ zur Vermeidung größerer Probleme
einen Operator-Eingriff anfordert? Bei background_fsck ist
das Problem, daß es sein _kann_, daß Dein System hochläuft
und dabei einen Dateisystemschaden hat, was _später_ zu
neuen Problemen führen kann.

Ist für Dich die vorgenannte Downtime schwierig, solltest
Du eine "dynamische Failover-Lösung" in Betracht ziehen.
Wenn nicht - warte einfach, so daß das System seine Arbeit
in einer möglichst definierten Umgebung tun kann, anstatt
Dateisysteme zu überprüfen, die "irgendwie" bereits wieder
in Gebrauch sind...

Ich sag's wirklich nur in dem Kontext, als daß ich mir da
selbst schon wunderbar die Finger verbrannt habe. :-)

> Jedoch, das Prinzip "ein Dienst 1
> Server" habe ich versucht umzusetzen. Und dieses Prinzip habe ich nicht
> erfunden. Und nach meiner nun 12 Jähren IT-Berufserfahrung muss ich
> sagen, dass der Erfinder dieses Prinzips recht hat. Wie viel Ärger habe
> ich schon gehabt, weil auf einem Server mehr als 1 Dienst lief!

Das ist ein völlig korrekter Ansatz. Glücklicherweise hat
FreeBSD mit seinen Jails das, was unter Solaris mit Zones
bzw. Containern schon seit Jahren etabliert ist. Schaust
Du Dich weiter um und verläßt die x86- bzw. PC-Welt, dann
siehst Du VM und LPAR und andere Dinge, die vergleichbare
Funktionen zu implementieren helfen. Knackpunkt bleibt
aber: _ein_ Rechner, _mehrere_ logische Server. Wenn das
falsch wäre, hätte man schon in den 70ern damit aufgehört.
Ich meine die 1970er. :-)

> XP ist zwar als Host-System nicht die Beste Wahl, aber der ganze
> "Home"-Server wurde aus Restbeständen zusammengebaut: Kosten 0,00 €.

Ich möchte an dieser Stelle nur kurz erwähnen, daß "Windows XP"
über 10 Jahre alt ist und in Kürze seitens des Herstellers
nicht mehr unterstützt werden wird. Auf sowas würde ich keine
wichtige (!) Server-Infrastruktur aufbauen. Da Du sie aber
bereits VM-basiert hast, kannst Du sie leicht auf ein neues
Host-System migrieren, das ist sehr gut überlegt.

Ja, ich weiß: Das alte "Windows" paßt gut zur möglicherweise
alten Hardware. Aber auch das aktuellste FreeBSD läuft sehr
performant auf popelige alte Kisten. :-)

> Alle anderen Lösungen hätten mich erheblich mehr gekostet. Weil VMWare
> Workstation nicht mehr als 3 Interfaces pro V-Server und 10 V-LANs
> zulässt, lässt sich die N-Tier Netz-Architektur nicht uneingeschränkt
> realisieren. So ist zum Beispiel die Datenbank für den Webserver auf dem
> selben V-Server. Ein Unding bei N-Tier! N-Tier setzt eine Trennung von
> Dienst und Daten voraus. Und dazwischen wäre eine weitere Firewall
> (eigener V-Server) zu installieren. Jails? Bei N-Tier verboten, weil die
> Dienste denn selben RAM-Bereich benutzen!!

Rein technisch trifft das aber auch auf Deine aktuelle Lösung
zu: Alle VMs sitzen in demselben RAM-Bereich, jede managt zwar
ihre eigene "RAM-Partition", aber der Schutz gegeneinander
hängt an der Virtualisierungslösung, diese wiederum an einem
10 Jahre alten proprietären Desktop-Betriebssystem...

> Nicht auszudenken was passieren könnte wen ein Cracker über den
> Web-Dienst zugriff auf den Mail-Dienst bekommen könnte.

Genau dies wird durch Jails wirksam verhindert.

Übrigens gibt es auch keine 100%ige Sicherheit, wenn Du z. B.
einen Web-Server als eine Kiste und einen Mail-Server als
eine andere Kiste laufen läßt, solange diese irgendwie über
eine wie auch immer geartete Netzwerkmimik miteinander
verbunden sind.

> Sicherheit hat halt seinen Preis.

Das stimmt, aber man muß diesen ja nicht künstlich in die
Höhe treiben, indem man kostspielige Lizenzen für etwas
erwirbt, was man in besserer Qualität auch kostenlos
bekommen kann. :-)

-- 
Polytropon
Magdeburg, Germany
Happy FreeBSD user since 4.0
Andra moi ennepe, Mousa, ...
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message