147968
Mar 16, 2021, updated at Mar 17, 2021 (UTC)
3552
11
0
Setup Dedicated Root-Server Hetzner - ZFS, RAID, Firewall
Hallo Administrator-Community,
endlich ist es soweit und ich traue mich daran, das erste mal meinen eigenen "komplexeren" Server aufzusetzten.
Bevor ich mich allerdings daran mache, wollte ich mir ersteinmal ein paar Gedanken zum grundsätzlichen Design machen.
Ich befinde mich Anfang meines IT-Studiums und habe bisher zumindest elementare Grundkenntnisse mit einem V-Server gesammelt und möchte nun den nächst größeren Schritt gehen. Soweit möglich verwende ich natürlich die Suchfunktion. Ich bin bereit Neues dazu zu lernen.
Gerne arbeite ich mich mit vertiefender Literatur ein, wenn ihr Tipps habt. Da ich allerdings noch etwas grün hinter den Ohren bin und noch nicht weiß, wie ich mein eigenes Mammutprojekt am besten umsetze, freue mich jeder Zeit über Hilfe und Tipps.
Zielsetzung
Auf dem Server sollen ein Webserver und ein paar kleine virtuelle Maschinen betrieben werden, sodass ich auch dem ein oder anderen Kommilitonen hier einen zur Verfügung stellen kann.
Der aktuelle Server ist bei Hetzner auf der Serverbörse angemietet und besitzt folgende Hardware:
Sofern es (sinvoll) möglich ist, würde ich gerne den Server im RAID 1 bzw. Mirror über beide Festplatten betreiben. Hier würde ich gerne die Festplatten verschlüsseln.
Angriffsvektoren auf dem laufenden System halte ich vorerst für vernachlässigbar, da keine kritischen Daten gespeichert sind.
Idee des Setups & offene Fragen
Als Basis würde ich ein Debian mit ZFS verwenden. Auf diesem möchte ich mit KVM, QEMU und virtlib die Virutalisierung vornehmen.
Von außen sollen nur freigegebene Ports offen sein, der Rest soll nur via VPN zugänglich sein (hier würde ich gerne Wireguard verwenden).
Als Firewall würde ich pfSense verwenden. Grundsätzlich würde ich gerne sicherstellen, dass die einzelnen VMs nur optional miteinander interagieren können und nicht alle VMs durch das gleiche VPN erreichbar sind.
Schema:
Nun zu meinen Fragen:
Bitte verzeiht mir, falls die Fragen trivial sind, dann würde ich mich über Literatur Empfehlungen freuen.
Vielen Dank schon einmal im Voraus für eure Tipps.
Liebe Grüße,
Max
P.S. leider wusste ich nicht, in welche Kategorie das am ehesten fällt. Gerne einen Hinweis, falls es in der aktuellen Kategorie ungeeignet ist.
endlich ist es soweit und ich traue mich daran, das erste mal meinen eigenen "komplexeren" Server aufzusetzten.
Bevor ich mich allerdings daran mache, wollte ich mir ersteinmal ein paar Gedanken zum grundsätzlichen Design machen.
Ich befinde mich Anfang meines IT-Studiums und habe bisher zumindest elementare Grundkenntnisse mit einem V-Server gesammelt und möchte nun den nächst größeren Schritt gehen. Soweit möglich verwende ich natürlich die Suchfunktion. Ich bin bereit Neues dazu zu lernen.
Gerne arbeite ich mich mit vertiefender Literatur ein, wenn ihr Tipps habt. Da ich allerdings noch etwas grün hinter den Ohren bin und noch nicht weiß, wie ich mein eigenes Mammutprojekt am besten umsetze, freue mich jeder Zeit über Hilfe und Tipps.
Zielsetzung
Auf dem Server sollen ein Webserver und ein paar kleine virtuelle Maschinen betrieben werden, sodass ich auch dem ein oder anderen Kommilitonen hier einen zur Verfügung stellen kann.
Der aktuelle Server ist bei Hetzner auf der Serverbörse angemietet und besitzt folgende Hardware:
- CPUIntel Xeon E3-1246V3
- 2x 2 TB HDD (SATA Enterprise HDDs)
- 32 GB RAM (4 * 8192 MB DDR3)
Sofern es (sinvoll) möglich ist, würde ich gerne den Server im RAID 1 bzw. Mirror über beide Festplatten betreiben. Hier würde ich gerne die Festplatten verschlüsseln.
Angriffsvektoren auf dem laufenden System halte ich vorerst für vernachlässigbar, da keine kritischen Daten gespeichert sind.
Idee des Setups & offene Fragen
Als Basis würde ich ein Debian mit ZFS verwenden. Auf diesem möchte ich mit KVM, QEMU und virtlib die Virutalisierung vornehmen.
Von außen sollen nur freigegebene Ports offen sein, der Rest soll nur via VPN zugänglich sein (hier würde ich gerne Wireguard verwenden).
Als Firewall würde ich pfSense verwenden. Grundsätzlich würde ich gerne sicherstellen, dass die einzelnen VMs nur optional miteinander interagieren können und nicht alle VMs durch das gleiche VPN erreichbar sind.
Schema:
Nun zu meinen Fragen:
- Haltet ihr ein solches Setup für sinnvoll in Anbetracht der Hardware? Falls nein, was würdet ihr ändern?
- Das größte Fragezeichen in meinem Kopf ist, wie ich die Festplatten zu formatieren habe.
- Ich habe gelesen, dass bei Serverneustart ZFS unter Linux nicht entschlüsselt werden kann? Ist das richtig? Falls ja wäre dann untenstehende Abbildung 1 zielführend?
- Sollte ich LUKS oder die ZFS-Verschlüsselung verwenden?
- Wie sollte ich das restliche System am "partionieren" bzw. den zpool einrichten?
Bitte verzeiht mir, falls die Fragen trivial sind, dann würde ich mich über Literatur Empfehlungen freuen.
Vielen Dank schon einmal im Voraus für eure Tipps.
Liebe Grüße,
Max
P.S. leider wusste ich nicht, in welche Kategorie das am ehesten fällt. Gerne einen Hinweis, falls es in der aktuellen Kategorie ungeeignet ist.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 663297
Url: https://administrator.de/contentid/663297
Printed on: April 16, 2024 at 06:04 o'clock
11 Comments
Latest comment
moin...
wenn dein Blech zum SPAM und Bot Host wird, schadest du der Allgemeinheit!
über den Rest reden wir, wenn du dir über Sicherheit und ordentliche Hardware gedanken gemacht hast!
Frank
Angriffsvektoren auf dem laufenden System halte ich vorerst für vernachlässigbar, da keine kritischen Daten gespeichert sind.
und schon durchgefallen... deine Daten sind vernachlässigbar, also Wumpe...viel wichtiger sind andere Server.wenn dein Blech zum SPAM und Bot Host wird, schadest du der Allgemeinheit!
Haltet ihr ein solches Setup für sinnvoll in Anbetracht der Hardware? Falls nein, was würdet ihr ändern?
nein... den ganzen server 4 kerne für 6 vms.... ?!?! merkst du selber, das wird nix!über den Rest reden wir, wenn du dir über Sicherheit und ordentliche Hardware gedanken gemacht hast!
Frank
1
Zitat von @147968:
Angriffsvektoren auf dem laufenden System halte ich vorerst für vernachlässigbar, da keine kritischen Daten gespeichert sind.
Angriffsvektoren auf dem laufenden System halte ich vorerst für vernachlässigbar, da keine kritischen Daten gespeichert sind.
Deine Daten sind den Angreifern herzlich egal. Wenn die Deine Kiste übernehmen, hast Du eine Menge Ärger am Hals, wenn z.B. Dein Server zum Verteilen von Kinderpornos oder zum Drogenvekauf genutzt wird. Selbst wenn er "nur" dazu genutzt wird andere Systeme anzugreifen, wirst Du alle Hände voll zu tun haben Schadensersatzklagen abzuwehren.
Das ist so, als ob Du sagst, ich schließe mein Auto nie ab. Da ist eh nichts wertvolles drin und aus Bequemlichkeit lasse ich den Schlüssel auch stecken, weil das Auto so alt ist, daß das sicher keiner mehr will.
Alle anderen Probleme sind nebensächlich, solange Du dieses Problem nicht begriffen und gemeistert hast.
lks
1
Zitat von @Lochkartenstanzer:
Das ist so, als ob Du sagst, ich schließe mein Auto nie ab. Da ist eh nichts wertvolles drin und aus Bequemlichkeit lasse ich den Schlüssel auch stecken, weil das Auto so alt ist, daß das sicher keiner mehr will.
Das ist so, als ob Du sagst, ich schließe mein Auto nie ab. Da ist eh nichts wertvolles drin und aus Bequemlichkeit lasse ich den Schlüssel auch stecken, weil das Auto so alt ist, daß das sicher keiner mehr will.
Klar doch. Nichts anderes als bei den Leuten, die die Küchemesser nicht im Waffenschrank lagern! Wenn der Einbrecher dann die Mutter ... und anschließend noch die kleinen Kinderchen ...
Nicht alles was hinkt ist ein Vergleich. MW. gilt immer noch das Täterprinzip. Oder gibts Beispiele für diese Sippenhaft?! Die Frage ist eher, wie Du nachweist, dass Du es nicht warst!
PS: Es gibt Länder bzw. Zeiten, in denen Du das Auto und das Handschuhfach gut sichtbar offen lässt, damit der Schaden beim (üblichen) Einbruch nicht größer als notwendig ist
Aber von diesen "Blut und Server-Reden" abgesehen:
Die PF müsste doch dann auch in der VR laufen ... ebenso, wie die WG?! Sonst macht das doch keinen Sinn?!
1
Moin Max,
neben den bereits genannten Hinweisen, würde ich dir empfehlen mal einen Blick auf Proxmox zu werfen. Basiert auf Debian und macht die Virtualisierung recht komfortabel: https://www.proxmox.com/de/proxmox-ve
VG
neben den bereits genannten Hinweisen, würde ich dir empfehlen mal einen Blick auf Proxmox zu werfen. Basiert auf Debian und macht die Virtualisierung recht komfortabel: https://www.proxmox.com/de/proxmox-ve
VG
1Zitat von @Visucius:
Klar doch. Nichts anderes als bei den Leuten, die die Küchemesser nicht im Waffenschrank lagern! Wenn der Einbrecher dann die Mutter ... und anschließend noch die kleinen Kinderchen ...
Zitat von @Lochkartenstanzer:
Das ist so, als ob Du sagst, ich schließe mein Auto nie ab. Da ist eh nichts wertvolles drin und aus Bequemlichkeit lasse ich den Schlüssel auch stecken, weil das Auto so alt ist, daß das sicher keiner mehr will.
Das ist so, als ob Du sagst, ich schließe mein Auto nie ab. Da ist eh nichts wertvolles drin und aus Bequemlichkeit lasse ich den Schlüssel auch stecken, weil das Auto so alt ist, daß das sicher keiner mehr will.
Klar doch. Nichts anderes als bei den Leuten, die die Küchemesser nicht im Waffenschrank lagern! Wenn der Einbrecher dann die Mutter ... und anschließend noch die kleinen Kinderchen ...
Aber normalerweise ist das Haus abgeschlossen und der Einbrecher kann nicht einfach hineinspazieren.
Nicht alles was hinkt ist ein Vergleich. MW. gilt immer noch das Täterprinzip. Oder gibts Beispiele für diese Sippenhaft?! Die Frage ist eher, wie Du nachweist, dass Du es nicht warst!
Natürlcih gilt das Täterprinzip. Aber wenn von dem System aus illegale Aktivitäten ausgehen, wird erstmal der "Besitzer" an den Ohren herangeschleift und muß das erstmal nachweisen, daß nicht er der Bösewicht ist.
PS: Es gibt Länder bzw. Zeiten, in denen Du das Auto und das Handschuhfach gut sichtbar offen lässt, damit der Schaden beim (üblichen) Einbruch nicht größer als notwendig ist
Ja , ich weiß das. da ist aber auch das (nicht-)Lebensrisiko im Allgemeinen höher als hier.
Außerdem sollte das nur das Risiko verdeutlichen. Wenn mit Deinem Auto jemand totgefahren, verletzt oder ein Banküberfall getätigt wird, taucht die Polizei erstmal bei Dir auf. Und wenn es ungesichert dastand, ist zumindest mal ein Verwarnungsgeld nach § 14 StVO fällig, ganz abgesehn von dem Ärger mit der Versicherung die dann ggf. irgendwelche beglichenen Schäden von Dir wiederhaben will.
lks
Ja, das mag ja auch stimmen (irgendwo, irgendwann, irgendwie). Einzelschicksale halt, verbunden mit den Risiken eines (öffentlichen) Serverbetriebs. Ich frage mich gerade, wer denn für die ganzen Exchange-Server haftet, die abgesichert oder nicht ... aktuell zum Sicherheitsrisiko wurden und womöglich pöse “KiPos” verschicken?! Die Cisco, Sophos, ... Firewalls oder die Millionen infizierter PCs, die über Jahre unbehelligt in irgendwelchen Wohnungen stehen ...
... nirgends ne Behörde, welche Türen eintritt.
In der Realität wirds dann halt nicht so heiß gegessen, wies gekocht wird. Aber hier im Forum wird bei dem Thema gleich der Holzhammer geschwungen!
VG
... nirgends ne Behörde, welche Türen eintritt.
In der Realität wirds dann halt nicht so heiß gegessen, wies gekocht wird. Aber hier im Forum wird bei dem Thema gleich der Holzhammer geschwungen!
VG
Wow, was ist denn hier los?
ich finde es schade, dass ich nach wie vor fast keine sinnvollen Tipps bekommen habe, sondern nur eine Meute, die mir unterstellt, ich würde mich nicht um die Sicherheit der Server kümmern!
An dieser Stelle also vorerst einmal danke an BirdyD und Visucius.
Was soll das denn? Wer sagt denn, dass ich mir keine Gedanken gemacht habe und erst recht, dann gebt doch Hinweise, was man verbessern kann! Im obigen Setup sind diverse Sicherheitsmechanismen vorhanden:
Nun nochmal zu meinen Fragen:
Beste Grüße,
Max
ich finde es schade, dass ich nach wie vor fast keine sinnvollen Tipps bekommen habe, sondern nur eine Meute, die mir unterstellt, ich würde mich nicht um die Sicherheit der Server kümmern!
An dieser Stelle also vorerst einmal danke an BirdyD und Visucius.
Zitat von @BirdyB:
neben den bereits genannten Hinweisen, würde ich dir empfehlen mal einen Blick auf Proxmox zu werfen. Basiert auf Debian und macht die Virtualisierung recht komfortabel: https://www.proxmox.com/de/proxmox-ve
Ich habe mir tatsächlich schon davor promox angeschaut, mich allerdings pro aktiv für QEMU entschieden, da ich kein GUI brauche und dieses meines Erachtens schneller ist.neben den bereits genannten Hinweisen, würde ich dir empfehlen mal einen Blick auf Proxmox zu werfen. Basiert auf Debian und macht die Virtualisierung recht komfortabel: https://www.proxmox.com/de/proxmox-ve
Zitat von @Visucius:
Die PF müsste doch dann auch in der VR laufen ... ebenso, wie die WG?! Sonst macht das doch keinen Sinn?!
Ja läuft über KVM.Die PF müsste doch dann auch in der VR laufen ... ebenso, wie die WG?! Sonst macht das doch keinen Sinn?!
Zitat von @Lochkartenstanzer:
Das ist so, als ob Du sagst, ich schließe mein Auto nie ab. Da ist eh nichts wertvolles drin und aus Bequemlichkeit lasse ich den Schlüssel auch stecken, weil das Auto so alt ist, daß das sicher keiner mehr will.
Alle anderen Probleme sind nebensächlich, solange Du dieses Problem nicht begriffen und gemeistert hast.
Das ist so, als ob Du sagst, ich schließe mein Auto nie ab. Da ist eh nichts wertvolles drin und aus Bequemlichkeit lasse ich den Schlüssel auch stecken, weil das Auto so alt ist, daß das sicher keiner mehr will.
Alle anderen Probleme sind nebensächlich, solange Du dieses Problem nicht begriffen und gemeistert hast.
Zitat von @Vision2015:
über den Rest reden wir, wenn du dir über Sicherheit und ordentliche Hardware gedanken gemacht hast!
über den Rest reden wir, wenn du dir über Sicherheit und ordentliche Hardware gedanken gemacht hast!
Was soll das denn? Wer sagt denn, dass ich mir keine Gedanken gemacht habe und erst recht, dann gebt doch Hinweise, was man verbessern kann! Im obigen Setup sind diverse Sicherheitsmechanismen vorhanden:
- Die einzelnen VMs sind segregiert und segmentiert. Sie können weder nach außen funken noch miteinander kommunizieren ohne dass ich dies über pfSense erlaube. Grundsätzlich gilt: erst einmal sind alle Ports zu!
- Außerdem sind die VMs nicht ohne VPN erreichbar.
- Gehärtet wird das System und meine VM meinen Fähigkeiten entsprechend.
- Traffic und CPU der VMs wird geloggt, um Anomalien festzustellen.
Zitat von @Vision2015:
nein... den ganzen server 4 kerne für 6 vms.... ?!?! merkst du selber, das wird nix!
Ich gebe zu, das obige Schema deutet an, dass ich 6 VMs betreiben würde. Tatsächlich hätte ich vorerst einmal 1 VM bzw. noch eine 2. die zeitnahe dazukommen soll. Aber selbst so glaube ich, dass für meinen einfachen Anwendungszweck 6 Terminal-Server VMs easy auf den 4 Kernen laufen können, eine hohe Arbeitslast haben sie nicht. Warum hast du da bedenken?nein... den ganzen server 4 kerne für 6 vms.... ?!?! merkst du selber, das wird nix!
Nun nochmal zu meinen Fragen:
- Das größte Fragezeichen in meinem Kopf ist, wie ich die Festplatten zu formatieren habe.
- Ich habe gelesen, dass bei Serverneustart ZFS unter Linux nicht entschlüsselt werden kann? Ist das richtig? Falls ja wäre dann untenstehende Abbildung 1 zielführend?
- Sollte ich LUKS oder die ZFS-Verschlüsselung verwenden?
- Wie sollte ich das restliche System am "partionieren" bzw. den zpool einrichten?
Beste Grüße,
Max
Zitat von @147968:
Wow, was ist denn hier los?
ich finde es schade, dass ich nach wie vor fast keine sinnvollen Tipps bekommen habe, sondern nur eine Meute, die mir unterstellt, ich würde mich nicht um die Sicherheit der Server kümmern!
Wow, was ist denn hier los?
ich finde es schade, dass ich nach wie vor fast keine sinnvollen Tipps bekommen habe, sondern nur eine Meute, die mir unterstellt, ich würde mich nicht um die Sicherheit der Server kümmern!
Daran bist Du selbst Schuld. Du hast mit Deiner Aussage:
Angriffsvektoren auf dem laufenden System halte ich vorerst für vernachlässigbar, da keine kritischen Daten gespeichert sind.
impliziert, daß Du Dich darum nicht scherst. Hier sind aber genügend Admins unterwegs, die solche ###e anschließend wegräumen müssen, bzw. wegen solchen "wildgewordenen" Kisten mehr Arbeit haben als nötig. Und es sollte Dir vor Augen geführt werden, welche Gefahren Dir selbst drohen. Da sind die anderen Probleme eher nebensächlich.
Daher die heftige Reaktion.
Nun nochmal zu meinen Fragen:
- Das größte Fragezeichen in meinem Kopf ist, wie ich die Festplatten zu formatieren habe.
So wie Du sie benötigst.
* Ich habe gelesen, dass bei Serverneustart ZFS unter Linux nicht entschlüsselt werden kann? Ist das richtig? Falls ja wäre dann untenstehende Abbildung 1 zielführend?
* Sollte ich LUKS oder die ZFS-Verschlüsselung verwenden?
Das ist mal wieder einfach eine Frage wie "Soll ich den Porsche oder den Daimler nehmen?" Im Endeffekt ist es egal, solange Du keine konkrete Anwendung dahinterstehen hast, sondern nur damit "spielst".
* Wie sollte ich das restliche System am "partionieren" bzw. den zpool einrichten?
Dasselbe Spielchen.
Eine Empfehlugn wäre, daß Du Dir einen billigen Intel NUC oder sonst eine Kiste hernimmst und "daheim" ohne Gefährdung der Allgemeinheit das einfach mal ausprobierst. Wenn Du im Umgang damit dann sicherer geworden bist, kannst Du Dich dann an den root-server dranwagen.
lks
Edit: Tippfehler und Stil verbessert.
moin...
6 Terminal Server auf 4 Kernen... und was bekommt der Host? na ja.. wenn ale VMs im lerrlauf sind!
das wird nix... lass dir das aus erfahrung sagen!
Nun nochmal zu meinen Fragen:
so wie du es brauchst!
Zitat von @147968:
Wow, was ist denn hier los?
ich finde es schade, dass ich nach wie vor fast keine sinnvollen Tipps bekommen habe, sondern nur eine Meute, die mir unterstellt, ich würde mich nicht um die Sicherheit der Server kümmern!
An dieser Stelle also vorerst einmal danke an BirdyD und Visucius.
Was soll das denn? Wer sagt denn, dass ich mir keine Gedanken gemacht habe und erst recht, dann gebt doch Hinweise, was man verbessern kann! Im obigen Setup sind diverse Sicherheitsmechanismen vorhanden:
ach ja.. welche? mit ner PFsense als VM die geschützt werden soll?Wow, was ist denn hier los?
ich finde es schade, dass ich nach wie vor fast keine sinnvollen Tipps bekommen habe, sondern nur eine Meute, die mir unterstellt, ich würde mich nicht um die Sicherheit der Server kümmern!
An dieser Stelle also vorerst einmal danke an BirdyD und Visucius.
Zitat von @BirdyB:
neben den bereits genannten Hinweisen, würde ich dir empfehlen mal einen Blick auf Proxmox zu werfen. Basiert auf Debian und macht die Virtualisierung recht komfortabel: https://www.proxmox.com/de/proxmox-ve
Ich habe mir tatsächlich schon davor promox angeschaut, mich allerdings pro aktiv für QEMU entschieden, da ich kein GUI brauche und dieses meines Erachtens schneller ist.neben den bereits genannten Hinweisen, würde ich dir empfehlen mal einen Blick auf Proxmox zu werfen. Basiert auf Debian und macht die Virtualisierung recht komfortabel: https://www.proxmox.com/de/proxmox-ve
Zitat von @Visucius:
Die PF müsste doch dann auch in der VR laufen ... ebenso, wie die WG?! Sonst macht das doch keinen Sinn?!
Ja läuft über KVM.Die PF müsste doch dann auch in der VR laufen ... ebenso, wie die WG?! Sonst macht das doch keinen Sinn?!
Zitat von @Lochkartenstanzer:
Das ist so, als ob Du sagst, ich schließe mein Auto nie ab. Da ist eh nichts wertvolles drin und aus Bequemlichkeit lasse ich den Schlüssel auch stecken, weil das Auto so alt ist, daß das sicher keiner mehr will.
Alle anderen Probleme sind nebensächlich, solange Du dieses Problem nicht begriffen und gemeistert hast.
Das ist so, als ob Du sagst, ich schließe mein Auto nie ab. Da ist eh nichts wertvolles drin und aus Bequemlichkeit lasse ich den Schlüssel auch stecken, weil das Auto so alt ist, daß das sicher keiner mehr will.
Alle anderen Probleme sind nebensächlich, solange Du dieses Problem nicht begriffen und gemeistert hast.
Zitat von @Vision2015:
über den Rest reden wir, wenn du dir über Sicherheit und ordentliche Hardware gedanken gemacht hast!
über den Rest reden wir, wenn du dir über Sicherheit und ordentliche Hardware gedanken gemacht hast!
Was soll das denn? Wer sagt denn, dass ich mir keine Gedanken gemacht habe und erst recht, dann gebt doch Hinweise, was man verbessern kann! Im obigen Setup sind diverse Sicherheitsmechanismen vorhanden:
* Die einzelnen VMs sind segregiert und segmentiert. Sie können weder nach außen funken noch miteinander kommunizieren ohne dass ich dies über pfSense erlaube. Grundsätzlich gilt: erst einmal sind alle Ports zu!
aha...* Außerdem sind die VMs nicht ohne VPN erreichbar.
ok..* Gehärtet wird das System und meine VM meinen Fähigkeiten entsprechend.
die wir ja nicht wissen?* Traffic und CPU der VMs wird geloggt, um Anomalien festzustellen.
oha...Zitat von @Vision2015:
nein... den ganzen server 4 kerne für 6 vms.... ?!?! merkst du selber, das wird nix!
Ich gebe zu, das obige Schema deutet an, dass ich 6 VMs betreiben würde. Tatsächlich hätte ich vorerst einmal 1 VM bzw. noch eine 2. die zeitnahe dazukommen soll. Aber selbst so glaube ich, dass für meinen einfachen Anwendungszweck 6 Terminal-Server VMs easy auf den 4 Kernen laufen können, eine hohe Arbeitslast haben sie nicht. Warum hast du da bedenken?nein... den ganzen server 4 kerne für 6 vms.... ?!?! merkst du selber, das wird nix!
das wird nix... lass dir das aus erfahrung sagen!
Nun nochmal zu meinen Fragen:
- Das größte Fragezeichen in meinem Kopf ist, wie ich die Festplatten zu formatieren habe.
* Ich habe gelesen, dass bei Serverneustart ZFS unter Linux nicht entschlüsselt werden kann? Ist das richtig? Falls ja wäre dann untenstehende Abbildung 1 zielführend?
Beste Grüße,
Max
Frank- Sollte ich LUKS oder die ZFS-Verschlüsselung verwenden?
- Wie sollte ich das restliche System am "partionieren" bzw. den zpool einrichten?
Beste Grüße,
Max
Hi Max,
das kann man auf vielerlei Art und Weise umsetzen, aber als generelle Leitlinie würde ich empfehlen, dir die Bare-Metal-Installation so einfach wie möglich zu machen. Das sollte im Idealfall ja alles gesichert und ggf. in überschaubarer Zeit mal woanders wiederhergestellt werden können.
ZFS lässt sich auch remote entsperren: https://wiki.archlinux.org/index.php/ZFS#Remote_unlocking_of_ZFS_encrypt ...
Ich würde trotzdem mit LUKS arbeiten, weil ich das mit ZFS noch nicht gemacht habe und es meines Erachtens auch noch nicht viele andere machen. Wenn beides für dich neu ist, ist es natürlich egal, womit du experimentierst.
Ebenso würde ich Proxmox nehmen. Ein Image, das nach der schnellen Installation einfach läuft und eine Oberfläche, auf der man ohne viel Fehlerpotenzial die VMs zusammenklicken kann, wirken sich allerdings auf die Lebensqualität aus, während evtl. Geschwindigkeitsdifferenzen zu vernachlässigen sind.
Wenn man die bis hierhin nötigen Stichworte googelt, hat das jemand schon 1:1 umgesetzt und eine schöne Anleitung geschrieben: https://tactical-documentation.github.io/post/proxmoxve6-zfs-luks-system ...
Sogar dein Hoster hat eine Anleitung für Proxmox auf seinen Servern. Halte das Grundsystem einfach und frei von Workloads. Dann ist in diesem Fall auch eigentlich egal, ob Du tatsächlich mit dropbear arbeitest oder die VMs einzeln verschlüsselst (wäre bei Überlassung an Dritte ggf. eh sinnvoll). Nimmt wieder etwas Komplexität raus, zu einem vertretbaren Preis.
8 Threads sind knapp, reichen aber auch für 6 kleine VMs. Es gibt etwas unglückliche Blog-Posts, deshalb sind im deutschsprachigen Raum viele "Prozessorpartitionierer" unterwegs.
Grüße
Richard
das kann man auf vielerlei Art und Weise umsetzen, aber als generelle Leitlinie würde ich empfehlen, dir die Bare-Metal-Installation so einfach wie möglich zu machen. Das sollte im Idealfall ja alles gesichert und ggf. in überschaubarer Zeit mal woanders wiederhergestellt werden können.
ZFS lässt sich auch remote entsperren: https://wiki.archlinux.org/index.php/ZFS#Remote_unlocking_of_ZFS_encrypt ...
Ich würde trotzdem mit LUKS arbeiten, weil ich das mit ZFS noch nicht gemacht habe und es meines Erachtens auch noch nicht viele andere machen. Wenn beides für dich neu ist, ist es natürlich egal, womit du experimentierst.
Ebenso würde ich Proxmox nehmen. Ein Image, das nach der schnellen Installation einfach läuft und eine Oberfläche, auf der man ohne viel Fehlerpotenzial die VMs zusammenklicken kann, wirken sich allerdings auf die Lebensqualität aus, während evtl. Geschwindigkeitsdifferenzen zu vernachlässigen sind.
Wenn man die bis hierhin nötigen Stichworte googelt, hat das jemand schon 1:1 umgesetzt und eine schöne Anleitung geschrieben: https://tactical-documentation.github.io/post/proxmoxve6-zfs-luks-system ...
Sogar dein Hoster hat eine Anleitung für Proxmox auf seinen Servern. Halte das Grundsystem einfach und frei von Workloads. Dann ist in diesem Fall auch eigentlich egal, ob Du tatsächlich mit dropbear arbeitest oder die VMs einzeln verschlüsselst (wäre bei Überlassung an Dritte ggf. eh sinnvoll). Nimmt wieder etwas Komplexität raus, zu einem vertretbaren Preis.
8 Threads sind knapp, reichen aber auch für 6 kleine VMs. Es gibt etwas unglückliche Blog-Posts, deshalb sind im deutschsprachigen Raum viele "Prozessorpartitionierer" unterwegs.
Grüße
Richard
Hallo, bin etwas spät im Thread, habe aber am Anfang mitgelesen.
Mir haben sich auch alle Resthaare aufgestellt, bei der Aussage zu den Angriffsvektoren... Dennoch finde ich, dass hier im Ton öfter mal etwas harsch rangegangen wird. Davon mal abgesehen, dass Holzhammersprache eher "Pädagogik" aus den 60ern ist, ist ein freundlicher, verständnisvoller Ton (auch von den "alten Hasen") für das ganze Forum angenehmer, finde ich. Klar, wenn man Ähnliches schon 1000x kommentiert hat nervt es, dann aber vielleicht einfach nicht kommentieren (oder einfach mal ausatmen).
Gerade im konkreten Fall hat der TO seine Gedanken freundlich, offen und differenziert dargelegt. Da haben wir hier oft genug ganz andere Kaliber. Er befindet sich in der Ausbildung also darf er auch mal "falsch" liegen, ok? Tun wir das nicht alle hin und wieder?
Auch wenn das hier total zutrifft:
ist das hier viel wertvoller - und klingt auch viel angenehmer. - Ich schließe mich dem voll an.
Mir haben sich auch alle Resthaare aufgestellt, bei der Aussage zu den Angriffsvektoren... Dennoch finde ich, dass hier im Ton öfter mal etwas harsch rangegangen wird. Davon mal abgesehen, dass Holzhammersprache eher "Pädagogik" aus den 60ern ist, ist ein freundlicher, verständnisvoller Ton (auch von den "alten Hasen") für das ganze Forum angenehmer, finde ich. Klar, wenn man Ähnliches schon 1000x kommentiert hat nervt es, dann aber vielleicht einfach nicht kommentieren (oder einfach mal ausatmen).
Gerade im konkreten Fall hat der TO seine Gedanken freundlich, offen und differenziert dargelegt. Da haben wir hier oft genug ganz andere Kaliber. Er befindet sich in der Ausbildung also darf er auch mal "falsch" liegen, ok? Tun wir das nicht alle hin und wieder?
Auch wenn das hier total zutrifft:
Zitat von @Lochkartenstanzer:
Daran bist Du selbst Schuld. Du hast mit Deiner Aussage:
Daran bist Du selbst Schuld. Du hast mit Deiner Aussage:
Angriffsvektoren auf dem laufenden System halte ich vorerst für vernachlässigbar, da keine kritischen Daten gespeichert sind.
ist das hier viel wertvoller - und klingt auch viel angenehmer. - Ich schließe mich dem voll an.
eien Empfehlugn wäre, dasß Due Dir einen billigen Intel NUC oder sonst eine Kiste hernimmst und "daheim" ohne Gefährdung der Allgemeinheit das eifnach mal ausprobierst. Wenn Du im Umgang damit dann sicherer geworden bist Dich dann an den root-server dranwagst.
lks
lks