Hi!

So, jetzt bin ich wieder da und kann mich am Forums-Leben wieder beteiligen ;-)

Darüber hinaus denke ich, dass Gentoo sehr wohl auch für eine solche Serveraufgabe gut geeignet ist.

Die Auswahl des OS hängt heutzutage eh fast nur noch von der Hardware ab.

In diesem Punkt stimme ich eher at's Meinung zu, wenngleich ich deine Argumente verstehen und in gewisser Weise auch nachvollziehen kann, wobei insbesondere der Umstand, dass verschiedene Gastsysteme auf einem Host (auch in Produktivumgebungen) laufen, scheinbar immer häufiger zu beobachten ist, wie ich selbst in verschiedenen Mailinglisten und Foren beobachten konnte.

[Notwendigkeit, Mailingslisten, etc. zu lesen]
Diese lese ich bereits, die von Gentoo eher weniger regelmäßig, sehr wohl jedoch die von Debian, immerhin muss ich ja wissen, was ich auf unseren Server in der Schule patchen muss :-) Auch Securityfocus besuche ich regelmäßig.

Wenn Du Dich traust solltest Du auch noch /. mit reinnehmen. Da steht zwar zu 99,9% wenn auch unterhaltsamer so doch Schrott, aber gerade das letzte Promille ist mitunter sehr aufschlußreich und man ist evt die berühmten fünf Minuten früher gewarnt, die einem den Hals retten.

Naja, manchmal lese ich auch Slashdot, aber - wie du bereits selber sagst - ist da häufig auch nur Müll zu finden, sodass ich SecurityFocus da eher bevorzuge.

Danke ;-) Wir arbeiten bereits an einem Konzept, wie das System dann letzten Endes aufgebaut werden soll (Benutzerveraltung, Gruppen, etc.), sodass wir von diesem Standpunkt aus gesehen, schon mal keine Probleme erwarten brauchen, zumal ich einen ganz ähnlichen Aufbau auf einem Art Testserver hier bei mir bereits am Laufen habe.

Es sollte _genau_ der gleiche Aufbau sein zum testen. Das erfordert aber natürlich auch exakt die gleiche Hardware und ist deshalb für private Zwecke nicht sehr sinnvoll. Aber zumindest die Software sollte exakt gleich sein (Ausnahme ist der Kernel wg anderer Hardware) und die Architektur (also nicht auf x86 testen, wenn's nachher auf 'ner Ultrasparc laufen soll und umgekehrt).

Dieser Punkt ist klar - eine größere Änderung als einen Architektur-Wechsel kann man eh kaum vornehmen. Ferner kommt für uns nur x86 in Frage - auf x86_64 möchte ich auch verzichten, da hier doch noch viele Pakete als »unstable« gelten, die unter x86 als »rock-stable« bekannt sind.

Da ihr Gentoo benutzt und somit alles selber baut einen kleinen Tip noch: die Hardware ist fix und vorher bekannt, d.h. der Kernel sollte monolithisch gebaut und die Möglichkeit zum Modulladen (CONFIG_MODULES etc) vollständig entfernt werden. Eine sehr einfache Methode, die nix kostet aber gerne vergessen wird.

Dieser Punkt ist genauso wie der nächste bereits auf meiner »Sammelliste« eingetragen gewesen und wird natürlich auch umgesetzt werden. Auf dieser Liste finden sich im Übrigen noch ein paar andere Sicherheits-relevante Dinge, die ich einerseits durch verschiedene Quellen (Bücher, Foren, Mailinglisten) zugetragen bekommen habe, aber auch (kleinere) Sachen, auf die ich selbst gestoßen bin.

Es gibt zudem einige Kernelpatches, die unter einigen der sicherheitstechnisch gewagteren Kernelcodes ein Netz spannen. Die komplexen Benutzerverwaltungen die meistens mit dabei sind, halte ich dagegen für überflüssig. Wenn Daten nicht von jedem Dahergelaufem benutzt werden dürfen dann sind sie eben zu verschlüsseln und ein Programm der Benutzung zu entziehen ist auch einfach: entfernen des Programmes. Letzteres kostet aber zusätzliche Hardware und kommt also für euch wohl eher nicht in Frage.

Mit diesen Kernelpatches meinst du wohl SELinux, GrSecurity und Konsorten? Bisher habe ich mich eigentlich nur mit GrSecurity beschäftigt und damit gute Erfahrungen gemacht, da mich dessen Schutzmaßnahmen soweit doch sehr überzeugen.

Aber das habt ihr ja alles eh schon vorher gewußt und ich nerve euch nur mit meiner Predigt? Na, dann ist's ja gut ;-)

Nein, natürlich nervt diese Predigt (die ich darüber hinaus auch gar nicht als eine solche aufgefasst habe) nicht, weil wir natürlich auch noch hinzulernen wollen und dabei sind solche Postings, die auch auf mögliche Gefahren und Probleme hinweisen, sehr wichtig. In diesem Sinne: Mach' weiter so :-)

Grüße,
Fabian St.