Moin!

Fabian und ich sind ja noch nicht auf einen Anbieter (Server4you / Hetzner / etc.) oder ein OS (Gentoo Linux / Debian / etc.) festgelegt, und es ist auch noch nicht 100%ig sicher, ob wir den Server zusammen mieten. Das bleibt dann die letzte Entscheidung.

Mein Senf dazu:
Über Server4You wurde hier im Forum schon Schlechtes berichtet (insbesondere über deren VServer). Über Hetzner hingegen kann ich persönlich eigentlich nur Gutes berichten. Ich habe dort mittlerweile zwei Server (einen ganz alten Entry-Server mit 100 GB Traffic und Debian, und einen Best Price mit 600 GB Traffic und Gentoo) stehen, die selbst sehr wenig Probleme machen, und auch Hetzner ist sehr pflegeleicht.

Spannend ist aber, wie ihr die Sache finanziell regelt. Einer von Euch wird das Geld an Hetzner bezahlen müssen, der andere dann regelmäßig seinen Anteil an den anderen. Was ist, wenn das Geld mal ausbleibt? Haftungsfragen untereinander geklärt?

Ich fänden Debian eigentlich auch sehr schön, vor allem weil man da weniger tun muss als bei Gentoo - und die Performance ist eigentlich trotzdem sehr gut.

Ich behaupte mal, dass du nach Installation des Hetzner-Minimal-Debians genausoviel tun mußt, wie bei Gentoo. Außerdem: Ihr wolltet doch einen Root-Server haben - da muß man sowieso viel tun.

Wir installieren ja sowieso kein grafisches System darauf.

Das ist in diesem Zusammenhang relativ irrelevant, das wäre lediglich _eine_ weitere Komponente (natürlich mit diversen Subelementen).

Ich muss das mit Fabian noch mal absprechen, denn der ist ziemlich auf Gentoo fixiert - was ich sogar gut verstehen kann, da ich selbst Gentoo verwende. Aber Debian hat gegenüber Gentoo doch ein paar nette Vorteile, unter anderem die Einfachheit.

Ich gebe zu, dass ich nicht unbedingt der Debian-Freak bin, sondern mein Gentoo bevorzuge, aber was die Einfachheit angeht, dürften sich die beiden absolut nichts geben. Bei Debian hat man dselect, bei Gentoo ufed und emerge. Beides rödelt eine Zeit lang, wenn neue Pakete zu installieren sind.

Hmm, da muss ich nochmals Fabian fragen - der kennt sich da garantiert besser aus als ich. Ich habe mir immer gesagt dass ich unter Linux keine Firewall brauche, denn meine ganzen Rechner stehen hinter einem Router (der ja selbst schon eine Firewall darstellt).

Nein, ein Router ist keine Firewall. Oder meinst du einen NAT-Router? Der ist auch keine Firewall, aber er verhindert Verbindungsaufnahmen vom Internet aus zu beliebigen Ports in deinem Netz, ohne dass vorher eine solche Verbindung in die andere Richtung angefordert wurde. Es filtert also schon das wichtigste Element raus - aber Firewall würde ich das nicht nennen.

Ein Root-Server steht hinter keiner Firewall. Das wäre auch absolut unpraktisch, denn würde der Hoster eine zentral betreiben, müßte er dennoch sämtlichen Traffic durchlassen zu den Servern seiner Kunden, denn er kann ja nicht wissen, was die exotisches mit den Geräten vorhaben. Jegliche Filterung des Traffics würde mindestens Supportaufwand bedeuten, wenn nicht mehr.

Will man eine eigene Firewall vor seinem Server haben, kann man das bei etwas individueller ausgerichteten Hostern sicherlich auch kriegen - aber in der Tat bringt das nicht unbedingt mehr Sicherheit, denn der Zugriff auf öffentlich erreichbare Ports muß ja ohnehin möglich sein, mit "bösen" Datenpaketen an diese Ports muß der Server selbst vernünftig und ohne Öffnen einer Sicherheitslücke zurecht kommen, und Dienste, welche nur eingeschränkten IP-Bereichen zugänglich sein sollen, könnte man zumindest im Grundsatz auch auf dem Server entsprechend einschränken - wobei man sowas eigentlich schon von Beginn an weiß, und so eine Anforderung auch im Verhältnis zum entstehenden Aufwand stehen muß.

Mit einer vernünftigen Strategie (der Klassiker: Nur Dienste starten, die man wirklich benötigt - also im Zweifel nur SSH zur Administration) und aktuell gehaltener Software dürften die möglichen Einfallstore für Angreifer dann ziemlich gering ausfallen. Das zweite große (und enorm wichtige) Gebiet wäre dann "Fehlkonfigurationen vermeiden" - ein Mailserver als offenes Relay wäre beispielsweise sowas... :)

Guter Tipp, werde ich mir merken. Ich lese weder die Sicherheitsmails von Debian noch die von Gentoo, ich denke damit sollte ich dann bald beginnen, bevor wir das Server-Projekt angehen lassen.

Zusätzlich natürlich auch die Sicherheits- bzw. Announcement-Mailinglisten der eingesetzten Software, insbesondere, wenn diese separat installiert wurde. Nicht jegliches Programm ist z.B. im Portage-Tree enthalten.

- Sven Rautenberg