nicht angemeldet Marc Reichelt
Marc Reichelt
at
at
at
Marc Reichelt
Marc Reichelt
Marc Reichelt
Hallo an alle,
Fabian St. und ich sind auf die Idee gekommen, dass es doch richtig toll wäre einen eigenen Server im Netz zu haben, auf dem wir alles selbst kontrollieren können. Somit sind auch andere Dienste außer HTTP möglich, und wir können ihn zugleich als riesigen Datenspeicher benutzen.
Nie mehr ein Home-Verzeichnis zu Hause vergessen! ;-)
Jetzt stellt sich uns selbstverständlich die Frage, wo wir den Server mieten.
Oder ob wir gleich einen eigenen Rechner nehmen (derzeit 1 GHz AMD, 256 MB RAM, 160 GB Festplatte) und diesen housen lassen - sofern die Kosten moderat sind.
Als Betriebssystem wird ein Gentoo Linux zum Einsatz kommen, natürlich ohne grafische Oberfläche.
Nun unsere Fragen:
1. Wir haben zur Zeit dieses Angebot von Server4you im Auge - mit 80 GB Festplatte, Intel Pentium 4 2,8 GHz, 512 MB RAM und 1000 GB Traffic im Monat. Wie sind eure Erfahrungen mit Server4you (abgesehen von den vServern, die ja anscheinend nicht gerade beliebt sind)?
2. Kennt ihr günstige Angebote von anderen Server-Anbietern, die dieses Angebot eventuell noch toppen?
3. Kennt ihr vielleicht ein paar günstige Housing-Anbieter?
4. Was gibt es bei einem eigenen Server noch so alles zu beachten - und wie können wir schnell & leicht (TM) unsere bestehenden Domains migrieren?
Wir dachten uns, bevor wir den Schritt ins kalte Wasser wagen, fragen wir hier lieber nochmals nach und versichern uns über die genaue Temperatur. ;-)
Freundliche Grüße und vielen Dank im Voraus
Marc Reichelt || http://www.marcreichelt.de/
Hi,
Fabian St. und ich sind auf die Idee gekommen, dass es doch richtig toll wäre einen eigenen Server im Netz zu haben, auf dem wir alles selbst kontrollieren können. Somit sind auch andere Dienste außer HTTP möglich, und wir können ihn zugleich als riesigen Datenspeicher benutzen.
Nie mehr ein Home-Verzeichnis zu Hause vergessen! ;-)
sehr schön! ;-)
Jetzt stellt sich uns selbstverständlich die Frage, wo wir den Server mieten.
Oder ob wir gleich einen eigenen Rechner nehmen (derzeit 1 GHz AMD, 256 MB RAM, 160 GB Festplatte) und diesen housen lassen - sofern die Kosten moderat sind.Als Betriebssystem wird ein Gentoo Linux zum Einsatz kommen, natürlich ohne grafische Oberfläche.
Nun unsere Fragen:
- Wir haben zur Zeit dieses Angebot von Server4you im Auge - mit 80 GB Festplatte, Intel Pentium 4 2,8 GHz, 512 MB RAM und 1000 GB Traffic im Monat. Wie sind eure Erfahrungen mit Server4you (abgesehen von den vServern, die ja anscheinend nicht gerade beliebt sind)?
Meine Erfahrungen mit VServern bei denen hatte ich hier schonmal irgendwann beschrieben. Ich würde aufgrund der Erfahrungen daraus auch _nichts_ anderes bei dieser Firma machen!
- Kennt ihr günstige Angebote von anderen Server-Anbietern, die dieses Angebot eventuell noch toppen?
Ob man von "toppen" sprechen kann, weiß ich nicht. Was bitte brauchst Du 1TB Traffic? Ich bin mit Strato-Servern sehr zufrieden, der Service ist stimmt, die Hotline ist nett und kompetent, was man von Server4You nicht behaupten kann, zumindest bzgl. dem zweiten.
- Kennt ihr vielleicht ein paar günstige Housing-Anbieter?
Das bieten sehr viele an, kenne ich mich aber nicht wirklich mit aus.
- Was gibt es bei einem eigenen Server noch so alles zu beachten - und wie können wir schnell & leicht (TM) unsere bestehenden Domains migrieren?
Der Verfahren bzgl. KK-Antrag dürfte _fast_ überall gleich sein, wobei das _fast_ auch wieder Server4you ausschließt, denn die kommen einfach nicht aus den Latschen, wenn Du Deinen Vertrag dort kündigen möchtest... Das dauert eine Ewigkeit, bis das auf Deinem neuen Server funktioniert. Am besten ist es, den DNS bei Server4you schon auf den neuen Server zu stellen, wenn dieser gut läuft, und erst dann zu kündigen.
Gruß
Reiner
Hallo Reiner,
- Wir haben zur Zeit dieses Angebot von Server4you im Auge - mit 80 GB Festplatte, Intel Pentium 4 2,8 GHz, 512 MB RAM und 1000 GB Traffic im Monat. Wie sind eure Erfahrungen mit Server4you (abgesehen von den vServern, die ja anscheinend nicht gerade beliebt sind)?
Meine Erfahrungen mit VServern bei denen hatte ich hier schonmal irgendwann beschrieben. Ich würde aufgrund der Erfahrungen daraus auch _nichts_ anderes bei dieser Firma machen!
Hmm, *such.........find*:
Hier ist der Thread dazu.
Ich kann mir vorstellen dass vServer wesentlich mehr Probleme machen als jenige dedizierte Server, die die Leute selbst verwalten können.
Ich glaube, dass man nicht unbedingt bei zwei sehr unterschiedlichen Dingen von dem einen auf das andere schließen kann - hast du vielleicht ein paar Erfahrungen mit deren dedizierten Servern gemacht, oder kennst du jemanden der einen dedizierten Server bei denen hat bzw. hatte?
- Kennt ihr günstige Angebote von anderen Server-Anbietern, die dieses Angebot eventuell noch toppen?
Ob man von "toppen" sprechen kann, weiß ich nicht. Was bitte brauchst Du 1TB Traffic? Ich bin mit Strato-Servern sehr zufrieden, der Service ist stimmt, die Hotline ist nett und kompetent, was man von Server4You nicht behaupten kann, zumindest bzgl. dem zweiten.
1TB Traffic ist schon mal eine sinnvolle Investition in die Zukunft. Und glaube mir, so wie ich den Fabian bisher kenne reizt der den Traffic mindestens genauso aus wie ich! ;-)
- Kennt ihr vielleicht ein paar günstige Housing-Anbieter?
Das bieten sehr viele an, kenne ich mich aber nicht wirklich mit aus.
Hmm, das wäre aber auf jeden Fall interessant zu erfahren. Server4you hat damals auf jeden Fall so etwas gemacht, ich finde heute aber nichts mehr dazu - komisch.
Wahrscheinlich ist das zu unrentabel geworden.
- Was gibt es bei einem eigenen Server noch so alles zu beachten - und wie können wir schnell & leicht (TM) unsere bestehenden Domains migrieren?
Der Verfahren bzgl. KK-Antrag dürfte _fast_ überall gleich sein, wobei das _fast_ auch wieder Server4you ausschließt, denn die kommen einfach nicht aus den Latschen, wenn Du Deinen Vertrag dort kündigen möchtest... Das dauert eine Ewigkeit, bis das auf Deinem neuen Server funktioniert. Am besten ist es, den DNS bei Server4you schon auf den neuen Server zu stellen, wenn dieser gut läuft, und erst dann zu kündigen.
Genau das würden Fabian und ich machen - einfach den Server einen Monat lang neben den normalen Domains nebenher laufen lassen, die Webprojekte migrieren - und am Ende nur noch den KK-Antrag inklusive den DNS-Einträgen.
Da sind wir schon auf alles mögliche gefasst! ;-)
Grüße
Marc Reichelt || http://www.marcreichelt.de/
Hallo,
- Kennt ihr günstige Angebote von anderen Server-Anbietern, die dieses Angebot eventuell noch toppen?
Die bieten derzeit 3 Grundservertypen an.
Den Heavyload-Server mit Traffic-Flatrate, den Cashbackserver mit X GB Freitraffic, was nicht verwendet wird bekommt man zurückgezahlt und den Scheissserver, n Billiger Flohmarktdreck eben, zum experimentieren usw. ganz lustig aber zum verwendenm als Server kannste den vergessen.
je nachdem was ihr vorhabt würde ich wahrscheinlich den Cashback-Server empfehlen, so viel Traffic brauch ihr ja nicht.
Den gibts wenn man keinen Traffic verbraucht schon für 25 Euro im Monat (Grundkonfig für 50 Euro, inkl. 50GB Free Traffic und 0,50 Euro CashBack für nicht benötigte GB)
Und das beste ist: Du kannst dir den Server so zusammenstellen wie du möchtest.
Prozessorart und Geschwindigkeit, Festplattengrösse und -anzahl, Betriebssystem usw.
Die bieten allerdings afaik nur Debian und SuSe an, aber das kann man ja selbst nachträglich über die Remote-Konsole installieren oder von nem Techniker installieren lassen.
Vorteile von IPX:
-Komplett vorkofiguriert
-Software, alles dabei
-sehr günstig und doch super Anbindung und extrem selten Ausfälle
-eigener Updateserver für Debian und SuSe
-Backupspace inklusive
Nachteile:
-Support ist per Email recht langsam und per Telefon kostet er um die 1,50 oderso pro Minute - aber die Leute verstehen was von ihrem Job und sind recht nett und hilfsbereit.
-Domainregistrierung? Forget it! Die sind nur Partner von United-domains und sind somit genauso teuer wie man es von united-domains kennt - 1 Inklusivdomain ist dabei (war zumindest bei mir) die hab ich registriert, mehr nicht.
-Vergiss NIEMALS deine Kundennummer. Ohne die kannst du nix machen, auch nicht wenn du die Servernummer, das Passwort, deine Emailadresse usw. weisst.
-Hardwareupgrades nur "im Rahmen der Möglichkeiten". Sprich: es geht nur das, was du beim bestellen auf der Config-Seite auswählen kannst. 3., 4., 5, Festplatte, usw. geht halt nicht.
-Etwas chaotische Geschäftsphilosophie. Der eine weiss nicht was der andere sagt. Verlasse dich also niemals darauf, wenn dir ein Mitarbeiter was zusagt wie "in Zukunft können sie auf dieser kostenlosen Rufnummer anrufen", denn wenn du das das nächstemal anrufst heisst es du darfst nur auf der anderen anrufen, ausser ich hätte das schriftlich...
Alles in allem ist IPX jedoch ein guter Anbieter mit dem ich bisher nur einen (angekündigten) Ausfall hatte, da irgendne Leitung umgestöpselt werden musste. Das haben die dann wenigstens mitten in der Nacht gemacht und es hat nur 10 Minuten gedauert. Dafür wurden die Rechner dann runtergefahren - aber wie gesagt - angekündigt...
Ich hoffe ich konnte dir helfen.
Gruss.
Hallo du mir ach so bekannter Fehler,
;-)
- Kennt ihr günstige Angebote von anderen Server-Anbietern, die dieses Angebot eventuell noch toppen?
Die bieten derzeit 3 Grundservertypen an.
Den Heavyload-Server mit Traffic-Flatrate, den Cashbackserver mit X GB Freitraffic, was nicht verwendet wird bekommt man zurückgezahlt und den Scheissserver, n Billiger Flohmarktdreck eben, zum experimentieren usw. ganz lustig aber zum verwendenm als Server kannste den vergessen.je nachdem was ihr vorhabt würde ich wahrscheinlich den Cashback-Server empfehlen, so viel Traffic brauch ihr ja nicht.
Den gibts wenn man keinen Traffic verbraucht schon für 25 Euro im Monat (Grundkonfig für 50 Euro, inkl. 50GB Free Traffic und 0,50 Euro CashBack für nicht benötigte GB)
Nun ja, da ist der Server von Server4you doch wesentlich besser - für 40 EUR gibt's da schon 1TB Traffic inklusive. Die Hardware von Server4you ist (obwohl kleinerer Preis) auch wesentlich besser, vor allem stehen 80 GB Festplatte und 512 MB RAM auf der Haben-Seite.
Und das beste ist: Du kannst dir den Server so zusammenstellen wie du möchtest.
Prozessorart und Geschwindigkeit, Festplattengrösse und -anzahl, Betriebssystem usw.
Betriebssystem kann man sich bei Server4you im Prinzip auch selbst auswählen.
Dazu gibt es einige Rescue-Systeme, darunter auch ein Gentoo Linux.
Der Aufpreis bei IPX für bessere Hardware ist natürlich hoch. Und S4Y bringt de facto bessere Hardware gleich ohne Aufpreis mit.
Die bieten allerdings afaik nur Debian und SuSe an, aber das kann man ja selbst nachträglich über die Remote-Konsole installieren oder von nem Techniker installieren lassen.
Vorteile von IPX:
-Komplett vorkofiguriert
Genau das wollen Fabian und ich selbst machen.
-Software, alles dabei
Auch die Software wollen wir selbst wählen.
-sehr günstig und doch super Anbindung und extrem selten Ausfälle
S4Y ist günstiger und bietet laut den Angeboten zum kleineren Preis bessere Leistung.
-eigener Updateserver für Debian und SuSe
Dito. Auch bei S4Y vorhanden - brauchen wir aber nicht, da wir sowieso auf Gentoo setzen.
-Backupspace inklusive
Bei S4Y auch, zwar nur 2GB - aber ich habe zu Hause ebenfalls riesige Möglichkeiten Backups zu erstellen.
Nachteile:
-Support ist per Email recht langsam und per Telefon kostet er um die 1,50 oderso pro Minute - aber die Leute verstehen was von ihrem Job und sind recht nett und hilfsbereit.
Hmm, sehr teurer Support - da sind mir 9 Cent/Minute bei S4Y lieber (was, der Mitarbeiter hat keine Ahnung? Na - dann rufen wir halt noch mal an... ;-))
-Domainregistrierung? Forget it! Die sind nur Partner von United-domains und sind somit genauso teuer wie man es von united-domains kennt - 1 Inklusivdomain ist dabei (war zumindest bei mir) die hab ich registriert, mehr nicht.
Domains sind wichtig. Wir werden zusammen mindestens 7-8 Domains auf dem Server laufen lassen. Das ist natürlich ein Knockout für IDX.
-Vergiss NIEMALS deine Kundennummer. Ohne die kannst du nix machen, auch nicht wenn du die Servernummer, das Passwort, deine Emailadresse usw. weisst.
Ich?? Kundennummer vergessen??? Niemals!!11111 ;-)
-Hardwareupgrades nur "im Rahmen der Möglichkeiten". Sprich: es geht nur das, was du beim bestellen auf der Config-Seite auswählen kannst. 3., 4., 5, Festplatte, usw. geht halt nicht.
-Etwas chaotische Geschäftsphilosophie. Der eine weiss nicht was der andere sagt. Verlasse dich also niemals darauf, wenn dir ein Mitarbeiter was zusagt wie "in Zukunft können sie auf dieser kostenlosen Rufnummer anrufen", denn wenn du das das nächstemal anrufst heisst es du darfst nur auf der anderen anrufen, ausser ich hätte das schriftlich...Alles in allem ist IPX jedoch ein guter Anbieter mit dem ich bisher nur einen (angekündigten) Ausfall hatte, da irgendne Leitung umgestöpselt werden musste. Das haben die dann wenigstens mitten in der Nacht gemacht und es hat nur 10 Minuten gedauert. Dafür wurden die Rechner dann runtergefahren - aber wie gesagt - angekündigt...
Ich hoffe ich konnte dir helfen.
Hmm, soweit ich das jetzt übersehe sind einige Punkte dabei, bei denen ich IPX sofort ausschließen würde. Unter anderem auch der Traffic. 50 GB können schnell knapp werden, wenn man zu zweit einen Server betreibt, auf dem eine Menge Projekte laufen.
Außerdem sind so ein oder zwei Zukunftsprojekte vorhanden, die die 50 GB gut sprengen können. Insofern ist auch der Gedanke an die Zukunft wichtig.
Und wenn ich jetzt mal die Leistung und die Preise vergleiche, hat S4Y wirklich die bessere Leistung als IPX - und das zum kleineren Preis.
Aber trotzdem vielen Dank für die Hilfe, ich möchte kein Angebot unbeachtet lassen! :-)
Und Fabian bestimmt auch nicht.
Grüße
Marc Reichelt || http://www.marcreichelt.de/
Hallo,
Entry Server 39€
Server unterstellen 29€
Es gibt auch so genannte PR Modelle ab 19€
der Support ist super (man ruft direkt im Rechenzentrum an)
der einzige Nachteil... kein 24/7 :-(
mfg
Twilo
Hallo,
sorry, der Link ist falsch, hier nochmal der richtige
Es gibt auch so genannte PR Modelle ab 19€
mfg
Twilo
Hallo Twilo,
sorry, der Link ist falsch, hier nochmal der richtige
Es gibt auch so genannte PR Modelle ab 19€
Ja. RP Modelle. ;-)
Sieht gut aus, wird auf jeden Fall in Betracht gezogen.
Hetzner habe ich aus einigen c't-Berichten auch noch gut in Erinnerung.
Vielen Dank, wird auch bald mit Fabian abgesprochen!
Grüße
Marc Reichelt || http://www.marcreichelt.de/
Hallo,
sorry, der Link ist falsch, hier nochmal der richtige
Es gibt auch so genannte PR Modelle ab 19€
Ja. RP Modelle. ;-)
an was ich wohl in diesen Moment gedacht habe ;-)
was ich noch sagen wollte...
die Rechenzentren ereichst du über eine normale Ortsnummer (ich zahle also nix dafür, dank Arcor Telefonflat :-))
ps. vielleicht ist ja auch der Domain Registration Robot etwas für dich?
mfg
Twilo
Hi,
ich spiel' hier mal den advocatus diaboli und auch noch den Schwarzseher und liste einige Nachteile.
Oder ob wir gleich einen eigenen Rechner nehmen (derzeit 1 GHz AMD, 256 MB RAM, 160 GB Festplatte) und diesen housen lassen
Problem: wenn das Rechenzentrum nicht gerade direkt vor eurer Haustür liegt seid ihr auf den Service dort angewiesen. Die werden die evt nötigen Ersatzteile da kaufen, wo sie bequem her zu bekommen sind und nicht da, wo sie billig sind. Billiger und mit ein klein wenig Glück sogar preiswert sind die Ersatzteile der Rechner die von denen selber angeboten werden.
Als Betriebssystem wird ein Gentoo Linux zum Einsatz kommen,
Gibt es dafür eine bestimmten Grund?
natürlich ohne grafische Oberfläche.
Ja, genau: im Rack eingebaut würd' das doch eh keiner sehen.
Nun unsere Fragen:
- Wir haben zur Zeit dieses Angebot von Server4you im Auge - mit 80 GB Festplatte, Intel Pentium 4 2,8 GHz, 512 MB RAM und 1000 GB Traffic im Monat.
Schön viel Traffic.
Aber dafür wird ja auch reichlich bezahlt, denn der Rechner ist nur eine Pizzaschachtel. Neupreis um die 250 EUR, aber auch nur wenn einzeln erworben. Und die wirklich wichtigen und bequemen Dinge beim Service kosten auch zwischen 5 und 10 EUR extra. Zudem ist eine Uptime von 99% schon geradezu peinlich. Wieviel sind 1% von 365,25 Tagen? Und das gilt nur für die Hardware! Mit ein wenig Pech kommt dann andere Hardware rein auf der euer paßgenau gebauter Kernel nicht mehr bootet. Ist ein typisches Merkmal von PC-Hardware, hat mich auch schon manch' graues Haar gekostet.
- Was gibt es bei einem eigenen Server noch so alles zu beachten
Tja, wenn ihr das nicht wißt würde ich von dem Betrieb eines Rootservers dringend abraten.
Wir dachten uns, bevor wir den Schritt ins kalte Wasser wagen, fragen wir hier lieber nochmals nach und versichern uns über die genaue Temperatur. ;-)
[preßt die Mensur zwischen Daumen und Zeigefinger eng zusammen]
Sooo kalt!
Gut, ganz so schlimm ist das natürlich nicht. Aber es ist nah dran. Es kam aber auch nicht so ganz raus, was ihr mit dem Ding machen wollt: nur für private Zwecke nutzen? Dann ist es in Ordnung. Wenn ihr öffentlich zugängliche Server installieren wollt ist dafür etwas Erfahrung nötig (ich bin zwar nicht durch's Archiv gegangen, aber ich glaube, die habt ihr noch). Wollt ihr aber beides: dann gut' Nacht. Sowas erfordert einen guten Sysadmin. Es geht zwar meistens lange gut, knallt aber dafür am Ende richtig.
Da der Traffic aber wirklich zu verlockend ist werdet ihr es ja doch machen, oder? ;-)
Dann installiert wenigstens so wenig wie möglich und abonniert die Security-Mailingliste der gewählten Distribution und die von Debian, falls das nicht das gleiche ist. Dazu dann noch die Malinglisten aller verwendeten Software. Die üblichen Verdächtigen auch nicht vergessen. Ja, den ganzen Driss müßt ihr doch tatsächlich auch lesen! ;-)
(Zu Zweit geht's aber, hört sich schlimmer an, als es ist)
Insgesamt ein mutiges Unterfangen, meinen Respekt habt ihr schonmal. Aber es sind auch schon verdammt viele damit auf die Schnauze gefallen, meist, weil sie zuviel auf einmal wollten.
Noch ein kleiner Hinweis: ich mache das beruflich, ich kenn' mich damit aus und trotzdem würde ich für mich selber keinen Rootserver anmieten, wäre mir viel zuviel Streß.
so short
Christoph Zurnieden
Hi Christoph!
ich spiel' hier mal den advocatus diaboli und auch noch den Schwarzseher und liste einige Nachteile.
Das ist mindestens genauso wichtig wie die anderen Posts, also nur zu ;-)
Oder ob wir gleich einen eigenen Rechner nehmen (derzeit 1 GHz AMD, 256 MB RAM, 160 GB Festplatte) und diesen housen lassen
Problem: wenn das Rechenzentrum nicht gerade direkt vor eurer Haustür liegt seid ihr auf den Service dort angewiesen. Die werden die evt nötigen Ersatzteile da kaufen, wo sie bequem her zu bekommen sind und nicht da, wo sie billig sind. Billiger und mit ein klein wenig Glück sogar preiswert sind die Ersatzteile der Rechner die von denen selber angeboten werden.
Das war mitunter auch mein Grund (neben dem oftmals fehlenden Rescue-System), warum ich von dieser Lösung eigentlich absehen möchte ;-)
Als Betriebssystem wird ein Gentoo Linux zum Einsatz kommen,
Gibt es dafür eine bestimmten Grund?
Ja, diesen gibt es und es ist ein ganz simpler noch dazu: Ich kenne mich am besten mit Gentoo, seinen Internas und Eigenheiten aus. Darüber hinaus denke ich, dass Gentoo sehr wohl auch für eine solche Serveraufgabe gut geeignet ist.
Nun unsere Fragen:
- Wir haben zur Zeit dieses Angebot von Server4you im Auge - mit 80 GB Festplatte, Intel Pentium 4 2,8 GHz, 512 MB RAM und 1000 GB Traffic im Monat.
Schön viel Traffic.
Aber dafür wird ja auch reichlich bezahlt, denn der Rechner ist nur eine Pizzaschachtel. Neupreis um die 250 EUR, aber auch nur wenn einzeln erworben. Und die wirklich wichtigen und bequemen Dinge beim Service kosten auch zwischen 5 und 10 EUR extra. Zudem ist eine Uptime von 99% schon geradezu peinlich. Wieviel sind 1% von 365,25 Tagen? Und das gilt nur für die Hardware! Mit ein wenig Pech kommt dann andere Hardware rein auf der euer paßgenau gebauter Kernel nicht mehr bootet. Ist ein typisches Merkmal von PC-Hardware, hat mich auch schon manch' graues Haar gekostet.
Der Traffic ist neben der guten Hardware mitunter auch ein Grund, warum uns dieses Angebot besonders zusagt. Die Uptime ist vorerst _noch_ keiner der wichtigsten Faktoren, diese ergibt sich mit der Zeit.
- Was gibt es bei einem eigenen Server noch so alles zu beachten
Tja, wenn ihr das nicht wißt würde ich von dem Betrieb eines Rootservers dringend abraten.
Diese Frage war von Marc wohl eher rethorisch gemeint, ich denke er wollte mehr auf eure persönliche Erfahrungen mit Rootserver zu sprechen kommen.
Wir dachten uns, bevor wir den Schritt ins kalte Wasser wagen, fragen wir hier lieber nochmals nach und versichern uns über die genaue Temperatur. ;-)
Gut, ganz so schlimm ist das natürlich nicht. Aber es ist nah dran. Es kam aber auch nicht so ganz raus, was ihr mit dem Ding machen wollt: nur für private Zwecke nutzen? Dann ist es in Ordnung. Wenn ihr öffentlich zugängliche Server installieren wollt ist dafür etwas Erfahrung nötig (ich bin zwar nicht durch's Archiv gegangen, aber ich glaube, die habt ihr noch). Wollt ihr aber beides: dann gut' Nacht. Sowas erfordert einen guten Sysadmin. Es geht zwar meistens lange gut, knallt aber dafür am Ende richtig.
Der Server dient vorerst vor allem dazu, unsere eigenen Projekte zu hosten und soll zudem noch ein paar Extra Sachen (Mail, IRC, etc.) bieten.
Die nötige Erfahrung in der Administration und Konfiguration der Serverdienste besitzen wir beide, sodass ich mir deswegen eher weniger sorgen mache.
Da der Traffic aber wirklich zu verlockend ist werdet ihr es ja doch machen, oder? ;-)
Wahrscheinlich ja ;-)
Dann installiert wenigstens so wenig wie möglich und abonniert die Security-Mailingliste der gewählten Distribution und die von Debian, falls das nicht das gleiche ist. Dazu dann noch die Malinglisten aller verwendeten Software. Die üblichen Verdächtigen auch nicht vergessen. Ja, den ganzen Driss müßt ihr doch tatsächlich auch lesen! ;-)
(Zu Zweit geht's aber, hört sich schlimmer an, als es ist)
Diese lese ich bereits, die von Gentoo eher weniger regelmäßig, sehr wohl jedoch die von Debian, immerhin muss ich ja wissen, was ich auf unseren Server in der Schule patchen muss :-) Auch Securityfocus besuche ich regelmäßig.
Insgesamt ein mutiges Unterfangen, meinen Respekt habt ihr schonmal. Aber es sind auch schon verdammt viele damit auf die Schnauze gefallen, meist, weil sie zuviel auf einmal wollten.
Danke ;-) Wir arbeiten bereits an einem Konzept, wie das System dann letzten Endes aufgebaut werden soll (Benutzerveraltung, Gruppen, etc.), sodass wir von diesem Standpunkt aus gesehen, schon mal keine Probleme erwarten brauchen, zumal ich einen ganz ähnlichen Aufbau auf einem Art Testserver hier bei mir bereits am Laufen habe.
Grüße,
Fabian St.
P.s. Ich bin jetzt erst mal drei Tage weg, sodass ich hier nicht darauf antworten kann, aber Marc wird dies sicher in meinem Sinne tun :-)
Hi,
Als Betriebssystem wird ein Gentoo Linux zum Einsatz kommen,
Gibt es dafür eine bestimmten Grund?
Ja, diesen gibt es und es ist ein ganz simpler noch dazu: Ich kenne mich am besten mit Gentoo, seinen Internas und Eigenheiten aus.
Ja, das ist ein ausreichender Grund.
Darüber hinaus denke ich, dass Gentoo sehr wohl auch für eine solche Serveraufgabe gut geeignet ist.
Die Auswahl des OS hängt heutzutage eh fast nur noch von der Hardware ab.
Nun unsere Fragen:
Der Traffic ist neben der guten Hardware
Eben habe ich noch wortreich zu erklären versucht, das die Hardware eben _nicht_ sonderlich gut ist und der Unterschied zwischen "billig" und "preiswert" enorm. Wo ist das geblieben?
mitunter auch ein Grund, warum uns dieses Angebot besonders zusagt. Die Uptime ist vorerst _noch_ keiner der wichtigsten Faktoren, diese ergibt sich mit der Zeit.
Ja, aber 99% sind wirklich zuwenig, da schafft ja Win98 mehr!
Bei einem 24/7-Service sind 99,95% durchaus machbar. Ist zwar immer noch wenig, aber für eure Zwecke durchaus ausreichend.
Denn denkt daran: der Ausfall kommt _immer_ zu dem ungünstigstem Zeitpunkt!
- Was gibt es bei einem eigenen Server noch so alles zu beachten
Tja, wenn ihr das nicht wißt würde ich von dem Betrieb eines Rootservers dringend abraten.
Diese Frage war von Marc wohl eher rethorisch gemeint, ich denke er wollte mehr auf eure persönliche Erfahrungen mit Rootserver zu sprechen kommen.
Vom geschäftlichem Standpunkt (aber ihr seid ja privat) kann ich da nur abraten. Die Pflege frißt viele Stunden, die man fast nie in Rechnung stellen kann, da setzt man nur zu. Mittlerweile habe ich eine kleine Firma an der Hand, bei denen ich einfach Leistung bestellen kann. D.h.: nicht "Linux 1.2.3 und Apache 4.5.6 und Postfix 7.8.9 auf 'nem AMD64 mit 24GiB RAM" sondern "einmal Web- und Mailserver bitte" und muß mich dann um nix mehr kümmern. Es ist zwar ein klein wenig teurer aber seeeehr bequem ;-)
Der Server dient vorerst vor allem dazu, unsere eigenen Projekte zu hosten und soll zudem noch ein paar Extra Sachen (Mail, IRC, etc.) bieten.
Aha, schön bunt also.
BTW: wie sieht das bei denen eigentlich mit einer Firewall aus? Ja, natürlich läuft da immer eine -- da läuft doch eine, oder? -- aber die ist nur für's RZ, da habt ihr persönlich leider nicht viel von.
Diese lese ich bereits, die von Gentoo eher weniger regelmäßig, sehr wohl jedoch die von Debian, immerhin muss ich ja wissen, was ich auf unseren Server in der Schule patchen muss :-) Auch Securityfocus besuche ich regelmäßig.
Wenn Du Dich traust solltest Du auch noch /. mit reinnehmen. Da steht zwar zu 99,9% wenn auch unterhaltsamer so doch Schrott, aber gerade das letzte Promille ist mitunter sehr aufschlußreich und man ist evt die berühmten fünf Minuten früher gewarnt, die einem den Hals retten.
Danke ;-) Wir arbeiten bereits an einem Konzept, wie das System dann letzten Endes aufgebaut werden soll (Benutzerveraltung, Gruppen, etc.), sodass wir von diesem Standpunkt aus gesehen, schon mal keine Probleme erwarten brauchen, zumal ich einen ganz ähnlichen Aufbau auf einem Art Testserver hier bei mir bereits am Laufen habe.
Es sollte _genau_ der gleiche Aufbau sein zum testen. Das erfordert aber natürlich auch exakt die gleiche Hardware und ist deshalb für private Zwecke nicht sehr sinnvoll. Aber zumindest die Software sollte exakt gleich sein (Ausnahme ist der Kernel wg anderer Hardware) und die Architektur (also nicht auf x86 testen, wenn's nachher auf 'ner Ultrasparc laufen soll und umgekehrt).
Da ihr Gentoo benutzt und somit alles selber baut einen kleinen Tip noch: die Hardware ist fix und vorher bekannt, d.h. der Kernel sollte monolithisch gebaut und die Möglichkeit zum Modulladen (CONFIG_MODULES etc) vollständig entfernt werden. Eine sehr einfache Methode, die nix kostet aber gerne vergessen wird.
Es gibt zudem einige Kernelpatches, die unter einigen der sicherheitstechnisch gewagteren Kernelcodes ein Netz spannen. Die komplexen Benutzerverwaltungen die meistens mit dabei sind, halte ich dagegen für überflüssig. Wenn Daten nicht von jedem Dahergelaufem benutzt werden dürfen dann sind sie eben zu verschlüsseln und ein Programm der Benutzung zu entziehen ist auch einfach: entfernen des Programmes. Letzteres kostet aber zusätzliche Hardware und kommt also für euch wohl eher nicht in Frage.
Aber das habt ihr ja alles eh schon vorher gewußt und ich nerve euch nur mit meiner Predigt? Na, dann ist's ja gut ;-)
so short
Christoph Zurnieden
Hi Christoph,
Als Betriebssystem wird ein Gentoo Linux zum Einsatz kommen,
Gibt es dafür eine bestimmten Grund?
Ja, diesen gibt es und es ist ein ganz simpler noch dazu: Ich kenne mich am besten mit Gentoo, seinen Internas und Eigenheiten aus.
Ja, das ist ein ausreichender Grund.
Fabian und ich sind ja noch nicht auf einen Anbieter (Server4you / Hetzner / etc.) oder ein OS (Gentoo Linux / Debian / etc.) festgelegt, und es ist auch noch nicht 100%ig sicher, ob wir den Server zusammen mieten. Das bleibt dann die letzte Entscheidung.
Ich fänden Debian eigentlich auch sehr schön, vor allem weil man da weniger tun muss als bei Gentoo - und die Performance ist eigentlich trotzdem sehr gut.
Wir installieren ja sowieso kein grafisches System darauf.
Ich muss das mit Fabian noch mal absprechen, denn der ist ziemlich auf Gentoo fixiert - was ich sogar gut verstehen kann, da ich selbst Gentoo verwende. Aber Debian hat gegenüber Gentoo doch ein paar nette Vorteile, unter anderem die Einfachheit.
Darüber hinaus denke ich, dass Gentoo sehr wohl auch für eine solche Serveraufgabe gut geeignet ist.
Die Auswahl des OS hängt heutzutage eh fast nur noch von der Hardware ab.
Nun ja, auf den Servern läuft ja keine exotische Hardware wie DVD-Brenner, Soundkarten, Bluetooth-Geräten oder WLAN - insofern kommen also sowohl Debian als auch Gentoo in die engere Auswahl.
Nun unsere Fragen:
Der Traffic ist neben der guten Hardware
Eben habe ich noch wortreich zu erklären versucht, das die Hardware eben _nicht_ sonderlich gut ist und der Unterschied zwischen "billig" und "preiswert" enorm. Wo ist das geblieben?
Stimmt. Gute Frage... ;-)
mitunter auch ein Grund, warum uns dieses Angebot besonders zusagt. Die Uptime ist vorerst _noch_ keiner der wichtigsten Faktoren, diese ergibt sich mit der Zeit.
Ja, aber 99% sind wirklich zuwenig, da schafft ja Win98 mehr!
Wenn du die Hardware auswechselst?
*SCNR*
Bei einem 24/7-Service sind 99,95% durchaus machbar. Ist zwar immer noch wenig, aber für eure Zwecke durchaus ausreichend.
Denn denkt daran: der Ausfall kommt _immer_ zu dem ungünstigstem Zeitpunkt!
Das mit den 99 % ist natürlich hart, da hast du Recht.
Das Angebot von Hetzner, das Twilo ins Gespräch gebracht hat, ist natürlich sehr gut, vor allem auch wegen der Erreichbarkeit.
Das werde ich auf jeden Fall nochmals mit Fabian ins Gespräch bringen, denn aus diesem Blickwinkel betrachtet erscheint das Angebot von S4Y in einem ganz anderen Licht.
- Was gibt es bei einem eigenen Server noch so alles zu beachten
Tja, wenn ihr das nicht wißt würde ich von dem Betrieb eines Rootservers dringend abraten.
Diese Frage war von Marc wohl eher rethorisch gemeint, ich denke er wollte mehr auf eure persönliche Erfahrungen mit Rootserver zu sprechen kommen.
Vom geschäftlichem Standpunkt (aber ihr seid ja privat) kann ich da nur abraten. Die Pflege frißt viele Stunden, die man fast nie in Rechnung stellen kann, da setzt man nur zu. Mittlerweile habe ich eine kleine Firma an der Hand, bei denen ich einfach Leistung bestellen kann. D.h.: nicht "Linux 1.2.3 und Apache 4.5.6 und Postfix 7.8.9 auf 'nem AMD64 mit 24GiB RAM" sondern "einmal Web- und Mailserver bitte" und muß mich dann um nix mehr kümmern. Es ist zwar ein klein wenig teurer aber seeeehr bequem ;-)
Ja, das kenne ich - nennt sich dann "Managed Server".
Nein, auf unserem Server wollen sowohl Fabian als auch ich die maximalsten Verfügungsmöglichkeiten haben. Außerdem spielt auch der Preis eine wichtige Rolle.
Der Server dient vorerst vor allem dazu, unsere eigenen Projekte zu hosten und soll zudem noch ein paar Extra Sachen (Mail, IRC, etc.) bieten.
Aha, schön bunt also.
BTW: wie sieht das bei denen eigentlich mit einer Firewall aus? Ja, natürlich läuft da immer eine -- da läuft doch eine, oder? -- aber die ist nur für's RZ, da habt ihr persönlich leider nicht viel von.
Hmm, da muss ich nochmals Fabian fragen - der kennt sich da garantiert besser aus als ich. Ich habe mir immer gesagt dass ich unter Linux keine Firewall brauche, denn meine ganzen Rechner stehen hinter einem Router (der ja selbst schon eine Firewall darstellt).
Diese lese ich bereits, die von Gentoo eher weniger regelmäßig, sehr wohl jedoch die von Debian, immerhin muss ich ja wissen, was ich auf unseren Server in der Schule patchen muss :-) Auch Securityfocus besuche ich regelmäßig.
Wenn Du Dich traust solltest Du auch noch /. mit reinnehmen. Da steht zwar zu 99,9% wenn auch unterhaltsamer so doch Schrott, aber gerade das letzte Promille ist mitunter sehr aufschlußreich und man ist evt die berühmten fünf Minuten früher gewarnt, die einem den Hals retten.
Guter Tipp, werde ich mir merken. Ich lese weder die Sicherheitsmails von Debian noch die von Gentoo, ich denke damit sollte ich dann bald beginnen, bevor wir das Server-Projekt angehen lassen.
Aber das habt ihr ja alles eh schon vorher gewußt und ich nerve euch nur mit meiner Predigt? Na, dann ist's ja gut ;-)
Nein, wir brauchen alle Infos! :-)
Deine Ratschläge sind ziemlich gut, also werde ich den Teufel tun und deine Posts als "Predigten" bezeichnen. Das sind sie nämlich absolut nicht. Indem du uns auf bestimmte Gefahren und Unannehmlichkeiten hinweist können wir die Situation wesentlich besser einschätzen.
Vielen Dank & Grüße
Marc Reichelt || http://www.marcreichelt.de/
Moin!
Fabian und ich sind ja noch nicht auf einen Anbieter (Server4you / Hetzner / etc.) oder ein OS (Gentoo Linux / Debian / etc.) festgelegt, und es ist auch noch nicht 100%ig sicher, ob wir den Server zusammen mieten. Das bleibt dann die letzte Entscheidung.
Mein Senf dazu:
Über Server4You wurde hier im Forum schon Schlechtes berichtet (insbesondere über deren VServer). Über Hetzner hingegen kann ich persönlich eigentlich nur Gutes berichten. Ich habe dort mittlerweile zwei Server (einen ganz alten Entry-Server mit 100 GB Traffic und Debian, und einen Best Price mit 600 GB Traffic und Gentoo) stehen, die selbst sehr wenig Probleme machen, und auch Hetzner ist sehr pflegeleicht.
Spannend ist aber, wie ihr die Sache finanziell regelt. Einer von Euch wird das Geld an Hetzner bezahlen müssen, der andere dann regelmäßig seinen Anteil an den anderen. Was ist, wenn das Geld mal ausbleibt? Haftungsfragen untereinander geklärt?
Ich fänden Debian eigentlich auch sehr schön, vor allem weil man da weniger tun muss als bei Gentoo - und die Performance ist eigentlich trotzdem sehr gut.
Ich behaupte mal, dass du nach Installation des Hetzner-Minimal-Debians genausoviel tun mußt, wie bei Gentoo. Außerdem: Ihr wolltet doch einen Root-Server haben - da muß man sowieso viel tun.
Wir installieren ja sowieso kein grafisches System darauf.
Das ist in diesem Zusammenhang relativ irrelevant, das wäre lediglich _eine_ weitere Komponente (natürlich mit diversen Subelementen).
Ich muss das mit Fabian noch mal absprechen, denn der ist ziemlich auf Gentoo fixiert - was ich sogar gut verstehen kann, da ich selbst Gentoo verwende. Aber Debian hat gegenüber Gentoo doch ein paar nette Vorteile, unter anderem die Einfachheit.
Ich gebe zu, dass ich nicht unbedingt der Debian-Freak bin, sondern mein Gentoo bevorzuge, aber was die Einfachheit angeht, dürften sich die beiden absolut nichts geben. Bei Debian hat man dselect, bei Gentoo ufed und emerge. Beides rödelt eine Zeit lang, wenn neue Pakete zu installieren sind.
Hmm, da muss ich nochmals Fabian fragen - der kennt sich da garantiert besser aus als ich. Ich habe mir immer gesagt dass ich unter Linux keine Firewall brauche, denn meine ganzen Rechner stehen hinter einem Router (der ja selbst schon eine Firewall darstellt).
Nein, ein Router ist keine Firewall. Oder meinst du einen NAT-Router? Der ist auch keine Firewall, aber er verhindert Verbindungsaufnahmen vom Internet aus zu beliebigen Ports in deinem Netz, ohne dass vorher eine solche Verbindung in die andere Richtung angefordert wurde. Es filtert also schon das wichtigste Element raus - aber Firewall würde ich das nicht nennen.
Ein Root-Server steht hinter keiner Firewall. Das wäre auch absolut unpraktisch, denn würde der Hoster eine zentral betreiben, müßte er dennoch sämtlichen Traffic durchlassen zu den Servern seiner Kunden, denn er kann ja nicht wissen, was die exotisches mit den Geräten vorhaben. Jegliche Filterung des Traffics würde mindestens Supportaufwand bedeuten, wenn nicht mehr.
Will man eine eigene Firewall vor seinem Server haben, kann man das bei etwas individueller ausgerichteten Hostern sicherlich auch kriegen - aber in der Tat bringt das nicht unbedingt mehr Sicherheit, denn der Zugriff auf öffentlich erreichbare Ports muß ja ohnehin möglich sein, mit "bösen" Datenpaketen an diese Ports muß der Server selbst vernünftig und ohne Öffnen einer Sicherheitslücke zurecht kommen, und Dienste, welche nur eingeschränkten IP-Bereichen zugänglich sein sollen, könnte man zumindest im Grundsatz auch auf dem Server entsprechend einschränken - wobei man sowas eigentlich schon von Beginn an weiß, und so eine Anforderung auch im Verhältnis zum entstehenden Aufwand stehen muß.
Mit einer vernünftigen Strategie (der Klassiker: Nur Dienste starten, die man wirklich benötigt - also im Zweifel nur SSH zur Administration) und aktuell gehaltener Software dürften die möglichen Einfallstore für Angreifer dann ziemlich gering ausfallen. Das zweite große (und enorm wichtige) Gebiet wäre dann "Fehlkonfigurationen vermeiden" - ein Mailserver als offenes Relay wäre beispielsweise sowas... :)
Guter Tipp, werde ich mir merken. Ich lese weder die Sicherheitsmails von Debian noch die von Gentoo, ich denke damit sollte ich dann bald beginnen, bevor wir das Server-Projekt angehen lassen.
Zusätzlich natürlich auch die Sicherheits- bzw. Announcement-Mailinglisten der eingesetzten Software, insbesondere, wenn diese separat installiert wurde. Nicht jegliches Programm ist z.B. im Portage-Tree enthalten.
- Sven Rautenberg
Hi,
Ich gebe zu, dass ich nicht unbedingt der Debian-Freak bin, sondern mein Gentoo bevorzuge, aber was die Einfachheit angeht, dürften sich die beiden absolut nichts geben. Bei Debian hat man dselect, bei Gentoo ufed und emerge. Beides rödelt eine Zeit lang, wenn neue Pakete zu installieren sind.
Jetzt habe ich mich schon die ganze Zeit zurückgehalten, muß es jetzt aber doch loswerden: was ist bei einem x86 1-Prozessorsystem eigentlich gegen OpenBSD einzuwenden?
Ha?
Nu?
Immer diese Vorurteile gegen Leute mit giftigen Eingeweiden!
*grummel*
;-)
Ein Root-Server steht hinter keiner Firewall. Das wäre auch absolut unpraktisch, denn würde der Hoster eine zentral betreiben, müßte er dennoch sämtlichen Traffic durchlassen zu den Servern seiner Kunden, denn er kann ja nicht wissen, was die exotisches mit den Geräten vorhaben. Jegliche Filterung des Traffics würde mindestens Supportaufwand bedeuten, wenn nicht mehr.
Gut, stimmt auch wieder Sven, das ist wohl keine richtige Firewall was ich meinte. Wenn aber eh schon der dicke Cisco-Router da steht, dann ist auch manches dort eingeschaltet (weil es per default eingeschaltet ist und man ein dreimonatiges Studium braucht um zu wissen, wie man's wieder ausstellt ;-). Um alleine schon der Frage "Wer zahlt eigentlich den Traffik?" bei einem DDoS Angriff aus dem Wege zu gehen lohnt es sich aber bereits.
Will man eine eigene Firewall vor seinem Server haben, kann man das bei etwas individueller ausgerichteten Hostern sicherlich auch kriegen - aber in der Tat bringt das nicht unbedingt mehr Sicherheit, denn der Zugriff auf öffentlich erreichbare Ports muß ja ohnehin möglich sein, mit "bösen" Datenpaketen an diese Ports muß der Server selbst vernünftig und ohne Öffnen einer Sicherheitslücke zurecht kommen
[...]
Ja, das stimmt, ein Paketfilter macht keinen großen Sinn wenn es auch in manchen Situationen eine Arbeitserleichterung für die dahintergeschalteten Server ist.
Ein L7-Filter könnte mitunter nützlich sein. Aber für einen einzelnen Server auch eher nicht.
so short
Christoph Zurnieden
Moin!
Jetzt habe ich mich schon die ganze Zeit zurückgehalten, muß es jetzt aber doch loswerden: was ist bei einem x86 1-Prozessorsystem eigentlich gegen OpenBSD einzuwenden?
Ha?
Nu?
Immer diese Vorurteile gegen Leute mit giftigen Eingeweiden!
*grummel*
;-)
Die Administration desselben spricht dagegen. Warum muß jemand, der mit Linux, speziell Gentoo Linux, seine Erfahrungen gesammelt hat, denn auf Krawall umsteigen auf etwas anscheinend noch sicheres, bei dem zu Beginn erstmal wieder eine kräftige Lernkurve zu absolvieren ist?
Ein Root-Server steht hinter keiner Firewall. Das wäre auch absolut unpraktisch, denn würde der Hoster eine zentral betreiben, müßte er dennoch sämtlichen Traffic durchlassen zu den Servern seiner Kunden, denn er kann ja nicht wissen, was die exotisches mit den Geräten vorhaben. Jegliche Filterung des Traffics würde mindestens Supportaufwand bedeuten, wenn nicht mehr.
Gut, stimmt auch wieder Sven, das ist wohl keine richtige Firewall was ich meinte. Wenn aber eh schon der dicke Cisco-Router da steht, dann ist auch manches dort eingeschaltet (weil es per default eingeschaltet ist und man ein dreimonatiges Studium braucht um zu wissen, wie man's wieder ausstellt ;-). Um alleine schon der Frage "Wer zahlt eigentlich den Traffik?" bei einem DDoS Angriff aus dem Wege zu gehen lohnt es sich aber bereits.
Der Admin eines Root-Servers wird mit Sicherheit nicht an den Router des Hosting-Anbieters gelassen. Und auch der Traffic einer DDoS-Attacke wird nicht vom (aus Sicht des Internets) "hinteren" (d.h. vor Ort befindlichen) Router effektiv abgeblockt, sondern vom "vorderen" (d.h. dem, der dort, wo die Pakete eventuell durch die gelegte Leitung hin zum Rechenzentrum gelangen sollen, steht).
Deine diesbezüglichen Anregungen und Einwände gehen, vermutlich durch deine komplett andere, weil auf viel größere oder andere Situationen ausgelegte Sichtweise, hier leider etwas in die Irre.
Ja, das stimmt, ein Paketfilter macht keinen großen Sinn wenn es auch in manchen Situationen eine Arbeitserleichterung für die dahintergeschalteten Server ist.
Ein Paketfilter kostet außerdem ja auch Performance. Wieviel das in Prozent ist, kann ich nicht sagen, und bei einem mutmaßlich zu 1% ausgelastetem Root-Server (jedenfalls angesichts der angekündigten Projekte der zwei, die auf den Server drauf sollen) fällt das wohl auch kaum ins Gewicht. Christian Kruse hatte seinerzeit, als der alte Self-Server noch beim alten Provider stand, und dort heftig Last durch Forum und Suche abbekam, aber mal behauptet, der serverbezogene Traffic (immerhin an einer 100MBit-Leitung) würde einen CPU-mäßig identischen Rechner benötigen, wenn der die Firewall bilden sollte.
Ein L7-Filter könnte mitunter nützlich sein. Aber für einen einzelnen Server auch eher nicht.
Du denkst wirklich zu groß und aufwendig. Natürlich ist es insbesondere beim Anschluß eines Unternehmens-RZ, welches z.B. die eigene Website hostet, extrem sinnvoll und sowohl von der Entscheidungsbefugnis als auch von der Admin-Struktur her überhaupt möglich, mit einer zentralen und explizit auf die verfügbar zu machenden Dienste angepaßten Firewall, welche z.B. Paketfilter, Proxy etc. enthält, den Sicherheitslevel sowie die Entdeckbarkeit von Normabweichungen zu erhöhen.
Diese ganzen Möglichkeiten gibt es für den Betreiber eines Root-Server-Rechenzentrums aber nicht - zumindest was den Betrieb eben dieser Root-Server angeht. Natürlich steht irgendwo ein Router und zählt den Traffic mit. Ebenso wird irgendwo die Verwaltungs-Infrastruktur des Hosters stehen und abgeschottet sein (das wäre dann das oben genannte Unternehmens-RZ-Szenario - nur dass das "böse Internet" dann eben schon direkt im gleichen Haus, ggf. sogar im gleichen Raum steht). Weitergehende Einschränkungen durch Firewalls sind aber nicht die Regel, sofern diese nicht als unabdingbarer Vertragsbestandteil z.B. in den AGB genannt werden.
Ich erinnere mich, daß bei Hetzner irgendwann mal ein Filesharing-Port gesperrt wurde, weil irgendein Kunde mit dem dadurch angezogenen Traffic die Erreichbarkeit des gesamten Netzwerks gefährdete - oder war das eine gehackte Kiste? Der Server wurde danach dann identifiziert und "behandelt". Naja, das sind zumindest die Probleme, mit denen man sich rumschlagen muß als Hoster. :)
- Sven Rautenberg
Hi,
Die Administration desselben spricht dagegen. Warum muß jemand, der mit Linux, speziell Gentoo Linux, seine Erfahrungen gesammelt hat, denn auf Krawall umsteigen auf etwas anscheinend noch sicheres, bei dem zu Beginn erstmal wieder eine kräftige Lernkurve zu absolvieren ist?
Nun, schaden würd's nicht und Darwin erledigt den Rest.
Aber ich habe da nicht umsonst am Ende ein Smiley gesetzt, ich wollte nur drauf hinweisen, das es noch etwas anderes als nur Linux gibt. Ich hoffe diese Art der Werbung geht in Ordnung?
Der Admin eines Root-Servers wird mit Sicherheit nicht an den Router des Hosting-Anbieters gelassen.
Ja, das kann ich mir durchaus vorstellen, aber wie kommst Du auf diese doch recht abwegige Idee?
Deine diesbezüglichen Anregungen und Einwände gehen, vermutlich durch deine komplett andere, weil auf viel größere oder andere Situationen ausgelegte Sichtweise, hier leider etwas in die Irre.
Es ist möglich, das es in Vergessenheit geraten sein mag, aber ich hatte am Anfang durchaus gesagt, das sowas nur dem Rechenzentrum dient und der einzelne Nutzer davon rein gar nichts hat.
Ja, das stimmt, ein Paketfilter macht keinen großen Sinn wenn es auch in manchen Situationen eine Arbeitserleichterung für die dahintergeschalteten Server ist.
Ein Paketfilter kostet außerdem ja auch Performance.
Drum sollte es ja, wenn auch nicht unbedingt primär aus diesem Grund, eine extra Kiste sein.
Christian Kruse hatte seinerzeit, als der alte Self-Server noch beim alten Provider stand, und dort heftig Last durch Forum und Suche abbekam, aber mal behauptet, der serverbezogene Traffic (immerhin an einer 100MBit-Leitung) würde einen CPU-mäßig identischen Rechner benötigen, wenn der die Firewall bilden sollte.
War das so eine lahme Kiste?
Also mit 10MBit kommt noch 'ne alte Sparcstation klar, ohne Probleme (Wenn auch mit OpenBSD, nicht mit SunOS ;-). Es läßt sich natürlich nur sehr schlecht vergleichen, aber ein P-200 solte eigentlich für 100MBit ausreichen.
Ein L7-Filter könnte mitunter nützlich sein. Aber für einen einzelnen Server auch eher nicht.
Du denkst wirklich zu groß und aufwendig.
Ja, damit verdiene ich mein Geld, besonders mit dem Wörtchen "zu" ;-)
Aber ich wurde das dumme Gefühl nicht los, das bei den beiden auch ein gewisser Lernzweck damit verbunden ist; Erfahrungen sammeln. Da ist ein Rootserver mit viel Freitraffik schonmal ein recht preiswertes Vergnügen. Ich habe nicht geschaut, wie teuer das Housing bei denen ist, aber das kostet normalerweise nicht sehr viel und auch so eine Pizzabox ist schon für unter 200EUR zu bekommen, wenn's auch etwas veraltete Hardware sein darf. Die kann dann z.B. als Firewall dienen. Oder nach erfolgter (Um)verkabelung auch als DB-Server, Clusternode u.ä. Es ist ein recht preiswertess Vergnügen wie ich finde und auch sehr lehrreich.
Wie Du siehst: ich kann's auch ein paar Nummern kleiner ;-)
Naja, das sind zumindest die Probleme, mit denen man sich rumschlagen muß als Hoster. :)
Oh ja, ich würd' sowas freiwillig bestimmt nicht machen!
so short
Christoph Zurnieden
Hallo.
Haftungsfragen untereinander geklärt?
Im Zweifel gilt eben das, was bei jeder anderen GbR auch gilt, nämlich die gesamtschuldnerische Haftung.
MfG, at
Hallo,
Ich habe dort mittlerweile zwei Server (einen ganz alten Entry-Server mit 100 GB Traffic und Debian
einen Entry oder so ein RP Model?
wenn du ein Entry meinst, dann hast du 350Gb... der Traffic wird/wurde doch für alle Kunden erhöht, egal ob alt oder neu Kunden :-)
mfg
Twilo
Hi,
Nun ja, auf den Servern läuft ja keine exotische Hardware wie DVD-Brenner, Soundkarten, Bluetooth-Geräten oder WLAN -
Ich glaube unserer Definitionen von "exotische Hardware" liegen _sehr_ weit auseinander ;-)
Ja, das kenne ich - nennt sich dann "Managed Server".
Nein, dsa was mit diesem Buzzword so allgemein angeboten wird hat damit rein gar nichts gemein. In meinem Fall sind nicht nur Soft- und Hardware drin sondern auch Traffikbedarf und das auch sehr schnell wenn es sein muß: nach einem /.-Linking wurden innerhalb von knapp fünf Minuten ausreichend Maschinen zugeschaltet. Seitdem stell' ich da auch rein gar keine Fragen mehr und zahl' die Rechnungen überpünktlich ;-)
so short
Christoph Zurnieden
Hallo.
Die Auswahl des OS hängt heutzutage eh fast nur noch von der Hardware ab.
Gut, bei den AS/400 war ich ein wenig eingeschränkt, aber eigentlich haben bei mir wie bei meinem gesamten Umfeld der Anwendungszweck und die Verfügbarkeit bestimmter Software die Wahl des Betriebssystems bestimmt.
MfG, at
Hi,
Die Auswahl des OS hängt heutzutage eh fast nur noch von der Hardware ab.
Gut, bei den AS/400 war ich ein wenig eingeschränkt, aber eigentlich haben bei mir wie bei meinem gesamten Umfeld der Anwendungszweck und die Verfügbarkeit bestimmter Software die Wahl des Betriebssystems bestimmt.
Dank unzähliger Emulatoren, APIs und was-weiß-ich-noch besteht so eine Einschränkung eigentlich kaum noch. Nur die Hardware entscheidet heutzutage noch signifikant über das OS.
Zudem kommt, wenn auch nur kriechend langsam die Einsicht, das man eigentlich keine spezielle Software benötigt, sondern eine Aufgabe erledigt wissen will. Der Unterschied zwischen "Word starten" und "einen Brief schreiben" macht's eben.
Es gibt natürlich auch noch viele Ausnahmen.
Aber selbst "AutoCAD" läuft schon unter Wine! ;-)
so short
Christoph Zurnieden
Hallo.
Dank unzähliger Emulatoren, APIs und was-weiß-ich-noch besteht so eine Einschränkung eigentlich kaum noch.
Wenn es auf die Leistung so wenig ankommt, dass ich ganze Betriebssysteme emuliere, habe ich ohnehin die falsche Hardware.
Nur die Hardware entscheidet heutzutage noch signifikant über das OS.
Nö. Hardware ist Teil eines Systems, nicht mehr. Die Gleichgültigkeit der Mac-Nutzer bei Bekanntwerden des Umstiegs von PPC auf Intel-Prozessoren zeigt dies doch deutlich.
Zudem kommt, wenn auch nur kriechend langsam die Einsicht, das man eigentlich keine spezielle Software benötigt, sondern eine Aufgabe erledigt wissen will.
Und dabei bringen unterschiedliche Betriebssysteme eben unterschiedliche Vor- und Nachteile mit sich, erfüllen also die gleichen Aufgaben unterschiedlich gut.
Der Unterschied zwischen "Word starten" und "einen Brief schreiben" macht's eben.
Ich teile diese Wunschvorstellung.
Es gibt natürlich auch noch viele Ausnahmen.
Das meinte ich. Nur sehe ich eben mehr Ausnahmen als Bestätigungen für die Regel.
MfG, at
Hi,
Dank unzähliger Emulatoren, APIs und was-weiß-ich-noch besteht so eine Einschränkung eigentlich kaum noch.
Wenn es auf die Leistung so wenig ankommt, dass ich ganze Betriebssysteme emuliere, habe ich ohnehin die falsche Hardware.
Naja, Betriebsystememulatoren gibt es nur sehr wenige und die sind für den normalen Betrieb auch nicht interessant. Die gängigen Emulatoren wie VMWare u.ä. emulieren Hardware und die APIs wie z.B. Wine u.ä. emulieren nur die Betriebsystemumgebung.
Aber diese Methoden gehen auch recht rasch von Entwicklerstationen auf den normalen Betrieb über. So ist es nicht mehr selten, das auf einem dickem Server mehrere Instanzen verschiedener Betriebsystemumgebungen laufen und der Einfachheit halber laufen die in einem Hardwareemulator mitsamt Betriebsystem. Meistens ist es VMWare auf einem Linuxhost mit diversen Gastsystemen, die aber durch die Bank meist Windows. Der "dicke Server" muß natürlich nicht unbedingt eine einzelne Maschine sein.
Falls Dir das System bekannt vorkommt: ja das ist die Softwareemulation der altehrwürdigen Mainframetechnik (IBM vertreibt die Dinger zwar noch, ich finde aber, das sowas nur noch nostalgischen Wert hat.) auf einem Prozessor mehrere Betriebsysteme laufen zu lassen.
Nur die Hardware entscheidet heutzutage noch signifikant über das OS.
Nö. Hardware ist Teil eines Systems, nicht mehr. Die Gleichgültigkeit der Mac-Nutzer bei Bekanntwerden des Umstiegs von PPC auf Intel-Prozessoren zeigt dies doch deutlich.
Nunja, die Gleichgültigkeit von MAC-Benutzern gegenüber den Innereien ihres Systemes ... >;->
Zudem kommt, wenn auch nur kriechend langsam die Einsicht, das man eigentlich keine spezielle Software benötigt, sondern eine Aufgabe erledigt wissen will.
Und dabei bringen unterschiedliche Betriebssysteme eben unterschiedliche Vor- und Nachteile mit sich, erfüllen also die gleichen Aufgaben unterschiedlich gut.
Die Differenz zwischen "geht" und "geht nicht" als "unterschiedlich gut" zu bezeichnen ist aber schon hart an der Grenze zum Euphemismus ;-)
Der Unterschied zwischen "Word starten" und "einen Brief schreiben" macht's eben.
Ich teile diese Wunschvorstellung.
Justament der Brief ist keine Wunschvorstellung, ich konnte mit tk_Brief schon so manche Sekretärin beglücken. Wenn auch erstmal nur die, die viele individuelle Einzelbriefe am Tag schreiben mußten. Es spart zwar nur ein oder zwei Minuten, aber das läppert sich am Tag auf mindestens eine zusätzliche Kaffeepause und sowas ist ein gutes Verkaufsargument ;-)
Es gibt natürlich auch noch viele Ausnahmen.
Das meinte ich. Nur sehe ich eben mehr Ausnahmen als Bestätigungen für die Regel.
Der aktuelle Stand ist natürlich diskutabel, da nur sehr schwer ausreichende Daten aufzutreiben sind. Aber der Trend scheint dahin zu gehen. Es könnte aber natürlich auch sein, das sich ein Betriebsystem für jede Hardware durchsetzt. Immerhin wird selbst die Verbreitung von TRON ganz langsam durch Linux erodiert. Warum auch immer.
so short
Christoph Zurnieden
Hi!
So, jetzt bin ich wieder da und kann mich am Forums-Leben wieder beteiligen ;-)
Darüber hinaus denke ich, dass Gentoo sehr wohl auch für eine solche Serveraufgabe gut geeignet ist.
Die Auswahl des OS hängt heutzutage eh fast nur noch von der Hardware ab.
In diesem Punkt stimme ich eher at's Meinung zu, wenngleich ich deine Argumente verstehen und in gewisser Weise auch nachvollziehen kann, wobei insbesondere der Umstand, dass verschiedene Gastsysteme auf einem Host (auch in Produktivumgebungen) laufen, scheinbar immer häufiger zu beobachten ist, wie ich selbst in verschiedenen Mailinglisten und Foren beobachten konnte.
[Notwendigkeit, Mailingslisten, etc. zu lesen]
Diese lese ich bereits, die von Gentoo eher weniger regelmäßig, sehr wohl jedoch die von Debian, immerhin muss ich ja wissen, was ich auf unseren Server in der Schule patchen muss :-) Auch Securityfocus besuche ich regelmäßig.Wenn Du Dich traust solltest Du auch noch /. mit reinnehmen. Da steht zwar zu 99,9% wenn auch unterhaltsamer so doch Schrott, aber gerade das letzte Promille ist mitunter sehr aufschlußreich und man ist evt die berühmten fünf Minuten früher gewarnt, die einem den Hals retten.
Naja, manchmal lese ich auch Slashdot, aber - wie du bereits selber sagst - ist da häufig auch nur Müll zu finden, sodass ich SecurityFocus da eher bevorzuge.
Danke ;-) Wir arbeiten bereits an einem Konzept, wie das System dann letzten Endes aufgebaut werden soll (Benutzerveraltung, Gruppen, etc.), sodass wir von diesem Standpunkt aus gesehen, schon mal keine Probleme erwarten brauchen, zumal ich einen ganz ähnlichen Aufbau auf einem Art Testserver hier bei mir bereits am Laufen habe.
Es sollte _genau_ der gleiche Aufbau sein zum testen. Das erfordert aber natürlich auch exakt die gleiche Hardware und ist deshalb für private Zwecke nicht sehr sinnvoll. Aber zumindest die Software sollte exakt gleich sein (Ausnahme ist der Kernel wg anderer Hardware) und die Architektur (also nicht auf x86 testen, wenn's nachher auf 'ner Ultrasparc laufen soll und umgekehrt).
Dieser Punkt ist klar - eine größere Änderung als einen Architektur-Wechsel kann man eh kaum vornehmen. Ferner kommt für uns nur x86 in Frage - auf x86_64 möchte ich auch verzichten, da hier doch noch viele Pakete als »unstable« gelten, die unter x86 als »rock-stable« bekannt sind.
Da ihr Gentoo benutzt und somit alles selber baut einen kleinen Tip noch: die Hardware ist fix und vorher bekannt, d.h. der Kernel sollte monolithisch gebaut und die Möglichkeit zum Modulladen (CONFIG_MODULES etc) vollständig entfernt werden. Eine sehr einfache Methode, die nix kostet aber gerne vergessen wird.
Dieser Punkt ist genauso wie der nächste bereits auf meiner »Sammelliste« eingetragen gewesen und wird natürlich auch umgesetzt werden. Auf dieser Liste finden sich im Übrigen noch ein paar andere Sicherheits-relevante Dinge, die ich einerseits durch verschiedene Quellen (Bücher, Foren, Mailinglisten) zugetragen bekommen habe, aber auch (kleinere) Sachen, auf die ich selbst gestoßen bin.
Es gibt zudem einige Kernelpatches, die unter einigen der sicherheitstechnisch gewagteren Kernelcodes ein Netz spannen. Die komplexen Benutzerverwaltungen die meistens mit dabei sind, halte ich dagegen für überflüssig. Wenn Daten nicht von jedem Dahergelaufem benutzt werden dürfen dann sind sie eben zu verschlüsseln und ein Programm der Benutzung zu entziehen ist auch einfach: entfernen des Programmes. Letzteres kostet aber zusätzliche Hardware und kommt also für euch wohl eher nicht in Frage.
Mit diesen Kernelpatches meinst du wohl SELinux, GrSecurity und Konsorten? Bisher habe ich mich eigentlich nur mit GrSecurity beschäftigt und damit gute Erfahrungen gemacht, da mich dessen Schutzmaßnahmen soweit doch sehr überzeugen.
Aber das habt ihr ja alles eh schon vorher gewußt und ich nerve euch nur mit meiner Predigt? Na, dann ist's ja gut ;-)
Nein, natürlich nervt diese Predigt (die ich darüber hinaus auch gar nicht als eine solche aufgefasst habe) nicht, weil wir natürlich auch noch hinzulernen wollen und dabei sind solche Postings, die auch auf mögliche Gefahren und Probleme hinweisen, sehr wichtig. In diesem Sinne: Mach' weiter so :-)
Grüße,
Fabian St.
Hi,
Oh je, schon wieder fast 2:00 morgens *sigh*
Die Auswahl des OS hängt heutzutage eh fast nur noch von der Hardware ab.
In diesem Punkt stimme ich eher at's Meinung zu,
Warum? Was benötigst Du, das sich nicht emulieren läßt, es keine Ersatz-API für gibt oder wwi?
Nein, ich bleibe dabei: Die Auswahl des OS hängt heutzutage nur noch von der Hardware ab, der Rest wird emuliert und/oder ersetzt. Manchmal geht's ja auch gar nicht anders, da z.B. Windows zu wenig Hardware unterstützt.
Naja, manchmal lese ich auch Slashdot, aber - wie du bereits selber sagst - ist da häufig auch nur Müll zu finden, sodass ich SecurityFocus da eher bevorzuge.
Wieich schon warnend einschränkte:"Wenn Du Dich traust". Da kann nämlich viel Zeit bei draufgehen und es ist nicht ungewöhnlich, das es außer einem gewissem Amüsement trotzdem keinen weiteren sittlichen Nährwert hatte ;-)
Dieser Punkt ist klar - eine größere Änderung als einen Architektur-Wechsel kann man eh kaum vornehmen.
Ja? Ich hielt das immer für eine der kleineren Läßlichkeiten, da mitunter harte finanzielle Gründe entgegenstehen. Oder hast Du immer Gelegenheit Dein Programm mal eben auf der 64-Node-UltraSparc in Deinem Keller auszuprobieren? Ja, genau, die Kiste zwischen der vollausgebauten Octane und der 32er AS/400!
;-)
Viel schlimmer sind z.B. grundlose Updates, da kräuseln sich mir regelmäßig die Fußnägel.
Ferner kommt für uns nur x86 in Frage - auf x86_64 möchte ich auch verzichten, da hier doch noch viele Pakete als »unstable« gelten, die unter x86 als »rock-stable« bekannt sind.
Benötigst Du die größere Genauigkeit bei Fließkommaberechnungen oder mehr als 4 bzw 16 GiB RAM?. Nicht? Dann brauchst Du auch kein 64 Bit System.
Aber der hauptsächliche Grund für das Etikett "Unstable" ist höchstwahrscheinlich auch nur der, das die Programme noch nicht alle auf einem x86-64 getestet werden konnten denn so ein Teil ist noch immer verdammt teuer.
Mit diesen Kernelpatches meinst du wohl SELinux, GrSecurity und Konsorten?
Ja. Inklusive "Konsorten".
Bisher habe ich mich eigentlich nur mit GrSecurity beschäftigt und damit gute Erfahrungen gemacht, da mich dessen Schutzmaßnahmen soweit doch sehr überzeugen.
Auf welche spielst Du genau an?
so short
Christoph Zurnieden
Hi!
Dieser Punkt ist klar - eine größere Änderung als einen Architektur-Wechsel kann man eh kaum vornehmen.
Ja? Ich hielt das immer für eine der kleineren Läßlichkeiten, da mitunter harte finanzielle Gründe entgegenstehen. Oder hast Du immer Gelegenheit Dein Programm mal eben auf der 64-Node-UltraSparc in Deinem Keller auszuprobieren? Ja, genau, die Kiste zwischen der vollausgebauten Octane und der 32er AS/400!
;-)
Nein, einen solchen habe auch ich leider nicht im Keller herumstehen, zumal ich mit dieser Architektur noch keinerlei Erfahrungen vorweisen kann. Aber vielleicht wird sich ja dies noch irgendwann ändern.
Eine kleine Frage nebenbei: Welche Vorteile bietet der Einsatz der Sparc-Architektur?
Viel schlimmer sind z.B. grundlose Updates, da kräuseln sich mir regelmäßig die Fußnägel.
Ja, solche möchte ich auch vermeiden, sodass einer der ersten Schritte erstmal die Anpassung der USE-Flags mit »-*« angepasst, ferner werden alle benötigten USE-Flags per Hand hinzugefügt. Außerdem wird die package.mask auch ziemlich groß werden ;-)
Mit diesen Kernelpatches meinst du wohl SELinux, GrSecurity und Konsorten?
Ja. Inklusive "Konsorten".
Bisher habe ich mich eigentlich nur mit GrSecurity beschäftigt und damit gute Erfahrungen gemacht, da mich dessen Schutzmaßnahmen soweit doch sehr überzeugen.
Auf welche spielst Du genau an?
--> Jeder Benutzer kann nur seine eigenen Prozesse sehen
--> Kein Zugriff auf dmesg
--> Logen von mount/umount
--> Zufällige Vergabe der Quellports (dazu ist auch ein Artikl im aktuellen Linux-Magazin)
--> Die ganzen RBAC-Features.
Das wären jetzt mal die wichigsten, die mir auf die schnelle in den Sinn kommen.
Grüße,
Fabian St.
Hi,
Eine kleine Frage nebenbei: Welche Vorteile bietet der Einsatz der Sparc-Architektur?
Tja, _das_ ist mittlerweile eine sehr gute Frage. Denn mittlerweile ist ein PC-Cluster inklusive Pflege billiger als so ein "Big-Iron".
Viel schlimmer sind z.B. grundlose Updates, da kräuseln sich mir regelmäßig die Fußnägel.
Ja, solche möchte ich auch vermeiden, sodass einer der ersten Schritte erstmal die Anpassung der USE-Flags mit »-*« angepasst, ferner werden alle benötigten USE-Flags per Hand hinzugefügt. Außerdem wird die package.mask auch ziemlich groß werden ;-)
Fürderhin solltest Du nach Möglichkeit automatische Updates vermeiden.
--> Jeder Benutzer kann nur seine eigenen Prozesse sehen
Nettes Gimmick, aber nur als Zusatzmittel, wenn alles andere schon erledigt ist.
--> Kein Zugriff auf dmesg
Siehe oben.
--> Logen von mount/umount
Ja, ist nett. Aber auch nur der Aufklärung dienlich, also wenn's schon zu spät ist.
--> Zufällige Vergabe der Quellports (dazu ist auch ein Artikl im aktuellen Linux-Magazin)
Naja, auch mehr ein Gimmik.
--> Die ganzen RBAC-Features.
Das halte ich immer noch für einen Workaround. Wenn Daten wirklich geschützt werden sollen, dann geht das einfach nur über kryptographische Methoden und nicht über Zugriffsrechte.
Es ist zwar nett, das sie nicht dürfen, aber noch besser ist nämlich, wenn sie erst gar nicht können.
Das wären jetzt mal die wichigsten, die mir auf die schnelle in den Sinn kommen.
Die wirklich wichtigen sind die vielen kleinen Patches, die die vielen kleinen läßlichen Sünden im Kernel flicken, nicht die äußerlich gut sichtbaren und deshalb werbewirksamen Features.
so short
Christoph Zurnieden
Hi Christoph!
Eine kleine Frage nebenbei: Welche Vorteile bietet der Einsatz der Sparc-Architektur?
Tja, _das_ ist mittlerweile eine sehr gute Frage. Denn mittlerweile ist ein PC-Cluster inklusive Pflege billiger als so ein "Big-Iron".
Dann bräuchte ich mich also eigentlich damit gar nicht mehr beschäftigen, wenn diese sowieso keine wirkliche Zukunft mehr besitzt... ;-)
Viel schlimmer sind z.B. grundlose Updates, da kräuseln sich mir regelmäßig die Fußnägel.
Ja, solche möchte ich auch vermeiden, sodass einer der ersten Schritte erstmal die Anpassung der USE-Flags mit »-*« angepasst, ferner werden alle benötigten USE-Flags per Hand hinzugefügt. Außerdem wird die package.mask auch ziemlich groß werden ;-)
Fürderhin solltest Du nach Möglichkeit automatische Updates vermeiden.
Natürlich, sowas mache ich lokal ja auch nicht ;-) Jede Nacht läuft lediglich per Cronjob ein »emerge --sync« und die Ausgabe von emerge -uD world -p wird in eine Datei im Homeverzeichnis von root geschrieben. So kann ich dann immer (nach Abgrasen der Security-Mailinglisten und SecurityFocus) schauen, welches Programm aktualisiert werden muss und welches warten kann.
[Deine Gimmick-Hinweise]
Naja, ich denke, dass diese Features doch mehr als nur ein Gimmick sind - zumindest dürften sie es einem Angreifer erschweren, mit einem übernommenen Server schnell was anfangen zu können.
--> Die ganzen RBAC-Features.
Das halte ich immer noch für einen Workaround. Wenn Daten wirklich geschützt werden sollen, dann geht das einfach nur über kryptographische Methoden und nicht über Zugriffsrechte.
Es ist zwar nett, das sie nicht dürfen, aber noch besser ist nämlich, wenn sie erst gar nicht können.
Meinst du damit eine Festplattenverschlüsselung à la dm-crypt? Darüber haben Marc und ich uns auch schon unterhalten, inwieweit es sinnvoll wäre, eine solche Partition auf dem Rootserver zu haben.
Das einzige, was meiner Meinung nach dem entgegen spricht, ist die etwas schlechtere Performance bei Platten-Zugriffe. Inwieweit diese wirklich zu spüren ist, müsste im Einzelnen natürlich noch genauer getestet werden. Laut Linux-Magazin sinkt so z.B. die Datendurchsatzrate auf einem Pentium IV PC von 53MB/s auf 23MB/s.
Grüße,
Fabian St.
Hi,
Dann bräuchte ich mich also eigentlich damit gar nicht mehr beschäftigen, wenn diese sowieso keine wirkliche Zukunft mehr besitzt... ;-)
Es ist meine Meinung, das Big-Iron ausgedient hat, aber da kann ich mich natürlich auch irren. Wäre nicht das erste Mal und bestimmt auch nicht das letzte.
So kann ich dann immer (nach Abgrasen der Security-Mailinglisten und SecurityFocus) schauen, welches Programm aktualisiert werden muss und welches warten kann.
Nein, nicht schauen, sondern entscheiden. Mitunter zerstört nämlich auch ein einfaches Sicherheitsupdate die Funktion des Programmes und mitunter ist das Sicherheitsupdate kein Code sondern eine Anleitung für eine etwas andere Benutzung des Programmes und ab und zu verursacht der Patch auch etwas völlig unvorhergesehenes.
Deshalb sind alle Patches vorher zu testen, dafür hast Du ja die lokale Kopie Deines Servers.
Jetzt ist natürlich die Frage, was Du in der Zwischenzeit machst: einfach weiterlaufen lassen? Programm abschalten? Trotzdem den Patch einspielen (vorher natürlich komplettes Backup) und beten das es hält bis der Test durchgelaufen ist?
Fragen über Fragen *sigh* ;-)
Es kommt aber auch stark auf dei Distribution an, bei Debian würde ich z.B. glatt das Letzte wählen: einfach den Patch einspielen und beten. Im Securitybulletin steht normalerweise drin, was genau gepatched wird und welche Schwierigkeiten evt zu erwarten sind. Das Risiko läßt sich heir also klein halten. Wie das bei Gentoo aussieht weiß ich nicht.
Auf dem Rechner mit dem ich das hier poste läuft ein ganzen Haufen Bleeding-Edge Software und auch sonst ein paar Schweinereien, aber bei Serversoftware bin ich schon _sehr_ konservativ ;-)
[Deine Gimmick-Hinweise]
Naja, ich denke, dass diese Features doch mehr als nur ein Gimmick sind - zumindest dürften sie es einem Angreifer erschweren, mit einem übernommenen Server schnell was anfangen zu können.
Ja, aber das ist alles minimal, selbst in der Summe. Wenn das ohne Eingriffe in die Programmlogik eingebaut worden wäre (z.B. wie mein regelmäßiger Ersatz des Apache Versionsmeldungsstrings durch ein simples "Webserver" ) ginge das sogar noch in Ordnung, aber es wurde teils erheblich eingegriffen für einen sehr geringen Effekt. Mit ein wenig Pech schadet das mehr als es nutzt.
Nein, was so Sachen wie GRSecurity, SELinux et al sinnvoll und auch nützlich machen sind die vielen kleinen Patches des Kernelcodes.
Meinst du damit eine Festplattenverschlüsselung à la dm-crypt?
Nein, eine atomare Objektverschlüsselung. Was die ganzen ACLs mit Rechten machen müßte ersteinam bis zum Ende durchgezogen werden und dann auch nicht mit Rechten sondern mit Verschlüsselung.
Daran wird seit einigen Jahren von einigen Seiten aus dran gearbeitet, aber es dürfte wohl noch 10 oder gar mehr Jahre dauern, bis es allgemein einsetzbar ist.
Es war auch kein Vorschlag von mir -- bitte um Entschuldigung, falls das so verstanden wurde -- sondern gehörte nur zu meinem Argument, das ACLs nur ein Workaround wären.
Und was auch nicht schlecht wäre: root ersatzlos zu streichen. Das wäre dann zwar relativ unbequem, aber sicher.
Das einzige, was meiner Meinung nach dem entgegen spricht, ist die etwas schlechtere Performance bei Platten-Zugriffe. Inwieweit diese wirklich zu spüren ist, müsste im Einzelnen natürlich noch genauer getestet werden. Laut Linux-Magazin sinkt so z.B. die Datendurchsatzrate auf einem Pentium IV PC von 53MB/s auf 23MB/s.
Da die Prozessorleistung bei einem Server eh nur sehr selten voll genutzt wird, ist die Kompression der Daten zu empfehlen. Aber wenn's nur JPEG Bilder o.ä. sind, ist's natürlich Essig mit der Kompression ;-)
Aber Verschlüsselung kostet nunmal, nichts gibt's umsonst. Es sollten also nur die wirklich wichtigen Daten verschlüsselt werden, wie z.B. eure Mailboxen oder gar das ganze Homeverzeichnis und /var/spool/mail usw. BTW: das nützt natürlich rein gar nix, wenn in der Swappartition alles im Klartext steht, also entweder die auch verschlüsseln oder abschalten. Dann muß auch noch die Verbindung zum Server gesichert sein. Und so weiter und so fort.
Im Großem und Ganzem: ich würd's nicht tun, sodnern dafür sorgen, das alles gleich schon verschlüsselt auf den Server kommt, was euch in -- sagen wir mal: prekäre Situationen bringen könnte.
so short
Christoph Zurnieden
Hi Christoph!
So kann ich dann immer (nach Abgrasen der Security-Mailinglisten und SecurityFocus) schauen, welches Programm aktualisiert werden muss und welches warten kann.
Nein, nicht schauen, sondern entscheiden. Mitunter zerstört nämlich auch ein einfaches Sicherheitsupdate die Funktion des Programmes und mitunter ist das Sicherheitsupdate kein Code sondern eine Anleitung für eine etwas andere Benutzung des Programmes und ab und zu verursacht der Patch auch etwas völlig unvorhergesehenes.
Deshalb sind alle Patches vorher zu testen, dafür hast Du ja die lokale Kopie Deines Servers.
Jetzt ist natürlich die Frage, was Du in der Zwischenzeit machst: einfach weiterlaufen lassen? Programm abschalten? Trotzdem den Patch einspielen (vorher natürlich komplettes Backup) und beten das es hält bis der Test durchgelaufen ist?
Mit »schauen« meine ich schon »entscheiden«, ob sich ein solches Update lohnt und ob nicht irgendwelche anderen Probleme dadurch auftreten könnten. Einen wichtigen Punkt nimmt dabei - wie du schon gesagt hast - mein lokaler Testserver ein, auf dem ich wohl alles kritische erst austesten werde.
Es kommt aber auch stark auf dei Distribution an, bei Debian würde ich z.B. glatt das Letzte wählen: einfach den Patch einspielen und beten. Im Securitybulletin steht normalerweise drin, was genau gepatched wird und welche Schwierigkeiten evt zu erwarten sind. Das Risiko läßt sich heir also klein halten. Wie das bei Gentoo aussieht weiß ich nicht.
Unter Gentoo schaue ich meist auf die Online Package Database. Dort finden sich jeweils die Changelogs mit Verweisen auf die jeweiligen behobenen Bugs. Diese sind häufig ausreichend um erkennen zu können, ob nur etwas gefixt wurde oder ob größere Änderungen vollzogen wurden, die noch weitere Probleme mit sich ziehen könnten.
Naja, ich denke, dass diese Features doch mehr als nur ein Gimmick sind - zumindest dürften sie es einem Angreifer erschweren, mit einem übernommenen Server schnell was anfangen zu können.
Ja, aber das ist alles minimal, selbst in der Summe. Wenn das ohne Eingriffe in die Programmlogik eingebaut worden wäre (z.B. wie mein regelmäßiger Ersatz des Apache Versionsmeldungsstrings durch ein simples "Webserver" ) ginge das sogar noch in Ordnung, aber es wurde teils erheblich eingegriffen für einen sehr geringen Effekt. Mit ein wenig Pech schadet das mehr als es nutzt.
Du scheinst hier wohl »Security by Obscurity« anzusprechen. Wie macht man das eigentlich, dass sich in diesem String überhaupt kein »Apache« mehr findet - ein einfaches
ServerTokens Prod
ServerSignature Off
tut es ja nicht.
Danke auch für deine anderen Ausführungen!
Grüße,
Fabian St.
Hi,
Du scheinst hier wohl »Security by Obscurity« anzusprechen.
Nein, das ist, wie Du schon weiter oben richtig vermutet hattest nur für einen eventuellen Zeitgewinn. Obwohl die Angriffe auf Webserver meist mit der großen Keule als Rundumschlag erfolgen. Die Abfrage, was der Server antwortet bringt nicht viel und kostet somit nur. Es würde also nur bei einem gezieltem Angriff etwas Zeitgewinn bringen, aber bei einem gezielter Angriff speziell und nur auf euren Server hilft das auch nicht mehr, denn dann geht's richtig rund.
Wie macht man das eigentlich, dass sich in diesem String überhaupt kein »Apache« mehr findet - ein einfaches
ServerTokens Prod
ServerSignature Off
> tut es ja nicht.
(Oh, gibt's sogar schon "Bunt" für die httpd.conf in der Forumssoftware? ;-)
Nein, da mußt Du schon in Deiner Apacheversion nach der "Server:" header-Anweisung suchen und umschreiben. In dem 1.3er der mir vorliegt (1.3.28? Muß auch dringend mal ausmisten ;-) sind in $APACHE\_PACKET/include/httpd.h ungefähr ab Zeile 429 die Strings definiert. Das ENUM darunter ist der Schalter für die "Geschwätzigkeit" der Meldung. Wenn Du das geändert hast, z.B. so:
- #define SERVER\_BASEPRODUCT "Apache"
+ #define SERVER\_BASEPRODUCT "Webserver"
Dann klappt's auch mit
~~~apache
ServerTokens Prod
ServerSignature Off
Irgendwo hatte ich doch auch noch einen 2er? Achso, da heißt das Paket ja jetzt "httpd" statt "apache" *grummel*
Da ist es in $HTTPD_PACKET/include/ap_release.h definiert. Ich habe es nicht ausprobiert müßte aber genau so wie beim 1.3er funktionieren.
so short
Christoph Zurnieden
Hi Christoph!
Wie macht man das eigentlich, dass sich in diesem String überhaupt kein »Apache« mehr findet - ein einfaches
ServerTokens Prod
ServerSignature Off
> > tut es ja nicht.
>
> (Oh, gibt's sogar schon "Bunt" für die httpd.conf in der Forumssoftware? ;-)
Ja, eine Übersicht über die ganzen Pattern-Files findest du [im SVN](http://wwwtech.de/svn/cforum/trunk/conf/patterns/) des CForums.
> Nein, da mußt Du schon in Deiner Apacheversion nach der "Server:" header-Anweisung suchen und umschreiben. In dem 1.3er der mir vorliegt (1.3.28? Muß auch dringend mal ausmisten ;-) sind in $APACHE\_PACKET/include/httpd.h ungefähr ab Zeile 429 die Strings definiert. Das ENUM darunter ist der Schalter für die "Geschwätzigkeit" der Meldung. Wenn Du das geändert hast, z.B. so:
> - #define SERVER\_BASEPRODUCT "Apache"
> + #define SERVER\_BASEPRODUCT "Webserver"
> Dann klappt's auch mit
> ~~~apache
> ServerTokens Prod
> ServerSignature Off
>
Ach, vielen Dank :-) Wenn das so ist, muss ich mir wohl zuerst ein diff erstellen und das Apache-Ebuild damit patchen, sodass dieses diff beim Kompilieren und der Installation mittels emerge automatisch angewandt wird. Mal sehen, inwieweit ich das dann umsetze ;-) Auf jeden Fall ist es interessant zu wissen, wie es grundsätzlich geht.
Irgendwo hatte ich doch auch noch einen 2er? Achso, da heißt das Paket ja jetzt "httpd" statt "apache" *grummel*
Da ist es in $HTTPD_PACKET/include/ap_release.h definiert. Ich habe es nicht ausprobiert müßte aber genau so wie beim 1.3er funktionieren.
Stimmt, beim Apache 2.0.X befinden sich diese Konstanten in der oben genannten Datei. Sie tragen dabei jedoch einen etwas anderen Namen:
#define AP_SERVER_BASEPRODUCT "Apache"
Fabian St.
Hi,
(Oh, gibt's sogar schon "Bunt" für die httpd.conf in der Forumssoftware? ;-)
Ja, eine Übersicht über die ganzen Pattern-Files findest du im SVN des CForums.
Hey, ich habe da nicht umsonst ein Smiley hinter gesetzt! ;-)
(Ist eine kleine Spitze auf die Featuritis dieses Forums, aber auch nicht bös' gemeint)
Ach, vielen Dank :-) Wenn das so ist, muss ich mir wohl
Nein, mußt Du nicht. Das kannst Du irgendwann einmal machen wenn Du sonst alles eingerichtet hast, Dich zurücklehnst, alles gut findest, Langeweile bekommst und überlegst was man sonst noch tun könnte.
Auf jeden Fall ist es interessant zu wissen, wie es grundsätzlich geht.
Gut, es zu wissen ist natürlich nicht schlecht, aber anwenden mußt Du es wirklich nicht.
Stimmt, beim Apache 2.0.X befinden sich diese Konstanten in der oben genannten Datei. Sie tragen dabei jedoch einen etwas anderen Namen:
Naja, bei rund 9 Zeilen relevanten Codes ist der genaue Name jetzt nicht unbedingt relevant ;-)
so short
Christoph Zurnieden
Hi!
(Oh, gibt's sogar schon "Bunt" für die httpd.conf in der Forumssoftware? ;-)
Ja, eine Übersicht über die ganzen Pattern-Files findest du im SVN des CForums.
Hey, ich habe da nicht umsonst ein Smiley hinter gesetzt! ;-)
(Ist eine kleine Spitze auf die Featuritis dieses Forums, aber auch nicht bös' gemeint)
Muss ich wohl übersehen haben *g*
Ach, vielen Dank :-) Wenn das so ist, muss ich mir wohl
Nein, mußt Du nicht. Das kannst Du irgendwann einmal machen wenn Du sonst alles eingerichtet hast, Dich zurücklehnst, alles gut findest, Langeweile bekommst und überlegst was man sonst noch tun könnte.
Nur in diesem Falle? Dann wird es damit wohl nichts - Langeweile habe ich nämlich nie; es gibt immer was zu tun :-)
Auf alle Fälle __vielen Dank__ für die ganzen Anregungen und Infos, Christoph!
Grüße,
Fabian St.
Hi,
Auf alle Fälle __vielen Dank__ für die ganzen Anregungen und Infos, Christoph!
Is' ja schon gut ich hör' ja schon auf ;-)
so short
Christoph Zurnieden
Hi Christoph!
Auf alle Fälle __vielen Dank__ für die ganzen Anregungen und Infos, Christoph!
Is' ja schon gut ich hör' ja schon auf ;-)
Ich hoffe, ich interpretiere den Smiley jetzt richtig und du weißt, wie meine obige Aussage gemeint war ;-)
Grüße,
Fabian St.
Hi,
Auf alle Fälle __vielen Dank__ für die ganzen Anregungen und Infos, Christoph!
Is' ja schon gut ich hör' ja schon auf ;-)
Ich hoffe, ich interpretiere den Smiley jetzt richtig und du weißt, wie meine obige Aussage gemeint war ;-)
Wenn man sich mehrmals mit steigender Intensität für etwas mit gegenläufiger Menge an Inhalt bedankt sollte man schon damit rechnen, daß das jemand spätestens beim dritten Mal nicht mehr so richtig wörtlich nimmt ;-)
BTW: schau mal auf Seite 8
so short
Christoph Zurnieden
Hi Christoph!
Is' ja schon gut ich hör' ja schon auf ;-)
Ich hoffe, ich interpretiere den Smiley jetzt richtig und du weißt, wie meine obige Aussage gemeint war ;-)
Wenn man sich mehrmals mit steigender Intensität für etwas mit gegenläufiger Menge an Inhalt bedankt sollte man schon damit rechnen, daß das jemand spätestens beim dritten Mal nicht mehr so richtig wörtlich nimmt ;-)
Das war durchaus ernst gemeint! Wie ich schon einmal gegenüber Ashura erwähnt habe (ich weiß jetzt nicht mehr so genau, in welchen Thread es war), finde ich es wichtig, seinen Dank gegenüber dem »Helfer« auszudrücken. Falls es falsch rübergekommen sein sollte, bitte ich dies zu entschuldigen ;-)
BTW: schau mal auf Seite 8
Hehe, dann bin ich wenigstens nicht der einzige, der das will :-D Vielleicht lassen die sich dann sogar eine neue Direktive einfallen ;-)
Grüße,
Fabian St.
Hi,
Hehe, dann bin ich wenigstens nicht der einzige, der das will :-D Vielleicht lassen die sich dann sogar eine neue Direktive einfallen ;-)
Du meinst also ich sollte mal über meinen Schatten springen und einen Patch basteln? Für welche Version darf's denn sein?
so short
Christoph Zurnieden
Hi Christoph!
Hehe, dann bin ich wenigstens nicht der einzige, der das will :-D Vielleicht lassen die sich dann sogar eine neue Direktive einfallen ;-)
Du meinst also ich sollte mal über meinen Schatten springen und einen Patch basteln? Für welche Version darf's denn sein?
Warum nicht ;-) Wenn du die Zeit und Lust dazu hast, würde ich sagen, ja, du könntest es machen. Am besten wärs für Apache-Versionen > 2.0.X.
Grüße,
Fabian St.
Hi,
Warum nicht ;-) Wenn du die Zeit und Lust dazu hast, würde ich sagen, ja, du könntest es machen. Am besten wärs für Apache-Versionen > 2.0.X.
Auweia, der 2er hat noch eine miesere Lizenz als der 1er.
Na gut, ich schau mal.
so short
Christoph Zurnieden
Hallo Christoph,
BTW: schau mal auf Seite 8
Hehe *lol* - sofort heruntergeladen und gespeichert.
Selten so gelacht! :-D
Grüße
Marc Reichelt || http://www.marcreichelt.de/
Hallo nochmals,
ich bedanke mich schon jetzt mal bei allen, die uns geantwortet haben.
Das Angebot von Hetzner (danke Twilo!) lassen wir uns mindestens 3 Mal durch den Kopf gehen. Es bietet zwar weniger Traffic, aber ich denke nicht, dass Fabian und ich diesen Traffic von Server4you (1 TB) jemals in den nächsten Jahren erreichen werden. Außer wir würden darauf eine riesige Download-Seite veröffentlichen, was wir bestimmt nicht machen. Die Leistung von Hetzner sieht gut aus, Support ist auf jeden Fall ein gewichtiges Argument - und natürlich die hohe Verfügbarkeit (laut Hetzner im letzten Jahr sogar 100%).
Auch die Festplatte von 160 GB ist natürlich eine _sehr_ schöne Sache.
Eine Firewall brauchen wir auf dem Server nicht, das habe ich auch schon vermutet. Schließlich sind es die Sicherheitslücken in den Programmen, die für Probleme sorgen (die Ports müssen da ja schon offen stehen).
Insgesamt habt ihr mich noch ein wenig "in Stimmung" gebracht, wirklich mit Fabian zusammen einen Server zu mieten. Das mit den Haftungsfragen müssen Fabian und ich intern regeln, das ist zwar keine schöne Angelegenheit, aber zu machen.
Nun eine Frage noch:
Wenn der Server angemietet ist, und die bestehenden Web-Projekte auf den neuen Server kopiert sind, wie bringen wir die Domains möglichst schnell (also geringe Ausfallzeit) auf die neue Adresse?
Wie funktioniert das Ganze mit den Domains, Virtual Hosts, Nameservern etc. eigentlich alles?
Freundliche Grüße & vielen Dank
Marc Reichelt || http://www.marcreichelt.de/
Moin!
Das Angebot von Hetzner (danke Twilo!) lassen wir uns mindestens 3 Mal durch den Kopf gehen. Es bietet zwar weniger Traffic, aber ich denke nicht, dass Fabian und ich diesen Traffic von Server4you (1 TB) jemals in den nächsten Jahren erreichen werden. Außer wir würden darauf eine riesige Download-Seite veröffentlichen, was wir bestimmt nicht machen.
Zusatztraffic kostet bei Hetzner jedenfalls auch nicht die Welt. Und übriggebliebene Terabytes könnt ihr ja immer noch als SELFHTML-Downloadmirror verbraten ;)
Nun eine Frage noch:
Wenn der Server angemietet ist, und die bestehenden Web-Projekte auf den neuen Server kopiert sind, wie bringen wir die Domains möglichst schnell (also geringe Ausfallzeit) auf die neue Adresse?
Ausfallzeit selbst muß sogar gar nicht sein, das geht auch ohne.
Die Frage ist, welche Ausgangslage besteht. Mutmaßlich werdet ihr diverse .de-Domains bei Webspaceprovidern haben, also Domain+HTTP+Mail im Paket.
Für jede Domain müßt ihr auf dem neuen Server die gewünschten Dienste einrichten. Also z.B. die Website kopieren, die Mailaccounts anlegen etc.
Für einfaches Handling der Domains ist empfehlenswert, den Domain Registration Robot mitzubestellen. Dann hat man direkt die Möglichkeit, Domains zu registrieren, bei .de-Domains auch KKs online zu starten und DNS-Zonefiles auf den Hetzner-Nameservern zu verändern. Diese Flexibilität ließe sich nur noch toppen durch den Einsatz eines eigenen Nameservers - dort geratet ihr dann aber wieder an administrative Grenzen, denn die DENIC (und auch viele andere NICs) verlangt mindestens zwei Nameserver, die auch noch in unterschiedlichen /24er-Netzen liegen müssen. Mindestens einen sekundären Nameserver müßtet ihr dann also auch noch irgendwo auftreiben. Ich würde das lassen.
Ohne Domainrobot (der einmal 58 Euro kostet) kämen euch Domainregistrierungen bei Hetzner aber teurer (19,90EUR/a gegenüber 3,94+0,58=4,52EUR/a) - machbar wäre aber wohl auch das.
Wenn also alles (theoretisch und praktisch) auf dem neuen Server läuft, kündigt ihr die Domain beim alten Provider und startet bei Hetzner den KK-Antrag dazu.
Wie funktioniert das Ganze mit den Domains, Virtual Hosts, Nameservern etc. eigentlich alles?
Das zu wissen ist doch Aufgabe von Rootserverbetreibern, oder?
Meine Empfehlung: Domainrobot dazunehmen, aber die Nameserver von Hetzner benutzen und keinen eigenen Nameserver aufmachen. Sofern ihr so exotische Dinge wie den Betrieb einer öffentlichen DNS-Blacklist (z.B. gegen die bösen Spammer) vorhabt, könnt ihr immer noch eine Zonendelegation dort eintragen und für die Subdomain einen einzelnen, separaten DNS auf euren Server packen - das ist für Spamfilterung allerdings keine Pflicht, eher ganz im Gegenteil.
- Sven Rautenberg
Hallo,
Wenn also alles (theoretisch und praktisch) auf dem neuen Server läuft, kündigt ihr die Domain beim alten Provider und startet bei Hetzner den KK-Antrag dazu.
ich würde den KK-Antrag vorher starten und erst Kündigen, wenn alles über die Bühne gegangen ist
ich hab das schon die tollsten Sachen erlebt :(
mfg
Twilo
Hi Twilo,
ich würde den KK-Antrag vorher starten und erst Kündigen, wenn alles über die Bühne gegangen ist
ich hab das schon die tollsten Sachen erlebt :(
Sven sprach davon, die Domain zu kündigen, was ja lediglich bedeutet, dem anstehenden KK zuzustimmen. Den Vertrag mit dem alten Provider, den meinst du wohl, würde ich auch erst nach erfolgreicher Delegation kündigen.
Gruß,
Andreas.
Hallo nochmals,
Fabian und ich bedanken uns ganz herzlich bei euch für eure Hilfe.
Wir haben uns nun endgültig entschieden - wir werden das Angebot von Hetzner nehmen, mit Gentoo Linux als Betriebssystem.
In den nächsten Wochen werden wir dann alles zum Laufen bringen, mal schauen wie lange wir dafür brauchen. :-)
Freundliche Grüße
Marc Reichelt & Fabian Steiner
Moin!
In den nächsten Wochen werden wir dann alles zum Laufen bringen, mal schauen wie lange wir dafür brauchen. :-)
Das geht eigentlich recht fix (die Hardware ist ja nicht uralt) - und im Hetzner-Wiki steht auch, wie man Gentoo auf den Server packt und danach auch noch auf ihn zugreifen kann. :)
Die DHCP-Methode, die ich dort reingeschrieben habe, ist jedenfalls empfehlenswert.
- Sven Rautenberg
Hi!
In den nächsten Wochen werden wir dann alles zum Laufen bringen, mal schauen wie lange wir dafür brauchen. :-)
Das geht eigentlich recht fix (die Hardware ist ja nicht uralt) - und im Hetzner-Wiki steht auch, wie man Gentoo auf den Server packt und danach auch noch auf ihn zugreifen kann. :)
Dass die Installation eigentlich schnell gehen sollte, ist uns klar - wir wollen uns bloß noch ein bisschen Zeit lassen, um einerseits das rechtliche zu klären und andererseits uns bereits im Vorfeld sehr konkrete Gedanken über die Konfiguration des Servers (Benutzerverwaltung, Useraccounts, Gruppen, etc.) zu machen.
Die DHCP-Methode, die ich dort reingeschrieben habe, ist jedenfalls empfehlenswert.
Dann werden wir diese auch wählen ;-)
Auch dir vielen Dank für deine Hilfe!
Grüße,
Fabian St.