welche distribution

[native]

hallo, ich habe vor, für ein professionelles projekt einen webserver zu mieten, und bin am überlegen, welche distribution hinsichtlich der sicherheit am sinnvollsten ist.
ich habe mir sagen lassen, dass ein wichtiger teil der sicherheit davon abhängt, dass ich meinen server auf dem laufenden halte. unter Redhat gibt es die funktion "up2date -u", welche alle installierten pakete updated. wäre es somit sinnvoll, Redhat aufzusetzen und per cronjob einmal die woche up2date auszuführen? ist der sicherheit damit genüge getan?

bzw lassen sich all diese updates zur laufzeit durchführen, oder müssen dabei dienst/netzwerk o.ä. neu gestartet werden ??

welche distribution ist eurer meinung nach am sinnvollsten? bin dankbar für alle tipps!

-native.

[captaincrunch]

Debian, da du so am wenigsten in die Schwierigkeit kommst, dass der Support für Version XY morgen eingestellt wird.

-> Linux und spezielle Distris

[darkspirit]

Bei SuSE gibts das Online-Update, bei Debian apt-get. Jede Distribution hat dafür ein System. Einmal pro Woche per Cron zu updaten reicht aber sicher nicht. Du musst die aktuellen Sicherheitsmeldungen verfolgen und direkt updaten, wenn es Lücken zu schließen gibt.
Sicherheit heißt aber nicht nur gepatchte Software, sondern ist ein Gesamtkonzept. Wenn du die Dienste verkonfigurierst, öffneste du den Server genauso nach außen.

Die Frage, welche Distribution am besten ist, lässt sich nicht beantworten.. nimm die, mit der du am ehesten vertraut bist, Tendenz aber zu Debian hin ;)

[native]

hi, erstmal vielen dank.

Debian haben mir nun in der tat schon mehrere empfohlen, hm.

habt ihr mir sonst noch tipps zu diensten oder firewall? bei firewall dachte ich dieses skript: http://www.pl-forum.de/t_netzwerk/firew ... enbau.html kennt das versehentlich jemand, und reicht das aus?

sorry für die viele fragerei, aber Linux ist ziemlich neuland/grauzone für mich, und ich würde mich gerne ausführlich informieren, bevor ich eben etwas verkonfiguriere oder ähnliche fehler mache.

danke!
-native.

[darkspirit]

Eine "Firewall" auf einem Rootserver ist IMHO sinnfrei. Aber such mal im Forum, da gibts einige gute Threads zu genau diesem Thema ;)

[native]

die threads zur firewall kenne ich, auch, dass die gängige meinung hier im forum ist, keine zu verwenden. das seh ich allerdings anders:

was, wenn doch ein dienst einen port öffnet, weil ich ihn übersehen habe, oder zu dämlich war, das system ordentlich zu konfigurieren? desweiteren denke ich, dass eine firewall nicht stört, dh entweder nichts macht, weil alle ports zu sind, oder eben meine fehler kaschiert.

mfg
-native.

[captaincrunch]

was, wenn doch ein dienst einen port öffnet, weil ich ihn übersehen habe, oder zu dämlich war, das system ordentlich zu konfigurieren?

In dem Fall kannst du das wunderbar per netstat prüfen.

desweiteren denke ich, dass eine firewall nicht stört, dh entweder nichts macht, weil alle ports zu sind, oder eben meine fehler kaschiert.

Sie zieht Performance, da der Kernel erst einmal (fast) jedes Paket prüfen muss. Desweiteren ist die Gefahr, dass du die "Firewall" verkonfigurierst um einiges größer.

[native]

hm, das versteh ich jetzt nicht ganz.

performance ist klar, aber macht das tatsächlich so viel aus??

Desweiteren ist die Gefahr, dass du die "Firewall" verkonfigurierst um einiges größer.

wie meinst du das? was kann man dabei groß falsch machen? man sperrt einfach alle ports, dann macht man die auf, die man braucht - oder stell ich mir das zu einfach vor? (zumindest bei mir zu hause auf dem gateway server mach ich das so, und es geht).

mfg
-native.

[captaincrunch]

man sperrt einfach alle ports, dann macht man die auf, die man braucht - oder stell ich mir das zu einfach vor?

Schau dich dazu mal hier im Forum um. Stichworte : POP3 und ssh-Login dauern tierisch lange.
Auch dem besten Firewalladmin passiert es mal, dass er sich selbst den Ast absägt, der den Zugang zum System ermöglicht, und bei einem System, auf das man keinen physikalischen Zugang hat, kann das ärgerlich werden. ;)

[Joe User]

Eine Firewall gehört nicht auf den 'zu schützenden' Server, sondern davor...

[native]

hehe, jetzt wirds philosophisch ;)

aber heißt das, du würdest eine firewall installieren? und warum?

mfg
-native.

[dodolin]

aber heißt das, du würdest eine firewall installieren? und warum?

Du meinst nicht "Firewall", sondern Paketfilter, das ist ein Unterschied.
Einen Paketfilter installiert man für gewöhnlich zur Trennung von Netzen, für die unterschiedliche Sicherheitsanforderungen gelten. Da bei einem Rootserver nicht wirklich von einem "Netz" die Rede sein kann, würde ich in diesem Fall eben keinen Paketfilter installieren, auch nicht vor dem eigentlichen Rootserver, weil es einfach nur überflüssig ist.

Wo ein Paketfilter auch Sinn machen kann, ist direkt am Uplink (also auch wieder zur Trennung von Netzen) - aber da wird man für gewöhnlich mit Rootservern nicht drankommen.

[smur]

Ein Paketfilter kann durchaus Sinn machen. Ich habe z.B. derzeit zwei Server im RZ. Einer arbeitet u.A. für beide Server als DB Server. Mittels iptables beschränke ich den Zugriff auf mein Subnetz. Des weiteren kann man sich mit iptables sehr schön gegen SYN Flooding schützen(limit im PREROUTING). Etc.pp... gibt noch viel mehr Anwendungsgebiete.
Und da man mit Firewall im Allgemeinen ein Konzept und nicht ein Stück Software meint, kann ein Paketfilter auf dem zu sichernden Server durchaus als Firewall bezeichnet werden.

Gruß,
Nico

[wudmx]

mal wieder zurueck zur ausgangsfrage:
was haltet ihr von gentoo als server-distribution? emerge find ich recht maechtig...

gruss
wudmx

[Joe User]

was haltet ihr von gentoo als server-distribution? emerge find ich recht maechtig...

Nichts! Man sollte sich bei einem ServerOS nicht am Paketmanagment orientieren, sondern an der Stabilität des OS, der Verfügbarkeit von Securityupdates und letztendlich dem eigenen und dem Know-How des Distributors. Allein die überzüchteten Gentoo-Kernel, abgesehen vom Vanilla-Kernel, sprechen gegen den Einsatz auf einem öffentlich zugänglichen Server.

BTW: Das Thema wurde hier bereits desöfteren bis zum Flamewar diskutiert...

[oxygen]

OffTopic: Zu Firewall auf Rootservern habe ich hier schon meine Meinung kund getan: http://www.rootforum.org/forum/viewtopic.php?t=19279

OnTopic: Ich denke es ist vorallem eine Frage des persönlichen Geschmacks. Man kann sowohl ein SuSE, Redhat, Debian, Gentoo sicher und aktuell halten, als auch stabil. Im Grunde ist es eine Frage der Erfahrung. Wenn man seit jahren mit SuSE arbeitet, würde ich vorschlagen das auch auf dem Server einzusetzten. Man kennt dann einfach die eigenheiten des Systems am besten.
Meine persönliche Meinung ist Debian auf normalen Rootservern, Gentoo auf Gameservern.

Das Argument Gentoo sei nicht stabil habe ich jetzt schon desöfteren gehört, kann mich dem aber nicht anschließen. Ich habe bis jetzt nur gute Erfahrungen gemacht. Natürlich ein Gentoo System stabil zu bauen erfordert eindeutig mehr Gehirnschmalz als SuSE oder Debian. Und jener Kernel ist auch nicht überzüchteter als die aktuelle SuSE Variante.

[wudmx]

Man sollte sich bei einem ServerOS nicht am Paketmanagment orientieren

hab ich das gesagt? wollte nur verdeutlichen, dass sich mit emerge leicht ein update machen laesst, sowohl von einzelnen paketen als auch vom ganzen system. natuerlich haengt die wahl nicht vom "paketmanager" ab.

sondern an der Stabilität des OS, der Verfügbarkeit von Securityupdates und letztendlich dem eigenen und dem Know-How des Distributors.

da geb ich dir recht!

Allein die überzüchteten Gentoo-Kernel, abgesehen vom Vanilla-Kernel, sprechen gegen den Einsatz auf einem öffentlich zugänglichen Server.

was spricht gegen eine auswahl von verschiedenen kerneln? oder was meinst du mit ueberzuechtet? dass ich keine gaming-sources fuer nen webserver nimm, ist ja wohl klar! aber was spricht z.b. gegen hardened-sources?

BTW: Das Thema wurde hier bereits desöfteren bis zum Flamewar diskutiert...

ich werd sofort danach suchen und das mal lesen!

gruss
wudmx

[captaincrunch]

Mittels iptables beschränke ich den Zugriff auf mein Subnetz.

Kann eine vernünftige DB auch alleine.

Des weiteren kann man sich mit iptables sehr schön gegen SYN Flooding schützen(limit im PREROUTING).

Wozu ? Dazu gibt's Syncookies.

Etc.pp... gibt noch viel mehr Anwendungsgebiete.

Um diese umzusetzen sollte man sich aber mindestens mit den Grundlagenm von TCP/IP auskennen. Sofern man das tut, wird man schnell erkennen, das es die Kiste erheblich sicherer macht, den Hirnschmalz in eine gute Konfiguration zu investieren.

Bezüglich Gentoo auf Servern habe ich auch so meine lieben Bedenken, obwohl ich es hochzufrieden als Desktopsystem nutze. Dadurch, dass fast grundsätzlich die neuesten Versionen darin enthalten sind, ist man "Versuchskaninchen", und ist in den allermeisten Fällen erheblich schneller dabei, Security-Updates einzuspielen (die dazu noch durch die Kompilirerei länger dauern).

oder was meinst du mit ueberzuechtet?

Die gentoo-sources. Noch gepatchter als ein SuSE-Kernel, was fpr ein Desktop-System schon sehr OK ist, aber auf einem Server nicht genutzt werden sollte.

[oxygen]

oder was meinst du mit ueberzuechtet?

Die gentoo-sources. Noch gepatchter als ein SuSE-Kernel, was fpr ein Desktop-System schon sehr OK ist, aber auf einem Server nicht genutzt werden sollte.

[ ] Du kennnst SuSE 9 ;)

[Joe User]

oder was meinst du mit ueberzuechtet?

Die gentoo-sources. Noch gepatchter als ein SuSE-Kernel, was fpr ein Desktop-System schon sehr OK ist, aber auf einem Server nicht genutzt werden sollte.

[ ] Du kennnst SuSE 9 ;)

[x] Aber ich ;)

[captaincrunch]

Stimmt, kenne ich nicht, sondern bin seit Jahren zufriedener RedHat- / Fedora- (seit kurzem) / Debian- und Gentoo-Nutzer. ;)

[mathiasr]

Ein sehr sicheres und sauber durchstrukturiertes System ist FreeBSD. Daher wird es auch bei Yahoo und sogar bei Hotmail eingesetzt. Nur leider gestaltet sich die Remote Installation recht schwierig und es läuft kein Confixx darauf.

So bleibe ich doch bei Debian - nicht immer das Neueste, aber dafür möglichst stabil und bewährt.

Btw. Von RedHat war zu lesen, dass sie diese Produktlinie aufgeben wollen.

[captaincrunch]

Btw. Von RedHat war zu lesen, dass sie diese Produktlinie aufgeben wollen.

Richtig, die "freien" Versionen werden jetzt unter http://fedora.redhat.com zusammen mit der Community entwickelt. (Offiziellen) Support wird's aber nur noch für die Enterprise-Produkte geben.

[wudmx]

jetzt will ich es doch mal wissen (da ich noch nie mit debian zu tun hatte):
- debian hat keine "ueberzuechtete" kernel? sprich es sind keine patches drin (laut CaptainCrunch)! nebenfrage: was ist an diesen kerneln so schlimm, wenn sie patches enthalten?

- debian hat ein gutes "paket-verwaltungs-programm"

- debian ist eine serioese distribution mit security-patches usw.

was macht debian noch zu einer guten server-distribution?

gruss
wudmx

[Joe User]

Muss dieser Thread auch im "Distribution<-->Distribution"-Flamewar enden, wie es seine Vorgänger bereits taten?