Welches Linux
-
jan10001
- Anbieter
- Posts: 757
- Joined: 2004-01-02 12:17
Welches Linux
Ich muß eine Datenbank (PostgreSQL), mit sensiblen Daten, ins Internet hängen und um das Ganze wartungsarm + sicher halten, fällt die Webserver Variante durch. Stattdessen will ich ein minimales Linux zu verwenden und die Clients per VPN (WireGuard) anzubinden. Eine selbst geschriebene Software wird dann die Daten abrufen. Eventuell wird noch das SMB Protokoll benötigt, damit der Server Backups auf ein NAS ablegen kann. Welche Distribution würde ihr da empfehlen? (Vielleicht hat ja einer/e gute echt Erfahrungen mit einer bestimmten Distribution gemacht. Für meinen Rootserver benutze ich zum Beispiel Alma Linux, ist aber halt nicht gerade wartungsarm.)
-
ddm3ve
- Moderator
- Posts: 1246
- Joined: 2011-07-04 10:56
Re: Welches Linux
Wäre Docker eine Idee?
https://hub.docker.com/_/postgres
Der Container ist zumindest abgespeckt.
Das drumherum dann aber nicht mehr so schlank und natürlich Wartungsaufwendig.
-> Weshalb ich hier den Vorteil Wartungsarm nicht zwingend sehe.
Sowohl Opensuse als auch Ubuntu bieten, was die Wartungsarmut betrifft ganz gute und zuverlässige Update Mechanismen.
Darauf setze ich allerdings auch weiterhin, in jeweils Minimalinstallation der Distribution.
Aber von vorne.
Ein Datenbankserver ist bei uns grundsätzlich nie extern erreichbar, also an eine "öffentliche" ip angebunden.
Bei Hetzner nutzen wir z.B. die Firewall um jeglichen Datenzugriff von "extern" zu verhindern, sofern die externe IP überhaupt konfiguriert ist.
Über VLAN ist die Datenbank dann z.B. vom Webserver / Webapps zu erreichen.
Ebenfalls gehen wir über VPN ins VLAN
Im eignen RZ sieht es ähnlich aus. Hier gibt es physisch mehrere Netzwerk Interfaces.
Über simple ansible Rollen, geht natürlich auch einfach per apt update ; apt upgrade (Ubuntu und co) oder zypper update, werden die Systeme zu definierten Zeiten aktualisiert.
https://hub.docker.com/_/postgres
Der Container ist zumindest abgespeckt.
Das drumherum dann aber nicht mehr so schlank und natürlich Wartungsaufwendig.
-> Weshalb ich hier den Vorteil Wartungsarm nicht zwingend sehe.
Sowohl Opensuse als auch Ubuntu bieten, was die Wartungsarmut betrifft ganz gute und zuverlässige Update Mechanismen.
Darauf setze ich allerdings auch weiterhin, in jeweils Minimalinstallation der Distribution.
Aber von vorne.
Ein Datenbankserver ist bei uns grundsätzlich nie extern erreichbar, also an eine "öffentliche" ip angebunden.
Bei Hetzner nutzen wir z.B. die Firewall um jeglichen Datenzugriff von "extern" zu verhindern, sofern die externe IP überhaupt konfiguriert ist.
Über VLAN ist die Datenbank dann z.B. vom Webserver / Webapps zu erreichen.
Ebenfalls gehen wir über VPN ins VLAN
Im eignen RZ sieht es ähnlich aus. Hier gibt es physisch mehrere Netzwerk Interfaces.
Über simple ansible Rollen, geht natürlich auch einfach per apt update ; apt upgrade (Ubuntu und co) oder zypper update, werden die Systeme zu definierten Zeiten aktualisiert.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.
-
jan10001
- Anbieter
- Posts: 757
- Joined: 2004-01-02 12:17
Re: Welches Linux
Naja Datenbankserver + VPN Server laufen auf dem gleichen Rootserver, unglückliche Wortwahl.
Der Rootserver wird nur VPN Verbindungen zulassen und alles andere blocken. Die eingewählten VPN Clients haben dann auch nur Zugriff auf den reinen Datenbankport, den Datenzugriff übernimmt dann eine Software. Auf Webserver / Webapps will ich verzichten, zu wartungsintensiv, da programmiere ich lieber dem Kunden eine Software.
Der Rootserver wird nur VPN Verbindungen zulassen und alles andere blocken. Die eingewählten VPN Clients haben dann auch nur Zugriff auf den reinen Datenbankport, den Datenzugriff übernimmt dann eine Software. Auf Webserver / Webapps will ich verzichten, zu wartungsintensiv, da programmiere ich lieber dem Kunden eine Software.
-
ddm3ve
- Moderator
- Posts: 1246
- Joined: 2011-07-04 10:56
Re: Welches Linux
Für MySQL nutzen wir bezüglich Webapp phpmyadmin.
Liegt aber auch nicht auf dem DB Server, sondern auf einem gehärtete Webserver.
-> Kommt ebenfalls aus dem Repository des Betriebsystemes und wird darüber aktualisiert.
Zumindest theoretisch und für manche Anwendungen aktualisieren wir ebenfalls über Ansible.
Was wir jedoch über die Distribution und dessen Pakete lösen können, machen wir darüber.
Dass VPN und Datenbank auf dem gleichen System laufen ist, denke ich mal, in der Überlegung "leichtgewichtiges Betriebsystem
und einfach updates einspielen, egal.
Mir war beim Betrieb schlicht wichtig, dass wir Updates und Upgrade einfach und verlässlich robust ausrollen können.
Das klappte bei uns per apt / zypper zuverlässig und unkompliziert.
Liegt aber auch nicht auf dem DB Server, sondern auf einem gehärtete Webserver.
-> Kommt ebenfalls aus dem Repository des Betriebsystemes und wird darüber aktualisiert.
Zumindest theoretisch und für manche Anwendungen aktualisieren wir ebenfalls über Ansible.
Was wir jedoch über die Distribution und dessen Pakete lösen können, machen wir darüber.
Dass VPN und Datenbank auf dem gleichen System laufen ist, denke ich mal, in der Überlegung "leichtgewichtiges Betriebsystem
und einfach updates einspielen, egal.
Mir war beim Betrieb schlicht wichtig, dass wir Updates und Upgrade einfach und verlässlich robust ausrollen können.
Das klappte bei uns per apt / zypper zuverlässig und unkompliziert.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.
-
jan10001
- Anbieter
- Posts: 757
- Joined: 2004-01-02 12:17
Re: Welches Linux
Freut mich zu hören. Ich habe einen Minimalserver aufgesetzt samt WireGuard + Dummy DB und teste gerade ob von aussen die Datenbankverbindung per VPN zustande kommt. Dann noch einen Penetrationstest ob die Firewalleinstellungen passen und das Programmieren kann beginnen.
-
rudelgurke
- Posts: 410
- Joined: 2008-03-12 05:36
Re: Welches Linux
Wenn auch vielleicht ein wenig spät, wir nutzen DBeaver (Java Software) für Remote DB's - da spart man sich den ganzen Webserver und "schleift" den DB Port durch's VPN durch.