Hilfe bei der Wahl des richtigen OS für meinen neuen Server

[prometheus]

An anderer Stelle hatte ich schon mal erwähnt, dass ich bis jetzt immer jemanden hatte wo mir geholfen hat meine Root Server so abzusichern das nichts passieren kann. Vielleicht auch nicht perfekt aber in 4 Jahren konnte kein Angreifer rein oder sonst was passieren.

Da ich jetzt alleine bin bzw. das alleine schaffen muss muss ich vorher schon wissen wie ich vorgehen werde. Ich will den Server die nächsten Tage bestellen und muss bis 10.12.07 die Kiste soweit stehen haben das alles klappt da der jetzige Server zu diesem Datum außer Betrieb geht.

Bevor ich lange erkläre welche Auswahlmöglichkeiten ich habe hier erst mal der Link zur Übersicht der Server (geht dabei lediglich um das richtige OS)
Link von mir selbst entfernt da ich (zu meiner Schande) leider die Regeln nicht genau genug gelesen habe und keine Diskusion über den Provider ansich lostreten möchte.

Über Debian habe ich schon gehört das es ohne Ende Tutorials und so gibt wie man die Kiste so sicher wie möglich macht. Bis jetzt hatte ich immer Suse und Confixx was für mich kein Problem ist. Ich komme auch mit Dingen wie Root Login ändern, Rootkits aufspüren, Logs prüfen, Firewall, Kernel usw. klar. Und ich gehe davon aus das Ubuntu oder auch Debian nicht groß anders sein werden.

Wichtig wäre auch jemanden zu finden der ggf. Auftragsbezogen (also gegen Bezahlung) helfend eingreift wenn ich mit irgendwas so meine Probleme hab. Natürlich auch nur das Thema Sicherheit betreffend. Die Dienste und das alles richte ich mir selbst ein das ist alles kein Problem.

Ist Hetzner vom Preis und Leistung her eigentlich die richtige Wahl oder ratet ihr hier zu einem anderen Anbieter? Bin aktuell bei S4Y und da bleibe ich auf garkeinen Fall. Der Preis wäre mir noch egal aber der Support ist wenn es drauf ankommt ein Witz. 5 Tage Ausfall wegen defektem Netzteil nur mal um ein Beispiel zu nennen :)

[tomotom]

Die Auswahl des OS ist immer auch Geschmacksache. Deshalb würde ich Debian empfehlen, viele Pakete, große Verbreitung, stabiles System, gutes Paketmanagement. Fedora versucht jeden Hype mitzumachen und immer das aktuelleste zu haben. Zu Unbuntu kann ich eigentlich nicht sagen, nur dass es nicht identisch mit Debian ist und auch einen Trend zum aktuellsten hat.

Es sollen hier laut Forenregeln keine Namen von Providern genannt werden und über Pro und Kontra diskutiert werden. Dennoch ist der genannte Provider sicher eine gute Wahl.

Was grundsätzliche Sicherheit bei einem Server betrifft:
+Installiere so viel wie notig und so wenig wie möglich, um möglichst wenig Angriffspunkte zu bieten.
+Pflege vor allem Deine installierten Webanwendungen regelmäig mit aktuellen Security Updates.
+Verwende bei kritischen Webanwendungen eine "Application Firewall" wie mod_security.
+Prüfe regelmäßig ob sich evt. rootkits eingeschlichen haben, mit entsprechen tools.
+Verlege Deinen ssh remote Zugang auf einen unüblichien Port und sichere ihn über public-key ab..
+Verschlüssele Deine Daten bei ftpbackups, dass wenn der Backupserver mal observiert werden sollte nicht gleich alles von innen offen liegt.
+Mache Dir ein Sicherheitskonzept für den Notfall auch im Hinblich auf evt. Datensicherheit.

[daemotron]

Ich denke mal, Du meinst nicht "Wahl des richtigen OS", sondern "Wahl der richtigen Linux-Distribution". Oder beziehst Du (Open)Solaris, die diversen BSDs oder Plan9 in Deine Überlegungen mit ein?

Was die Linux-Distributionen angeht - eigentlich ist es wurscht. Nimm die, mit der Du selbst am meisten Erfahrung hast bzw. die Deine Bedürfnisse am besten deckt. Wenn Du keine CPU-Leistung für's kompilieren hergeben kannst/willst, lass die Finger von Gentoo. Wenn Du nicht mit veralteten Paketen leben kannst/willst, lass die Finger von Debian. Wenn Du dich nicht mit zentralen Verwaltungstools abgeben kannst/willst, lass die Finger von (Open)SUSE. Zu Fedora, CentOS, Red Hat und Ubuntu kann ich mangels eigener Erfahrung beim Einsatz auf'm Server nichts oder nur wenig sagen.

[prometheus]

OK zu erst mal ich habe meinen Beitrag oben editiert und den Provider zu dem ich gehen möchte entfernt. Ich hab tatsächlich die Regeln nicht genau genug gelesen und als Community Betreiber hätte mir klar sein müssen das sowas hier nicht gerne gesehen wird. Tut mir leid falls den Link schon zu viele gesehen haben.

Was grundsätzliche Sicherheit bei einem Server betrifft:
+Installiere so viel wie notig und so wenig wie möglich, um möglichst wenig Angriffspunkte zu bieten.
+Pflege vor allem Deine installierten Webanwendungen regelmäig mit aktuellen Security Updates.
+Verwende bei kritischen Webanwendungen eine "Application Firewall" wie mod_security.
+Prüfe regelmäßig ob sich evt. rootkits eingeschlichen haben, mit entsprechen tools.
+Verlege Deinen ssh remote Zugang auf einen unüblichien Port und sichere ihn über public-key ab..
+Verschlüssele Deine Daten bei ftpbackups, dass wenn der Backupserver mal observiert werden sollte nicht gleich alles von innen offen liegt.
+Mache Dir ein Sicherheitskonzept für den Notfall auch im Hinblich auf evt. Datensicherheit.

Diese Liste habe ich mir schon soeben notiert und werde ich beherzigen. Wobei ich heute zufällig schon mit einem Bekannten aus der Linux Szene sprechen konnte und der nannte mir noch solche Dinge wie Open Relays verhindern, Alle Ports auf denen keine Kommunikation erwartet wird abschalten und solche sachen. Er hat nur zu wenig Zeit um mir direkt zu helfen. Aber ich denke solange ich weiß was wichtig ist schaffe ich das ich bin schließlich kein Neuling in der Welt der PC's respektive Linux.

Hohl Dir einen managed Server!

Diese Überlegung habe ich auch angestellt. Allerdings bei 90% der Managed Server stellt sich mir die Frage wozu der Server gemanaged wird wenn ich doch für alles noch mal zusätzlich zahlen darf. Wenn ich z.B. dem "Manager" sage er soll mir Tomcat mit dem Apache verheiraten damit ich echo2 nutzen kann dann darf ich z.B. 29€ je 15 Minuten dafür zahlen. Das gleiche kostet es mich auch wenn ich einen normalen Root Server hab. Was nutzt mich also das Managed wenn ich doch zusätzliche Kosten hab. Das einzige was vielleicht anders ist ist das der "Manager" ein Sicherungskonzept mit bringt und Standardsachen wir Firewall usw. erledigt. Außerdem wird er wohl alle 100 Server die er Managed standardmäßig regelmäßig auf Aktualisierungen prüfen. Aber mal ehrlich, diese "einfachen" aufgaben bekomme ich auch hin ohne das mir das jemand erklärt. Gut, bis jetzt hab ich für Updates meistens "you" bei Suse genutzt oder eben den Paketmanager vom Yast aber dennoch hab ich auch schon mal eine Anwendung per rpm installiert und auch schon selbst kompiliert. Die Sachen die der Manager tatsächlich ohne Zusatzbezahlung erledigt bekomme ich hin oder kann ich mir in wenigen Tagen aneignen davon bin ich überzeugt.

Ich denke mal, Du meinst nicht "Wahl des richtigen OS", sondern "Wahl der richtigen Linux-Distribution". Oder beziehst Du (Open)Solaris, die diversen BSDs oder Plan9 in Deine Überlegungen mit ein?

Ich bin ganz ehrlich, als Dienstleister und MCSE bin ich ein absolut begeisterter Windows Nutzer. Ich habe selbst 3 Windows Server zuhause + 4 im Büro und daran angeschlossen gesamt 18 Clienten und auf allen läuft Windows. Sogar gegen die meisten Stimmen aus der Szene bin ich absolut begeisterter Vista Nutzer. Deshalb könnte ich mir sogar vorstellen eine Webserver mit Windows zu betreiben. Und hätte ich eine Internet Leitung die das mit machen würde dann würde ich mir einen Server ins Büro stellen mit Windows Web Server drauf. Nur ein Server der weiter weg steht kann nicht eben kurz mal hart vom Netz getrennt werden um ganz in Ruhe nach dem Eindringling zu suchen und die Software um so eine Kiste sicher zu machen ist nicht ganz billig. Von daher bleibe ich lieber bei Linux ;)

Was die Linux-Distributionen angeht - eigentlich ist es wurscht. Nimm die, mit der Du selbst am meisten Erfahrung hast bzw. die Deine Bedürfnisse am besten deckt. Wenn Du keine CPU-Leistung für's kompilieren hergeben kannst/willst, lass die Finger von Gentoo. Wenn Du nicht mit veralteten Paketen leben kannst/willst, lass die Finger von Debian. Wenn Du dich nicht mit zentralen Verwaltungstools abgeben kannst/willst, lass die Finger von (Open)SUSE. Zu Fedora, CentOS, Red Hat und Ubuntu kann ich mangels eigener Erfahrung beim Einsatz auf'm Server nichts oder nur wenig sagen.

Entweder hab ich jetzt diesen Teil so rein überhaupt nicht verstanden oder Du sagst damit ich solle einfach irgend ein Linux nehmen nur eben nicht Debian, nicht Suse und nicht Gentoo und bei den anderen bist Du nicht sicher da Du sie nicht kennst. Du bist übrigens auch der erste der sagt das man mit Debian nicht auf dem aktuellsten Stand ist. Jeder sagte mir bis jetzt Debian sei eigentlich das beste da dort am schnellsten Aktualisierungen kommen und die besten Möglichkeiten bestehen.

Stimmt es eigentlich das Ubuntu ein Abklatsch von Debian ist? So sagte man mir zumindest.

[daemotron]

Entweder hab ich jetzt diesen Teil so rein überhaupt nicht verstanden oder Du sagst damit ich solle einfach irgend ein Linux nehmen nur eben nicht Debian, nicht Suse und nicht Gentoo und bei den anderen bist Du nicht sicher da Du sie nicht kennst.

Nein, ich sage damit, dass es Linux-Distributionen gibt, die einen bestimmten Zweck besonders gut erfüllen, dafür einen anderen aber weniger gut. Jede Distribution hat irgendwo ihre Licht- und Schattenseiten. Du musst Dir eben die raussuchen, deren Licht-Seite Dir am hellsten erscheint oder deren Schattenseite eben am wenigsten dunkel. Ob man jetzt über die Vor- oder Nachteile diskutiert, ist letztlich Wurscht.

Du bist übrigens auch der erste der sagt das man mit Debian nicht auf dem aktuellsten Stand ist. Jeder sagte mir bis jetzt Debian sei eigentlich das beste da dort am schnellsten Aktualisierungen kommen und die besten Möglichkeiten bestehen.

Debian ist eine Distribution mit sehr langen Release-Zyklen. Wenn Du die stabile Version nutzt, wirst Du in der Zeit bis zum nächsten Release keine neuen Versionen irgendwelcher Pakete erhalten (es sei denn, Du fummelst an den Quellen rum). Das ist aber nicht zu verwechseln mit Updates für sicherheitskritische Lücken oder Bugfixes, die i.d.R. sehr kurzfristig auf die verwendeten Versionen zurückportiert werden (genauso geht übrigens auch SUSE vor).

Stimmt es eigentlich das Ubuntu ein Abklatsch von Debian ist? So sagte man mir zumindest.

Ubuntu verwendet das Debian-Paketmanagement, entwickelt und maintained aber eine eigene Toolchain, Userland und Kernel. Dabei wird im Gegensatz zu Debian ein fester Fahrplan eingehalten (Release alle 6 Monate), auch was die Support-Laufzeit für die einzelnen Versionen anbelangt. Von daher ist "Abklatsch" wohl etwas deplaciert. Viele Entwicklungen aus Debian fließen aber in Ubuntu mit ein, und mittlerweile auch umgekehrt Entwicklungen des Ubuntu-Teams in Debian.

[prometheus]

Entweder hab ich jetzt diesen Teil so rein überhaupt nicht verstanden oder Du sagst damit ich solle einfach irgend ein Linux nehmen nur eben nicht Debian, nicht Suse und nicht Gentoo und bei den anderen bist Du nicht sicher da Du sie nicht kennst.

Nein, ich sage damit, dass es Linux-Distributionen gibt, die einen bestimmten Zweck besonders gut erfüllen, dafür einen anderen aber weniger gut. Jede Distribution hat irgendwo ihre Licht- und Schattenseiten. Du musst Dir eben die raussuchen, deren Licht-Seite Dir am hellsten erscheint oder deren Schattenseite eben am wenigsten dunkel. Ob man jetzt über die Vor- oder Nachteile diskutiert, ist letztlich Wurscht.

Du bist übrigens auch der erste der sagt das man mit Debian nicht auf dem aktuellsten Stand ist. Jeder sagte mir bis jetzt Debian sei eigentlich das beste da dort am schnellsten Aktualisierungen kommen und die besten Möglichkeiten bestehen.

Debian ist eine Distribution mit sehr langen Release-Zyklen. Wenn Du die stabile Version nutzt, wirst Du in der Zeit bis zum nächsten Release keine neuen Versionen irgendwelcher Pakete erhalten (es sei denn, Du fummelst an den Quellen rum). Das ist aber nicht zu verwechseln mit Updates für sicherheitskritische Lücken oder Bugfixes, die i.d.R. sehr kurzfristig auf die verwendeten Versionen zurückportiert werden (genauso geht übrigens auch SUSE vor).

Stimmt es eigentlich das Ubuntu ein Abklatsch von Debian ist? So sagte man mir zumindest.

Ubuntu verwendet das Debian-Paketmanagement, entwickelt und maintained aber eine eigene Toolchain, Userland und Kernel. Dabei wird im Gegensatz zu Debian ein fester Fahrplan eingehalten (Release alle 6 Monate), auch was die Support-Laufzeit für die einzelnen Versionen anbelangt. Von daher ist "Abklatsch" wohl etwas deplaciert. Viele Entwicklungen aus Debian fließen aber in Ubuntu mit ein, und mittlerweile auch umgekehrt Entwicklungen des Ubuntu-Teams in Debian.

Das heißt man kann sagen es ist auch kein Fehler das OpenSuse 10.2 zu nehmen da ich mich damit auskenne oder? Weil irgendwo hab ich hier auch gelesen das Suse wohl nicht so gut sein soll da es erstens die meisten Lücken hat und zweitens ja von Novel gekauft wurde und deshalb wohl nicht mehr so sehr lange kostenfrei zu bekommen sein wird. Allerdings OpenSuse sollte davon doch nicht betroffen sein da es wie der Name schon sagt Open ist oder?

Sollte man eigentlich immer auf die neueste stabile Version des Systems gehen? Meine bisherigen Server haben immer die Updates bekommen aber das System ansich blieb immer bestehen bis auf den Kernel wenn da Lücken bekannt wurden. Wenn z.B. 10.3 oder 10.4 usw. raus kommt dann müsste ich ja jedesmal den Server quasie neu installieren da über die Updates ja nicht alle Komponenten erneuert werden.

[Joe User]

Das heißt man kann sagen es ist auch kein Fehler das OpenSuse 10.2 zu nehmen da ich mich damit auskenne oder?

Nein, im Gegenteil, da Du Dich damit am Besten auskennst, wirst Du auch viele Probleme ohne langes Googlen lösen können.

Weil irgendwo hab ich hier auch gelesen das Suse wohl nicht so gut sein soll da es erstens die meisten Lücken hat

Das ist definitiv falsch, SUSE gehörte und gehört zu den sichersten Distributionen, sofern der Administrator seinen Job versteht.

und zweitens ja von Novel gekauft wurde und deshalb wohl nicht mehr so sehr lange kostenfrei zu bekommen sein wird.

Das ist so nicht ganz richtig: Novell hat SUSE gekauft und auf Basis der damaligen SUSE Linux Professional Version die SUSE Linux Enterprise Serie für den professionellen Kunden entwickelt.

Allerdings OpenSuse sollte davon doch nicht betroffen sein da es wie der Name schon sagt Open ist oder?

openSUSE ist die Community Version von SUSE Linux und wird neben Novell auch von der Community weiterentwickelt und bildet (un)regelmässig die Basis für die nächste SLE-Serie. openSUSE wird also nicht eingestellt werden.

Sollte man eigentlich immer auf die neueste stabile Version des Systems gehen?

Ja, spätestens auf die übernächste Version, da danach der Support für die ursprüngliche Version eingestellt wird.

Meine bisherigen Server haben immer die Updates bekommen aber das System ansich blieb immer bestehen bis auf den Kernel wenn da Lücken bekannt wurden. Wenn z.B. 10.3 oder 10.4 usw. raus kommt dann müsste ich ja jedesmal den Server quasie neu installieren da über die Updates ja nicht alle Komponenten erneuert werden.

Neuinstallationen sind spätestens seit 10.0 nicht mehr erforderlich, das Zauberwort heisst YaST->System-Update, siehe SUSE-Administrations-Handbuch.