networkscience
Goto Top

Homeserver mit Linux

Wie man einen Homeserver mit Linux aufsetzt und Ihn mit sinnvollen Diensten bestückt.

Hallo liebe Forengemeinde,

ich bin zwar nicht blutigster Anfänger in Linux, noch zum ersten mal hier ( ich habe nur meinen Usernamen vergessen ), doch habe ich ein privates Projekt vor, welches meine restlichen Urlaubstage füllen soll und mich auch sonst bei Laune halten soll face-wink

Hierzu würde ich gerne erläutern was ich vor habe, wie ich es lösen will und benötige eure hilfe bei der ein oder anderen Sache.
Wenn alles fertig ist, würde ich gerne eine Anleitung daraus basteln, dass a) jeder der das auch vor hat darauf zugreifen kann und b) dass ich nicht wieder alles aufs neue recherchieren muss.

Zum System:
x86 mit mnd. 2,4 GHZ
512 MB RAM ( vielleicht auch mehr )
40 GB Festplatte

Eine USV ( APC ) um das System "oben" zu halten.

Der Plan:
Ein Windows Homeserver ersatz. Vergleichbar mit vorigem, jedoch OpenSource for the open minded face-wink

Das Basissystem ist Ubuntu, oder Debian, da bin ich mir noch nicht sicher, der ein oder andere kann mir sicherlich eines von beiden empfehlen. Vorneweg muss ich sagen, dass ich eigendlich mit vielen Linuxarten gespielt habe und spiele, vorallem im embedded Bereich. Ich bin kein Profi, auch kein noob, sagen wir ich kann mir Dinge erarbeiten und umsetzen.

Was der Server können soll:

- DNS ( Es sollen die lokalen Hostnamen aufgelöst werden und wenn er merkt dass es extern ist, bei OpenDNS nachfragen )
- DHCP ( Mit u.a. static leases, so dass bestimmte Systeme stehts die selbe Adresse zugewiesen bekommen, wenn möglich mit WebGUI )
- APCUPSD Master ( an das System ist die USV angeschlossen, die soll über den Server den Clients/Clientserver das shutdown befehlen )
- NIS Network Information Server ( um obiges zu realisieren )
- Mailserver ( Hier ist der knackpunkt, denn ich möchte, dass der Server die Mails der Pop und imap Konten einsammelt, Virenscannt, Spam scannt und auch den Mailversand ermöglicht, dies aber über den SMTP Server des hosters, wegen den MX Einträgen, so dass die clients ( Thunderbird ) via IMAP auf nur diesen Server zugreifen ( die originale bleiben vorerst auf dem Server im Internet beim Hoster wegen der Sicherheit ) --> Hier benötige ich genauere Hinweise, wie dies geht )
- ClamAV als Virenscanner
- Spamassassin
- Outlook like Terminplaner "Server"
- Webmail ( nur vom internen Netz aus )
- Intranet ( dass ich Homepages, etc, testen kann )
- MySQL
- Grafische Serververwaltung ( Ich weiss, console r00lt face-wink , sehe ich auch so, aber einfache Sachen, oder wichtiges is in nem GUI einfacher )
- TFTP Server, um meine Cisco Phones zu konfigurieren
- NTP Server, der sich nach einer Master Uhr im Netz stellt, diese dann an die internen clients verteilt
- FTP Server um konfig Dateien zu verschieben

Mir ist bewusst, dass einige Dinge nicht wirklich zu Hause benötigt werden, aber ich würde gerne etwas "spielen" und habe leider keine Möglichkeit das auf absehbare Zeit geschäftlich zu machen, aber ich würde es mir gerne selber beibringen und im Heimnetzwerk ist es da doch am sichersten.

Wie ich das Ganze vor habe:

- DHCP und DNS mit bind9 und DNSMasq
- APC Überwachung mit APCUPSD und einer cgi file zum monitoring
- NIS mit NIS face-wink
- Mailserver <-- Hier brauch ich dringendst hilfe
- Intranet mit Apache2
- MySQL 4.2 ( Ich habe gelesen, dass die 5.0 sehr buggy sein soll )
- Grafische Verwaltung: eBox kennt nur zwei optionen, da scheint was nicht zu gehen, daher eher webmin, es sei denn jemand kennt was besseres
- NTP <-- Auch hier bin ich um sachdienliche Hinweise sehr dankbar
- FTP mit ProFTPD
- tftp mit tftpd

Nun meine Fragen:

- Wie schaffe ich die Outlook/Exchange mäßige OpenSource Lösung wie oben benannt zu realisieren?
- Wie schaffe ich die NTP Sache zu realisieren?
- Macht es sinn, dass System mit grsecurity 2.0 auszustatten? Ich habe dieses noch nie verwendet, würde mir aber davon versprechen, dass das Linux etwas gehärteter ist, dass sich Viren u.a. nicht einfach so ausbreiten kann.
- Macht es sinn, den Server in die DMZ zu stellen? und ihn mit iptables individuell zu schützen oder einfach nur Ports dahin leiten?
- Webcache, dass seiten die oft benötigt werden, sofort zur Verfügung stehen. Wie mache ich das und wie sorge ich dafür, dass die links nicht veralten?


Für eure hilfe wäre ich euch sehr dankbar!

Ich wünsche allen ein frohes neues Jahr!

Gruss

Toby

Content-ID: 105033

Url: https://administrator.de/contentid/105033

Ausgedruckt am: 22.11.2024 um 14:11 Uhr

Nailara
Nailara 02.01.2009 um 00:40:51 Uhr
Goto Top
Hi,

na Du scheinst ja viel Urlaub zu haben face-wink....


Empfehlung:
a) Ubuntu als OS - weil i.d.R. etwas aktueller als Debian. Die LTS-Varianten haben lange Support und Du musst nicht alles immer wieder neu machen.
b) Miete Dir einen VServer irgendwo für billig Geld - gerade beim Thema E-Mail haste schlechte Karten weil viele Provider inzwischen die Mailannahme von DSL-Netzen verweigern. Greylisting als die Antispammassnahme schlechthin funktioniert auf einem "echten" Server deutlich besser, Einsammeln von Emails auch, Webmail, etc.
c) Outlook: Such mal nach den Stichworten WebDav und ical
d) NTP - was willste da realisieren? Installation, Eintrag pool.ntp.org, läuft.
e) grsecurity - aus Spass an der Freud sicher. Virenscanner für Privat für Linux gibts bei Avira als Freeav-Variante kostenfrei
f) IP-Tables: Grundsätzlich ja, es bleibt die Aufwand-Nutzen-Frage. Zumal es i.d.R. bei normalen Routern von DSL-Anbietern keine echte DMZ gibt...
h) Bind und DNSMasq ist doppelt gemoppelt - DNSMasq kann auch DNS

Unter www.howtoforge.com und www.howtoforge.de findest Du Anleitungen für den "perfekten Server"...

Grüße
NetworkScience
NetworkScience 02.01.2009 um 01:00:43 Uhr
Goto Top
Zitat von @Nailara:
Hi,

na Du scheinst ja viel Urlaub zu haben face-wink....

Ja, prinzipiell noch Winterurlaub und dann halt wärend Arbeit an den langen Winterabenden. Mit dem HowTo würde ich gerne dann etwas der OpenSource Gemeinde zurückgeben, der ich mehr als nur ein bisschen Dank schulde.

Und natürlich habe ich auch interesse daran, nicht zuletzt um zu lernen.



Empfehlung:
a) Ubuntu als OS - weil i.d.R. etwas aktueller als Debian. Die
LTS-Varianten haben lange Support und Du musst nicht alles immer
wieder neu machen.

Ok, dann bleibe ich bei meiner Entscheidung auf Ubuntu Server

b) Miete Dir einen VServer irgendwo für billig Geld - gerade
beim Thema E-Mail haste schlechte Karten weil viele Provider
inzwischen die Mailannahme von DSL-Netzen verweigern. Greylisting als
die Antispammassnahme schlechthin funktioniert auf einem
"echten" Server deutlich besser, Einsammeln von Emails auch,
Webmail, etc.

Hmmm. Also ich habe Webspace mit email, etc. bei 1und1 in einem Business Paket. Ich dachte mir, dass dort die emails lagern, mein Server die Kopie hohlt und diese dann Virenscannt und Spam scannt und diese dann in das Mail Verzeichnis legt, welche dann von Thunderbird Outlookähnlich abgehohlt wird.
SMTP sollte dann Thunderbird die mail meinem Server schicken und der das über den SMTP von 1und1.
Wenn ich mir das durchlese sieht das sehr konfus aus, aber ist doch sicher auch eine gute Lösung fürs erste, oder?

c) Outlook: Such mal nach den Stichworten WebDav und ical

Sind das Serverdienste, die dann so ne Art Outlook aus Thunderbird machen und als ne Art Exchange funktionieren?

Sicherlich könnte ich auch Windows Server verwenden, für mich als Privatmann aber oversized und nicht günstig zu bekommen, bzw. steht hier Preis in keiner relation zu nutzen. Da ich meine Software bezahle, die ich nutze, würde ich mir das auch nicht einfach so besorgen...

d) NTP - was willste da realisieren? Installation, Eintrag
pool.ntp.org, läuft.

Ja, das weiss ich. Also so vom ablauf her sollte sich der Server die aktuelle Zeit hohlen, diese dann im Netzwerk verteilen. So sage ich zum Beispiel meinem Router er soll meinen Server nach der Uhrzeit fragen und dieser gibt ihm diese dann.

e) grsecurity - aus Spass an der Freud sicher. Virenscanner für

Ist das sonst keine gute Idee? Was ich gelesen habe, obwohl Herstellerseiten skeptisch betrachtet werden sollten, ist ganz nett um unnötige Sicherheitsrisiken zu beseitigen.

Privat für Linux gibts bei Avira als Freeav-Variante kostenfrei

ClamAV?

f) IP-Tables: Grundsätzlich ja, es bleibt die
Aufwand-Nutzen-Frage. Zumal es i.d.R. bei normalen Routern von
DSL-Anbietern keine echte DMZ gibt...

Also mein Router ist ein IGEL Client, auf dem DD-WRT läuft. Die DMZ wäre eigendlich nur ne IP die ich angeben muss, eine DMZ im sinne einer eigenen NIC/VNIC, welche eigene Regeln hat, gibt es da in diesem Sinne, wie Du richtig bemerkt hast, nicht.

h) Bind und DNSMasq ist doppelt gemoppelt - DNSMasq kann auch DNS

Dachte ich mir auch, ich habe nur auf einer gentoo Router Anleitung gelesen, dass das irgendwie so gemacht wird.
Wie mache ich denn da, dass lokale NS Aufgelöst werden und alles andere im Internet erfragt wird?


Unter www.howtoforge.com und www.howtoforge.de findest Du Anleitungen
für den "perfekten Server"...

Danke für den Link, da schaue ich mich gerade um.

Wie sieht es eigendlich mit webcache aus?


Grüße


Ich danke nochmals für die wirklich schnelle Antwort! Happy new Year!
Nailara
Nailara 02.01.2009 um 07:41:26 Uhr
Goto Top
Uii - das ging ja flink mit dem Antworten face-smile

b) Die Idee des Mietservers hat ein paar Aspekte: Du kannst das Mailing darüber abwickeln und das auch mit Greylisting, die für mich effektivste Spamabwehr (habe bei rund 1000 Emails eine Abweiserate von 95% nur durch die Kombination von Greylisting und Prüfung des SMTP-Protokolls auf Korrektheit). Das funktioniert aber nur, wenn der Server IMMER erreichbar ist. Bei 1&1 kannste das schwer nachträglich abbilden, da Du auf den Mailer selbst keinen Einfluss hast. Punkt zwei ist, dass der Versand von Emails damit besser klappt - von einem DSL-Anbieter kannste wie gesagt nur unter erschwerten Bedingungen senden - mit einem VServer und fester IP geht das. Dann sind aber die iCAL-Informationen auch immer Online ablegbar - ggf. können auch Dritte auf den ICAL schauen und das 24/7 - bei DSL können immer mal Ausfallzeiten auftreten ...

c) Webdav ist eine Methode zum Filetransfer über http (ganz grob gesagt), ical ein Dateiformat zum Ablegen von Kalenderinformationen. Modernere Programme unterstützen dieses ical-Format für Kalenderinformationen und damit kannste das ohne Exchange realisieren. Schau Dir auch zum Thema Webmail die Lösung "Horde" an, die stellt ICAL bereit.

d) Wie gesagt - das Paket ntpserver installieren und that's it.

e) Die Frage ist, ob Aufwand/Nutzen stimmt. Mit solchen Hardening-Tools kannste es auch erreichen, dass der Server so dicht ist, dass nix mehr geht und jede Paketanpassung zur Frickelei wird. Das ist eher eine philosophische Entscheidung, ob Du das machst oder nicht. Klar - man sollte auf eine passende Grund-Konfig achten, aber mit einfachen Tricks geht das schon fast von allein: ssh auf Port xy und nicht 22, Apache in einer chroot-Umgebung, jede Website mit separaten Rechten ausstatten - damit haste weniger Aufwand und trotzdem ist es relativ sicher. Fakt ist: je komplexer das System, umso mehr Angriffsfläche gibt es.
ClamAV - grundsätzlich geht. Allerdings gibt es auch ab und an den Zustand, dass ClamAV nix findet, weil Signatur unbekannt, dann aber auch Fehlalarme, weil die Signatur zu unscharf ist. Deshalb ziehe ich mich gern auf FreeAV oder ähnliches zurück ...

f) Dacht ich es doch - das ist keine DMZ!!! Wenn der Rechner geknackt wird, hat der Hacker Zugriff auf alle NEtzwerkressourcen Deines Netzwerks. Das passiert bei einer echten DMZ nicht, da da entweder noch eine zweite Firewall steht oder ein physikalisch separates Netzwerk vorhanden ist. Diese im Router propagierte DMZ ist ein Witz, weil sie im Prinzip keine Sicherheit bietet, schon gar nicht die Sicherheit einer DMZ. Schau mal hier: http://de.wikipedia.org/wiki/Demilitarized_Zone Dort ist die DMZ in der zweiten Grafik als separates Netzsegment ausgelegt... Deine Variante ist im Sinne des Wikipedia-Artikels ein "Exposed Host".

h) Es gibt sowohl bei bind wie auch DNSMasq die Möglichkeit, forwarder zu definieren. Da gibste die DNS des Providers an und alles wird gut face-smile

i) Webcache: die große Lösung mit Squid und SquidGuard oder was kleineres wie polipo sind nett ... Polipo: http://www.pps.jussieu.fr/~jch/software/polipo/ - gibt es auch als fertiges Paket für Debian/Ubuntu...

CU
NetworkScience
NetworkScience 02.01.2009 um 10:55:31 Uhr
Goto Top
Danke für die schnelle Antwort. Da habe ich schonmal die meißten Fragen geklärt.
Ich habe nur eine frage bezüglich eines vServers:

Soll dieser die Mailaufgaben erledigen und diese dann ein meinen Heimmailserver weiterleiten, bzw. dieser erfragt bei dem vServer?

Ein vServer ist ja auch rein rootserver, ist das nicht etwas riskant, wenn man nicht wirklich so den 100% durchblick in Linux hat?

Gruss

Toby
Arch-Stanton
Arch-Stanton 02.01.2009 um 11:08:36 Uhr
Goto Top
Ohne grundlegende Linuxkenntnisse wirst Du in einer großen Frustration enden. Alle Vorschläge sind nun mal von Leuten gemacht, die in der Materie stecken. Mache es so wie ich und installiere Dir den SME-Server, der bietet Dir alles und noch ein wenig mehr. Ich habe die Software z.B. mit der fetchmail-Komponente erweitert, so daß meine pop3-Konten von 1und1 abgefragt werden. Es wird in den Anleitungen recht gut erklärt.

Gruß,
Arch Stanton
aqui
aqui 02.01.2009 um 12:12:17 Uhr
Goto Top
Oder eine sehr gute Variante ist auch der Heise ct Server der schon komplett fertig ist:

http://www.heise.de/ct/projekte/srv/
NetworkScience
NetworkScience 02.01.2009 um 13:48:18 Uhr
Goto Top
Also Grundsätzliche Linuxkenntnisse bestehen und erweitern sich von Tag zu Tag face-wink
Dennoch werde ich mir die beiden links anschauen.

Ich frage mich nur noch bezüglich einem vServer. Man hat da ja vollen Root Zugang, dennoch ist es kein Root server.
Hat man da die selben Gefahren ( also ich weiss das es die gibt ) auch rechtlich, bezüglich dessen, wenn das gehackt wird?
Oder ist ein vServer Managed und ich hab dennoch Root zugriff?

Danke schon im voraus
Nailara
Nailara 02.01.2009 um 14:57:11 Uhr
Goto Top
Der vServer ist ein Root-Server, nur dass es eben kein Stück Blech für Dich allein ist, sondern ein Stück Blech ist, auf dem verschiedene Root-Server quasi parallel arbeiten.

Die Sorgfaltspflicht ist bei root-Server und vServer identisch. Nur ist ein vServer preiswerter, da virtuell -> weniger Strom, weniger Platte, weniger ...

Einrichten musste das i.d.R. auch selbst und da mach einfach langsam. Erstmal den ssh-port verlegen, dann alle Dienste abschalten und langsam eins nach dem anderen mit Hilfe verschiedener Anleitungen konfigurieren. Wenn möglich, nutze chroot-Umgebungen und denke drei oder zwei Minuten länger darüber nach, ob root-Rechte wirklich an der entsprechenden Stelle notwendig sind.

Übrigens - es ist prinzipiell egal, ob Du einen root-Server oder vServer mietest oder das Linux unterm Schreibtisch laufen hast. Die entsprechende Sorgfalt musste eh an den Tag legen - die Hacker prüfen mit Sicherheit nicht vor dem Hacken, ob der Server bei Dir unterm Schreibtisch steht und lassen ihn dann in Ruhe - deshalb ist das von der Qualität her ähnlich und Du musst ähnliche Dinge tun.

Rechne aber einfach mit dem spitzen Stift - was kostet Dich ein Server zu Hause unterm Tisch, was kostet auch der Strom und eine 24/7-Absicherung, was kostet dagegen ein vServer bei z.B. server4you? Der Spass ist der gleiche - auch wenn Du nicht zugucken kannst, wie die CD-Schublade aufgeht ....
NetworkScience
NetworkScience 02.01.2009 um 15:09:20 Uhr
Goto Top
Also im Vergleich denke ich, dass der Strom und die Sicherheit bei vServern eher gegeben ist. Wenn ich das Teil jedoch zu Hause habe - fürs erste - kann ich ein wenig ausprobieren und auch das System neu aufsetzen, sollte ich es zerschossen haben. Ein Root Server/vServer ist sicherlich ne feine Sache, jedoch möchte ich ein wenig mehr Sicherheit in den Grundliegenden Geschichten, dass ich auch im ernstfall eher eingreifen kann.

Ich finde das Forum hier wirklich genial, möchte ich an dieser Stelle erwähnen, hier bekomme ich qualifizierte Antworten, Antworten die mir auch weiter helfen! Ich habe da die leidige Erfahrung in anderen Foren gemacht, dass ich irgendwie immer "Troll" Antworten bekomme.

Wenn ich den Server weitestgehend zu Hause am laufen habe und ein wenig experimentiert habe, dann würde ich das Ganze ins Internet legen.

Zum Thema sorgfaltspflicht:
Klar, dass man vorsichtig sein muss, aber was macht man im Fall der Fälle und wie bekommt man das möglichst mit, ohne dass man vom Staatsanwalt kontaktiert wird? Ich möchte einfach nicht den fehler begehen und durch Schaden klug werden, lieber lass ich mir von Menschen helfen, die Ahnung von der Materie haben und mit denen zusammen ich mein Ziel erarbeiten kann.
Bei den Cisco Geräten, die ich zu Hause habe, habe ich das ähnlich gemacht. Da ich das auf der Arbeit nicht brauce, Netzwerk aber ein Hobby von mir ist, habe ich mir das auch so erarbeitet, und dennoch: Es gibt immer Punkte, wo ich einfach hilfe brauche.
Bei Servern sehe ich das eben kritischer, weil wenn man nicht am nötigen Ende Sorgfältig ist, kann einen das teuer zu stehen kommen - gerechtfertigt oder nicht - und das will man ja nach Möglichkeit vermeiden.
Nailara
Nailara 02.01.2009 um 15:33:33 Uhr
Goto Top
Bei den vServeranbietern kannste i.d.R. per Webinterface eine kostenfreie komplette Neuinstallaton beauftragen - kein Problem. Wenn Du etwas mehr Sicherheit willst, dann schau mal zu Strato Root-Servern. Die haben i.d.R. zwei IP's - eine NetzwerkIP und eine KonsolenIP - auch wenn der Server komplett zerlegt wurde, kommste über die KonsolenIP noch dran. Dadurch kannste auch ein anderes OS drauf tun als das vorgefertigte OS von Strato.

Sorgfaltspflicht:
Wie gesagt, es ist unerheblich, ob der Server nun unter dem Schreibtisch steht oder beim Provider - im Zweifelsfall biste fällig und da macht es wirklich keinen Unterschied, wo das Ding steht. Beim Provider kann es sogar sein, dass der Mechanismen hat, die dafür sorgen, dass bei zuviel Traffik eine Abschaltung vorgenommen wird - wegen Verdacht der Sabotage am System. Das haste zu Hause nicht.

Wichtig auch für den Staatsanwalt ist:
- Hast Du das System regelmäßig gewartet und Patches/Updates eingespielt (und das ist mit Debian/Ubuntu ja nun wahrlich ein Kinderspiel).
- Hast Du sorgsam die Konfigurationen recherchiert, bevor Du was gemacht hast (www.howtoforge.de).
- Hast Du Hinweise auf dem System hinterlassen - z.B. bei der Anmeldung, die zeigen, dass der unerlaubte Gebrauch verboten ist?
- Hast Du eine Firewall auf dem System oder zumindest eine Verschleierungstaktik eingeschlagen?
- Was passiert bei einem Portscan - wehrt sich der Server oder meldet er sich oder sowas????

Mir ist das auch schon passiert, dass mein Root-Server geknackt wurde. Warum? Sicherheitslücke in Joomla !!! Folge: zu hoher Traffik und Abschaltung durch den Provider - das kann passieren.

Genauso kann es passieren, dass Du trotz Sicherheitsgurt mit dem Auto einen Unfall baust und Dir ein Bein brichst. Für den Staatsanwalt wäre in diesem Falle auch die Frage, ob Du den Sicherheitsgurt angelegt hast und nicht zu schnell warst.

Analog kannste das beim Server auch sehen - bist Du der Verantwortung nachgekommen, regelmäßig zu patchen und trotzdem einen Zero-Day Exploit aufgesessen? Da passiert dann i.d.R. auch vom Staatsanwalt nix, wenn Du glaubhaft machen kannst, dass Du es nicht warst und auch durch regelmäßiges Patchen dafür gesorgt hast, dass es kein anderer tut... wenn es dann doch passiert, fällt das unter Pech ...

Wichtig ist wie gesagt, dass Du glaubhaft machen kannst, dass Du Dich gekümmert hast - beispielsweise auch mal jemand anderes auf das System draufgelassen hast, damit der mal nach Sicherheitslücken schaut - da kennste bestimmt jemanden, der helfen kann.

Um das abzuchecken kannste auch in einer Virtual Box ein Ubuntu zu Hause laufen lassen und mit Nessus den Server dann auf Sicherheitslücken untersuchen - einmal alle vier Wochen ein Scan und schon weisste mehr.
NetworkScience
NetworkScience 04.02.2009 um 00:26:56 Uhr
Goto Top
Also nun habe ich folgende Idee, hoffe Ihr könnt mir helfen:

Ich habe einen Server mit 18,4 GB RAID1 Speicher, 2x 2,4 GHZ und 4 GB RAM. Momentan ist Ubuntu 8.10 Server installiert.

Nun habe ich gesehen, dass man bei 1 und 1 einen VServer mit eigener IP und root Zugang, sowie mit ner bestimmten anzahl emailaddressen bekommen kann.

Nun meine Frage: Mein Mailserver sollte primär lokal sein und so eine art exchange Server sein. Der synchronisiert seine mailverzeichnisse mit meinem VServer, welchen er auch nutzen soll, um emails zu versenden. Die kopien der Nachrichten sollen auf dem Webserver verbleiben.

Die synchronisierten Mails sollen dann lokal gespeichert ( auf dem Server ) werden, dabei viren und spam geprüft werden und schließlich den Anwendern im Heimnetz via IMAP zur Verfügung stehen.

Wie stelle ich das am besten an? Ist das vserver angebot ausreichend?

Danke schonmal für eure hilfe.