Arch Linux

Ersten Schritte Richtung Server

Noeden

Hallo an alle,
ich habe das Ziel mir einen Server hier zu Hause hinzustellen, der:

Per Ethernetkabel mit dem Router verbunden ist
Ein von dem Gäste-Wlan vom Router unabhängiges internes WLAN aufbaut, mit dem man auch ins Internet kann
Als Fileserver dient (in dem Linux, Mac und Windows vertreten sind)
Als Continuous Integration Server dient (der auch aus dem Internet erreichbar ist)
Als Entwicklungsserver für Internetseiten dient
Den Drucker im WLAN (in dem Linux, Mac und Windows vertreten sind) bereitstellt.

Der Server soll für 4 Personen im WLAN sein und die Zugriffe von außen halten sich stark in Grenzen. (Eigentlich nur ich)
Ich würde ihn gerne mit Archlinux laufen lassen, auch wenn manche davon abraten, weil es zu sehr on the edge sei. Ich hatte in dem Jahr in dem ich Arch benutze noch keine Probleme und finde es klasse 🙂.

Da der Server den Jenkins betreiben soll habe ich mir gedacht wäre es ganz gut die Hardware nicht ganz im Keller zu lassen und werde so 320 Euro investieren.

Reicht das?

Core i3 2100T Dual-Core
4GB DDR3 RAM
60GB SSD
und per USB 2.0 verbundene externe Festplatten für Daten und Backups.

Ich habe mir schonmal lokal ein paar Serverdienste installiert und holpere schon über soetwas einfaches wie Dateirechte.
Ist es sicherheitstechnisch akzeptabel, wenn mein normaler Benutzer eine Website in dem Serverordner bearbeiten kann? Wenn ja, wie sollte man das lösen? Ich habe das jetzt so gelöst, dass mein Benutzer der Gruppe http hinzugefügt worden ist und die Gruppe volle lese und schreibrechte in dem Webseitenordner bekommen hat. Was spricht dagegen? Wie sollte ich sonst Dateien von der Webseite ändern? Indem ich mich als http anmelde?

Danke
Noeden

GerBra

Bei den aktuellen RAM-Preisen würde ich icht geizen, je mehr je besser…
USB: Ich würde nichts mehr kaufen an Mainboard was nicht auch USB 3.0 hat. Das wird bei externen Festplatten (wenn 3.0er mal state-of-the-art werden) auch kein Allheilmittel sein, aber wenn es dir z.B. beim Fileserver auf Geschwindigkeit ankommt dann ist bei Gigabit-LAN die USB(-2.0)-Platten schon ein Flaschenhals. Ggf. dann eine konsequete Nutzug von eSata. Aber für daheim..., mir reichen immer noch die ~11MB/s bei 100MBit.

Gruppen: Prinzipiell (zumindest mit apache als Webserver unter default-Archlinux) spricht nichts dagegen, die http-Gruppe als diejenige zu nutzen, über die User html-Seiten verwalten können. Aber ;-) (ich erkläre es generell immer so):
a) Gruppen < gid 100 sind sog. "Systemgruppen" (genauso wie es "Systemuser" wie User http gibt). Diese Gruppen sind eigentlich nicht dafür gedacht normale User aufzunehmen, sondern eher andere Systemuser.
Beispiel: Mailserver und Virenscanner - der Mailserver läuft unter dem User mail und legt Dateirechte (Logs, DBs, usw) mit mail:mail an. Der Virenscanner läuft unter dem User clamav und muß auch Zugriff auf Files/Order des Mailservers haben. Hier würde man nun u.U. den Systemuser clamav in die Systemgruppe mail stecken um das zu ermöglichen. Ich würde immer nach einer anderen Lösung suchen (oder hellhörig werden) wenn ich Normaluser in solche Systemgruppen packen müßte um etwas Bestimmtes zu erreichen. Sonst hat ein User ganz schnell Rechte die er eigentlich nicht benötigt (Logfiles z.B., unter Umständen Configfiles)
b) Eine sinnvollere Lösung wäre evtl. das Anlegen einer eigenen Gruppe (wwwdata z.B.) und den User da hineinzupacken. Die Grund-Ordner/Dateistruktur könnte dann z.B. so aussehen:

drwxrwxr-x root wwwdata /srv/http/
drwxrwxr-x deinusername wwwdata /srv/http/unterverzeichniss-fuer-projekt/
-rw-rw-r-- http wwwdata /srv/http/index.html

Weltlesbar muß die Struktur deshalb sein, damit der User http (der "Webserver") die Daten lesen kann. Wenn weltlesbar eher nicht erwünscht ist, dann packt man den Systemuser http in die Gruppe wwwdata und kann dann eigentlich überall weltlesbar (also alles im Rechte-triple other) entziehen, z.B. statt

drwxrwxr-x deinusername wwwdata /srv/http/unterverzeichniss-fuer-projekt/

dann

drwxrwx--- deinusername wwwdata /srv/http/unterverzeichniss-fuer-projekt/

So wäre sichergestellt daß andere User die html-Files, Skripte, php/ruby-code etc. nicht einsehen können. Sondern halt nur noch root, der Ersteller(=deinuserame) und Mitglieder in wwwdata(hier dann auch der Systemuser http).
Das wäre so grob was ich allgemein in punkto Rechteverwaltung für so einen Dienst/Verfahren machen würde.

Noeden

Supercool, danke für deine ausführliche Antwort.

Ich habe mein Budget etwas aufgebauscht und mich jetzt hierfür entschieden:

i3 2120T
8GB RAM

mit usb 3.0 und einer 120GB SSD.

Zu den Rechten: Mein Problem ist jetzt nur, dass ich bei jeder Datei, die durch den http angelegt wird, die Gruppe ändern muss von http auf wwwdata. Sonst kann ich die ja nicht bearbeiten. Die gleichen Bedenken mit den Rechten hatte ich ja auch, als ich meinen User in die Gruppe http gepackt hatte.
Ich nehme an, dass es keine Lösung für das Problem gibt, außer die Gruppe für neu angelegte Dateien durch http zu ändern. Denn sonst würden Logfiles etc ja auch der wwwdata-Gruppe gehören oder?

Danke

PS: Womit fange ich jetzt am Besten an? iptables? apache? WLAN-Netzwerk einrichten (also, dass der Server das erstellt)?
PPS: Worauf muss ich bei dem WLAN-Stick des Servers achten? Ich habe deutliche Qualitätsunterschiede zwischen zwei Routern mit n-Standard festgestellt. Die Signalstärke scheint zu divergieren. Danke

GerBra

Rechten: Normalerweise legt der Webserver(apache z.B. der unter der id http läuft) in /srv/http keine Dateien an. Dort liegen ja nur html-Files, die ausgeliefert werden (ich gehe jetzt mal von statischen html-Files aus). Aber um sowas zu vermeiden, also die (Gruppen)-Eigentümerschaft von neuen Daten zu erwingen, gibt es das gid-Sticky-Bit.
Ändere

drwxrwxr-x root wwwdata /srv/http/

nach

drwxrwsr-x root wwwdata /srv/http/

z.B. durch:
chmod 2775 /srv/http/
Dann ist die Gruppe für jede neue datei/Ordner dann wwwdata. (Das kann - je nachdem was du an Webinhalten/Skripts usw. ausliefern willst - nicht immer sinnvoll sei, da muß man dann drüber nachdenken und ggf. die Rechte anpassen.)

Noeden

Ahh cool. Sowas geht?

Also wenn jetzt ein script in /srv/http/dev/webseite eine neue Datei im gleichen Ordner anlegt gehört sie der Gruppe wwwdata. Wie cool danke

LG noeden

tabbi

Noeden schrieb

Per Ethernetkabel mit dem Router verbunden ist

Ein von dem Gäste-Wlan vom Router unabhängiges internes WLAN aufbaut, mit dem man auch ins Internet kann

Als Fileserver dient (in dem Linux, Mac und Windows vertreten sind)

Als Continuous Integration Server dient (der auch aus dem Internet erreichbar ist)

Als Entwicklungsserver für Internetseiten dient

Den Drucker im WLAN (in dem Linux, Mac und Windows vertreten sind) bereitstellt.

Die Hardware ist bei so einem privaten Server nicht so kritisch, obwohl Speicher ohne Ende ist schon schön.

Um deine Rechteprobleme beim WEB-Server mal von einer anderen Seite anzufassen, hast du schon mal über ein CMS (z.B. joomla) nachgedacht.
Dort hast du diese Probleme mit intern und externen Usern nicht, weil du dich im CMS anmeldest und dort eine eigene Rechtestruktur generierst.
Systemseitig ist es aber sicherer.
O.K., wenn du nicht von html-Programmierung lassen willst, geht dort auch.

Denkst du an einen PIM-Server? Ich lasse mit relativ wenig Aufwand einen Citadel-Server mit laufen, der den gesamten Mailverkehr übernimmt (alle Clients möglich),
und gleichzeitig noch Funktionalitäten wie div. Adressbücher, Kalender und ein bbs zur Verfügung stellt. Für innen wie aussen!!
Und linux kann ja groupware...

Bei mir hat sich noch ein Problem gezeigt, welches ich mit einer USV lösen musste. Du erzeugst mit so einem Server eine gewisse Form der Abhängigkeit von ihm. Er sollte also auch bei längerer Abhängigkeit durchhalten. Ist ziemlich blöd, wenn er dann durch Stromprobleme abk... Unangenehm auch, wenn er als CIS laufen soll.

Und zu der USB-Festplatte...
Bau lieber ein paar TB intern ein, dann hast du diesen Geschwindigkeits- und Cache-Verlust nicht. BTRFS soll für diese Zwecke ja schon relativ stabil sein, obwohl ich es noch nicht mag. Und bei einem neuen Board sollte UEFI ja drin sein!!

Viel Spass beim Konfigurieren...
tabbi

Noeden

Also ich entwickel mit TYPO3. Ich würde nur gerne noch zu Hause einen CI Server haben. Das Bohei mit den Nutzerrechten mache ich nicht, damit mehrere verschiedene Nutzer die Dateien bearbeiten können sondern damit es sicherer und restriktiv ist. An meinem Rechner arbeite eigentlich nur ich, ich möchte aber im Falle einer Sicherheitslücke selbstverständlich möglichst wenig Schaden haben.

Und zu den Festplatten: Ich möchte einen kleinen, lüfterlosen Server haben, deshalb die externen Festplatten. Und mit USB3 reicht es zum streamen eines Films auf den Fernseher locker. 😉 Für die Serverdienste etc habe ich ja die interne SSD.

Danke
Noeden

tabbi

O.K.

tabbi

agaida

@Noeden: Wo ist bei einem lüfterlosen Server das Abwärmeproblem durch die Platten? Der I3 schlägt da mehr zu. Ansonsten wurde ja die Möglichkeit von eSATA angesprochen. Dazu würde ich dann ausdrücklich raten, ist so oder so geil 🙂 Und es ist auch nichts gegen Arch als Server zu sagen, aber glaubst Du nicht, dass Du mit so was wie debian oder CentOS eventuell besser bedient bist?

Ist nur so eine Idee, ich hab zwar keine Server auf stable laufen, ich hab mir aber versichern lassen, dass das bequem sei. Bei mir laufen die Teile noch auf Sid, stable kommt eventuell mit dem nächsten Release. Ist zwar stocklangweilig, aber so langsam sind meine wilden Zeiten vorbei. Und Zeit, die man nicht in Wartung stecken muss, hat man für andere Sachen über.

Noeden

@agaida:
Danke für deine Antwort, zu den Festplatten:
Das lüfterlos ist nicht das Problem, sondern das klein 🙂 Die externen Festplatten einzeln, kann ich besser in meinem Schrank unterbringen. Man muss den Server ja nicht sehen.

Und in wie fern spare ich denn bei der Wartung Zeit? Prinzipiell ist es doch so, dass ich, sobald ich das Ding eingerichtet habe, nur noch Zeit bei den Updates "vergeude" oder? Ist da Arch als rolling distribution sogar zeitfreundlicher? Ich hatte in meinem Jahr mit Arch zum Glück noch kein Update, das mir wirklich Schwierigkeiten bereitet hat. Toitoitoi 😉

Danke
noeden

agaida

Es ist schon richtig, dass man arch auch relativ konservativ auf einen Betrieb als Server einrichten kann. Und wenn man es richtig betrachtet, habe ich auf all meinen Maschinen auch erst meine 3. Archinstallation. Und die hat im Laufe der Zeit einiges mitmachen dürfen. Bei Servern fehlt mir der Ehrgeiz mehr und mehr, da etwas, was auch nur ansatzweise in Richtung rolling, cutting oder bleeding geht, auch nur anzudenken.

Es wurde was ganz Wichtiges von tabbi geschrieben:

Bei mir hat sich noch ein Problem gezeigt, welches ich mit einer USV lösen musste. Du erzeugst mit so einem Server eine gewisse Form der Abhängigkeit von ihm. Er sollte also auch bei längerer Abhängigkeit durchhalten. Ist ziemlich blöd, wenn er dann durch Stromprobleme abk... Unangenehm auch, wenn er als CIS laufen soll.

Man gewöhnt sich an die kleinen Helferlein. Hast Du aktuelle Entwicklung, evtl. einen Mailserver und ein paar Testseiten aus aktuellen Projekten auf dem Maschine, dann sollte diese Maschine durchgängig erreichbar sein. USV ist Pflicht, möglichst stabiler Aufbau von Software und Hardware, Datensicherung. Am Anfang fand ich es cool, einen Server neben dem Schreibtisch stehen zu haben. Als ich angefangen habe, ihn wirklich produktiv zu nutzen, habe ich eine möglichst hohe Verfügbarkeit sehr zu schätzen gelernt. Ich hab das Problem ganz einfach gelöst und noch ein identisches Kästchen auf den Server gestellt. Nur zum Spielen und testen.

PS: Es kommt nicht deutlich raus: Unsere Entwicklungsmaschine hat momentan eine Uptime von 162 Tagen und ein paar Stunden. Wenn alles gut geht, wird die Kiste halt irgendwann mal abgeschaltet, nachdem sie auf den Nachfolger migriert wurde. Alles Wesentliche läuft so oder so in chroots ab. Bei meinen produktiven Systemen sehe ich das ähnlich. Soviel Innovation, dass ich die jedes Mal mitmachen muss, gibt es eigentlich nicht, wenn ich mit bestehender Hard- und Software gut auskomme. Sicherheitsrelevante Updates sind da was anderes.

Bestes Beispiel grade eben: Ich wollte heute meine Projektverwaltung hochziehen. Die Tests sahen gut aus, die Migration hat reibungslos geklappt. Im letzten Augenblick ist mir beim Testen aufgefallen, dass bestimmte Elemente in Tickets durchgängig unbrauchbar gerendert werden. Bug schreiben, Aktion abbrechen, auf Berichtigung warten oder selbst programmieren. Zum Glück ist das meine ganz private Verwaltung, so dass ich mir ein Rollback gespart habe. So hab ich wenigstens die Vorbereitung für den Test der gefixten Version nicht mehr. Das kann nerven, wenn man sich an ein reibungsloses Funktionieren gewöhnt hat. Dooferweise ist die Verwaltung frisch und jedes neue Release ist ein großer Schritt nach vorn. Wenn es nicht auch Hobby wäre, hätte ich auch da lieber die stabile Karte gezogen, die Alternativen waren aber alle nicht prickelnd und jetzt habe ich ein innovatives, sich entwickelndes Produkt an den Hacken, was ab und zu mehr Liebe und Zuneigung braucht, als mir eigentlich lieb ist. 😉

Noeden

Danke, dass du das von Tabbi nochmal so gut rausstellst, ich bin da nicht drauf eingegangen, weil ich dachte, dass das für mich nicht soo wichtig sei. Hätte ich mal lieber nachgefragt.

Also was bemängelt ihr jetzt genau (wahrscheinlich beides). Dass der Server nicht erreichbar ist, wenn bei mir der Strom ausfällt, oder dass der Server nach einem Stromausfall nicht mehr ordentlich funktioniert, weil er einfach während der Produktion ausgemacht worden ist?

Ich wohne in einer Großstadt und kann mich an den letzten Stromausfall ehrlich gesagt nicht erinnern. Was würde denn mit den einzelnen Funktionen bei einem Stromausfall passieren.

Backupserver: nichts
Datenserver: nichts
Router: nichts
Entwicklungsserver: nichts
CI-Server: eventuell die Änderungen des Tages verlieren (also auf das Backup zurück gesetzt werden)

Also abgesehen von grundlegenden Problemen, dass das System repariert werden müsste finde ich es nicht so schlimm (unterschätze ich das, oder habe ich etwas falsch eingeschätzt?). Den CIS würde ich eh gerne auf einen Server bei einem Provider packen, das kann ich mir aber noch nicht leisten. Wenn das passiert bin ich doch gar nicht mehr dauernd auf den Server angewiesen oder? Denn mit dem Jenkins (falls das so funktioniert) kann ich mir ja einfach ein Live-Abbild der Website auch auf meinen Apache auf dem Laptop ziehen. Der lokale Entwicklungsserver ist schöner, aber was solls 😉.

Danke für Eure Mühen.

Creshal

Jeder Stromausfall kann dir das Dateisystem zerschießen. Solange du *alles* im Backup hast, kann dir nichts passieren, ja. Außer, dass du mit etwas Pech sämtliche Systeme neu aufsetzen musst, weils dir / zerschossen hat. 😉

tabbi

Na ja, mit einem vernünftigen Backup kann man so ein System mit mehr oder weniger Zeitaufwand wieder aufsetzen. Dauert bei arch ja nicht so lange wie bei gentoo.

Ich meine eigentlich die Abhängigkeit, in die du dich begibst, wenn so ein System erst mal läuft.

Bei mir ist es das erste Mal ausgestiegen, als ich gerade länger unterwegs war. Leider fuhr die Kiste auch nicht mehr von alleine hoch, d.h. nach dem Neustart kam er nicht mal bis zu SSH-Server. GPP.

Seit er an einer kleinen USV hängt, ist nichts mehr passiert.

Dort habe ich gleich noch mein Backup-NAS mit aufgeklemmt und damit die nötige Stabilität erreicht. Und ne kleine USV von APC kriegt man schon gebraucht für wenig Geld.

tabbi

Noeden

Soo, ich habe jetzt erstmal testweise meinen alten Laptop missbraucht. Ist bis jetzt nur Arch drauf, der vim und ntp. Plan für heute (nach dem Schlafen):

Accesspoint einrichten (falls der WLAN-Chip das überhaupt kann 🙁 )
Openssh einrichten
DHCP / DNS einrichten
Routing ins Internet
iptables und antivir

Meine Fragen dazu:
Ich hoffe, dass der Artikel veraltet ist bereitet mir keine Sorgen: https://wiki.archlinux.org/index.php/Software_Access_Point
Kann ich irgendwie vorher herausfinden, ob mein WLAN-Chip einen Accesspoint erstellen kann (das ist doch der Weg, wie ich damit ein WLAN errichte oder?)
Was muss ich noch tun, damit der Server vor Angriffen von außen und das Netzwerk, was sich dahinter befinden wird, sicher ist (Minimum für morgen abend ist Script-Kiddie-Sicherung)
Wie funktioniert das mit den einzelnen Ordnerfreigaben etc, wenn IPs über dhcp vergeben werden? Ich habe bis jetzt ja immer feste IPs eingetragen, wenn ich sowas vorhatte. Oder mache ich das dann einfach über den Hostnamen?
Werden Ordnerfreigaben bei Linux nicht in abhängigkeit der IP gemacht? Das wäre ja Quatsch, dann könnte ich mich ja als heiopei ausgeben und könnte an all seine Daten. Das schaue ich mir morgen nochmal an.

Danke nochmal vielmals

noeden