FreeBSD als Server / Eignung / Virtualisierung

N

nebu

Member
Hallo,

ich habe bislang wenig bis gar keine Erfahrung mit FreeBSD, habe aber schon einiges an Dokumentation gelesen. (und vor Jahren mal erfolgreich ein Desktopsystem eingerichtet)

Ich möchte einen Server einrichten, Hauptsächlich als Fileserver fürs lokale Netzwerk, zusätzlich noch Mail- und Webserver.

Aus Sicherheits- und Paranoiagründen möchte ich zumindest den Webserver vom Fileserver trennen. Aktuell beitreibe ich Web- und Mailserver in VMware mit Slackware Linux jeweils als Host- und Gastsystem.

Auf der Suche nach einer praktikableren Lösung bin ich dann eben auf FreeBSD Jails gestoßen. Das scheint mir für mich passend zu sein, ohne viel Overhead.

Jetzt interessieren mich primär Erfahrungen um herauszufinden, on FreeBSD für mich passt.

Web- und Mailserver sehe ich aktuell (abgesehen von der Jail-Einrichtung) nicht als Problem.
Allerdings die Frage: Ist es sinnvoll einen Webserver im Jail laufen zu lassen (Apache, PHP, MySQL) oder besser doch komplett virtualisieren?

Zum Fileserver: Die Netzwergumgebung besteht aus verschiedenen Linux Clients, Daten sollen via NFS bereitgestellt werden. Klappt der Datenaustausch zwischen Linux und BSD hier problemlos? Beim Googlen habe ich da vereinzelt von Problemen gelesen.

Eventuell soll noch ein Drucker angeschlossen werden. Der hängt aktuell an einem Linux-Desktop via CUPS und Freigabe. Ich nehme mal an, CUPS funktioniert unter FreeBSD genauso, oder?

Für Tipps und Hinweise bin ich sehr dankbar. Ich lasse mir die BSD-Geschichte zur Not auch wieder ausreden. :)

Gruß,
Ben
 
nebu schrieb:
....
Aus Sicherheits- und Paranoiagründen möchte ich zumindest den Webserver vom Fileserver trennen. Aktuell beitreibe ich Web- und Mailserver in VMware mit Slackware Linux jeweils als Host- und Gastsystem.
Zum Vergrößern anklicken....
Also wenn Du schon so paranoid bist, dann würde ich
1.
NetBSD als Betriebssystem verwenden, denn fest steht, jeder Fehler im Code (Bug) ist ein potentielles Sicherheitsloch
und NetBSD hat weniger Bugs als OpenBSD, und das schon seit vielen Jahren.
2.
Eine Virtualisierung würde ich dann an Deiner Stelle nur auf einer AMD-CPU fahren,
da die MEM-Table für jeden Prozess zugänglich ist.
Das bedeutet, es ist möglich, dass eine Virtualisierung eine ander abschießen kann.

... aber auf der anderen Seite kann auch alles übertreiben ... :D

nebu schrieb:
Web- und Mailserver sehe ich aktuell (abgesehen von der Jail-Einrichtung) nicht als Problem.
Allerdings die Frage: Ist es sinnvoll einen Webserver im Jail laufen zu lassen (Apache, PHP, MySQL) oder besser doch komplett virtualisieren?
Zum Vergrößern anklicken....
Wenn man einmal annimmt, das Dir Kombination aus Deinem Server und FreeBSD als
(für Deine Zwecke) sicher genug eingestufft wird, ist gegen Jails nichts einzuwenden (sie sind schneller als Virtualisierungen).
Hier gilt aber auch das gleiche wie für eine Virtualisierung:
=> jedes Jail muß nocheinmal unabhängig von dem Host separat Updates bekommen,
es ist also vom Aufwand nicht in jedem Fall weniger Administration nötig.

nebu schrieb:
Zum Fileserver: Die Netzwergumgebung besteht aus verschiedenen Linux Clients, Daten sollen via NFS bereitgestellt werden. Klappt der Datenaustausch zwischen Linux und BSD hier problemlos? Beim Googlen habe ich da vereinzelt von Problemen gelesen.
Zum Vergrößern anklicken....
Wenn alles richtig konfiguriert ist und man stabile Software einsetzt, gibt es keine Probleme. Ich habe selbst über 5 Jahre ein gemischtes Netz gefaren, bei dem von Zeit zu Zeit verschiedene Client-Betriebssysteme (Windows 98SE, versch. Linuxe, FreeBSD, NetBSD) auf meinen FreeBSD-Server zugegriffen haben.
Allerdings würde ich kein NFS, sondern Samba verwenden.

Nach 3 Jahren bin ich auch umgestiegen und es war gut so, denn abgesehen, von den
allgemeinen NFS-Schwächen ist aus Sicherheitsgründen lieber Samba zu fahren:
1.
Nur NFSv4 kann man sicher machen, ist aber derzeit nur in Solaris VOLLSTÄNDIG implementiert! Wenn man will, kann man aber auch unter Linux und *BSD damit arbeiten.
2.
NFSv2 und NFSv3 sind IP-Orientiert, Samba dagegen User-Orientiert. Das ist wesentlich sicherer! In der Firma wurde uns NFS vom Security-Team verboten!
3.
NFSv2 kann man nicht abschalten, wenn man NFSv3 verwendet!!!
Das bedeutet, in einem Problemfall wird automatisch von NFSv3 auf NFSv2 gesprungen.
Das kann man nicht verhindern.
In diesem Fall werden die Pakete nicht mehr per TCP, sondern per UDP übertragen. Das wiederum kann zu Datenverlusten führen.
Weiterhin werden die NFSv2- und NFSv3-Pakete mit einer 16Bit-Prüfsumme makiert, das ist aber in einem GBit-LAN eine viel zu kleine Prüfsumme, so das bei hoher Netzwerklast und mehreren gleichzeitigen Dateitransfers zum Beispiel, Pakete vor Datei "A" die selbe Prüfsumme wie Pakete für Datei "B" haben.
Das führt zu koruppten Dateien und keiner weiß warum!!!

Also im G-LAN nur NFSv4 oder Samba verwenden, sonst nix !!!

nebu schrieb:
Eventuell soll noch ein Drucker angeschlossen werden. Der hängt aktuell an einem Linux-Desktop via CUPS und Freigabe. Ich nehme mal an, CUPS funktioniert unter FreeBSD genauso, oder?
Zum Vergrößern anklicken....
CUPS funktioniert überall gleich, aber der BSD-LPD ist schon dabei und sehr einfach zu konfigurieren. Den habe ich 5 Jahre verwendet, absolut stabil auch nach belibigen Updates absolut Problemlos.

nebu schrieb:
Für Tipps und Hinweise bin ich sehr dankbar. Ich lasse mir die BSD-Geschichte zur Not auch wieder ausreden. :)

Gruß,
Ben
Zum Vergrößern anklicken....
Wieso ausreden, bist Du noch zu retten?
Im gegensatz zu Linux ist BSD ein prima Server-OS!

Ich will jetzt aber nicht die ganzen Schwächen des Linux-Kernesl, sowie die dafür Ursächliche Philosophie von Linuz Torwalz auseinanderklabüstern....
Bei mir jedenfalls, kommt kein Linux auf den Server!
Dafür haben nur FreeBSD, NetBSD und Solaris eine Chance bei mir.

Gruß
Yoda
 
Vielen Dank für die Antworten.
Yoda schrieb:
Also wenn Du schon so paranoid bist, dann würde ich
1.
NetBSD als Betriebssystem verwenden, denn fest steht, jeder Fehler im Code (Bug) ist ein potentielles Sicherheitsloch
und NetBSD hat weniger Bugs als OpenBSD, und das schon seit vielen Jahren.
2.
Eine Virtualisierung würde ich dann an Deiner Stelle nur auf einer AMD-CPU fahren,
da die MEM-Table für jeden Prozess zugänglich ist.
Das bedeutet, es ist möglich, dass eine Virtualisierung eine ander abschießen kann.

... aber auf der anderen Seite kann auch alles übertreiben ... :D
Zum Vergrößern anklicken....

Nunja....so paranoid bin ich dann doch nicht. :)
Der Server wird im Heimbereich eingesetzt. Von außen zugänglich ist lediglich der Webserver und das auch nur zu privaten Zwecken. (Zugangskontrolle via .htaccess)
Das läuft im Grunde jetzt so seit einigen Jahren auf Linuxbasis ohne besondere Vorkommnisse.

Yoda schrieb:
Wenn man einmal annimmt, das Dir Kombination aus Deinem Server und FreeBSD als
(für Deine Zwecke) sicher genug eingestufft wird, ist gegen Jails nichts einzuwenden (sie sind schneller als Virtualisierungen).
Hier gilt aber auch das gleiche wie für eine Virtualisierung:
=> jedes Jail muß nocheinmal unabhängig von dem Host separat Updates bekommen,
es ist also vom Aufwand nicht in jedem Fall weniger Administration nötig.
Zum Vergrößern anklicken....

Daß ich die Jails separat updaten muss ist mir klar, der Aufwand ist allerdings geringer als bei VMWare Server. (Updaten der Virtualisierungssoftware auf einem nicht vollständig unterstützten Hostsystem ist extrem nervtötend)

Yoda schrieb:
Allerdings würde ich kein NFS, sondern Samba verwenden.[...]
Zum Vergrößern anklicken....

Bisher bin ich mit NFS gut gefahren, ich bevorzuges es eigentlich der Einfachheit halber. Die Sicherheitsrisiken sind mir durchaus bewusst.
Ich denke ich versuche es erstmal mit NFSv4, sollte das mangels entprechender Implementierung nicht klappen bleibt ja noch SMB.
Und danke für die NFS-Infos, das wusste ich nicht alles.

Yoda schrieb:
CUPS funktioniert überall gleich, aber der BSD-LPD ist schon dabei und sehr einfach zu konfigurieren. Den habe ich 5 Jahre verwendet, absolut stabil auch nach belibigen Updates absolut Problemlos.
Zum Vergrößern anklicken....
Oh, daß es da eine gute Out-Of-The-Box Lösung gibt wusste ich nicht. Die ziehe ich dann natürlich CUPS vor.
Freigabe dann via Samba?

Yoda schrieb:
Wieso ausreden, bist Du noch zu retten?
Im gegensatz zu Linux ist BSD ein prima Server-OS!

Ich will jetzt aber nicht die ganzen Schwächen des Linux-Kernesl, sowie die dafür Ursächliche Philosophie von Linuz Torwalz auseinanderklabüstern....
Bei mir jedenfalls, kommt kein Linux auf den Server!
Dafür haben nur FreeBSD, NetBSD und Solaris eine Chance bei mir.
Zum Vergrößern anklicken....
Bisher bin ich mit Linux in jeder Hinsicht gut gefahren, die Defizite sind mir allerdings bewusst. :)
Solaris bzw Opensolaris hatte ich mir auch angesehen, BSD erscheint mir allerdings doch wesentlich vertrauter, der Umstieg einfacher.

Ich denke, ich installiere einfach mal FreeBSD uns schaue was ich alles hinbekomme, bis zum produktiven Einsatz habe ich keinen Zeitdruck.

Gruß,
Ben
 
nebu schrieb:
Vielen Dank für die Antworten.
....
Oh, daß es da eine gute Out-Of-The-Box Lösung gibt wusste ich nicht. Die ziehe ich dann natürlich CUPS vor.
Freigabe dann via Samba?
....
Zum Vergrößern anklicken....
Ja, ganz einfach.
Ich kann Dir da jetzt kein Beispiel geben, da ich meinen Server gerade von FreeBSD auf Solaris umgestellt habe (das ist der beste freie erhältliche Kernel im Moment)...
Soweit ich mich erinnere, ist es nur eine bereits vorbereitete (sprechende) Option in der smb.conf, sowas wie
Code: 
printing = bsd

Gruß
Yoda


EDIT:
Allerdings, würde ich an Deiner Stelle CUPS verwenden, wenn Du den HP-IJS-Treiber verwenden möchtest.
Ich hatte mir dafür unter FreeBSD (in zwei Wochen Süssifussarbeit) einen eigenen Filter (auf HP-IJS-Basis) gebaut,
da es irgendwann nichtmehr so funktionierte wie vorher. Denn verzichten wollte ich darauf nicht.
Die Qualität und Geschwindigkeit der freien Treiber sind einfach um Längen schlechter.
Unter Solaris verwende ich jetzt auch CUPS+HP-IJS und es funktioniert einfach...
 
Zuletzt bearbeitet:
nebu schrieb:
....
Daß ich die Jails separat updaten muss ist mir klar, der Aufwand ist allerdings geringer als bei VMWare Server. (Updaten der Virtualisierungssoftware auf einem nicht vollständig unterstützten Hostsystem ist extrem nervtötend)
....
Zum Vergrößern anklicken....

Nur so nebenbei,
im Gegensatz zu FreeBSD wird Xen von NetBSD, als Host,
schon seit ein paar Jahren voll unterstützt.

Gruß
Yoda
 
nebu schrieb:
Ich denke, ich installiere einfach mal FreeBSD uns schaue was ich alles hinbekomme, bis zum produktiven Einsatz habe ich keinen Zeitdruck.
Zum Vergrößern anklicken....
Für eine wartungsarme Jail-Konfiguration hatte ich mal was zusammengeschrieben (siehe Ziel-Layout und Infrastruktur für Jails). Allerdings basiert das ganze auf ZFS; wenn Dir eher an Stabilität gelegen ist, würde ich an Deiner Stelle (noch) auf UFS zurückgreifen.
 
Morgeeeeeeeeen,

wie stabil ist ZFS aktuell (in FBSD)?
für den privaten Servergebrauch schon geeignet (inkl. RaidZ, um Datensicherheit zu gewähren)?

Gibt es vielleicht schon Termine, wann es evtl. auch in OpenBSD portiert wird (falls überhaupt) ?

Danke!
 
juan_ schrieb:
wie stabil ist ZFS aktuell (in FBSD)?
für den privaten Servergebrauch schon geeignet (inkl. RaidZ, um Datensicherheit zu gewähren)?
Zum Vergrößern anklicken....
Das kommt darauf an, welches Flavour Du verwenden möchtest. In RELENG_7 ist derzeit ZFS Version 6 drin. Stabil im Sinne von Datensicherheit ist es schon, soweit ich das beurteilen kann. Allerdings hat diese Version immer noch Probleme mit Deadlocks, was bei I/O-intensiven Prozessen öfter mal zu Latenzzeiten im Minutenbereich(!) führt.

In CURRENT ist Version 13 enthalten, was auch dem Entwicklungsstand von Sun entspricht ("Bug zu Bug kompatibel", wie Yamagi es mal ausgedrückt hat :D). Besagte V13 habe ich mit OpenSolaris im Einsatz (FBSD-CURRENT ist mir aus anderen Gründen zu instabil), und die benimmt sich recht ordentlich. Deadlocks hatte ich damit jedenfalls keine, FS-Inkonsistenzen konnte ich weder mit V6 noch mit V13 feststellen.

juan_ schrieb:
Gibt es vielleicht schon Termine, wann es evtl. auch in OpenBSD portiert wird (falls überhaupt) ?
Zum Vergrößern anklicken....
Nach den Tiraden von Theo über Suns Entscheidung für die CDDL denke ich, dass eher die Hölle zufriert als dass ZFS nach OpenBSD wandert. Wahrscheinlicher ist, dass OpenBSD irgendwann Hammer von DragonFly adaptiert, das steht immerhin unter einer "akzeptablen" Lizenz :rolleyes:
 
mhh Hammer?
bis dahin habe ich wohl eher mein eigenes FS gebastelt :D

Gut, ich werde dann mal ein bisschen mit Current rumspielen.

Danke
 
Das ist die geheime Verschwörung. Dinge wie HAMMER und Duke 4ever werden vorgeblich für andere Systeme entwickelt. Irgendwann platzt dann aber die Bombe und HURD erscheint. Es wird so überlegen sein, dass es in wenigen Monaten Microsoft in den Ruin treib, Linus sich nach Finnland zurückzieht, Apple bekanntgeben kann, dass Steve Jobs schon lange tot ist und wir uns in HURDForen.de umbenennen :)
 
Yamagi schrieb:
Das ist die geheime Verschwörung. Dinge wie HAMMER und Duke 4ever werden vorgeblich für andere Systeme entwickelt. Irgendwann platzt dann aber die Bombe und HURD erscheint. Es wird so überlegen sein, dass es in wenigen Monaten Microsoft in den Ruin treib, Linus sich nach Finnland zurückzieht, Apple bekanntgeben kann, dass Steve Jobs schon lange tot ist und wir uns in HURDForen.de umbenennen :)
Zum Vergrößern anklicken....

Jaja, the truth HURDs :D
Vor allem tut es denen weh, die so lange gefrotzelt haben und dann einsehen müssen, dass RMS Weltherrschaft übernimmt.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben