FreeBSD als Dateiserver

ssn

ssn

Well-Known Member
hi,
also ich plane demnächst auf meinem neuen server hier daheim statt debian (wie jetzt aufm alten) freebsd zu installieren.
meine anforderungen wären:
- sicherheit
- softwareraid
- sichere verschlüsselung der datenpartitionen (mit key aufm usb stick)
- samba und nfs (oder sichere nfs alternativen?)
mit gentoo würd ichs hinkriegen, die fragen ist nur ob ich das bei freebsd auch schaffe. deshalb wollte ich hier um tipps und links bitten. zum thema sicherheit steht ja schon ein bisl was im handbuch, allerdings nicht sooo viel (natürlich sollt ihr mir nicht die arbeit abnehmen, aber es würde mir zeit und nerven sparen)
danke schonmal
 
ssn schrieb:
- sicherheit
Zum Vergrößern anklicken....
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/security.html
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/mac.html
- softwareraid
Zum Vergrößern anklicken....
http://people.freebsd.org/~rse/mirror/
- sichere verschlüsselung der datenpartitionen (mit key aufm usb stick)
Zum Vergrößern anklicken....
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/disks-encrypting.html
Da is erklärt wie's mit GBDE geht. Bei 6.0 steht noch GELI zur Auswahl.
- samba und nfs [...]
Zum Vergrößern anklicken....
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/network-nfs.html
mit gentoo würd ichs hinkriegen, die fragen ist nur ob ich das bei freebsd auch schaffe. deshalb wollte ich hier um tipps und links bitten. zum thema sicherheit steht ja schon ein bisl was im handbuch, allerdings nicht sooo viel [...]
Zum Vergrößern anklicken....
Was suchst du denn genau? Sicherheit ist ein sehr weites Thema.

Björn
 
danke erstmal.
naja es fängt ja schonmal mit der wahl der version an, welches freebsd wäre am besten für diesen zweck?
sicherheit soll heißen dass ich, und nur ich zugriff über ssh (oder sichere alternativen?) habe. wenn jemand fremdes vor dem server hockt will ich dass er mit dem ding NICHTS anfangen kann (dienste wie samba usw. werden nicht automatisch sondern per ssh und script manuell gestartet so dass nach einem reboot des systems erstmal garnixmehr geht).
das system soll einfach wasserdicht sein, auch die verschlüsselung sollte nicht "ohne weiteres" geknackt werden können.
das bereitet mir allerdings am meisten kopfzerbrechen, da mein "neuer" server wahrscheinlich auch nur nen 1,1 ghz celeron hat und ich schon gern die 10 mb/s schaffen würde, aber vielleicht hat ja freebsd ne wunderwaffe parat (mein gentoo schafft diese geschwindigketi mit cryptsetup nur mit nem übertakteten athlon xp).
wenn man bedenkt dass das eh schon unrealistisch ist und noch softwareraid (am liebsten raid5, aber wahrscheinlich raid1) dazunimmt könnte man weinen gehen :(
 
Sicherheit (gegen was oder wen?):
-Anpassung /etc/login.conf und /etc/autch.conf:
auth.conf:
crypt_default = blf #md5 des eintragen

login.conf:
:passwd_format=blf:\ eintragen und anschliessend # cap_mkdb /etc/login.conf ausführen

-Secure Levels anpassen
-Patchen, Software aktuell halten
-Zugriffsrechte feinkörniger regeln mit ACLs
-Dienste einsperren in Jails
-Integrität des Filesystems gewährleisten mit Tripwire oder anderer Software
-Admin-Rechte feiner geregelt vergeben mit sudo
-Remote-Zugriff regeln mit sshd
-unnötige Dienste abstellen
-Filesystem Flags setzen
-Kernel Coredumps unterbinden
(in /etc/sysctl.conf:
kern.sugid_coredump=0,
kern.coredump=0
kern.nodump_coredump=1)
-setzen von anderen Hostnamen in Jails unterbinden
(security.jail.set_hostname_allowed=0)
-"# ps" auf eigene Prozesse beschränken:
(security.bsd.see_other_uids=0)
-lange komplexe Passwörter
-Zugriff vom und ins Netz regeln
-usw...

Software-RAID, zum Beispiel 1:
http://people.freebsd.org/~rse/mirror/

Verschlüsselung, wozu?
-http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/disks-encrypting.html

Samba oder NFS?
-Samba, keine Ahnung wie sicher
-NFS, ist nicht sicher
 
verschlüsselung für den fall dass jemand physikalischen zugriff auf die festplatten hat.
was mich etwas verwirrt:
#

Caution: gbde lock files must be backed up together with the contents of any encrypted partitions. While deleting a lock file alone cannot prevent a determined attacker from decrypting a gbde partition, without the lock file, the legitimate owner will be unable to access the data on the encrypted partition without a significant amount of work that is totally unsupported by gbde(8) and its designer.

#
Zum Vergrößern anklicken....

genauer gesagt dieser satz:

While deleting a lock file alone cannot prevent a determined attacker from decrypting a gbde partition
Zum Vergrößern anklicken....

bei meiner verschlüsselten home partition hab ich die gewissheit (oder auch nicht?) dass ein "angreifer" key und passwort braucht. wenn er das passwort, aber den key nicht hat kommt er ned drauf.
was hat also dieser satz zu bedeuten?
 
Für diesen Zweck eignet sich 5.4 wohl am besten.
Es ist STABLE, es wird weiterentwickelt und ein Sprung auf 6 sollte kaum Probleme bereiten.
Bei 4.11 und der 4er-Reihe ist bald fertig lustig mit Patches.

Wenn jemand phyisch vor dem Server sitzt, und du die Maschine mechanisch vor Eingriffen geschützt hast,
so hat diese Person im Prinzip root.

Vielleicht kann eine Herausgabe der Schlüssel zu den Daten auf den Disks rechtlich durchgesetzt werden,
dann bringt dir eine Verschlüsselung nichts.
Verschlüsselte Disks sind im laufenden Betrieb nicht verschlüsselt.
 
ssn schrieb:
danke erstmal.
naja es fängt ja schonmal mit der wahl der version an, welches freebsd wäre am besten für diesen zweck?
Zum Vergrößern anklicken....
Ich glaube da muss man seine eigenen Erfahrungen machen. Wenn du wirklich blutiger Anfänger bezüglich FreeBSD bist, dann würde ich vielleicht zu 5.4-RELEASE greifen. Ich persönlich würde nicht davor zurückschrecken, 6.0-BETA2 zu verwenden, da ich damit bisher nur positive Erfahrungen gemacht habe.
sicherheit soll heißen dass ich, und nur ich zugriff über ssh (oder sichere alternativen?) habe. wenn jemand fremdes vor dem server hockt will ich dass er mit dem ding NICHTS anfangen kann
Zum Vergrößern anklicken....
Sichere Kennwörter wählen. Zwecks SSH-Zugriff ggf. IP-Bereiche einschränken (/etc/hosts.allow).
(dienste wie samba usw. werden nicht automatisch sondern per ssh und script manuell gestartet so dass nach einem reboot des systems erstmal garnixmehr geht).
Zum Vergrößern anklicken....
Wenn du beispielsweise smbd_enable="NO" in der rc.conf zu stehen hast, wird Samba zunächst erstmal nicht gestartet. Das kann man dann nachträglich auch ohne besondere Skripte so machen:
Code: 
/usr/local/etc/rc.d/samba.sh forcestart
In dem Verzeichnis liegt samba.sh.sample, die du erstmal umbenennen oder kopieren musst.
das system soll einfach wasserdicht sein, auch die verschlüsselung sollte nicht "ohne weiteres" geknackt werden können.
Zum Vergrößern anklicken....
Genaueres zu GBDE findest du in diesem PDF:
http://phk.freebsd.dk/pubs/bsdcon-03.gbde.paper.pdf
das bereitet mir allerdings am meisten kopfzerbrechen, da mein "neuer" server wahrscheinlich auch nur nen 1,1 ghz celeron hat und ich schon gern die 10 mb/s schaffen würde, aber vielleicht hat ja freebsd ne wunderwaffe parat (mein gentoo schafft diese geschwindigketi mit cryptsetup nur mit nem übertakteten athlon xp).
Zum Vergrößern anklicken....
Du musst ja auch nicht alles verschlüsseln, sondern am besten nur sensible Daten. Ein komplettes System würde ich da nicht unterbringen wollen.

Björn
 
Er soll darauf hinweisen, dass man unbedingt die Lock-Files mitsichert.
Nicht nut, weil die Löschung keinen zusätzlichen Schutz bringt, sondern weil sonst folgendes eintreten kann:

"without the lock file, the legitimate owner will be unable to access the data on the encrypted partition without a significant amount of work that is totally unsupported by gbde(8) and its designer"

Dann bist du draussen.
 
lars schrieb:
Er soll darauf hinweisen, dass man unbedingt die Lock-Files mitsichert.
Nicht nut, weil die Löschung keinen zusätzlichen Schutz bringt, sondern weil sonst folgendes eintreten kann:

"without the lock file, the legitimate owner will be unable to access the data on the encrypted partition without a significant amount of work that is totally unsupported by gbde(8) and its designer"

Dann bist du draussen.
Zum Vergrößern anklicken....

Code: 
# hexdump -b [i]lockfile[/i]
0000000 212 063 331 137 260 052 062 100 132 265 074 161 061 163 117 361
0000010
Zahlen abschreiben. Abheften. Notfalls fotokopieren. Und so geht's z.B. zurück:
Code: 
# printf "%b" "\212\063\331\137\260\052\062\100\132\265\074\161\061\163\117\361" > [i]lockfile[/i]

Björn
 
hat jemand ne ahnung wie rechenlastig gbde UNGEFÄHR ist, soll heißen was ein 1-1.4 ghz p3/celeron da an datendurchsatz packt.
wenns unter 10 mb/sek sind dann muss ich mir nämlich ernsthaft überlegen ob ich das will
 
Nochwas:

Wenn der Server sicher sein soll, dann würde ich unbedingt auf NFS verzichten, denn das lässst jeden an jede Datei, egal wie es konfiguriert ist.
 
gibts brauchbare alternativen? smb shares mit linux is in bestimmten situationen ned so der bringer.
noch ne frage:
raid5 wär interessant gewesen, weiß allerdings ned ob des unter freebsd so der bringer ist (unter linux hab ich damit schlechte erfahrungen gemacht, niedriger datendurchsatz uws).
auf jeden fall is die cpu last bei softwareraid5 ziemlich hoch, gibts ne alternative dazu?
ich mein mir gehts primär um datensicherheit und darum dass ich auf meinen 4 platten das maximum an platz habe. wenn ich sie spiegel geht gleich die hälfte verloren, da würd sich raid5 vom platz her schon wieder lohnen.
 
Zuletzt bearbeitet:
ssn schrieb:
hat jemand ne ahnung wie rechenlastig gbde UNGEFÄHR ist, soll heißen was ein 1-1.4 ghz p3/celeron da an datendurchsatz packt.
wenns unter 10 mb/sek sind dann muss ich mir nämlich ernsthaft überlegen ob ich das will
Zum Vergrößern anklicken....

Hier ein Pentium III 700, obere Zeile zeigt mit Verschlüsselung und die untere die gleiche Partition ohne Verschlüsselung:
Code: 
              -------Sequential Output-------- ---Sequential Input-- --Random--
              -Per Char- --Block--- -Rewrite-- -Per Char- --Block--- --Seeks---
Machine    MB K/sec %CPU K/sec %CPU K/sec %CPU K/sec %CPU K/sec %CPU  /sec %CPU
mit      1536  6600 29.1  8064 13.2  4152  4.9  7193 26.4  8549  6.0 100.3  1.4
ohne     1536 21846 87.9 41585 79.3 12843 19.3 21127 74.6 38518 22.3 139.0  1.8

Also mit 1,4 GHz stehen die Chancen gut, dass du über 10 MB/s kommst.

Björn
 
ssn schrieb:
aber ned wenn ich gleichzeitig noch raid5 am laufen hab :(
Zum Vergrößern anklicken....
Bis vor ein paar Tagen hatte ich noch ein RAID-5+GBDE, aber da RAID-5 für mich so gut wie keine Vorteile brachte habe ich es abgeschafft. Darf ich fragen für welche Art von wichtigen Daten Verfügbarkeit und Verschlüsselung gleichzeitig angebracht sind, die aber andererseits anscheinend nicht wichtig genug sind, dass du nicht die finanziellen Mittel aufbringen möchtest, damit das auch in angemessener Qualität geschieht?

Björn
 
es geht mir hier nur darum den bereich des möglichen auszunutzen ;)
du kannst mir ja gern ne alternative zu raid5 nennen
 
ssn schrieb:
es geht mir hier nur darum den bereich des möglichen auszunutzen ;)
du kannst mir ja gern ne alternative zu raid5 nennen
Zum Vergrößern anklicken....
Neben RAID-5 fällt mir höchstens nur noch RAID-1 ein um ein kostengünstiges System für den privaten Bedarf aufzubauen, das eine erhöhte Verfügbarkeit gegenüber einzelnen Festplatten gewährleistet. Du sagst, dass es dir nur darum geht, den Bereich des Möglichen auszunutzen; aber ist die Frage, ob alles Machbare überhaupt sinnvoll ist, nicht viel wichtiger? Ich meine beispielsweise, dass es schon möglich ist sein Adressbüchlein per LDAP zu verwalten oder von der Freundin einen Fingerabdruckscan zu verlangen, wenn sie an ihren Rechner möchte, aber ich glaube, dass das solche Dinge im privaten Rahmen eher dem Zeitvertreib oder der Befriedigung der Lust am Basteln dienen. :) Die Nachteile solcher Dinge muss man sich auch immer vor Augen führen.

Björn
 
danke dir ;)
Björn König schrieb:
Neben RAID-5 fällt mir höchstens nur noch RAID-1 ein um ein kostengünstiges System für den privaten Bedarf aufzubauen, das eine erhöhte Verfügbarkeit gegenüber einzelnen Festplatten gewährleistet. Du sagst, dass es dir nur darum geht, den Bereich des Möglichen auszunutzen; aber ist die Frage, ob alles Machbare überhaupt sinnvoll ist, nicht viel wichtiger? Ich meine beispielsweise, dass es schon möglich ist sein Adressbüchlein per LDAP zu verwalten oder von der Freundin einen Fingerabdruckscan zu verlangen, wenn sie an ihren Rechner möchte, aber ich glaube, dass das solche Dinge im privaten Rahmen eher dem Zeitvertreib oder der Befriedigung der Lust am Basteln dienen. :) Die Nachteile solcher Dinge muss man sich auch immer vor Augen führen.

Björn
Zum Vergrößern anklicken....
hey, ich bin jung und muss noch nicht vernünftig sein :)
wie ich schon dargelegt habe ist raid1 für mich keine alternative da es bei den 4 (wahrscheinlich sogar 5) platten zuviel platz frisst.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben