Debian server distribution

[lordg2009]

Hallo

In dem letzten Monat habe ich sehr viel über Linux gelesen, da ich schon länger mit dem Gedanken spiele, einen eigenen Linux Server (ftp, Streaming, VPN-Server, TS und Email, sowie Backup) aufzusetzen. Auch wenn ich mich jetzt mehr mit Ubuntu beschäftigt habe, habe ich doch häufiger gelesen, dass viele Leute einen Debian Server empfehlen. Bei Ubuntu wird eine Long-Term-Service Version, als Server Distribution angeboten. Ich denke mal, dass hierbei die GUI, viele Benutzerprogramme und hoffentlich eine Reihe Sicherheitsgefährdender Dienste von vornherein wegfallen. Etwas vergleichbares gibt es bestimmt auch für Debian (speziel zugeschnittene Server Distribution und Langzeitunterstützung). Auf debian.org bin ich aber noch nicht fündig geworden. Habe dort erfolglos einige ftp Server durchforstet, auf denen immer nur große DVDs angeboten wurden. Hat jemand einen LINK?

Vielen Dank für eure Hilfe

 

[bu1137]

Besorg dir die Debian netinst cd - das sogenannte "kleines Installations-Image", findest du bei den downloads.

Und, ich nehme an, das hast du bereits mitgekriegt, aber: Ubuntu basiert auf debian.

 

[DunklerRabe]

Debian IST bereits ein speziell auf Server zugeschnittenes Betriebssystem.

 

[lordg2009]

Ja, ich weiß, dass Ubuntu von Debian kommt, aber trotzdem sind es ja zwei unterschiedlich Distributionen. Ich wollte mich ja auch nur zwischen den beiden entscheiden, da mir die RedHat Familie rein vom Lesen weniger zusagt. Danke für den Tip mit der netinst Version, die habe ich gesehen und werde sie mal testen. Existiert so etwas wie die LTS Versionen bei Ubuntu, die besonders langen Support unterstützen? Man will ja nicht aller 2 Jahre den Server komplett neu aufsetzen.

 

[bu1137]

Debian ist grundsätzlich quasi "Long Term". Siehe zb. die Versionsgeschichte. Und auch wenn eine neue stable Version freigegeben wurde, wird die vorherige noch ne Weile weiter mit patches versorgt.

 

[DunklerRabe]

Der Support für die jeweils aktuelle Stable Version läuft immer rund drei Jahre, aber immer mindestens gut ein Jahr über das Releasedatum der neuen Stable Version hinaus. Zumindest war das zuletzt eigentlich immer so und sie werden das vermutlich auch so fortsetzen.

Das heisst für den Moment also, dass 6.0 noch aktuell ist und auch noch kein End of Support Datum hat, weil der Releasetermin für 7.0 noch nicht feststeht. Sobald das der Fall ist dürfte 6.0 noch gut ein Jahr weiter supportet sein. Falls 7.0 also jetzt Mitte diesen Jahres erscheinen sollte, dann hat dein 6.0 noch Support bis Mitte 2014.
Allerdings ist das ziemlich unkritisch, weil man Debian ja einfach versionsübergreifend updaten kann. Du suchst dir also einfach den für dich passenden Zeitpunkt aus und patcht dein 6.0 auf 7.0, für welches dann natürlich wieder die neuen Supportzeiträume gelten.

 

[KillerCow]

Zu beachten, im stable Zweig von Debian wirst du wohl nie die aktuellsten Software Versionen finden, weil die Jungs und Mädels sehr viel Wert auf Stabilität und Sicherheit legen. Benötigst du bei irgendeinem Tool die neueste Version, wirst du selbst Hand an den Compiler legen oder dich bei anderen Repos bedienen müssen. Das kann, ein wenig nervig sein... dafür hat man aber ein robustes Basissystem!

 

[lordg2009]

OK, danke für die Tips.
Versionsübergreifendes Update? DarF ich kritisch sein? Habe ein Update von Vista auf Win7 durch. Das kann man vergessen, habe mehrere Wochen versucht die Probleme in den Griff zu bekommen, aber es dann doch komplett neu aufgesetzt. Aber was soll man tun, der Spruch 'Never change a running System' ist ja wohl bei den Massen an wichtigen Sicherheitsupdates nicht wirklich zutreffend.

 

[DunklerRabe]

Natürlich darfst du kritisch sein! Das sollte man eigentlich immer sein!
Aber du wirst feststellen, dass ein Linux kein Windows ist

 

[lordg2009]

OK, vielen Dank für eure Hilfe, ich werde es ausprobieren.

Ergänzung (5. April 2013)

Eine Frage habe ich trotzdem noch, bevor ich anfange. Ich habe bereits früher mit einem LinuxSystem experimentiert und Daten von diesem kopiert. Dabei hatte ich unglaublich große Probleme mit Umlauten. Viele Dateien, die Umlaute im Namen oder Verzeichnis hatten, ließen sich gar nicht kopieren. Bestehen diese Probleme weiterhin? Wenn ich meinen eigenen kleinen ftp Server eröffnen möchte, werde ich um Umlaute nicht herumkommen, wird mir das wieder Probleme machen?

 

[LieberNetterFlo]

kann ich mir gar nicht vorstellen mit den Dateinamen, seit EXT 2/3/4 bist du auf der sicheren Seite:

Erlaubte Zeichen im Dateinamen Alle Bytes außer NULL und '/'

wenn dann hat es also am kopierenden Programm/Server oder am Anzeigenden Programm/Server gelegen.
(bei mir is es so wenn ich über putty auf meinen Linux Server verbinde zeigts auch keine ö ä ü an, direkt am System jedoch keine Probleme ... d.h. es liegt an putty oder einer Einstellung dessen)

 

[lordg2009]

OK, naja von dem ftpServer habe ich vor einigen Jahren kopiert und der wahr so alt, dass er auch gar nicht mehr im Dienst war, sondern nur im Keller stand. Ich hatte das Privileg, ihn mir ausleihen zu dürfen. Aber wenn es jetzt keine Probleme mehr machen sollte, bin ich beruhigt, danke.

 

[Daaron]

Eine Sache noch, die immer wieder erwähnt werden muss:
FINGER WEG! von eigenen Servern (im Internet), wenn man nicht zu 100% genau weiß, was man da tut. Ein falsch konfigurierter Dienst, eine Unachtsamkeit,... und das System wird dir ratzfatz von Hackern kompromittiert. Die Zeche dafür zahlst dann allein du als Betreiber. Das fängt dann mit hohen Strafzahlungen (z.B. indem dein Server als Spamschleuder verwendet wird) an und endet irgendwo hinter Schwedischen Gardinen, wenn dein Server von Angreifern als Lagerstätte für Raubkopien oder gar Kinderpornos verwendet wird.

Du willst einen Server aufsetzen und dich mit Linux näher befassen? Gut. Sowas finde ich immer toll... aber nicht im Internet!
Mach dich mit der Macht... äh dem System... vertraut. Lerne es zu beherrschen. Lies dich in die Tiefe der Sicherheitsrichtlinien etc. ein. Informiere dich über die Gefahren. Wenn du dann ordentlich Erfahrung mit diesen Aspekten mitbringst, DANN kannst du dich selbst aufs Internet loslassen.

 

[lordg2009]

Ja, das habe ich auch schon gelesen und so wollte ich es auch machen. Obwohl doch eigentlich der Übergang von Workstation zu Server fast fließend ist. Ich meine erst nutze ich Meinen Rechner nur, um damit zu arbeiten und ins Internet zu gehen, dann richte ich meinen ersten filezilla-Server ein um auf bestimmte ausgewählte Daten auch von extern zugreifen zu können, dann richte ich mir einen eigenen TS-Server ein, um mehr Unabhängigkeit zu erreichen, anschließend beschließe ich einen VPN Server für meinen Rechner zu erstellen, da ich mich sicher verbinden möchte und außerdem noch ein LAN übers Internet erstellen kann, mit dem sich ausgewählte Leut mittels Zertifikat und Passwort verbinden können. (Email Dienst reizt mich weniger, werde ich drauf verzichten). Mit jedem angebotenen Dienst steigt das Risiko, aber wenn man schon ftp, VPN, SSH, TS usw. nutzen möchte, liegt es doch nahe, Server und Workstation zu trennen und seine Routingregeln selbst zu schreiben, genauso wie es nahe liegt den Server mit Linux oder einem anderen Unix System zu realisieren, gerade um den Sicherheitsgedanken zu waren, oder zu verbessern. Natürlich muss man vorsichtig sein, aber wenn man als übereifriger Bastler dies und jenes ausprobieren möchte muss man sich überlegen, ob man es ganz lässt, oder ob man sich damit beschäftigt, oder?

 

[kernel panic]

@Daaron: Prinzipiell hast du recht, jedoch wird kaum jemand viel Mühe in das hacken von privaten Servern stecken, da sollte es reichen das System up2date zu halten und alle unnötigen Dienste nicht offen zugänglich zu halten + ssh mit private/public Key schützen. Anders bei Servern von Unternehmen, wo ein größeres finanzielles Interesse hinter steckt.

 

[Daaron]

Betreibst du einen Root- oder VServer? Wenn ja, dann guck mal z.B. in deine auth.log...
Rund um die Uhr laufen weltweit tausende Netzwerk-Scans, sobald du einen Server ins Netz bringst steht er sofort auf der Abschlussliste. Du hast dann mindestens das übliche Hintergrundrauschen aus Brute-Force - Angriffen auf SSH, FTP und Mailkonten. Auch wenn das Zeug relativ harmlos ist, ein Glückstreffer und BÄM, das wars.

Und darüber hinaus gibts auch mehr als genug Probleme. Da reicht z.B. eine der unzähligen Lücken in Wordpress und schon ist dein Server auf nem Dutzend Blacklists.

 

[kernel panic]

Nö, ich hab keinen Server. Aber das Hintergrundrauschen ist harmlos, solange man nicht grad als Passwort etwas wie "Password123" hat (hab ja nicht ohne Grund, dass man alles unnötige abschalten und ssh absichern soll). In dem Zusammenhang ist eventuell Fail2Ban noch interessant.
Und zu deinem Beispiel mit Wordpress, wenn jemand ne Zero-Day-Lücke ausnutzt, ist ein erfahrener Anwender genauso angeschmiert, er kann die Folgen meinetwegen mit chroot oder ka was abmildern, aber mehr auch nicht.

 

[Daaron]

Tja, siehste... ich blätter regelmäßig durch unsere Logs und passe die Strategie noch etwas an. Es ist halt nicht nur Hintergrundrauschen.

 

[kernel panic]

Hmmm wir betreiben keiner Server im Internet/DMZ. Und unser Mailserver ruft diese auch nur von einem externen ab und da haben wir keine Adminrechte (wir können nicht einmal E-Mailadressen anlegen). Daher lässt unsere Firewall nichts von außen durch, außer VPN.