Distro Empfehlung für Home Server (ZFS, Nextcloud)

[foo_1337]

Ich wäre mir halt nicht sicher, ob das nicht bei einem LTS release auch passiert wäre. ZFS ist bei Linux Distros nach wie vor ein sehr seltener use case und ich kann mir nicht vorstellen, dass da viele Regression Tests gemacht werden. Bei Ubuntu 21.10, ja kein LTS, hat es ja nichtmal dazu gereicht, dass man das ganze noch vor Release fixed, sondern hat sich dazu entschieden, das einfach nur in die release notes zu schreiben.
ZFS hat bei FreeBSD einfach einen viel höheren Stellenwert als bei jeglicher Linux Distro. Und für derartige Experimente wären mir meine Daten dann zu wichtig.

 

[Uridium]

ZFS hat bei FreeBSD einfach einen viel höheren Stellenwert als bei jeglicher Linux Distro. Und für derartige Experimente wären mir meine Daten dann zu wichtig.

Wo wären denn deine wichtigen Daten, bzw. was ist bei dir "nicht experimentell"?

 

[foo_1337]

Wie gesagt, FreeBSD anstatt ZoL

 

[jb_alvarado]

ZFS ist bei Linux Distros nach wie vor ein sehr seltener use case

So selten, dass die BSDler zur Codebasis von ZoL migriert sind?

Selbst TrueNAS will eine Linux Version raus bringen.

Bei Ubuntu 21.10, ja kein LTS, hat es ja nichtmal dazu gereicht, dass man das ganze noch vor Release fixed, sondern hat sich dazu entschieden, das einfach nur in die release notes zu schreiben.

Das ist natürlich ein NoGo, keine Frage.

 

[foo_1337]

Ich stelle nicht die Codebasis in Frage, im Gegenteil.
Ich bezweifle ja lediglich, dass die gängigen Distributionen bei ihren Releases größeres ZFS Testing machen. TrueNAS z.B. würde ich hier tatsächlich vertrauen, da ich von iXsystems viel halte, auch wenn jkh da mittlerweile weg ist

 

[[AlphaRC]Eraser]

Wollte mal fix noch ein update hinterherschieben.

Habe mich fuer Ubuntu 20.04 entschieden und die kiste laeuft nun auch mit fast allen diensten super stabil seit ca. 2 Wochen Vielen Dank fuer eure Mithilfe!

Zwei Punkte an denen ich noch arbeite:

• VNC Server klemmt noch
• WLan nachruesten

Noch eine abschliessende Frage:
Was ist die beste Moeglichkeit um einen SSH Fernzugriff hinter einer Fritzbox einzurichten? Das Ziel ist, dass lokal lediglich der Server angeschaltet werden muss und anschliessend (nach dem boot) alle anderen dienste remote per SSH gestartet werden.

 

[co-pilot]

Lässt sich bei AVM ganz gut nachlesen: Link
Im BIOS muss noch WoL aktiviert werden.
Portfreigaben für SSH dann sollte es laufen.

Hast du ne gui auf deinem Server wohl installiert? Verstehe das mit dem VNC Server nicht.
Über Wlan geht übrigens kein WoL

 

[foo_1337]

Über Wlan geht übrigens kein WoL

WoL nicht, aber WoWLAN
Viel interessanter neben VNC finde ich, dass die Dienste händisch gestartet werden müssen/sollen.

 

[[AlphaRC]Eraser]

Danke fuer den input.
Nur zur Klarstellung, die Kiste muss nicht remote gestartet werden koennen. WoL wird nicht benoetigt, das kann zur Not eine Person vor Ort.

Warum ich die Dienste "haendisch" starten will? Weil die meisten Daten auf einem verschl. ZFS pool liegen und ich daher zunaechst fuer die pw Eingabe per SSH haendisch den pool mounten moechte. Danach kann es ja gern per script weitergehen

Ist die direkte portfreigabe per SSH denn sicher oder sollte man noch ein VPN nutzen?

 

[snaxilian]

Weil die meisten Daten auf einem verschl. ZFS pool liegen und ich daher zunaechst fuer die pw Eingabe per SSH haendisch den pool mounten moechte.

Warum so kompliziert wenn es dafür Lösungen bzw. Alternativen gibt?
Variante 1: Dropbear SSH Zugriff einrichten. $Suchmaschine mit "dropbear ssh luks" füttern, das liefert genug Anleitungen. Musst dann an deine Situation mit encrypted zfs pool anpassen falls möglich. Dienste können dann automatisch starten weil er im Bootprozess hängt und wartet. Theoretisch könnte man den Prozess mit Login und Eingabe mit ansible vereinfachen.
Variante 2: Vorausgesetzt der remote Standort hat eine (oder mehrere statische) IPs ODER ihr habt VPNs zwischen den Standorten: https://withblue.ink/2020/01/19/auto-mounting-encrypted-drives-with-a-remote-key-on-linux.html Hierbei wird das mounten in eine systemd unit ausgelagert die von $Webserver ein keyfile holt, entschlüsselt und mountet. Die Dienste können diese unit dann als Abhängigkeit bzw. Voraussetzung haben.
Variante 2: Vollständig bei RHEL dokumentiert aber auch für andere Distributionen adaptierbar da auf OSS basierend: Network Bound Disk Encryption. Steht das System in einem trusted network und erreicht gewisse Dienste, dann geschieht 'automatisch' eine Entschlüsselung. Klaue ich die Disks oder ganzen Server erreicht dieser beim Boot ja nicht die notwendigen Services und bleibt verschlüsselt. Guter Überblickartikel dazu: https://www.my-it-brain.de/wordpress/network-bound-disk-encryption-im-ueberblick/
Damit kannst tausende VMs verschlüsselt irgendwo laufen lassen und selbst wenn jemand dein SAN klaut kann er damit nix anfangen^^

Ist die direkte portfreigabe per SSH denn sicher oder sollte man noch ein VPN nutzen?

Weder noch denn beides sind verschlüsselte Protokolle. Relevant ist hier die korrekte Konfiguration der Dienste, das vermeiden von schwachen/alten/unsicheren Ciphers, Nutzung von SSH Keys anstatt Kennwörtern und im besten Fall Nutzung von 2FA/MFA, egal ob VPN oder SSH.

 

[foo_1337]

Ich nutze duo (https://duo.com/) Free für MFA mit ssh. Gibt aber noch zahlreiche andere Möglichkeiten. Ich vertraue OpenSSH (richtig konfiguriert, siehe snaxilian) grundsätzlich mehr als jeglicher VPN Lösung.

 

[andy_m4]

Bezieht sich auf die Berechtigungen aber wenn diese irgendwelche Libraries etc. brauchen greifen diese auf die vorhandenen im System zurück. Wird dann anstrengend wenn unterschiedliche Dienste unterschiedliche Versionen als Abhängigkeiten verlangen.

Ich hab ja auch nicht gesagt, das es für JEDEN Anwendungsfall eine Lösung ist. Aber es ist je nach Situation AUCH eine Lösung.

Dann brauche ich aber für jedes einzelne Programm/Dienst den ich betreiben will eigene Datasets/ZVOLs wenn ich diese unabhängig/granular voneinander zurück rollen will ansonsten heißt es ganz oder gar nicht.

Ich wollte ja auch nur darauf hinweisen, das man nicht einfach Dinge zusammenwerfen sollte die eigentlich gar nicht zusammen gehören, auch wenn sie in der Praxis oft eng verwoben sind.
Auch hier wieder: Je nach Situation kann das eine Option sein. Aber natürlich nicht für jede Situation.

Die Welt hat sich seitdem weiter entwickelt und gerade Software ist komplexer und größer geworden. Ja, das bringt dafür Overhead an anderen Stellen mit. Anstatt nur bei einem Server ein Update durchführen zu müssen, muss man dies dann bei fünf Stück machen. Im trivialsten Fall nimmt man dafür SSH Multiplexing oder Tools wie Ansible/Puppet oder vergleichbares.

Genau. Wir haben ein Komplexitätsproblem und versuchen das mit noch mehr Komplexität in den Griff zu kriegen. Das hat irgendwie noch nie funktioniert. Es gilt halt genau zu überlegen, wann man was macht damit man nicht in eine Komplexitätsfalle hineinläuft.

 

[snaxilian]

Ja, wir haben definitiv ein Komplexitätsproblem keine Frage aber wenn die Frage ob man X, Y oder Z wirklich braucht und will bereits mit JA entschieden ist, dann muss man halt gucken wie man das sinnvoll und stabil betreiben kann.
Wenn ich also die Komplexität nicht reduzieren kann oder will, dann muss ich gucken wie ich diese Komplexität möglichst gut/einfach/simpel/schnell verwalten kann. Brauche ich dafür dann noch weitere Software/Dinge und erhöhe ich noch mehr Komplexität? Ja aber solange der Aufwand dafür am Ende oder in absehbarer Zeit geringer ist als die ursprüngliche Komplexität bzw. das ursprüngliche Problem, dann nimmt man das eben in Kauf.
Die Alternative heißt Verzicht und Reduzierung aber das bekommen wir als Menschheit schon bei physischen und greifbaren Dingen nicht in den Griff und bei abstrakten Dingen wie Software verstehen das dann noch weniger oder sind nicht bereit auf den Komfortgewinn zu verzichten.

 

[Skysnake]

Jup und daher denke ich, dass die Wahl mit Ubuntu nicht schlecht ist. Mit nem LTS hat man ne ganze Zeit Ruhe und die Migrationen sind auch ganz gut getestet. Das ZFS von Ubuntu auch supported wird hat man da auch nen Vorteil. Tja und der TE kennt aich damit schon aus. Dann lieber an anderer Stelle Zeit versenken und was lernen.