Linux Server mit VM

[Abul]

Dann zahlst du 5€ im Monat zur Stromrechnung dazu

 

[HoneyBadger]

Das kommt wohl nicht hin. Gehen wir mal davon aus, dass das Gerät im Schnitt 100 Watt zieht. Bei 24/7 wären das gut 300 € im Jahr. Bei 12/7 nur noch 150 €. Dafür bekomme ich ja schon eine halbwegs große Festplatte.

 

[Abul]

Dann zahlst du 10€ im Monat zur Stromrechnung dazu

/fixed
Ist son On/Off Betrieb nicht eher schädlich für die Hardware, gerade die Festplatten? Ich lass meinen Server bewusst 24/7 laufen.

 

[Metal_Warrior]

Mein Desktop ist zur Zeit ein Flaschenhals im Netzwerk.

Gut, dann macht es tatsächlich Sinn. Letztendlich liegt es dann aber nicht am OS, sondern am verwendeten Client. Ne Weboberfläche ist da der Weg, den du gehen willst.

Bei uns zahlt meine Partnerin den Strom. Ich glaube nicht, dass ich ihr 24/7 schmackhaft machen kann. :P
Daher müsste ich schon mit WOL arbeiten. Der Standby muss ja nicht gleich nach 5 min Inaktivität starten. Aber nachts zum Beispiel, macht der Betrieb keinen Sinn.

Es gibt da mehrere Probleme:
1. Wenn du keine IP hast, kannst du AFAIK kein WOL triggern. Der Server verteilt aber die IPs mittels DHCP. Da beißt sich die Katze in den Schwanz.
2. Wenn du verschlüsselst, musst du bei jedem Neustart die Platten entschlüsseln. Ist umständlich...
3. Ich bin mir nicht sicher, wie das Streaming läuft, aber wenn das via Broadcast läuft, dann triggert dir auch dein Fernseher kein WOL.

Habe noch mal nach einem alternativen Netzteil geschaut. Was haltet ihr von diesem?

https://www.mindfactory.de/product_...den-Green-HX-Non-Modular-80--Gold_944618.html

Sieht brauchbar aus.

Zu guter Letzt:
Du willst einen Server stellen, das Ding soll auch noch ein Bolide sein. Dass du dir damit ne signifikante Steigerung des Strombedarfs einkaufst, dürfte dir doch von vornherein klar gewesen sein, oder etwa nicht? Zumal, und das steht auch schon öfter im Thread, ist An/Aus/An/Aus ziemlich schlecht für so ziemlich alle Komponenten im System, insbesondere Festplatten hassen sowas.

 

[LadyRavenous]

Ist son On/Off Betrieb nicht eher schädlich für die Hardware, gerade die Festplatten? Ich lass meinen Server bewusst 24/7 laufen.

Tendentiell ja. Ich musste ne Zeit lang mein NAS so betreiben, hat zum Glück nichts ausgemacht, aber man sollte es eigentlich vermeiden.

 

[nik]

@HoneyBadger: Dein Durchschnitt ist aber auch ziemlich hoch angesetzt. Da du keine Grafikkarte verbaut hast und der Server die meiste Zeit eher vor sich hin idlen dürfte, kannst du da noch mal gut nach unten korrigieren.

 

[HoneyBadger]

Gut, wenn das für die Hardware schlecht ist, macht das mit dem abschalten wirklich keinen Sinn. Verstehe. Dann muss ich die Stromrechnung wohl tatsächlich etwas bezuschussen. Das der Server Strom verbraten wird, ist mir natürlich klar.

Können WD black den 24/7 Betrieb denn ab? Denke 2 Monate werde ich die zum Übergang beim Aufbau des Raids nutzen. Wobei die Platten wohl bei nicht Gebrauch in den Standby gehen werden.

 

[virtus]

Was bringt es ihm also konkret, wenn es nun zu einer Kompromittierung kommt?

Wenn nun eine VM kompromittiert wurde, wäre es fahrlässig davon auszugehen, dass nur die VM betroffen ist.

Nehmen wir an, sein Plex Server wird, wegen einer Sicherheitslücke im WebUI kompromittiert.
Dann musst du "nur" die VM mit Plex in die Tonne treten und eine neue VM mit gepatchtem Plex aufsetzen.
DNS, DHCP, etc ... sind davon alle nicht betroffen und können ohne Beeinträchtigung weiter betrieben werden.
Läuft alles auf einem einzigen System, musst du alles in die Tonne treten und neu aufsetzen.

Wie gesagt, das erhöht nur den Konfigurationsaufwand, macht das Setup unübersichtlicher

Stimmt, Bridged Network zu konfigurieren ist der unmöglich zu konfigurieren.

Hast du auch für jedes Programm auf deinem Computer ein separates Betriebssystem laufen?

Der Vergleich von Desktop und Server sowie den jeweils darauf laufenden Programmen..
Die Diskussion ist an der Stelle für mich beendet.

 

[nik]

Nehmen wir an, sein Plex Server wird, wegen einer Sicherheitslücke im WebUI kompromittiert.
Dann musst du "nur" die VM mit Plex in die Tonne treten und eine neue VM mit gepatchtem Plex aufsetzen.
DNS, DHCP, etc ... sind davon alle nicht betroffen und können ohne Beeinträchtigung weiter betrieben werden.
Läuft alles auf einem einzigen System, musst du alles in die Tonne treten und neu aufsetzen.

Und woher weiß er, dass das Einfallstor die Plex Web UI war und nicht andere Sicherheitslücke oder ein Konfigurationsfehler?
Woher will er dann wissen, dass nur die VM mit dem Plex Server kompromittiert wurde und nicht auch die anderen VMs oder der Host?

Im Fall einer Kompromittierung müsste er eh ein vorhandenes Backup einspielen. Je nach Sicherheitsbedürfnis und Unwissen, welche Systeme nun betroffen sind, für alle VMs und ggf. auch für den Host. Bei einem System hat er ein System wiederherzustellen.
Wichtigste ist hier eine gute Backupstrategie.

Stimmt, Bridged Network zu konfigurieren ist der unmöglich zu konfigurieren.

Hat keiner behauptet, ist nur einfach unnötig.

Der Vergleich von Desktop und Server sowie den jeweils darauf laufenden Programmen..

Weil sich Programme auf nem Desktoprechner nicht in die Quere kommen können?

Ich versteh deine Argumentation nicht.
Jemand, der keine 5 unzusammenhängenden Dienste auf nem Server betreiben kann, soll stattdessen besser 5VMs einrichten, richtig skalieren, betreiben und warten? Und das als Homeserver auf den man nur im Heimnetzwerk Zugriff hat?

Worauf willst du hinaus? Was ich da sehe, ist dass du jetzt unbedingt bestätigen möchtest, dass VMs sinnvoll sind. Dem widersprech ich auch nicht. Halte das hier aber einfach für den falschen Ansatz, da es nur um einen Homeserver geht und deine angebrachten Argumente hier eben nicht zum Tragen kommen.

 

[Metal_Warrior]

Können WD black den 24/7 Betrieb denn ab? Denke 2 Monate werde ich die zum Übergang beim Aufbau des Raids nutzen. Wobei die Platten wohl bei nicht Gebrauch in den Standby gehen werden.

Ja, die können das. Jede Festplatte kann das, sofern sie zwischen 35 und 45°C betrieben wird. Bei mir laufen WD Green im Server. BTW: Es kann gut sein, dass dir die Platten nie in den Standby gehen - wenn sie in einem RAID laufen. Zumindest meine scheinen nie anzufahren. Das ist aber auch nicht schlimm, ganz im Gegenteil, und der Stromverbrauch hält sich in Grenzen (es muss ja nur die Rotationsgeschwindigkeit der Platten erhalten werden).

Nehmen wir an, sein Plex Server wird, wegen einer Sicherheitslücke im WebUI kompromittiert.

Dann war der Angreifer im internen Netzwerk, dann haben wir ganz andere Probleme.

Nochmal: Eine VM kann nur ein Baustein in einer Sicherheitsstrategie sein, nicht der zentrale Aspekt. Wenn man es ohne Sicherheitseinbußen vermeiden kann, eine VM zu betreiben, sollte man das IMHO auch tun.

 

[virtus]

Ich glaube dir ist der Unterschied zwischen Desktop und Server nicht ganz klar.

Und woher weiß er, dass das Einfallstor die Plex Web UI war und nicht andere Sicherheitslücke oder ein Konfigurationsfehler?

Ein Server sollte nur eine sehr überschaubare und genau kontrollierte Menge von Diensten anbieten. Wenn da nur ein Plex Server läuft und von außen erreichbar ist, dann ist auch nur der als Einfallstor möglich.

Woher will er dann wissen, dass nur die VM mit dem Plex Server kompromittiert wurde und nicht auch die anderen VMs oder der Host?

Der Host sollte im Idealfall von außerhalb überhaupt nicht erreichbar sein. Einzig und alleine die Guests.
Der Host kann folglich von außen überhaupt nicht direkt angegriffen werden.
Einzige und äußerst unwahrscheinliche Ausnahme, die ich auch bereits erwähnt habe, jemand schafft es, aus der Virtualisierungsumgebung auszubrechen.
Für den Rest siehe weiter oben.

Im Fall einer Kompromittierung müsste er eh ein vorhandenes Backup einspielen.

Eigentlich sollte er genau das nicht machen. Sonst stellt er den gleichen Dienst mit der gleichen Sicherheitslücke genauso wieder her. Eine Neuinfektion ist dann nur eine Frage von Minuten.
Eigentlich solltest du ein System dann neu aufsetzen. Je nachdem, ob die Sicherheitslücke aus einer fehlerhaften Konfiguration oder einer Lücke in der Software selbst resultiert, muss dann entweder eine angepasste Konfig oder eine gepatchte Version der Software eingesetzt werden.

Hat keiner behauptet, ist nur einfach unnötig.

Ja, eigentlich sind PCs ja auch unnötig. Er soll einfach in eine Waldhütte ohne Strom, Wasser, Gas ziehen.

Weil sich Programme auf nem Desktoprechner nicht in die Quere kommen können?

--- [2017-07-17 16:42 CEST] Automatisch zusammengeführter Beitrag ---

Eine VM kann nur ein Baustein in einer Sicherheitsstrategie sein, nicht der zentrale Aspekt.

Ich habe nie gesagt, dass das die einzige Maßnahme bleiben soll. Ich sage nur, dass das Vorgehen durchaus sinnvoll ist.

 

[HoneyBadger]

@virtus: Zum Thema Plex: Den Zugriff von außen stelle ich mir eigentlich wie folgt vor.

- Plex Media Server, Streaming intern und extern. Extern jedoch nur nach Zugriff über eigenen VPN.

 

[nik]

@virtus: Du hast schon verstanden, dass es um nen Server bei ihm zu Hause geht, der Dienste im lokalen Netzwerk anbietet?

 

[drfuture]

Virtualisierung ist eine nette Sache, aber nur nötig wenn man von speziellen Features jener profitieren möchte (viele getrennte Kunden umgebungen, snapshots -wobei das auch ohne geht, standardisierte hardware layer, dynamisch Ressourcen beurteilen z.b.)
In größeren Firmen wenn man eh sehr viele Server virtualisiert kann man dann auch Dienste virtualisierten die das nicht benötigen da der overhead Dank Automation gering gehalten werden kann.

Sonst bin ich aber definitiv ebenso für keep it simple.
So unwahrscheinlich ist der Ausbruch aus einer vm nicht wie dieses Jahr schon zu sehen war. Dann muss zeitnahe die Visualisierung gepatched werden falls man es überhaupt mit bekommt, schließlich ist das nicht von jedem hier der Job. Und das geht auch bei Linux nicht ohne Neustart.

Schon Probleme mit einem Dienst kommen meist daher das man sein Setup nicht begriffen hat, von Lücken ganz zu schweigen.
*nur plex* ist auch so eine Aussage, ein Eindruck kann immer noch über z.b. Nfs/smb (irgentwie müssen die Daten zu plex kommen), web( php, mysql, ..), dlna, ssh kommen..

 

[Mr. White]

Ist son On/Off Betrieb nicht eher schädlich für die Hardware, gerade die Festplatten? Ich lass meinen Server bewusst 24/7 laufen.

Tendentiell ja. Ich musste ne Zeit lang mein NAS so betreiben, hat zum Glück nichts ausgemacht, aber man sollte es eigentlich vermeiden.

Ja, die können das. Jede Festplatte kann das, sofern sie zwischen 35 und 45°C betrieben wird. Bei mir laufen WD Green im Server. BTW: Es kann gut sein, dass dir die Platten nie in den Standby gehen - wenn sie in einem RAID laufen. Zumindest meine scheinen nie anzufahren. Das ist aber auch nicht schlimm, ganz im Gegenteil, und der Stromverbrauch hält sich in Grenzen (es muss ja nur die Rotationsgeschwindigkeit der Platten erhalten werden).

Also macht es – sofern einem der Stromverbrauch egal ist – nicht nur Sinn, den Server immer laufen zu lassen, sondern auch die Festplatten niemals in den Ruhezustand zu schicken? Ich war mir nie sicher, ob 24/7 Betrieb oder Ruhezustand nach 4 Stunden Inaktivität für meine WD Reds besser ist.

 

[nik]

Muss man abwägen, wie viele Ruhepausen du zwischendurch hast.

Allgemein gilt:
Bewegung -> Verschleiß
Festplatten anfahren -> mehr Bewegung -> mehr Verschleiß

Wenn du also längere Zeit nicht auf die Festplatten zugreifst, so dass das allgemeine Rotieren mehr Verschleiß bedeutet, als das einmalige Anfahren, macht das Parken durchaus Sinn.

 

[virtus]

So unwahrscheinlich ist der Ausbruch aus einer vm nicht wie dieses Jahr schon zu sehen war.

Richtig, es gibt jetzt einen Fall, in dem Hacker aus einer Virtualisierungsumgebung ausbrechen konnten.
Wie viele Fälle von fehlerhafter Software oder fehlerhaften Konfigurationen sind dir bekannt, in denen Hacker Zugriff auf das System erlangen konnten?
Zumal du dir auch ins Bewusstsein rufen solltest, dass Hacker mit diesen Lücken nicht unbedingt hausieren gehen und sie wenn für VIPs vorhalten.

Dann muss zeitnahe die Visualisierung gepatched werden falls man es überhaupt mit bekommt, schließlich ist das nicht von jedem hier der Job. Und das geht auch bei Linux nicht ohne Neustart.

Korrekt, irgendwann muss man ein Update fahren. Das muss aber so oder so in regelmäßigen Abständen gemacht werden. Und da er den Server ohnehin über Nacht abschalten möchte.. wo ist dein Problem?

*nur plex* ist auch so eine Aussage, ein Eindruck kann immer noch über z.b. Nfs/smb (irgentwie müssen die Daten zu plex kommen), web( php, mysql, ..), dlna, ssh kommen..

Richtig, die Daten müssen irgendwie auf den Server kommen. Aber Plex ist in dem Szenario der einzige Dienst, über den eingebrochen werden kann.
PHP und MySQL laufen da nicht und stellen somit auch keine potentielle Sicherheitslücke für die VM dar. Klar soweit?

20 Dienste auf einem Server = 20 Dienste, die die Gefahr einer Sicherheitslücke bringen
20 VMs mit 1 Dienst je virtuellem Server = 1 Dienst je VM, der die Gefahr einer Sicherheitslücke bringt

 

[BurnerR]

Habt ihr eigentlich zwischenzeitlich den Konsens produziert, dass jemand, der überhaupt noch nie was mit Linux/Servern gemacht hat und sich für die Kids jetzt einen Homeserver hinstellt nicht die Zielgruppe für Isolierung von Diensten mit VMs ist?

 

[Metal_Warrior]

@Mr. White: Genau das. Technische Geräte mögen konstante Bedingungen. Änderungen sind immer verschleißfördernd, sei es in Bezug auf Temperatur, Nutzung, Statusänderung etc.

--- [2017-07-17 21:43 CEST] Automatisch zusammengeführter Beitrag ---

@virtus: Kapiers endlich, Virtualisierung ist Overkill, in diesem Fall sowie in fast jedem anderen Fall, der irgendwas mit Heimanwendung zu tun hat. Wie viele Fachleute müssen dir das jetzt noch sagen? Das BESCHISSENE Plex läuft nur intern, daher egal, und die einzige Möglichkeit, von Außen dran zu kommen, ist OpenVPN. Wenn also irgendwo ne sicherheitsrelevante Schwachstelle ist, dann dort.

 

[virtus]

Habt ihr eigentlich zwischenzeitlich den Konsens produziert, dass jemand, der überhaupt noch nie was mit Linux/Servern gemacht hat und sich für die Kids jetzt einen Homeserver hinstellt nicht die Zielgruppe für Isolierung von Diensten mit VMs ist?

Ich zitiere gerne nochmal eine der ersten Aussagen, die ich in diesem Thread getroffen habe:

Das Setup, das dir vorschwebt ist prinzipiell brauchbar und sinnvoll, allerdings setzt das schon einiges an Wissen und Erfahrung voraus. (...) Da du jedoch über keine Linux-Kenntnisse verfügst, würde ich dir aber davon abraten.

Es mag sein, dass man ein solches Setup im Privatbereich "nicht braucht" oder dass es dort "overkill" ist, das ändert jedoch nichts an der Tatsache, dass es prinzipiell ein sinnvolles Vorgehen sein kann. Da können selbsternannte Fachleute argumentieren, wie sie wollen.

Außerdem sollte man auch beachten, dass es ein expliziter Wunsch des TS ist. Wäre es eine selten dämliche Idee, hätte ich zwar davon abgeraten, aber das ist es nun mal nicht.