Sicheres Heimnetzwerk mit Linux

Hallo alle zusammen,

aufgrund aktueller Ereignisse habe ich mich entschlossen meine komplette Heimnetzarchitektur eventuell zu überarbeiten.

Zunächst einmal sollte ich vieleicht sagen was ich überhaupt bezwecke bzw. was mein Ziel ist das ich erreichen will.

Mein primäres Ziel ist zunächst ein sicheres Heimnetzwerk, das sowohl Kabelgebundene als auch Kabellose Clients, Windows wie Linux gleichermaßen Aufnehmen kann.

Außerdem möchte ich auf einen Server heraus, der a) so sicher wie möglich ist, aber b) so wenig Raum und Strom wie möglich verbraucht. Dieser sollte aber auch c) so Ausfallsicher wie möglich sein.

Eben um im Falle eines Hardware defektes so schnell wie möglich zumindest die wichtigsten Konfigurationen und Einstellungen gesichert zu haben.

Was ebenfalls ein GANZ wichtiger Grund ist, das der später auf dem Server laufenden Mailserver folgendes kann:

Ich will einen Mailserver der von einem deffinierten Postfach E-Mails abholt und E-Mails aus dem Heimnetzwerk auch über diesen voreingestellten E-Mail Account Mails via SSL verschickt.

Dieser lokale Mailserver soll eine Weboberfläche haben, die ich aus dem Internet erreichen kann.

Der Clou daran ist aber das der Mailserver die Mails an bestimmte Absender automatisch verschlüsseln und signieren soll. So das ich also auch per Webmail eine E-Mail schreiben kann und diese beim Empfänger verschlüsselt ankommt. Denn mich kotzt es an das ich wenn ich nicht gerade daheim bin, von nirgendwo verschlüsselte E-Mails verschicken kann. Ebenso würde ich gerne meine E-Mails per Webinterface entschlüsseln können.

Geht sowas überhaupt?

Nun zu den technischen Möglichkeiten und Gegebenheiten.

Ich habe derzeit 2 Router:
1 x AVM Fritz Box Fon
1 x Netgear WGR 614 (Revision 1) mit der Beta Firmware 1400
1 x 5 Port Switch (no name) ohne Zusatzfunktionen

1 x PC 466 MHz (Desktop Gehäuse) mit 256 MB RAM, in diesem Steckt momentan eine 40GB IDE Platte und ein DVD ROM Laufwerk. Disketten Laufwerk gibt es nicht mehr. Das Ding würd ich als Plattform für den Server vorsehen. (Rechner 1)

1 x PC Athlon 2000+ XP (Midi Tower Gehäuse) mit 512 MB RAM (oder waren es schon 1024??), in diesem Steckt momentan ein DVD +/- R/RW von Sony und ein anderes DVD ROM Laufwerk. Weiterhin stecken derzeit eine 18GB und eine 9GB SCSI Platte da drin. Genauso wie eine 120GB SCSI Platte. (Rechner 2)

Auf Rechner 1 befindet sich derzeit ein Windows XP (welches KEINE wichtigen Daten enthält und Problemlos platt gemacht werden kann)

Auf Rechner 2 befindet sich derzeit mein nur zu 75% funktionierendes Linux (Debian Sarge). Hier müssten nur die wichtigen Daten wie PGP Key, E-Mails, sources.lst und andere Kleinigkeiten irgendwie gesichert werden. So das ich sie später wieder verwenden kann.

Unwichtigere Peripherie wie Scanner usw. lasse ich jetzt mal außen vor, die haben nix mit dem Thema zu tun.

Was würdet ihr raten ist a) die beste und vernünftigste Hardware konstellation um oben genannte Ziele zu erreichen b) die beste Software technische Wahl um meine Ziele zu erreichen?!

Ich persönlich möchte/würde eigentlich gern bei Debian bleiben. (Aus teils persönlichen, teils technischen Gründen)

Gandalf_the_Grey schrieb:

Mein primäres Ziel ist zunächst ein sicheres Heimnetzwerk, das sowohl Kabelgebundene als auch Kabellose Clients, Windows wie Linux gleichermaßen Aufnehmen kann.

Zum Vergrößern anklicken....

Afaik hapert es unter Linux noch mit WPA-PSK - eventuell wirst du hier auf VPN ausweichen müssen.

Gandalf_the_Grey schrieb:

Außerdem möchte ich auf einen Server heraus, der a) so sicher wie möglich ist, aber b) so wenig Raum und Strom wie möglich verbraucht. Dieser sollte aber auch c) so Ausfallsicher wie möglich sein.

Eben um im Falle eines Hardware defektes so schnell wie möglich zumindest die wichtigsten Konfigurationen und Einstellungen gesichert zu haben.

Zum Vergrößern anklicken....

Regelmäßig - vorallem nach Konfig-Änderungen / Updates das Serversystem sichern - im Runlevel 1 geht das ganz leicht übers Netzwerk.
Stromverbrauch und Ausfallsicherheit beißt sich ein bißchen - 2 Platten (im RAID) verbrauchen mehr als 1 ... ansonsten kannst du sicher auf das DVD-LW und die Grafikkarte verzichten (Kleinvieh macht auch Mist *g*) und ggf. den Prozessortakt ein wenig senken.

Gandalf_the_Grey schrieb:

Ich will einen Mailserver der von einem deffinierten Postfach E-Mails abholt und E-Mails aus dem Heimnetzwerk auch über diesen voreingestellten E-Mail Account Mails via SSL verschickt.

Zum Vergrößern anklicken....

Exim4 in Kombination mit Fetchmail sollte hier gute Dienste leisten - SSL - k.A. - geht bei Strato leider nicht ...

Gandalf_the_Grey schrieb:

Dieser lokale Mailserver soll eine Weboberfläche haben, die ich aus dem Internet erreichen kann.

Zum Vergrößern anklicken....

Brauchst du das oft? Ansonsten würd ich mich vielleicht lieber mit div. Konsolenprogrammen und einem SSH Zugang zufriedengeben.

Gandalf_the_Grey schrieb:

1 x PC 466 MHz (Desktop Gehäuse) mit 256 MB RAM, in diesem Steckt momentan eine 40GB IDE Platte und ein DVD ROM Laufwerk. Disketten Laufwerk gibt es nicht mehr. Das Ding würd ich als Plattform für den Server vorsehen. (Rechner 1)

1 x PC Athlon 2000+ XP (Midi Tower Gehäuse) mit 512 MB RAM (oder waren es schon 1024??), in diesem Steckt momentan ein DVD +/- R/RW von Sony und ein anderes DVD ROM Laufwerk. Weiterhin stecken derzeit eine 18GB und eine 9GB SCSI Platte da drin. Genauso wie eine 120GB SCSI Platte. (Rechner 2)

Was würdet ihr raten ist a) die beste und vernünftigste Hardware konstellation um oben genannte Ziele zu erreichen b) die beste Software technische Wahl um meine Ziele zu erreichen?!

Ich persönlich möchte/würde eigentlich gern bei Debian bleiben. (Aus teils persönlichen, teils technischen Gründen)

Zum Vergrößern anklicken....

Der 466er ist für einen Nutzer vollkommen ausreichend und warum die Distri wechseln - Debian ist hier imo die beste Wahl.

atomical schrieb:

Afaik hapert es unter Linux noch mit WPA-PSK - eventuell wirst du hier auf VPN ausweichen müssen.

Zum Vergrößern anklicken....

Ich hatte vergessen zu erwähnen das der Zugang zum WLAN über den Router von netgear läuft. Das WLAN Modul wird eh nur bei Bedarf aktviert so das hier WPA bzw. WEP mit 128Bit vollkommen ausreichen sollte.

atomical schrieb:

Regelmäßig - vorallem nach Konfig-Änderungen / Updates das Serversystem sichern - im Runlevel 1 geht das ganz leicht übers Netzwerk.

Zum Vergrößern anklicken....

Jo, das ist denke ich das gerinste Problem. Weiß zwar jetzt nicht was du mit Runlevel 1 meinst, aber das das System regelmäßig die aktuelles Patches bekommen sollte war mir klar.

atomical schrieb:

Stromverbrauch und Ausfallsicherheit beißt sich ein bißchen - 2 Platten (im RAID) verbrauchen mehr als 1 ... ansonsten kannst du sicher auf das DVD-LW und die Grafikkarte verzichten (Kleinvieh macht auch Mist *g*) und ggf. den Prozessortakt ein wenig senken.

Zum Vergrößern anklicken....

DVD Laufwerk hast du recht. Das kann ich nach der Installation tatsächlich ausbauen. Graka geht leider nicht da diese auf der kleinen Kiste (Rechner 1) onboard ist. Mir ist Ausfallsicherheit höherwertiger als Stromverbrauch. 2 Platten sind also durchaus kein Thema. Die Konstellation an Festplatten soll bzw. muss nicht so bleiben. Kann durchaus noch was an der Konfiguration ändern.

atomical schrieb:

Gandalf_the_Grey schrieb:

Dieser lokale Mailserver soll eine Weboberfläche haben, die ich aus dem Internet erreichen kann.

Zum Vergrößern anklicken....

Brauchst du das oft? Ansonsten würd ich mich vielleicht lieber mit div. Konsolenprogrammen und einem SSH Zugang zufriedengeben.

Zum Vergrößern anklicken....

Ja brauche ich deffinitv! Da ich z.B. von der Arbeit oder anderen Lokations keine SSH Verbindung zum Server aufbauen kann und will. Von daher brauche ich deffinitiv ein Webmail Frontend das per SSL verschlüsselt wird.

Im Runlevel 1 läuft kein Dienst mehr - man kann dann / ro mounten und bedenkenlos mit tar übers Netzwerk (dazu SSH starten) sichern.

Sicherung übers Netzwerk? Wäre eine automatische tägliche Sicherung nicht besser?

Die Kiste soll übrigens später folgende Dienste bereit stellen:

FTP (eher sogar FTP vis SSL also VSFTP) (erreichbar aus Internet und lokalem Netz)
Webserver (erreichbar aus dem normalen Netz und dem Internet)
Proxy mit Authentifizierung der User (soll ja nicht jeder ins Internet können)
DNS (fürs Interne Netz)
eventuell DHCP (vieleicht verwende ich auch die DHCP funktion des Netgear Routers)
SSH Server
Firewall (die das Interne Netz schützt, bleibt wohl kaum aus)
NTP Server
MySQL Server
Mailserver
Packetserver (für meine(n) anderen Debian Rechner. Will ja schließlich nicht alle Packete doppelt und dreifach laden)

Ich dachte übrigens für den Servern an eine Installation in der Variante User Mode Linux.

Eventuell dachte ich noch an eine Samba Installation. Aber das wohl doch eher nicht. Das kann ich auch auf meinem Arbeitsplatzrechner installieren. Ist vermutlich auch besser.

Sagt mal wie läuft das unter Linux eigentlich mit dem usermanagment?

Ich rede davon ob es sowas wie das Domänen Konzept unter Windows auch unter Linux gibt. Kann ich z.B. auch auf dem Server User anlegen und mich mit selbigen an Client PC's anmelden?!

Ich kenne nur die Windows Seite, das pendent auf Linux Seite ist mir unbekannt. Ich will eben eine Möglichkeit für ein zentrales Usermanagment schaffen.

Gandalf_the_Grey schrieb:

Ich rede davon ob es sowas wie das Domänen Konzept unter Windows auch unter Linux gibt. Kann ich z.B. auch auf dem Server User anlegen und mich mit selbigen an Client PC's anmelden?!

Zum Vergrößern anklicken....

stichwort ist openldap ... hier http://www.linux-magazin.de/Artikel/ausgabe/2001/05/openldap/openldap.html mal was dazu, oder einfach mal google fragen ...

greetz

hugo

AAAHHH, danke für den Hinweis. Wusste nicht mal wie sich das ganze unter Linux schimpft. Deswegen meine Frage *g* Danke für den Hinweis   :-*

[EDIT]
Aua, mir brummt der Schädel. Ich stelle gerade fest das ich zwar weiß was ich will, aber wohl derzeit keinen Durchblick habe wie das annähernd zu realisieren ist. Ich habe so das Gefühl das meine Idee bzw. mein Traum schneller platzt als er für die Entstehung gebraucht hat. Ich hasse es inkompetent zu sein.
[/EDIT]

naja, ldap für den reinen hausgebrauch einzusetzen, ist schon ein bisschen heftig, vor allem wenn du ja so wenig kisten bzw. user zu administrieren hast (oder steckt da mehr dahinter, z.b. eine firma etc.?). dns kannst du eigenlich auch weglassen, die namensauflösung kannst du auch über die /etc/hosts erledigen und würde dir einiges an ärger ersparen. wenn du dann immernoch den drang nach einer domäne bzw. einem verzeichnisdienst verspührst, kannst du ja nochmal anfangen und dein system neu planen bzw. neu aufsetzten ...

greetz

hugo

Ne, ist wirklich nur für den reinen Heimgebrauch. Aber ich will das ganze halt auch als Test und Bildungsumgebung benutzen. Deswegen möchte ich ja ganz gerne erstmal eine Architektur auf die Beine stellen die a) sicher ist für den täglichen gebraucht aber auch b) sämtliche Bereiche anschneidet mit denen auch im Professionellen Umfeld gearbeitet wird. Ich will aber eben, in erster Linie, ein paar (weiter oben genannte) Träume verwirklichen. Z.B. den oben genannten speziell konfigurierten Mail Server usw.

Ich bin halt leider Gottes perfektionist und zu allem überfluss absoluter Linux Noob. Als letzes wäre eben noch zu erwähnen das ich von vielen Dingen nur sehr Oberflächlich Wissen besitze!

Bin eben weder vom Fach, noch ein Mensch der gut mit Dokumentationen klar kommt. Ich lerne am besten durch die Konversation mit Leuten vom Fach.

Aber zurück zum Thema.

Das Thema Domäne werde ich wohl wirklich GÄNZLICH zurück stellen. DNS wollte ich allerdings nicht unbedingt ad acta legen.

Hallo,

FTP (eher sogar FTP vis SSL also VSFTP) (erreichbar aus Internet und lokalem Netz)
Webserver (erreichbar aus dem normalen Netz und dem Internet)
Proxy mit Authentifizierung der User (soll ja nicht jeder ins Internet können)
DNS (fürs Interne Netz)
eventuell DHCP (vieleicht verwende ich auch die DHCP funktion des Netgear Routers)
SSH Server
Firewall (die das Interne Netz schützt, bleibt wohl kaum aus)
NTP Server
MySQL Server
Mailserver
Packetserver (für meine(n) anderen Debian Rechner. Will ja schließlich nicht alle Packete doppelt und dreifach laden)

Ich dachte übrigens für den Servern an eine Installation in der Variante User Mode Linux.

Eventuell dachte ich noch an eine Samba Installation. Aber das wohl doch eher nicht. Das kann ich auch auf meinem Arbeitsplatzrechner installieren. Ist vermutlich auch besser.

Zum Vergrößern anklicken....

Hmm, gut ich würd' kein Debian nehmen, aber das ist ja nicht wichtig
Als FTP auf jedenFall vsftpd
Webserver kannste ja gleich im SSl-Modus laufen lassen wegen der Webmail Geschichte kenne ich mindestens 3-4 Clients
Wenn DHCP und das würd' ich machen das auf jeden Fall mit DNS, vielleicht sogar DynDNS und auf jeden Fall den von LINUX und nicht das rudimentäre Ding vom Router
SSH ist überall dabei
Ntp nun gut
MySQL ist eigentlich auch kein Problem
MailServer, Hmm Sendmail, Postfix mit Spamassassin und mit besagten Webmail Client, vielleicht über einen seperaten SSL-Webserver
Firewall ist gut, aber Samba darauf Hmm nicht so gut wenn du mehrer Karten drin hast und samba sauber konfigurierst geht's

Dann Proxy mit Authentifizierung per Win-Dom-Controller ,per LDAP wie @hp schon sagte macht dann auch Sinn weil du kannst dann deine Clients über LDAP mit einer Samba-Domain, denn Proxy über LDAP authentifizieren, den Webserver auch und auch Sendmail, bei Postfix glaub ich gehts auch, und auch vsftp geht über LDAT zu authentifizieren

schau mal hier
http://griebel-hoyerswerda.dyndns.info/

Gandalf_the_Grey schrieb:

Sicherung übers Netzwerk? Wäre eine automatische tägliche Sicherung nicht besser?

Zum Vergrößern anklicken....

Ich meinte rein das OS mit den Einstellungen und Programmen - da ändert sich (wenn alles fertig konfiguriert ist) nichts wichtiges mehr, so dass man auf eine tägliche Sicherung verzichten kann.
Wie die Nutzerdaten zu behandeln sind, muss man für sich selbst entscheiden.

Gandalf_the_Grey schrieb:

Packetserver (für meine(n) anderen Debian Rechner. Will ja schließlich nicht alle Packete doppelt und dreifach laden)

Zum Vergrößern anklicken....

apt-proxy

Dateitransfer kann man auch über SSH auch erledigen.

Hallo,

die conf-Dateien kann man per cron sichern, ebenso den Webserver und Mysqlserver

was willst du sonst noch sichern?

KerstenG schrieb:

die conf-Dateien kann man per cron sichern, ebenso den Webserver und Mysqlserver

Zum Vergrößern anklicken....

Und was nützen dir ein paar conf Dateien, wenn dir die Platte abstirbt? Die Installiererei geht dann trotzdem wieder von vorne los.

Also der Server soll deffinitv 2 Netzwerkkarten bekommen. Er dient ja quasi als Router zwischen 2 Netzen.

Es soll ja wie folgt sein.

Internet (WAN) -> AVM Router -> Linux Server Netzwerkkarte 1

Linux Rechner Netzwerkkarte 2 -> Netgear Router -> LAN / WLAN

Auf den AVM Router kann ich nicht verzichten weil er das DSL Modem integriert hat und außerdem mein Telefon mit VOIP versorgt.

Auf den Netgear Router kann ich nicht verzichten weil der meinen Access Point beinhaltet.

Wie gesagt, mit Samba auf dem Server habe ich abgeschlossen. Muss auch an der Stelle nicht sein.

Was außer den Konfig Dateien noch gesichert werden muss? Hmm keine Ahnung, Was wäre denn noch wichtig um nen Server wieder schnell auf die Beine zu helfen?

Weiß zufällig jemand wieviel so ein apt Spiegel an Plattenplatz verschlingen kann?

Ich will damit auschließlich den unstable Zweig (derzeit Sarge) vorhalten. (Also das was ich an Programmen aus dem Zweig benötige, ich muss ja sicherlich nicht den kompletten Zweig spielgeln oder?)

atomical schrieb:

KerstenG schrieb:

die conf-Dateien kann man per cron sichern, ebenso den Webserver und Mysqlserver

Zum Vergrößern anklicken....

Und was nützen dir ein paar conf Dateien, wenn dir die Platte abstirbt? Die Installiererei geht dann trotzdem wieder von vorne los.

Zum Vergrößern anklicken....

Geht sie das nicht sowieso wieder los wenn die Hardware platt ist und ich ggf. woanders hin umziehe (Hardware technisch)

Hallo,

atomical schrieb:

Und was nützen dir ein paar conf Dateien, wenn dir die Platte abstirbt? Die Installiererei geht dann trotzdem wieder von vorne los.

Zum Vergrößern anklicken....

dann wird per ks neu installiert dauert eine 1/2Stunde und conf dateien rein kopieren fertig

Gandalf_the_Grey schrieb:

Weiß zufällig jemand wieviel so ein apt Spiegel an Plattenplatz verschlingen kann?
Ich will damit auschließlich den unstable Zweig (derzeit Sarge) vorhalten. (Also das was ich an Programmen aus dem Zweig benötige, ich muss ja sicherlich nicht den kompletten Zweig spielgeln oder?)

Zum Vergrößern anklicken....

apt-proxy speichert - wie der Name schon sagt - benutzte Pakete zwischen. Überholte Pakete werden nach festgelegter Zeit gelöscht - ebenso entsprechend lange nicht benutzte.
Ich würde nicht damit anfangen, einen Debianmirror zu spiegeln *g*

Gandalf_the_Grey schrieb:

Geht sie das nicht sowieso wieder los wenn die Hardware platt ist und ich ggf. woanders hin umziehe (Hardware technisch)

Zum Vergrößern anklicken....

Mit einem Standard-Debiankernel und halbwegs normaler (d.h. unterstützter Hardware) entpackst du einfach die tar Datei auf die neue / Platte (das Partitionsschema sollte man nicht ändern, ansonsten müsste man noch die fstab anpassen), machst ein chroot in die entpackte / und installierst dann noch den Bootloader - und das System läuft wieder.

KerstenG schrieb:

dann wird per ks neu installiert dauert eine 1/2Stunde und conf dateien rein kopieren fertig

Zum Vergrößern anklicken....

1/2 Stunde halte ich für reichlich untertrieben.

Hallo,

1/2 Stunde halte ich für reichlich untertrieben

Zum Vergrößern anklicken....

ja hast Recht es waren 35 min.
Im Ernst PC
866MHz
512MB RAM
mit KS automatisch installiert

Sorry aber ich bin ungefähr vor 5 Minuten aufgrund akuter Überlastung meiner Grosshirnrinde auf Init 0 gewechselt.

Was zur Hölle ist KS?

Ich sehe mal wieder das ich es scheinbar in perfektion Behersche Diskussionen anzustoßen denen ich selbst irgendwann aufgrund fehlenden Fachwissens nicht mehr zu folgen vermag.

Stellt euch vor ihr seit die beiden Spieler eines Tennis Matches und die Diskussion der Ball. Ich fühle mich gerade wie der Zuschauer der verzweifelt hin und her blickt und versucht den Ball im Auge zu behalten und am Ende (wenn der Ball im aus ist) einfach mal sinnlos Applaus klatscht.