[OT] Multitalent PC durch UML ?

[haggi]

Hallo, ich plane grad den Aufbau eines kleineren Netzwerkes. Neben ein paar Clients soll es noch einen Rechner für die üblichen Server Dienste (Apache, Samba, DHCP, Datenbank, Printserver) und einen Rechner für eine Firewall / Router Lösung. Soweit ja eigentlich nix ungewöhnliches.

Da ich aber nicht unbedingt die Mittel habe, mir zwei Zustätzliche Rechner zu kaufen, habe ich mir überlegt ob man das ganze nicht auch mit einem Rechner realisieren kann. Das man Serverdienste und Firewall normalerweise aus Sicherheitsgründen nicht auf einen Rechner packt, ist mir klar. Deswegen hab ich mich etwas umgehört und anscheinend kann man sowas mit UML realisieren. Wenn ich das richtig verstanden habe, kann man damit mehrer Linux Versionen komplett entkoppelt voneinander auf einem Rechner laufen lassen?

Hat jemand Erfahrungen damit gesammelt, gerade in Hinsicht auf Sicherheit und Performance ? Ich würde halt ein Gentoo oder Debian als Host-Betriebsystem auf dem Rechner installieren, welcher die ganzen Server-Dienste bereit stellt und dann per UML darin eine Smoothwall installieren. Ist das machbar / spricht was dagegen ?

Über Anregungen zur Konfiguration würde ich mich sehr freuen. Auch bin ich noch nicht auf gute Tutorials im Internet gestoßen die ein ähnliches Szenario abdecken.

MfG
Haggi
_________________
Software is like sex: it's better when it's free,
but it can be very expensive if you don't secure it!

[padde]

[haggi]

Du meinst, die Firewall als Hostsystem, und dann darauf aufsetzend per UML das "Serverbetriebsystem" ?
_________________
Software is like sex: it's better when it's free,
but it can be very expensive if you don't secure it!

[padde]

Na... welchen Sinn hätte es denn, sämtlichen Netzwerkverkehr nach innen in das Firewall-System reinzuschleusen, dann zu überprüfen ob der überhaupt rein darf, und ihn dann wieder zurück an das Host-Betriebssystem auf dem die Serverdienste laufen, zu übergeben?

[haggi]

Hm. Das ist doch der übliche Vorgang, nur das es auf einem Rechner stattfindet und nicht wie normalerweise auf 2.....
_________________
Software is like sex: it's better when it's free,
but it can be very expensive if you don't secure it!

[ro]

ich würd am host gar nix machen sondern 1 guest system als firewall, 1 guest als log-server und 1 als server .... so habs ich (auf nem 433er P2 256MB RAM)
_________________
Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots. So far, the Universe is winning.

[haggi]

Ja, das hört sich doch gut an, mit der Performance scheint es also keine Probleme zu geben. Könntest du eventuell dein Vorgehen beim erstellen dieser Konfiguration etwas näher beschreiben? Welche Distributionen hast du für die Gastsysteme genommen, und welches als Host? Oder vielleicht ein paar Anlaufstellen nennen, wo man sich eventuell inofmieren kann.

Danke.
_________________
Software is like sex: it's better when it's free,
but it can be very expensive if you don't secure it!

[ro]

hab natürlich gentoo hergenommne, und das ganze wie im wiki erklärt aufgesetzt. das guest-system herunterfahren, die datei für das root verzeichnis + kernel-executable + swap-datei einfach kopiert und dann halt die entsprechende konfig vorgenommen (andere ip adresse, mysql+apache+samba+qmail installiert). wichtig ist dabei, dass der host-kernel den skas patch enthält, sonst wirst du performance-probleme kriegen.
_________________
Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots. So far, the Universe is winning.

[haggi]

Danke für den Hinweis. Das Wiki scheint ein guter Ansatz zu sein.
_________________
Software is like sex: it's better when it's free,
but it can be very expensive if you don't secure it!

[slick]

Muß diesen Thread mal aus der Versenkung holen.

Möchte jetzt auch mal wieder was mit uml realisieren, nun stelle ich mir grad die Frage wie ich die Services am besten verteile. Ich hatte mir gedacht in jeder uml (in der benötigt) eine mysql aufzusetzen wäre eigentlich Quatsch, daher möchte ich nur eine mysql auf dem Host aufsetzen. Spricht da außer dem Sicherheitsaspekt etwas dagegen?

Ein weiterer Punkt wäre ein Fileserver, dessen Daten aber evt. von mehreren umls benötigt wird, da wäre es sinnvoll einen nfs auf dem Host aufzumachen oder gar den Fileserver als eigene uml? (Diese Cow-FS, also direkter Zugriff auf die Hostplatte mag ich nicht.) Anderseits überlege ich ob es sinnvoll ist das jeweils "auszulagern", denn gewissermaßen müssen ja dann mehrere "Maschinen" daran rechnen.

Wer kann mir Hinweise/Denkanstöße geben und/oder erläutern (warum er es genau so und) wie er es gelöst hat.

[m.b.j.]

Ist es ein problem UML in einem hardened system zu nutzen (Host & Guest)? Sind mixturen möglich?
_________________
root@mbj # echo "sys-pizza/calzone -tunfish" >> /etc/paludis/use.conf
root@mbj # paludis -i calzone --dl-blocks discard

[x1jmp]

Was ist denn eigentlich zu empfehlen, UML oder chroot/jail?
UML wäre ein komplettes Betriebssystem, chroot/jail nur eine neue Umgebung?

Ich wäre für eine kleine Erleuchtung dankbar

[slick]

[Tinitus]

Hallo,

habe die ganze Sache gestern auch mal wieder durchgespielt....IPCOP auf extra Rechner ..VOIP ...etc. und dann mein normaler Rechner.


Ist aber leider am Stromverbrauch hängen geblieben.

Rechner mit DSL Modem etc. min. 50 W ...Fritzbox 7,5 Watt.

Ist einfach zu teuer

G. R.

[Anarcho]

Tja,

dafür kann ein PC eben mehr als ne Fritzbox. Kommt eben immer drauf an was man haben will. Wenn's nur ums Internet geht, hast du sicher recht.
Aber bei mir läuft z.b. auch der AB/Fax dadrauf inklusive Webinterface welches mir über den Apache per DynDns weltweit zur Verfügung steht.
Und wenn du z.b. FileSharing machst, dann muss eh ein Rechner laufen. Also warum nicht der Server? Dann kommt noch TrafficShaping dazu.

Vorher hatte ich auch alles in einem Rechner. Der war dann so voll das ich ernste Hitzeprobleme bekommen habe. Nun habe ich die Datenplatten in den Server ausgelagert und dort sind sie auch noch verschlüsselt. Das würde meine Performance an der Workstation normalerweise bremsen, so merke ich da so gut wie garnichts von.
_________________
...it's only Rock'n'Roll, but I like it!

[m.b.j.]

Kleine Frage: Dualprozessorsysteme? Sollte man für sowas lieber xen, oder uml verwenden?
_________________
root@mbj # echo "sys-pizza/calzone -tunfish" >> /etc/paludis/use.conf
root@mbj # paludis -i calzone --dl-blocks discard

[Damian]

Im Augenblick unterstützt Xen kein kein Mehrproc. in der Virtu. Machine
aber kann die Processoren auf die Virtu. Machinen verteilen
und ist scheller als UML was Netzwerkdurchsatz anbetrift.
Glaubt man div. Benchmarks ist Xen insgesamt performanter
und bekommt mehr Unterstützung von aussen (Intel, AMD, ...)
Tip: Xen und UML sind prinzipiel schneller wenn sie von ISO-Image
starten und nicht von einer Partition, bei Xen wird aber daran
gearbeitet. (unter Xen 3. soll bereits Win-XP laufen -> sh. Pro-Linux)
-> Für mich ist Xen die erste Wahl, da auch BSD ohne Probs. hier läuft.
Damain

[golloza]

Damit unmodifizierte Gastsysteme laufen, muss die CPU aber VT/Pacifia unterstützen, oder?

[Damian]

Ja
Damain

[longinus]

Generell zu UML, betrift auch ein bisschen XEN, solche Systeme erhöhen zwar die Sicherheit deutlich man sollte aber auch nicht vergessen daß das größte Sicherheitsrisko meißt vor dem Monitor sitzt

Multi Rechner Systeme sind logistisch leichter zu durchschauen (optischer Effekt "Was man anlangen und sehen kann versteht man leichter") und zu warten, und auch eine UML Umgebung ist von einem guten Hacker zu knacken.

Ob sich der Aufwand lohnt ist halt Fallspezifisch, zu gern schleicht sich doch mal ein Fehler bei der Konfiguration ein, ist wie bei den komplexen Firewall Scripten ein fehlerhafter Regelsatz öffnet Tür und Tor
_________________
"Und wenn der letzte Baum gefällt, das letzte Wild gejagt und der letzte Fluß vergiftet ist, dann werdet ihr sehen das man Chips nicht essen kann"