Dienste in separate virtuelle Maschinen?

A

Abc123

New Member
Hallo alle,

Bis jetzt benutze ich einen Linux Server fuer ein kleines Heimnetz, allerdings ist der Server nicht von aussen erreichbar. Das habe ich vor zu ändern und mache mir nun Gedanken zur Sicherheit. Er soll als Web- und Fileserver dienen. Ist es ratsam die beiden Dienste zu trennen und jeweils einen in einer speparaten virtuellen Maschine laufen zu lassen?
Wenn das System lokal erfolgreich laeuft, soll es eventuell auf einen VServer übertragen werden. Benötigen die beiden virtuellen Maschinen getrennte IP-Adressen, d.h. muesste ich eine zusaetzliche IP-Adresse beantragen.

Vielen Dank!
 
Es kann durchaus Sinn machen, einzelne Dienste in separate virtuelle Maschinen auszulagern, um die Angriffsfläche zu reduzieren und einzelne Dienste gegeneinander abzuschotten.

Im Heimnetz bietet der Router eine gewisse Sicherheit, denn nur definierte Ports werden weitergeleitet. Auf allen anderen Ports landet ein Angreifer im Nirvana. Jedoch ist es durchaus möglich, durch eine Lücke im Webserver oder einer Skriptsprache Zugriff auf das ganze System zu erlangen.

Mit an Sicherheit grenzender Wahrscheinlichkeit wirst Du die virtuellen Maschinen später NICHT auf einen Vserver auslagern können. Denn quasi jede Virtualisierungslösung benötigt spezielle Kernelanpassungen. Solche sind aber bei Vservern nicht einsetzbar. Du kannst aber durchaus einen echtem Rootserver verwenden, dort sind die Kernel anpassbar und/oder man bekommt die Virtualisierungslösung der Wahl sogar schon vorinstalliert. Wichtig bei der Wahl des Providers: der Bridged Mode sollte unterstützt werden, also das direkte Anbinden ans Internet (im Gegensatz zur NAT Funktionalität).
 
Abc123 said:
Benötigen die beiden virtuellen Maschinen getrennte IP-Adressen, d.h. muesste ich eine zusaetzliche IP-Adresse beantragen.
Click to expand...
Nicht notwendigerweise. Übliches Vorgehen: Die Public-IP "gehört" dem Host-System, und die Gäste bekommen IPs aus einem der privaten Netzblöcke (192.168.0.0/24, 172.16.0.0/16, 10.0.0.0/8). Die öffentlich erreichbaren Dienste werden per NAT/MASQ von der Public IP aus ins interne durchgereicht.
 
...dann sollte man aber auch den Nachteil dieser Lösung erwähnen, dass nämlich nur EINE VM auf EINEM Port arbeiten kann. Das mag in diesem Fall OK sein, für mehr Flexibilität wäre jedoch "bridged" zu bevorzugen.

Die Tatsache, dass die Geschichte so oder so auf einem Vserver NICHT geht, bleibt im übrigen bestehen.
 
Danke fuer die schnelle Antwort!!!!

Ich dachte, da ein VServer schon "virtualisiert" ist, kann ich "meinen Teil" nochmals in weitere virtuelle Maschinen unterteilen, auf denen die unterschiedlichen Dienste laufen. Sollte ein Angriff auf den Web-Server erfolgreich sein, betrifft das dann noch nicht den Fileserver. Oder ist es nicht notwendig beide Dienste so streng zu trennen?
 
Abc123 said:
Ich dachte, da ein VServer schon "virtualisiert" ist, kann ich "meinen Teil" nochmals in weitere virtuelle Maschinen unterteilen, auf denen die unterschiedlichen Dienste laufen.
Click to expand...

Nein, eben weil der Vserver schon virtualisiert ist, kann man nicht in hardwarenahe Dinge wie den Kernel eingreifen. Eine Virtualisierung in der Virtualisierung wäre z.B. mit VMware (nicht mit dem bei Vserver verbreiteten Virtuozzo) wohl THEORETISCH möglich, praktisch ist es wie in dem Film "Inception". Eine VM in einer VM in einer VM in einer VM wird immer laaaannnngggsssaaaaammmmeeeerrrrr. :D


Sollte ein Angriff auf den Web-Server erfolgreich sein, betrifft das dann noch nicht den Fileserver. Oder ist es nicht notwendig beide Dienste so streng zu trennen?
Click to expand...

Ja, eben drum macht eine Trennung Sinn, wenngleich genug Server beides zusammen machen. Wichtiger als die Trennung ist aber so oder so eine ordentliche Kenntnis von Linuxservern. Wenn da genug Know-How vorhanden ist und der Server dadurch gut administriert und aktuell gehalten wird, kann man durchaus Web- und File-Server zusammen auf einer Maschine betreiben.

Ich persönlich habe mir übrigens einen C-250G von http://www.isgenug.de/ks/ besorgt. Das ist ein echter Server mit v.a. viel Festplattenplatz zum Preis von vielen Vservern. In der Auswahlliste ist auch VMWare Server (allerdings eine sauber alte Version) aufgeführt, mit dem Du Deine 2 VMs betreiben könntest. Die höherwertigeren Server unterstützen auch ESXi, was prinzipiell besser als VMWare Server wäre.
 
Thunderbyte said:
...dann sollte man aber auch den Nachteil dieser Lösung erwähnen, dass nämlich nur EINE VM auf EINEM Port arbeiten kann.
Click to expand...
Na ja, wie Du schon geschrieben hast - in diesem Fall (zwei unterschiedliche Dienste) ist das kein echter Nachteil. Erwähnen sollte man hingegen, dass bridged Networking
  • für jeden virtuellen Host eine öffentliche IP-Adresse erfordert und
  • bei einigen Serveranbietern aufgrund des Routing-Setups überhaupt nicht möglich ist
 
You must log in or register to reply here.
Back
Top