Rootserver als Datensicherungsort für Kunden ?!

S

Soki

Registered User
Hey Leute :p

Ich habe eine Frage. Ich bin leider nicht so informiert, was linux software angeht. Ziel ist es, Kunden eine sichere Umgebung zu geben, in der sie irgendwelche Daten auf unserem Root sichern können. Problemstellung ist folgende:

Kunden sollen auf unserem Rootserver einen account bekommen,
über diesen sie per gesicherter FTP verbindung ihre gewünschten daten up/downloaden können ( muss nicht FTP sein... andere, evntl sicherere/bessere übertragunswege sind gerne willkommen ).
Das ganze sollte zusätzlich noch verschlüsselt sein ( zb. versch. container !? ) und natürlich so sicher wie nur irgendwie möglich !

Gibt es für solcherlei Spielereien vllt fertige software ?
Oder gibt es da eine "standartlösung" mit gängigen tools ?
Eignet sich Managementsotw. wie Plesk, VHCS etc für solche Dinge ?
Ist es vllt eine Idee da zusätzlich mit Zertifikaten zu arbeiten ?

...achja... wahrscheinlich würde dies alles auf Debian laufen.

BRAINSTORMING PLS =)

Ich bin über jede Hilfe sehr dankbar...

beste grüsse aus Hessen :)
Soki
 
Hallo,

Soki said:
Ich bin leider nicht so informiert, was linux software angeht.
... und natürlich so sicher wie nur irgendwie möglich!
Click to expand...
na das paßt ja perfekt zusammen. :confused:

Es gibt keinen schlechteren Platz um Daten sicher zu lagern als einen weltweit für alle Hacker erreichbaren Server.

Gibt es für solcherlei Spielereien vllt fertige software?
Click to expand...
Es gibt fertige Hardware, empfehle den Erwerb von USB-Sticks oder CD-Brennern.
 
Einfachste Variante:

vsftpd 2.0.3 (Debian Paket) mit SSL/TLS einrichten.
User mit adduser machen
in /etc/passwd bash deaktivieren, wenn gewünscht

mit dm_crypt cointainer mounten in /home

Andere Möglichkeit:

Direkt SSH Zugang machen und per SFTP Dateien uppen lassen.
Jedoch performance technisch her gesehen nicht empfehlenswert.

---
Wenn der Server nur ein Fileserver sein soll, würde ich persönlich keinerlei sonstige Managment-Software installieren. Das schafft nur potentielle Sicherheitslücken.
Wichtig wäre ein Virenscanner! Schau die die aktuelle iX an. Wurden Virenscanner auf Debian 3.1 getestet.
Desweiteren ausreichend Bandbreite (kein Discount Hoster mit Flat, sonst beschweren sich deine Kunden in den Abendstunden über 10kb/s :D )
Und Raid1 und tägliche Backups.
Backups: Würde ich die Cointainer im laufenden Betrieb nicht sichern, wegen Schreib-Lese Zugriff. Lieber einen 2. Server holen, da einen einzigen Backup Cointainer und dann per rsync oder etwas vglb. sichern. Die Standard Backup Funktion via FTP vom Hoster fällt aus, mangels Cointainer und SSL Möglichkeit.

MfG, h00ch
 
*hmpf* ...dann formuliere ich es halt anders....

Es soll auf unserem Root Kunden die Möglichkeit gegeben werden,
ihre daten zu sichern. Wie realisiere ich das am sichersten ?

( ist mir schon klar das nen root nicht gerade das sicherste ist - aber das ist
nunmal das Ziel meiner Frage ! )

:p

EDIT: Fettes Danke @ h00ch ... in einem anderen Forum kam nur Klugscheisserei, wie unsicher das doch wäre,
und wie wenig hintergrundwissen ich ja anscheinend hätte etc... SCHLIMM !!! - eeeeendlich mal jemand
der sich meiner Problemstellung annimmt - danke dafür ... *daumen hoch und Kaffe spendier*
 
Last edited by a moderator:
hmm lass es lieber sein, entweder bietest du space an, oder lass es sein.
bietet du einen datensicheriungsdienst an, musst du dich an strikte iso normen halten.
du mussst die backups physikalisch trennen, du musst alles sicher machen (vpn mit x509).......................................

Das schlimmste, du musst die Sicherheit aller Daten Garantieren.

Mit Softwarefirewall von debien wird das nix, da brauchst wohl rackfirewall (phion bietet dir eine gute kost dich auch nur min 650€ bis bodenlos)


Na ja ich sag nur lass es lieber sein, sonst hagelt das bald Klagen.



Edit:
PS: Wenn du es wirklich machen kannst, kannst du dich gerne melden, du bekommst hilfe, aber meine meinung?? siehe oben
 
Hallo!
Soki said:
Es soll auf unserem Root Kunden die Möglichkeit gegeben werden,
ihre daten zu sichern. Wie realisiere ich das am sichersten ?
Click to expand...
Wenn es um Daten geht, die bereits auf dieser Maschine sind, macht es doch wenig Sinn, aufgrund einer Backupanforderung diese nochmals auf der selben zu sichern. Ob nun verschlüsselt oder nicht. Bei einem Plattenverlust hast erst einmal defekte Hardware und bestenfalls musst du nur ein RAID wiederherstellen.
Also sollen deine Kunden doch lieber ihre Daten via SFTP hochladen (und ggf. auch wieder herunter) und du machst via SCP ein Backup auf eine zweite Maschine.

mfG
Thorsten
 
@ mister-man:
Den Inhalt Deines Postings finde ich sehr interessant und hab dazu nochmals eine Frage. Wenn ich in meiner Produktpalette Backup-Space (man achte jetzt bitte auf die Namensgebung) anbiete, fällt das dann auch unter entsprechende ISO-Normen?

Daraus resultiert dann die Frage, ob ich das evtl. anders "bewerben" muss.
 
Hallo Soki,
eine weitere Möglichkeit wäre einen Samba-Server einzurichten. Da die Kunden sicher Windows nutzten, könnte man sicher sowas über VPN regeln.
Ich mache mir auch gerade darüber ein paar Gedanken, so könnte es durchaus gehen. Ich versuche das mal wenn ich Zeit habe und richte das hier auf meinem Heimserver ein. Der soll dann vom I-Net aus erreichbar sein und Freigaben zur Verfügung stellen. Ich muss mich aber erst einmal mit Samba selbst etwas beschäftigen, auch noch mit VPN.
Ich denke aber das es eine recht sichere Sache ist, sollte es nicht so sein kann man mich ja hier berichtigen.

Gruß Bernd
 
Also ich sehe bei VPN und Samba das Problem der Einrichtung.
Ein vsFTPd ist sicher, er wurde von Grund auf mit der Sicht auf Sicherheit programmiert.
VPN und Samba müssen wirklich sehr gut konfiguriert sein und besonders VPN erfordert bei den Kunden eine extra Installation von Software. Ein Backup von anderen Servern/Rechnern ( wo ich kein root/Admin habe ) ist unmöglich.
Zumal ich ich denke, dass die Performance per FTP schneller ist.
 
Hmm, also unter "Backup-Space" verstehe ich ein Raid1/Raid5 gg. HWausfälle gesichert. Weiterhin DEDIZIERT für diese Aufgabe gedacht, d.h. es läuft weiter nix drauf.

Im Normalfall realisieren das die Serverprovider durch riesige Arrays, die das Backup im Hintergrund übernehmen. Ob man das selber auf einem Root anbieten kann, ich weiss nicht... Wenn, dann wird die HW schon allein nicht billig (HW Raid1/Raid5, sinnvollerweise HDs so gross wie nur irgend möglich, damit sich der teuere Raidcontroller rentiert), ausserdem bietet solch spezialisierte HW kaum ein "Massenhoster" an. Da musst Dir schon ein Angebot machen lassen.

Allerdings enthebt einen auch ein Raid nicht des NOCHMALIGEN Backups. Typischerweise würde man das lokal auf Band machen, bei einem Hoster mag man da beim Bandwechseln ein Problem haben...

SFTP ist sicher eine anerkannte sichere Möglichkeit, SSH (WinSCP) wäre eine weitere. Wenns um VPN geht, könnte evtl www.hamachi.cc etwas in Verbindung mit einem per HW/SWFirewall komplett abgeschotteten System sein. Hamachi gibts auch auf Linux. Ob man halt den Herstellern (und VPN Mediatoren) vertraut...

Virenscanner auf dem Sambaserver muss evtl nicht unbedingt sein, der Server wird durch einen Virus jedenfalls nicht bedroht. Allerdings mag er den Usern helfen, dass ihre wertvollen Daten nicht plötzlich weg sind. :rolleyes:

Thunda
 
Sry für die späte Antwort.

Also, wenn du einfach eine Sicherungslösung für Private user anbieten willst, kannst du das machen. Du musst allerdings jegliche Haftungsansprüche von anfang an dementieren, sowie den user klip und klar sagen das du ein "Hobbyhoster" bist und nicht für 100%tige Sicherheit garantieren kannst.

PS bei Professioneller Struktur brauchst du eine Zertifizierung bei der BSI (ISO27001) um Unternehmen für dein Angebot zu begeistern.

Alles weitere:
http://www.bsi.de/gshb/zert/ISO27001/Pruefschema06.pdf
http://de.wikipedia.org/wiki/ISO_27001

Wikipedia erklährt es nochmal zusammengefasst.


Nun zu deiner Frage:
Bewerbe es ruhig als Backupspace aer beachte die oben beschriebenen Punkte.

Um dein Angebot schmackhaft zu machen biete einen sicheren VPN-Tunnel an mit x509, auch wenn du dir ein Trust Center suchen musst die dir diese Zertifikate ausstellen.
Dies verursacht allerdings weitere Kosten aber trägt massiev zur Sicherheit bei.

Nun gn8 MfG
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top