[erledigt] Netzwerk für 10(?) PCs

Hallo alle,

zunächst nur gedanklich geht es mir um eine Intranetlösung für vielleicht später mal 10 PC:

• Als NFS

• Als SUS

• Dezidierter Zugriff von außen

Auf allen Rechnern soll dann mal openSUSE kommen, auf denen mit definierten Rechten und Möglichkeit jeder seine Aufgaben erledigen kann. Installation, Update und Upgrade von Software und Rechnern soll zentral über einen Server/Hauptrechner laufen. An den Clients sollen die User vom System nichts mitbekommen müssen.

Mehr kann ich jetzt nicht schreiben.

Von euch hätte ich gerne Tipps, Erfahrungen und Links (däitsch?), wie so etwas funktioniert.

Danke euch

sd0

sd0 schrieb:

Hallo alle,

zunächst nur gedanklich geht es mir um eine Intranetlösung für vielleicht später mal 10 PC:

• Als NFS

• Als SUS

• Dezidierter Zugriff von außen

Zum Vergrößern anklicken....

Prinzipiell kein Hexenwerk.

sd0 schrieb:

Auf allen Rechnern soll dann mal openSUSE kommen, auf denen mit definierten Rechten und Möglichkeit jeder seine Aufgaben erledigen kann. Installation, Update und Upgrade von Software und Rechnern soll zentral über einen Server/Hauptrechner laufen. An den Clients sollen die User vom System nichts mitbekommen müssen.

Zum Vergrößern anklicken....

Du solltest allerdings folgendes beachten:

1. Wie ist der Zugriff von aussen geregelt? Fernzugriff per VPN? (beste Lösung)
2. Ist das VPN ein Net-to- Net VPN oder Client-To-Server (also keine externen Netze)
3. Niemals nicht einen Fileserver für den Zugriff von aussen ohne zusätzliche Authentifizierung (VPN) bereitstellen. Wenn ein User nur ein schwaches Passwort verwendet, haben sehr schnell ein o. mehrere ungebetene Gäste Zugriff, die es dabei nicht belassen werden.
4. VPN-Gateway und Fileserver niemals nicht auf ein und der selben Maschine betreiben. Sicherheitstechnisch ein absolutes NoGo. Da springt dir jeder verantwortungsbewusste Admin schreiend ins Gesicht und Kopf ab.

5. VPN- Anmeldung nur mittels Zwei- Faktor Authentifizierung. Nur passwortbasierend sorgt für vermeidbare Brute Force Angriffe und bei schwachen Passwörtern hälts nicht lange. Siehe Punkt 3.

6. Für die Authentifizierung am VPN und für das Mounten der Freigabe sind unterschiedliche Benutzer zu verwenden.

7. Restriktive Firewall Regeln, Policy: Alles was nicht explizit erlaubt ist, ist verboten. Sprich Zugriff auf Dateifreigaben nur aus dem internen Netz und den vergebenen VPN- Client IP-Adressen. Zwecks Update Installation ist nur HTTP- Client Traffic zum Updateserver erlaubt, ansonsten nix. Absolutes GUI Verbot, d.h. Adminstration per Konsole, weil Desktop = unnötige installierte Software, die für den Betrieb nicht zwingend notwendig ist. Desktop auf dem Server nur bei Terminalservern, ansonsten hat ein Desktop auf dem Server gar nix zu suchen. Auf dem Server wird eine entsprechend konfigurierte Firewall betrieben und die Zugriffsrechte sind entsprechend restriktiv gesetzt. D.h. so wenig wie möglich und nur so viel wie zwingend nötig. Eine geeignete Benutzer und Benutzergruppenaufteilung.

8. Administrativen SSH Zugriff nur aus dem internen Netz und Root Login per SSH verbieten. Dafür gibbet sudo.

9. Du bist dir hoffentlich der Verantwortung bewusst, die der Betrieb eines Servers so mit sich bringt oder? Sprich dir ist klar, dass du rechtlich dafür grade stehen musst und jegliche Konsequenzen alleine trägst, wenn dein Server nur schlecht bzw. fahrlässig abgesichert ist, jmd. anderes den Server übernimmt und ihn zu Angriffszwecken missbraucht.

Ein solider Wissensstand bezüglich Netzwerke, Systemadministration (sichere Konfiguration und Betrieb, Auswertung von Logdateien) ist ein muss und da führt kein Weg dran vorbei.

Das was Du beschreibst ist normalerweise eine typische Aufgabe für einen Fachinformatiker Systemintegration. Da dauert die Ausbildung nicht umsonst 3 Jahre und es werden bevorzugt Leute mit Fachhochschul- oder Hochschulreife als Auszubildende genommen.

Aber mal als grundlegender Tipp, neben dem was spoensche schon schrieb: Wenn das professionell genutzt werden soll, dann verwende auch ein entsprechendes Betriebssystem, also SLES oder SLED wenn es Suse sein soll. Kostet zwar etwas für den Zugriff auf Patches aber wenn deinem Auftraggeber das nicht wert ist, weißt Du von vornherein das Du da verheizt werden sollst! Und auch nicht "nur mal um zu gucken" weil solche Provisorien dann meist direkt in Produktiv-Betrieb gehen. Und Du bist der Blödmann der dafür haftet!

Professioneller Einsatz sicher nicht. Aber dennoch soll keine Pfusch aufgezogen werden.

Aber danke für alle Informationen. Dass ein Intranet nicht eben so aufgezogen wird, war klar. Aber ich kann (noch) nicht wissen, wie viel Arbeit und welche Voraussetzungen so ein Netz mit sich bring.

sd0

Ich würde das ganze anders herum angehen: Zuerst mal stellst Du ein Anforderungskatalog auf - welche (Anwender-)Software soll benutzt werden, wie viel darf jeder Anwender können (dürfen / müssen), ...

Daraus ergibt sich dann das eine oder andere...

... und vergiss Distributionen, die dich alle 6 Monate zu eine Neuinstallation oder zu einem Upgrade zwingen.

Naja, alle 6 Monate geht dann natürlich gar nicht. Selbst 1 Jahr empfinde ich als etwas knapp.

Ich müsste nochmal nachsehen aber ich meine, dass z. B. Kubuntu 3 Jahre gepflegt wird. Das ist für mich ein guter Zeitraum.

sd0

Bei den *buntu-LTS-Versionen bitte drauf achten, daß LTS sicht nur auf bestimmte Repos bezieht.

Grundsätzlich bleibe ich dabei: Erstell' erst mal ein Anforderungskatalog bezüglich Software, Rechten, ... - das ist wesentlich wichtiger als die Standard-Dinge wie zentrale Anmeldeverwaltung, Netzwerkstorage, Backup, VPN-Integration und so weiter - das ist nämlich doof gesagt "alles Standard und normales Handwerkszeug".

Werde ich alles machen.

Danke für eure Antworten.

Jetzt muss die Sache Form bekommen; und das wird dauern .

sd0