Server skalieren; Standardinstallation = Zwei Server
Hallo Freunde, in der Dokumentation zum SLSS steht unter Struktur: "Im Servernetz befinden sich nach der Standardinstallation zwei Server; der Internetgateway und der Schulserver..." Soweit eine prima Idee. Nur wie ist dies gemeint? Grundsätzlich bringt doch der SLSS alles mit, um beide Server zu realisieren, was aber aus Sicherheitsgründen reichlich bedenklich stimmt. Also die Dienste auf zwei Maschinen skalieren? Gibt es diesbezüglich eine Anleitung bzw. Hinweise? Vielen Dank!!! -- Walze.
Hallo! Dass der Proxy (192.168.0.5) und der eigentliche SLSS (192.168.0.2) auf einer Kiste laufen hat den Vorteil, dass man den Internetzugang so für Klassen oder einzelne Schüler sperren kann. Sicherlich ist es sinnvoll, über einen externen Gateway ins Internet zu kommen. Ich habe dazu bei mir zwei Möglichkeiten getestet, die auch wunderbar laufen: 1. Bei mir läuft Squid am SLSS, der Server hat als Standardgateway die 192.168.0.1 eingetragen, das ist ein Hardwarerouter (könnte wahlweise auch ein Linux-Router sein). 2. Aus speziellen Gründen in unserem Schulnetz musste ich aber nun auf einen vorhandenen Linux-Proxy zugreifen. Herr Christian Heiss hat dazu in der Mailinglist eine gute Anleitung geliefert, die bei mir nun ohne Probleme funktioniert: In der squid.conf des slls: "cache_peer 192.168.0.1 parent 3128 7 no-query" (3128 ist der Standardport für Squid.) eintragen. Dann sendet der SLSS die http-Anfrage an den externen Proxy (inkl. Firewall). Auf den Clients wird ganz normal als Proxy http://proxy:8080 eingetragen. Grüße Christoph -----Ursprüngliche Nachricht----- Von: Frank Gerd Walzebuck [mailto:fwalzebuck@sydios.de] Gesendet: Montag, 23. Juni 2003 13:57 An: slss@suse.com Betreff: [slss] Server skalieren; Standardinstallation = Zwei Server Hallo Freunde, in der Dokumentation zum SLSS steht unter Struktur: "Im Servernetz befinden sich nach der Standardinstallation zwei Server; der Internetgateway und der Schulserver..." Soweit eine prima Idee. Nur wie ist dies gemeint? Grundsätzlich bringt doch der SLSS alles mit, um beide Server zu realisieren, was aber aus Sicherheitsgründen reichlich bedenklich stimmt. Also die Dienste auf zwei Maschinen skalieren? Gibt es diesbezüglich eine Anleitung bzw. Hinweise? Vielen Dank!!! -- Walze. -- Um die Liste abzubestellen, schicken Sie eine Mail an: slss-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: slss-help@suse.com
Hallo Christoph, Am Montag, 23. Juni 2003 14:17 schrieb Kasseckert:
Dass der Proxy (192.168.0.5) und der eigentliche SLSS (192.168.0.2) auf einer Kiste laufen hat den Vorteil, dass man den Internetzugang so für Klassen oder einzelne Schüler sperren kann.
Das ging vorher mit der Lösung mit _zwei_ Rechnern (Firewall on CD) auch wunderbar - der proxy war auf der FWCD.
Sicherlich ist es sinnvoll, über einen externen Gateway ins Internet zu kommen. Ich habe dazu bei mir zwei Möglichkeiten getestet, die auch wunderbar laufen: ...
Aber genau hier beginnt das Problem, das wir gerade in Oberfranken versucht haben zu umgehen - jede Schule baut sich ihr eigene Lösung :-( (Ich habe ja auch schon etwas damit angefangen, aber finde das halt nicht so sinnvoll.) Ich fände es _viel_ schöner, wenn ein kompetenter Linuxianer (ich bin's leider nicht :-( ) eine Anleitung schreiben würde, wie man den Proxy-Server (192.168.0.5) vom SLSS auf einen _weiteren_ Server auslagert. Das wäre glaube ich ein Ansatz, den alle Schule mitgehen könnten: entweder alles auf einem Rechner oder wenns dem einen Server zuviel wird oder eben aus Sicherheitsgünden, wird ein Serverdienst (in diesem Fall der Proxy) ausgelagert. Das schöne am Auslagern des Proxy ist, wenn mal der Internetzugang nicht läuft, kann man getrost an dem Extra-Rechner "herumdoktern", das LAN läuft trotzdem wunderbar weiter - es gibt wichtigeres als das Internet ;-) Alternativ wäre natürlich auch eine Anleitung, wie man jetzt mit der "Firewall on CD" (nachdem diese nicht mehr im Konzept des SLSS integriert ist :-(( ) den Internetzugang einrichtet, eine Möglichkeit, die mir gefallen würde - hierzu müsste man aber genau wissen, wie und was man konfigurieren muss, damit man nicht Ausversehen irgendwelche Sicherheitslücken übersieht oder sogar mit einbaut und so das System für Cracker viel zu leicht zu manipulieren ist. Naja, mal sehen was herauskommen wird Viele Grüße Dieter
Hallo Dieter! Ich gebe dir absolut Recht! Mir ging es bei meiner Mail vorrangig, eine Antwort auf den Thread zu geben, die auch funktioniert. Ich bin ebenso noch in der Testphase, da ist es mir aber wichtig, dass meine Schüler, mit denen ich den SLSS teste, auch ins Internet kommen, also muss ich mit den bisherigen Gegebenheiten auskommen und kann nicht meine anderen EDV-Räume vom Internet aussperren. Die Frage (an Herrn Varkoly) steht noch, und Dieter, da darf ich dich wieder zitieren: Wir brauchen eine Anleitung, um die einzelnen Serverdienste des SLSS zu skalieren. Im Grunde ist doch meine momentane Lösung unsinnig, einen Proxy auf einen anderen Proxy umzuleiten. Ich will *einen* Proxy haben, einen *SLSS-Proxy*, aber *extern*! Ich will auch einen Ferrari (schwarz)! ;-) Übrigens: Wie skaliert man die anderen Server, z. B. den LDAP-Server? Wann holst du die Lego-Platten? Schöne Grüße Christoph Aber genau hier beginnt das Problem, das wir gerade in Oberfranken versucht haben zu umgehen - jede Schule baut sich ihr eigene Lösung :-( (Ich habe ja auch schon etwas damit angefangen, aber finde das halt nicht so sinnvoll.) Ich fände es _viel_ schöner, wenn ein kompetenter Linuxianer (ich bin's leider nicht :-( ) eine Anleitung schreiben würde, wie man den Proxy-Server (192.168.0.5) vom SLSS auf einen _weiteren_ Server auslagert. Das wäre glaube ich ein Ansatz, den alle Schule mitgehen könnten: entweder alles auf einem Rechner oder wenns dem einen Server zuviel wird oder eben aus Sicherheitsgünden, wird ein Serverdienst (in diesem Fall der Proxy) ausgelagert. Das schöne am Auslagern des Proxy ist, wenn mal der Internetzugang nicht läuft, kann man getrost an dem Extra-Rechner "herumdoktern", das LAN läuft trotzdem wunderbar weiter - es gibt wichtigeres als das Internet ;-) Alternativ wäre natürlich auch eine Anleitung, wie man jetzt mit der "Firewall on CD" (nachdem diese nicht mehr im Konzept des SLSS integriert ist :-(( ) den Internetzugang einrichtet, eine Möglichkeit, die mir gefallen würde - hierzu müsste man aber genau wissen, wie und was man konfigurieren muss, damit man nicht Ausversehen irgendwelche Sicherheitslücken übersieht oder sogar mit einbaut und so das System für Cracker viel zu leicht zu manipulieren ist. Naja, mal sehen was herauskommen wird Viele Grüße Dieter -- Um die Liste abzubestellen, schicken Sie eine Mail an: slss-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: slss-help@suse.com
Hallo Freunde, vielen Dank für die Antworten. Es scheint mir, als ob es keine Lösung gibt. Was mich etwas wundert ist eben die Passage in der Dokumentation (Seiten 7 ff.), wo die Trennung der einzelnen Serverdienste detailiert ausgeführt ist. Mir scheint dies aus zwei Gründen durchaus sinnvoll: Erstens liegen auf dem LDAP- und SAMBA-Server doch recht sensible Daten, die ich sehr ungern auf einer Kiste wüßte, die mit einem Bein im Internet steht. Zweitens fehlt vielen Schulen (zumindest im Osten) das Geld, sich eine so leistungsfähige Kiste hinzustellen, die sämtliche geforderten Service allein ausführen kann. So habe ich in meiner Schule mit SuSE-8.2-Pro. auf drei Server skaliert... -- Walze.
Hallo Walze (klingt lustig ;-) ), Am Dienstag, 24. Juni 2003 07:58 schrieb Frank Gerd Walzebuck:
Es scheint mir, als ob es keine Lösung
Eine Lösung gibt es bestimmt (u.a. die von Christoph) - für eine einheitliche sinnvolle Lösung fehlt halt "nur noch" nicht dazugehörige Anleitung ;-)
Was mich etwas wundert ist eben die Passage in der Dokumentation (Seiten 7 ff.), wo die Trennung der einzelnen Serverdienste detailiert ausgeführt ist.
Diese Passage aus der Anleitung stammt noch aus der Zeit, als der SLSS mit dem externen Firewall on CD-Rechner konzipiert war.
Mir scheint dies aus zwei Gründen durchaus sinnvoll: Erstens liegen auf dem LDAP- und SAMBA-Server doch recht sensible Daten, die ich sehr ungern auf einer Kiste wüßte, die mit einem Bein im Internet steht.
Geht mir genauso
Zweitens fehlt vielen Schulen (zumindest im Osten) das Geld, sich eine so leistungsfähige Kiste hinzustellen, die sämtliche geforderten Service allein ausführen kann. So habe ich in meiner Schule mit SuSE-8.2-Pro. auf drei Server skaliert...
Dann fang doch mal an, den SLSS zu skalieren ;-) MfG Dieter
Hallo Freunde, Dieter Kroemer schrieb:
Dann fang doch mal an, den SLSS zu skalieren ;-)
Naja, ich würde mich ja an die Arbeit machen, nur habe ich keine Zeit, erst einmal sämtlich Konfigurationen zu analysieren, um die Abhängigkeiten der einzelnen Service zu erfassen. Mithin wäre mir mit einer detailierteren Dokumentation geholfen. Gibt es eine solche? Wenn ja, dann würde ich es versuchen, testen und eine Anleitung verzapfen... Wirklich! ;-) Walze.
On Wed, Jun 25, 2003 at 10:23:02AM +0200, Frank Gerd Walzebuck wrote:
Hallo Freunde,
Dieter Kroemer schrieb:
Dann fang doch mal an, den SLSS zu skalieren ;-)
Naja, ich würde mich ja an die Arbeit machen, nur habe ich keine Zeit, erst einmal sämtlich Konfigurationen zu analysieren, um die Abhängigkeiten der einzelnen Service zu erfassen. Mithin wäre mir mit einer detailierteren Dokumentation geholfen. Gibt es eine solche? Leider noch nicht. Aber, ugf. so kann mann den Proxyserver auslagern: Schritt 1. SLSS 2xmal identisch installieren Schritt 2. Auf dem "Hauptserver" eth0:2 "auschalten" : ifdown eth0:2 rm /etc/sysconfig/network/ifcfg-eth0:2
Schritt 3. Auf dem "Hauptserver" squid anhalten, und nie wieder startenlassen: rcsquid stop insserv -r squid (ggf: rpm -e squid squidGuard) Schritt 4. Auf dem Proxyserver alle virtuelle Netzwerkkarten löschen: rm /etc/sysconfig/network/ifcfg-eth0:* Schritt 5. Auf dem Proxyserver in der Datei "/etc/sysconfig/suseconfig" CHECK_ETC_HOSTS auf "yes" setzten. (Wer will kann auch BEAUTIFY_ETC_HOSTS="yes" setzten :-)) Schritt 6. Auf dem Proxyserver mit "yast2 lan" die Netzwerkkarte für die IP-Adresse des Proxyservers konfigurieren. Hostname und Namserver einstellen (nameserver=Hauptserver)! Schritt 7. Die Datei "/root/.ssh/authorized_keys" von dem "Hauptserver" auf den Proxyserver kopieren. Schritt 8. Nicht benutzte Dienste dauerhaft anhalten und ggf löschen: rcldap stop insserv -r ldap rcnamed stop insserv -r named ... Schritt 9. Beten, und berichten ob das so reicht :-)
Wenn ja, dann würde ich es versuchen, testen und eine Anleitung verzapfen... Wirklich! ;-)
Walze.
-- Um die Liste abzubestellen, schicken Sie eine Mail an: slss-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: slss-help@suse.com
-- ----------------------------------- Péter Varkoly -o) SuSE Linux AG /\\ e-mail: Peter.Varkoly@suse.de _\_/ Tel.: +49-911-74053484 -----------------------------------
Hallo! Ich habe nach der Anleitung von Herrn Varkoly den Proxy auf einen separaten Server zu installieren: Schritt 1. SLSS 2xmal identisch installieren Schritt 2. Auf dem "Hauptserver" eth0:2 "auschalten" : ifdown eth0:2 rm /etc/sysconfig/network/ifcfg-eth0:2 Schritt 3. Auf dem "Hauptserver" squid anhalten, und nie wieder startenlassen: rcsquid stop insserv -r squid (ggf: rpm -e squid squidGuard) Schritt 4. Auf dem Proxyserver alle virtuelle Netzwerkkarten löschen: rm /etc/sysconfig/network/ifcfg-eth0:* Schritt 5. Auf dem Proxyserver in der Datei "/etc/sysconfig/suseconfig" CHECK_ETC_HOSTS auf "yes" setzten. (Wer will kann auch BEAUTIFY_ETC_HOSTS="yes" setzten :-)) Schritt 6. Auf dem Proxyserver mit "yast2 lan" die Netzwerkkarte für die IP-Adresse des Proxyservers konfigurieren. Hostname und Namserver einstellen (nameserver=Hauptserver)! Schritt 7. Die Datei "/root/.ssh/authorized_keys" von dem "Hauptserver" auf den Proxyserver kopieren. Schritt 8. Nicht benutzte Dienste dauerhaft anhalten und ggf löschen: rcldap stop insserv -r ldap rcnamed stop insserv -r named ... Schritt 9. Beten, und berichten ob das so reicht :-) Der Aufforderung aus Schritt 9 will ich nun nachkommen: 1. Es gibt kleine Probleme bei der Installation, wenn mehr als eine Netzwerkkarte im Server eingebaut sind, hat sich aber leicht beheben lassen. 2. Größere Probleme hatte ich mit Schritt 7; oder ich stelle mich zu ungeschickt an. Ich habe versucht, mit einer Diskette die Datei zu speichern, diese findet sich dann aber unter dem Proxy-Server nicht mehr auf der Diskette??? Im Hauptserver ist sie wieder drauf????? 3. Ich habe die angegebenen Dienste (Schritt 8) deaktiviert, zusätzlich noch cupsd dhcpd mysql nmb quotad smbd Habe ich welche vergessen? 4. Die Verbindung zum Proxy klappt, über den Server komme ich ins Internet, sollte somit auch mit den Clients klappen. 5. Toll! Grüße Christoph
Hi Kassi, Am Freitag, 25. Juli 2003 14:39 schrieb Kasseckert:
Ich habe nach der Anleitung von Herrn Varkoly den Proxy auf einen separaten Server zu installieren:
Prima - was für Hardware kannst du denn für den Proxy verwenden und was für Hardware sollte dafür mindestens verwendet werden?
Schritt 9. Beten, und berichten ob das so reicht :-) Der Aufforderung aus Schritt 9 will ich nun nachkommen:
Warst du im Schlussgottesdienst ;-)
1. Es gibt kleine Probleme bei der Installation, wenn mehr als eine Netzwerkkarte im Server eingebaut sind, hat sich aber leicht beheben lassen.
Was für Probleme - und wie hast du sie gelöst (vielleicht muss man ja selbst mal ...)
2. Größere Probleme hatte ich mit Schritt 7; oder ich stelle mich zu ungeschickt an. Ich habe versucht, mit einer Diskette die Datei zu speichern, diese findet sich dann aber unter dem Proxy-Server nicht mehr auf der Diskette??? Im Hauptserver ist sie wieder drauf?????
Klingt ja interessant ;-) Kannst du genauer schreiben was du gemacht hast? Viele Grüße und schöne Ferien Dieter
Hallo! Am Freitag, 25. Juli 2003 14:39 schrieb Kasseckert:
Ich habe nach der Anleitung von Herrn Varkoly den Proxy auf einen separaten Server zu installieren:
Prima - was für Hardware kannst du denn für den Proxy verwenden und was für Hardware sollte dafür mindestens verwendet werden? ** Ich habe einfach unseren "alten" Proxy verwendet: Pentium III, 933 MHz, 256 MB RAM, 30 GB HDD - IDE RAID 1 wäre vielleicht nicht schlecht. ;-)
Schritt 9. Beten, und berichten ob das so reicht :-) Der Aufforderung aus Schritt 9 will ich nun nachkommen:
Warst du im Schlussgottesdienst ;-) ** Nein, ich habe den Proxy installiert.
1. Es gibt kleine Probleme bei der Installation, wenn mehr als eine Netzwerkkarte im Server eingebaut sind, hat sich aber leicht beheben lassen.
Was für Probleme - und wie hast du sie gelöst (vielleicht muss man ja selbst mal ...) ** Ich habe bei der Installation nicht genau aufgepasst und alles einfach durchgeklickt. Am Ende hatte jede Netzwerkkarte die Konfiguration eines SLSS, was verständlicherweise zu Konflikten führte. Einfach alle (bis auf eine) Netzwerkkarten in der Installation deaktivieren.
2. Größere Probleme hatte ich mit Schritt 7; oder ich stelle mich zu ungeschickt an. Ich habe versucht, mit einer Diskette die Datei zu speichern, diese findet sich dann aber unter dem Proxy-Server nicht mehr auf der Diskette??? Im Hauptserver ist sie wieder drauf?????
Klingt ja interessant ;-) Kannst du genauer schreiben was du gemacht hast? ** wie folgt: mount /media/floppy cp /root/.ssh/authorized_keys /media/floppy Grüße Christoph
Hi Kassi,
mount /media/floppy cp /root/.ssh/authorized_keys /media/floppy
Welche Rechte und Owner hat die Datei? Ich nehme an, dass die Datei für goups/others keine Leserechte hat. Setz die Rechte doch mal probeweise auf 777. Gruß Dieter P.S.: Kleine Bitte: Kannst du deinem Mailprogramm bitte beibringen mit Re: zu antworten (sonst gibts so häßliche Betreffzeilen) und dass das Programm die Quotingzeichen auf '>' bzw. '>>' ... ändert.
participants (4)
-
Dieter Kroemer
-
Frank Gerd Walzebuck
-
Kasseckert
-
Peter Varkoly