Hallo, nachdem endlich auch das wwwoffle-Problem behoben ist, moechte ich nun darangehen, den gegenseitigen Zugriff von Rechner 1 und Rechner 2 in unserem Mini-LAN zu realisieren. Mit nfs ist das auch prinzipiell kein Problem, sprich, der Datenaustausch klappt auch tatsaechlich. Aber ist nfs hinsichtlich Sicherheit wirklich optimal? Also habe ich mal angefangen, Zugaenge mit ssh einzurichten. (Ist derzeit bloss etwas schwierig, weil Schulferien sind und Rechner 2 damit nahezu permanent von unseren Kindern belegt ist.) Waere ssh sicherheitsmaessig wirklich sinnvoller? Eigentlich sollen nur hin und wieder mal Dateien ausgetauscht werden, weil doppelte Downloads natuerlich unsinnig sind. Und irgendwann soll von Rechner 2 aus auch auf den Drucker an Rechner 1 zugegriffen werden. Ein dauerhaftes mounten externer Verzeichnisse ist also nicht erforderlich, und da nicht immer beide Rechner gebootet sind, auch gar nicht moeglich. Ein paar Stichworte, was fuer oder gegen eine bestimmte Loesung spricht, reichen mir schon. Den Rest suche ich mir dann ueber google. Beste Gruesse, Heinz. -- http://www.pahlke-online.de/reisenews/ http://www.Pahlke-KunstWebDesign.de/
Am Donnerstag Dezember 25 2003 18:29 schrieb Heinz W. Pahlke:
Hallo,
nachdem endlich auch das wwwoffle-Problem behoben ist, moechte ich nun darangehen, den gegenseitigen Zugriff von Rechner 1 und Rechner 2 in unserem Mini-LAN zu realisieren.
Mit nfs ist das auch prinzipiell kein Problem, sprich, der Datenaustausch klappt auch tatsaechlich.
Aber ist nfs hinsichtlich Sicherheit wirklich optimal?
Also habe ich mal angefangen, Zugaenge mit ssh einzurichten. (Ist derzeit bloss etwas schwierig, weil Schulferien sind und Rechner 2 damit nahezu permanent von unseren Kindern belegt ist.)
Waere ssh sicherheitsmaessig wirklich sinnvoller?
Eigentlich sollen nur hin und wieder mal Dateien ausgetauscht werden, weil doppelte Downloads natuerlich unsinnig sind. Und irgendwann soll von Rechner 2 aus auch auf den Drucker an Rechner 1 zugegriffen werden.
Ein dauerhaftes mounten externer Verzeichnisse ist also nicht erforderlich, und da nicht immer beide Rechner gebootet sind, auch gar nicht moeglich.
Ein paar Stichworte, was fuer oder gegen eine bestimmte Loesung spricht, reichen mir schon. Den Rest suche ich mir dann ueber google.
NFS reicht für ein Heimnetz vollkommen aus, solange du keine wirklich sicherheitsrelevanten Dinge auf den Rechnern hast und der Internetzugang gut abgeschottet ist. NFS-Mounts kann man wie alle anderen Mounts in der fstab auch per noauto aus dem Bootvorgang rausnehmen. SSH nutze ich hingegen, um anstelle mit telnet auf meine anderen Rechner zu kommen. Gruß Udo -- Hompage: http://www.singollo.de Das ist halt der Unterschied: Unix ist ein Betriebssystem mit Tradition, die anderen sind einfach von sich aus unlogisch. -- Anselm Lingnau
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Am Donnerstag, 25. Dezember 2003 18:51 schrieb Udo Neist:
Am Donnerstag Dezember 25 2003 18:29 schrieb Heinz W. Pahlke:
Hallo,
nachdem endlich auch das wwwoffle-Problem behoben ist, moechte ich nun darangehen, den gegenseitigen Zugriff von Rechner 1 und Rechner 2 in unserem Mini-LAN zu realisieren.
Mit nfs ist das auch prinzipiell kein Problem, sprich, der Datenaustausch klappt auch tatsaechlich.
Aber ist nfs hinsichtlich Sicherheit wirklich optimal?
Also habe ich mal angefangen, Zugaenge mit ssh einzurichten. (Ist derzeit bloss etwas schwierig, weil Schulferien sind und Rechner 2 damit nahezu permanent von unseren Kindern belegt ist.)
Waere ssh sicherheitsmaessig wirklich sinnvoller?
Das kommt drauf an.
Eigentlich sollen nur hin und wieder mal Dateien ausgetauscht werden, weil doppelte Downloads natuerlich unsinnig sind. Und irgendwann soll von Rechner 2 aus auch auf den Drucker an Rechner 1 zugegriffen werden.
Ein dauerhaftes mounten externer Verzeichnisse ist also nicht erforderlich, und da nicht immer beide Rechner gebootet sind, auch gar nicht moeglich.
Ein paar Stichworte, was fuer oder gegen eine bestimmte Loesung spricht, reichen mir schon. Den Rest suche ich mir dann ueber google.
NFS reicht für ein Heimnetz vollkommen aus, solange du keine wirklich sicherheitsrelevanten Dinge auf den Rechnern hast und der Internetzugang gut abgeschottet ist.
Das hängt von der Art der Verbindung ab. Falls du eine Runde Kabel im Haus verlegt hast, kannst du es IMO dabei bewenden lassen. Anders sieht es dagegen aus, wenn du ein Funknetz betreibst. Das kann ja jeder im Umkreis von bis zu 100 m abhören. Du möchtest bestimmt nicht, dass das halbe Viertel deine Dokumente mitlesen kann. Da sollte die Verbindung auf jeden Fall gut verschlüsselt sein. Die Standardeinstellungen der Geräte (unter Windows) sind praktisch mehr eine moralische Hürde. Ich betreibe hier Vernetzung über Powerline. Devolo rät trotz höherem Aufwand beim Anzapfen der Leitungen zum Einsatz der eingebauten Verschlüsselung. Ich weiß nicht mehr, wie stark diese Verschlüsselung ist, aber bei nur sechs Parteien im Haus und starker Dämpfung der Signale durch den Stromzähler scheint mir das Risiko akzeptabel, wenn auch nicht ideal.
NFS-Mounts kann man wie alle anderen Mounts in der fstab auch per noauto aus dem Bootvorgang rausnehmen. SSH nutze ich hingegen, um anstelle mit telnet auf meine anderen Rechner zu kommen.
Ein weiteres Problem erscheint mir, dass -- falls der Server auch Internet-Gateway ist -- theoretisch bei unzureichender Absicherung eines Funknetzes die Nachbarn über deinen Zugang "mitsurfen" können. Das kann teuer werden. Leider habe ich da gar keine praktische Erfahrung. Alles nur angelesen und in groben Zügen gespeichert. Gruß, Steffen -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.2-rc1-SuSE (GNU/Linux) iD8DBQE/6yxxZgn2CydO7qoRAo1ZAJ9/2a6EEP6RO5WKoCt3KBnw3ZUVLACfe6L0 tYJeZt5vC9hgAFAsxQUdOaA= =wqvv -----END PGP SIGNATURE-----
Am Donnerstag Dezember 25 2003 19:28 schrieb Steffen Lauterkorn: [...]
Das hängt von der Art der Verbindung ab. Falls du eine Runde Kabel im Haus verlegt hast, kannst du es IMO dabei bewenden lassen.
Noch ist Kabel die Standardverbindung und zudem günstiger :-)
Anders sieht es dagegen aus, wenn du ein Funknetz betreibst. Das kann ja jeder im Umkreis von bis zu 100 m abhören. Du möchtest bestimmt nicht, dass das halbe Viertel deine Dokumente mitlesen kann. Da sollte die Verbindung auf jeden Fall gut verschlüsselt sein. Die Standardeinstellungen der Geräte (unter Windows) sind praktisch mehr eine moralische Hürde.
Klar, für ein Funknetz sollte Verschlüsselung verwendet werden.
Ich betreibe hier Vernetzung über Powerline. Devolo rät trotz höherem Aufwand beim Anzapfen der Leitungen zum Einsatz der eingebauten Verschlüsselung. Ich weiß nicht mehr, wie stark diese Verschlüsselung ist, aber bei nur sechs Parteien im Haus und starker Dämpfung der Signale durch den Stromzähler scheint mir das Risiko akzeptabel, wenn auch nicht ideal.
Powerline wäre mir nicht geheuer...
Ein weiteres Problem erscheint mir, dass -- falls der Server auch Internet-Gateway ist -- theoretisch bei unzureichender Absicherung eines Funknetzes die Nachbarn über deinen Zugang "mitsurfen" können. Das kann teuer werden.
Dafür wäre dann eine Zugangsbeschränkung über Iptables oder einen Proxy sicherlich hilfreich. Mit Funknetzen habe ich nicht sonderlich viel Erfahrung, da ich nur auf der Arbeit und da in einem relativ stark gedämpften Gebäude (Stahlbeton) zeitweise damit arbeite. Gruß Udo -- Hompage: http://www.singollo.de Das ist halt der Unterschied: Unix ist ein Betriebssystem mit Tradition, die anderen sind einfach von sich aus unlogisch. -- Anselm Lingnau
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Am Donnerstag, 25. Dezember 2003 19:40 schrieb Udo Neist:
Am Donnerstag Dezember 25 2003 19:28 schrieb Steffen Lauterkorn: [...]
Powerline wäre mir nicht geheuer...
Nunja. Ich wohne hier zur Miete. Die Wände sind aus Stahlbeton und *ziemlich* widerstandsfähig. Die Wände perforieren ist mühselig und mein Vermieter weiß es bestimmt nicht zu schätzen, wenn ich Kabel durch mein Badezimmer lege. Ich hatte hier zeitweise 10 m Kabel verlegt --- und die waren natürlich im Weg. Funknetz war mir zu hakelig insbesondere bezüglich der Absicherung, also habe ich mich für diesen Kompromiss entschieden. Die in die Adapter eingebaute Verschlüsselung habe ich natürlich aktiviert. Gruß, Steffen -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.2-rc1-SuSE (GNU/Linux) iD8DBQE/6zLpZgn2CydO7qoRAmHxAJ4iIhXiXQr8Lwzpb5vgzUOdTXdDUwCgiySS SdC54Upm8oAyKAhFUK8+rtE= =GH32 -----END PGP SIGNATURE-----
Hallo, On 25-Dec-2003 Steffen Lauterkorn wrote:
Am Donnerstag, 25. Dezember 2003 18:51 schrieb Udo Neist:
NFS reicht für ein Heimnetz vollkommen aus, solange du keine wirklich sicherheitsrelevanten Dinge auf den Rechnern hast und der Internetzugang gut abgeschottet ist.
Das hängt von der Art der Verbindung ab. Falls du eine Runde Kabel im Haus verlegt hast, kannst du es IMO dabei bewenden lassen.
Beide Rechner haengen per Cat5-Kabel an einem Microlink Lan Router und dieser wiederum an einem DSL-Modem. Ein Linux-Router war platzmaessig leider nicht moeglich, obwohl ein alter, ungenutzter 486er Rechner im Keller steht.. Beste Gruesse, Heinz. -- http://www.pahlke-online.de/reisenews/ http://www.Pahlke-KunstWebDesign.de/
Hallo Heinz,
"Heinz W. Pahlke"
Hallo,
On 25-Dec-2003 Steffen Lauterkorn wrote:
Am Donnerstag, 25. Dezember 2003 18:51 schrieb Udo Neist:
NFS reicht für ein Heimnetz vollkommen aus, solange du keine wirklich sicherheitsrelevanten Dinge auf den Rechnern hast und der Internetzugang gut abgeschottet ist.
Das hängt von der Art der Verbindung ab. Falls du eine Runde Kabel im Haus verlegt hast, kannst du es IMO dabei bewenden lassen.
Beide Rechner haengen per Cat5-Kabel an einem Microlink Lan Router und dieser wiederum an einem DSL-Modem. Ein Linux-Router war platzmaessig leider nicht moeglich, obwohl ein alter, ungenutzter 486er Rechner im Keller steht..
Falls du nicht nfs benutzen möchtest, das funktioniert auch über einen ssh Tunnel (stunnel), bieten sich für gelegentlich Netzwerkverbindungen ssh oder Kerberos v5 an. ssh und scp sind in soweit interessant, als du deinen public_key auf die verschiedenen Hosts in deinem Netz (auch bei 2) verteilen kannst, dadurch entfällt dann die lästige Passwortabfrage und kannst auch Programme durch den sshtunnel auf einem anderen Rechner ausführen lassen, so lenke ich z.B. noch meinen isdn Monitor imon auf meinen Arbeitsrechner um. Periodische Dateiupdates lassen sich mit rsync und ssh realisieren. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de
participants (4)
-
Dieter Kluenter -
Heinz W. Pahlke -
Steffen Lauterkorn -
Udo Neist