Schlagwort-Archive: dm-crypt

Hardware für Proxmox VE Virtualisierungsserver

Ein Server für mein privates Pentest-Labor zur Virtualisierung der Opfersysteme musste her. Auf Bitte eines Lesers folgt eine kurze Dokumentation der getroffenen Hardware- und Software-Entscheidungen.
fantec_front

Kurz vorweg:
Es ist erstaunlich, wie viel Rechenleistung für moderaten Geldeinsatz kaufbar ist.

Mit einer geschickten Kombination aus Desktop- und Server-Hardware ist es möglich, einen nicht für den produktiven sondern für den experimentellen Betrieb geeigneten Virtualisierungsserver zusammenzustellen, der sich nicht verstecken muss.

Da der Server in einem bewohnten Bereich betrieben wird, musste das Gehäuse mit Schalldämmung versehen werden. Schalldämmung ist bei Server-Gehäusen noch weniger üblich, als im Desktop-Bereich und erschwert die Hardwareauswahl.

Hardware

IMG_20140102_145901

  • Intel Xeon E3-1245 v3, 4x 3.40GHz, Sockel-1150, boxed (BX80646E31245V3)

Statt dem i7-4770, zum Zeitpunkt des Kaufs signifikanter Kostenvorteil. Verlust von 100Mhz Turbo. Vergleich beider CPUs hier.

Bietet Intel I217-LM Gigabit-LAN, vPro (statt IPMI bei einem Server-Mainboard) und kostet unter 100 Euro.

Passform sehr gut für 4HE Server-Gehäuse mit Schalldämmung und Montage mit Backplate (im Preissegment um 20 Euro nicht selbstverständlich).

  • Fantec NNC-4550X, 4HE (1489)

Sehr günstiges und stabiles 4HE Server-Gehäuse. Lässt sich Zwecks Schalldämmung komplett demontieren. Nachteil: Keine Rackschienen vom Hersteller.

Erfahrungsgemäß gut verarbeitbare Schalldämmmatten. Leider werden zwei Pakete benötigt.

Die Liste mit Tagespreisen ist hier abrufbar.

Zusammenbau

Der Zusammenbau gestaltet sich sehr einfach. Die Montageanleitung des CPU-Kühlers ist umfangreich.

Problematisch war die Anbringung der Schalldämmmatten. Das Fantec-Gehäuse erlaubt im Gegensatz zu einigen anderen günstigen Server-Gehäusen die Demontage des Mainboard-Trays, sodass auch unter dem Mainboard Bitumenpappe angebracht werden kann. Der Schnitt der Cooltek-Dämmmatten ermöglicht die Anbringung am kompletten Gehäusedeckel, den Seiten des Gehäuses und der Front ohne Zuschnitt.

IMG_20131230_185240

IMG_20131230_185311

IMG_20131230_190156

IMG_20131231_212829

IMG_20140101_210409

Wer viele kleine Schrauben nicht scheut, kann mit zwei Sätzen Cooltek Dämmmatten und dem Fantec NNC-4550X Gehäuse einen schallgedämmten Server bauen. Einziger Wermutstropfen des Gehäuses ist das sehr günstig gewählte Schloss, dass weder dem Einbruchsschutz dient, noch die Frontplatte bei regelmäßiger Benutzung besonders gut hält.

Software

Wenn Virtualisierungslösungen in Unternehmen eingesetzt werden sollen, wird oft VMWare ESXi eingesetzt. Leider wird entweder ein NAS oder SAN benötigt, oder ein Hardware-RAID Controller. Beides kam für mich nicht in Frage. Ein eigenes SAN/NAS ist für unwichtige Entwicklungssysteme im privaten Bereich überdimensioniert und Hardware-RAID meiner Ansicht nach nicht ökonomisch sinnvoll, wie ich vor drei Jahren erklärt habe.

Um die Zeit zu verringern, die für Einrichtung und Verwaltung nötig wird, habe ich mich für Proxmox VE entschieden. Proxmox VE basiert auf Debian und kann verschlüsselt und mit Software-RAID installiert werden. Die Installation des Servers ist in folgenden Artikeln dokumentiert.

Die anfänglichen Bedenken, dass eine so weit entfernt von den Projektvorgaben installierte Virtualisierungslösung nicht zuverlässig funktionieren kann, haben sich nicht bestätigt. Der Virtualisierungsserver läuft seit Inbetriebnahme so zuverlässig, wie man es von einem Debian erwarten darf. Ergänzend besteht die Möglichkeit bekannte Verwaltungswerkzeuge und Helferlein wie apticron einzusetzen.

OVH Server from Scratch mit Debian und dm-crypt Verschlüsselung

Diese Anleitung entspricht nicht mehr dem maximal möglichen Standard an Sicherheit. Dafür empfehle ich mein Konzept Tauchfahrt mit Linux.

1. Grundsätzliches

Dieses Howto beschreibt die Installationen von Debian Squeeze auf einem OVH Server im Rescue Modus. Der Server ist nach der Installation weder abgesichert noch entspricht er dem ‚Standard‘ von OVH.

Das bedeutet:

  • Kein Supportkey von OVH
  • Kein Realtime-Monitoring durch OVH
  • Kein OVH-Kernel
  • Download von Paketen nicht über OVH
  • Direkter SSH-Zugang als Superuser root

Darum empfehle ich dringend die Authentifikation per SSH Publickey. Einen Artikel darüber gibt es hier.

Das Ergebnis ist ein Minimalsystem für einen Fileserver, der folgende Eigenschaften hat.

  • Möglichst unabhängig von OVH-Infrastruktur
  • Minimalsystem
  • Großer verschlüsselter Datenbereich in /home

Das HowTo basiert auf dem Squeeze from Scratch HowTo von Sven Richter.

OVH Server from Scratch mit Debian und dm-crypt Verschlüsselung weiterlesen