*BSD als Server im Linuxnetz

[rikola]

Hallo,

der Server in unserem Linuxnetzwerk muss demnaechst erneuert werden (zur Zeit laeuft SuSE 10.3 drauf), und ich spiele mit dem Gedanken, OpenBSD zu benutzen - Hauptgrund ist, dass er dann tatsaechlich eher als Server benutzt wird, weil zumindest die Linux-Programme nicht mehr drauf laufen.
Ich wuerde gerne Erfahrungen und Meinungen dazu hoeren, bzw. wissen, ob ich hier etwas Spezielles bedenken sollte oder es Bedenken gibt.
Auf dem Server laeuft als http-Server (apache2), mail-Server (postfix/ dovecot fuer IMAP/POP3) und ssh-Server. Ausserdem NFS und NIS, angeschlossen sind ausschliesslich Linux-Rechner. Die Firewall ist separat vorgeschaltet.

P.S. an die Admins: Als sicherstes Betriebssystem gilt eher VMS, welches mal in einem c't-Artikel als 'unhackbar' zitiert wurde.

 

[kartoffel200]

Warum willst du diesen Schritt tun?
Linux läuft stabil, hat Distributionen die sehr stark an Sicherheit interessiert sind und lücken patchen. Performance sollte heute auch kein Problem sein.
Debian Server und CentOS haben bei uns eine riesige uptime im Vergleich zu Windows. Linux ist bekannter und so kann man besser quallifiziertes Personal finden wie für BSD Systeme. Ähnlich sind sie, Linux und BSD, doch ich würde nie sagen ich kenn mich mit BSD aus. Du kannst für Linux Support kaufen, jedenfalls bei der richtigen Distribution ( ich hoffe nicht das du wieder zu Suse greifst )
Linux bietet viele Treiber und ist freie Software nach der GPL. Wer die GPL vernünftig findet sollte dann lieber ein GPL System nutzen. Ich für meinen Teil finde die BSD Lizenz irgendwie sinnfrei.

 

[saeckereier]

Was meinst du mit die Linux-Programme? Dafür laufen dann die BSD-Programme, was in den meisten Fällen so ziemlich das gleiche ist..

 

[rikola]

@kartoffel200
Service und Personalqualitaet sind kein Problem, da ich fuer das Netzwerk zustaendig bin ;-) Ich kenne OpenBSD ganz gut und mag es recht gerne, halte es fuer stabil und lerne v.a. gerne etwas Neues.
@saeckereier
Der Server stellt per NFS spezielle, wissenschaftliche Software zur Verfuegung, die die Nutzter benutzen. Die sind u.U. sehr rechen- und/oder speicherintensiv, daher moechte ich bewirken, dass die Leute sich nicht auf dem Server einloggen und diese Programme benutzen. Da alle Programme nur als Linux-binaries vorliegen, schien es mir das einfachste, einen BSD-Server aufzusetzen, die die Programme zwar zur Verfuegung stellt, allerdings nicht selber ausfuehren kann. Neugierde ist allerdings auch ein grosser Faktor zu diesem Schritt.
Zum Problem des Ausfuehrens: Ist es moeglich, die Partition, die die fragliche Software enthaelt, 'noexec' einzuhaengen und sie dennoch auf den Rechnern, die die Partition per NFS einhaengen, auszufuehren? Oder missverstehe ich die Beduetung von 'noexec' in mount(?

 

[saeckereier]

Hey, warum müssen sich denn die Leute überhaupt drauf einloggen können, mir scheint das sicherste wäre einfach den lokalen Login zu verbieten. Das sollte man auf einem Fileserver ohnehin besser tun, die meisten Kernel-Exploits der letzten Zeit basierten auf Angriffen durch lokale User..

 

[rikola]

So wuerde ich das auch handhaben. Es ist jedoch nur ein kleines Netzwerk fuer eine kleine Gruppe, so dass ein Rechner mehr oder weniger schon auffallen kann. Hauptproblem ist jedoch, dass es ueber die Uni irgendeine Windows-VPN Anwendung gibt, die jemand aus der Gruppe benutzen muss, und die funktioniert aus mir schleierhaften Gruenden anscheinend nur direkt am Server.
Hauptgrund fuer meine Frage war allerdings tatsaechlich meine Neugierde, mal einen OpenBSD-Server aufzusetzen, der auch tatsaechlich als solcher genutzt wird (und nicht nur durch mich auf dem Laptop). Aber danke fuer die Kommentare.

 

[saeckereier]

Dann hau rein, ist ein wenig gewöhnungsbedürftig, aber wird das VPN denn auf BSD laufen?

 

[rikola]

[...] aber wird das VPN denn auf BSD laufen?

Nein, aber mit einem BSD-Server wuerde ich mich schon drum bemuehen, dass diese Anwendung auch auf den anderen Rechnern laeuft. Zur Not wuerde ich die Verantwortlichen anhauen. Es kann ja schlecht sein, dass die Anwendung da einen Unterschied, auf welchen Rechner hinter der Firewall sie da weitergeleitet wird.