Wie installiere ich ein System richtig

Viele Rechner die ich vorfinde sind mit nur einem Benutzer installiert. Kann man machen, ist allerdings eine eher schlechte Idee. Warum ich dieser Meinung bin möchte ich im folgenden Beitrag erläutern.

Wie ich ein System installiere:
Beginnen möchte ich damit wie ich ein Apple-System installiere. Nachdem das System installiert ist und das erste mal startet, wird man aufgefordert den ersten Benutzer anzulegen. Mein erster Benutzer heißt grundsätzlich Administrator und ist auch genau das. Danach kommen dann die Aktualisierungen sowie die Installationen der Anwendungssoftware. Anschließend noch die Standards des Netzwerkes z.B. Drucker und Laufwerke oder ähnliches. Ist das alles erledigt lege ich den eigentlichen Benutzer als Standard-Benutzer an. Jetzt kann der Benutzer mit seiner Arbeit beginnen.

Warum mit einem Standard-Benutzer...
Klar es ist erst einmal etwas aufwendiger, da man öfter mal ein Passwort für den Admin eingeben muss. Allerdings ist damit eine sichere Basis gelegt. Sollte der Benutzer angegriffen werden „stoppt“ das System den Angriff. Sollte beim öffnen eines Anhanges ein Passwort des Administrators verlangt werden würde das jeden Benutzer stutzig machen. Das ist dann sozusagen passive Sicherheit.

Weitere Aspekte:
Ein weiterer Punkt warum eine solche Installation Sinn macht ist wenn man ein technisches Problem im System hat ist es möglich den Benutzer zu wechseln. Warum macht das Sinn? Anwendungen reagieren auf Rechteveränderungen manchmal seltsam. Hat man eine solche Reaktion, so wechselt man in den Administrator und prüft ob die Reaktion dort die Gleiche ist. Ist dem nicht so weis man sicher, dass das Problem im Benutzer zu finden ist.

Installationen im Administrator zu machen ist einfach sicherer um die Zugriffsrechte der Programme nicht zu verfälschen. Manche Anwendungen sind an der Stelle nicht korrekt ausgearbeitet. Installiert man nun eine solche Software, könnte es sein, dass diese nicht korrekt funktioniert. Heute eher seltener der Fall, aber Sicher bleibt eben Sicher.

Der Klassiker ist dann noch die misslungene Passwortänderung, Passwort vergessen oder ähnliches. Hat man einen weiteren Benutzer ist das kein wirkliches Problem, denn das Passwort ist so vom anderen Benutzer änderbar.

Wichtig – Benutzer nie ohne Passwort:
Apropos Passwort natürlich sollte sowohl der Administrator als auch der Benutzer ein Passwort haben. Das ist einmal sicherer und dann auch noch im Terminal ein absolutes Muss. Terminal ist ein Programm welches einem ermöglicht in die Tiefen des Systems ein zu tauchen. Das jetzt weiter auszuführen würde an der Stelle allerdings zu weit führen.

Der Benutzerwechsel, löschen oder anlegen von Benutzern wird sehr erleichtert. Sollte es notwendig werden einen Benutzer auf dem Rechner zu löschen, dürfte das recht schwierig werden wenn nur ein Benutzer auf dem Gerät existiert.

Mein Fazit
Der administrative Benutzer macg anfänglich vielleicht ein wenig aufwändiger erscheinen. Hat man sich jedoch daran gewöhnt bringt er nur Vorteile und vor allen zusätzliche Sicherheit am System. Ich würde kein System anders installieren.

 

Cornelius Hoffmann

Eigene Lösungen auf einem NAS installieren

NAS-Laufwerke werden heute gerne und vielseitig genutzt. Professionelle Geräte bieten dabei sehr viel Funktionalität. Wenn es dann aber doch etwas spezielles sein soll kann es sein, dass eine Funktion schwer oder einfach nicht abzubilden ist.
An der Stelle kommt Virtualisierung zum tragen. Man installiert sich auf dem NAS z.B. ein Linux oder Windows-System und kann so Funktionalitäten abbilden die man sonst von dedizierten Servern gewohnt ist.

Je nachdem was auf dem NAS virtualisiert werden soll müssen Arbeitsspeicher, Datenträger etc. für die Lösung passend sein. So benötigt ein "Windows Terminal Server" andere Kapazitäten als ein Linux-System mit dem vielleicht ein Mailserver abgebildet werden soll. QNAP bietet an der Stelle Geräte an die sowohl mit SSDs als auch Festplatten konfiguriert werden können und dennoch bezahlbar sind. Sicher gibt es entsprechende Geräte ebenso von anderen Herstellern (Synology, Thecus etc.), allerdings habe ich meine Tests auf Basis von QNAP gemacht und werde mich deswegen darauf beziehen.

Nun QNAP hat eine APP namens Virtualization Station mit der Systeme virtualisiert werden können. Diese muss zuerst nachinstalliert werden um sie benutzen zu können. Erst einmal installiert sieht die Anwendung VMWare-Oberflächen gleich und funktioniert im Allgemeinen auch so. Die Oberfläche ist sehr intuitiv zu nutzen. Installationen beginnen wie in VMWare mit der Erstellung einer Maschine und damit eines Systemimages, welche später bei der Installation des Systems als Festplatte vereinnahmt wird. Der Rest der Installation ist dann wie bei jedem anderen Rechner. Anschließend kann man dann seine eigene Lösung im System installieren, Laufwerke mappen oder was auch immer man dazu braucht die eigene Lösung zu installieren.

Hilfe in deutscher Sprache findet man unter folgendem Link: https://forum.qnapclub.de

Ich hoffe ich habe interessierte Mitleser auf interessante Ideen gebracht.

Cornelius Hoffmann

 

Wie installiere ich mir eine eigene Cloud-Lösung

In der heutigen Zeit reden alle von der Cloud. In diesem Beitrag möchte ich deswegen das Thema von einer anderen Seite beleuchten.

Sicher ist es einfacher Lösungen von Anbietern wie Apple, Microsoft, Dropbox, Google oder ähnlichen Anbietern zu nutzen. Allerdings sollte man sich dabei immer vor Augen halten, dass es einfach nichts umsonst gibt. Ich möchte jetzt nicht dramatisch werden, denn ich bekomme immer wieder die Antwort: "Die können doch ruhig wissen was ich mache, ich habe doch nichts zu verbergen..."
Das ist zwar richtig, dennoch bezahlt jeder mit seinem Nutzerverhalten den Dienst. Heute ist das noch in einem Rahmen mit dem man gut klar kommt. Dennoch sind Informationen über Personen oder Gesellschaften das Gold von morgen.

Haben Sie sich schon einmal gefragt wie Facebook wenn Sie sich neu anmelden auf Freundesvorschläge kommen kann. Oder Shops im Web genau die Artikel auf Ihre Geräte pushen über die Sie sich zuletzt informiert haben? Genau das sind Auswirkungen davon und deswegen möchte ich hier Alternativen zu den bekannten Anbietern benennen.

Beginnen möchte ich mit den heute weit verbreiteten NAS-Laufwerken. Ich nehme jetzt einen Hersteller mit dem ich meine Erfahrungen gemacht habe (QNAP). Ich weiß jedoch dass die angesprochenen Szenarien auch mit anderen Herstellern wie z.B. Synology, Teccus oder anderen professionellen NAS ebenso funktionieren.

Die einfachste Art ist die Lösungen aus dem QNAP-Shop zu laden und zu verwenden, denn hier braucht es fast kein Linux-Wissen um eine solche Lösung zum Laufen zu bringen. Eine Installationsroutine installiert SQL und die ownCloud in einem Rutsch. Ist ownCloud installiert geht man in die Oberfläche der Administration und legt Benutzer an. Den Benutzern vergibt man danach Rechte was Sie in der Lösung machen dürfen und schon kann man so Dateien auf das NAS laden und anderen Mitbenutzern freigeben.
In der Administrationsumgebung kann man die Lösung verschlüsseln, sicherer machen oder ähnliches. Dazu gibt es die doch recht verständlichen Anleitungen auf der ownCloud Seite. Unter der Haube muss man eigentlich nur das maximale Kontingent einstellen, denn das tut auf der Oberfläche oft nicht - aber auch dazu findet man verständliche Anleitungen unter https://doc.owncloud.org leider sind diese nur in englisch, man findet allerdings auch deutsche alternativen dazu. So z.B. hat das Bundesamt für Sicherheit in der Informationstechnik eine Anleitung herausgegeben wie man die ownCloud sicher machen kann. Der entsprechende Artikel ist unter folgendem Link zu finden.
http://www.zdnet.de/88237984/bsi-veroeffentlicht-anleitung-zur-nutzung-von-owncloud/
Zwar nicht mehr ganz so aktuell aber trotzdem nicht uninteressant ist der Link des deutschsprachigen ownCloud-Forum: https://forum.owncloud.org/viewtopic.php?t=11585 Die Plattform wurde zwar eingestellt ist aber immer noch einsehbar und somit ein gutes Nachschlagewerk, welche mir auch am Anfang gut weiter geholfen hat.
Ich denke mit all den Hinweisen bekommt man auch als nicht so großer Fachmann eine Installation geregelt.

Will man nun Kalender, oder Adressbücher verwenden, so müssen diese wieder in der Administrator-Umgebung hinzu installiert werden. Wichtig dabei ist es die Apps von Drittanbietern zu nehmen. Man wird dann auf die App-Seite der ownCloud geführt auf der man sich die Downloads zieht und diese dann in die ownCloud kopiert. Am einfachsten geht das mit dem Terminal und scp (Secure Shell Copy) wer sich damit nicht auskennt kopiert sich das über eine Freigabe auf das Raid und holt es sich dann dort ab. Ein geniales Feature ist die App Documents, denn mit der kann man live mit mehreren Personen an einem gemeinsam Nutzbaren OpenOffice-Dokument arbeiten.

Bleibt nun noch die Freigabe um die ownCloud mit anderen Benutzern extern benutzen zu können. Um das alles ins weltweite Netz zu bringen muss man nun noch eine Weiterleitung auf dem Router (FritzBox, Speedport etc.) machen. Grundvoraussetzung ist dabei dass der Router extern erreichbar ist. Das erreicht man am einfachsten, wenn man sich zu seinem Anschluss eine feste IP bucht. Bedeutet das eigene Netzwerk ist nun immer unter der selben Adresse erreichbar. Hat man nun eine eigene Domain bei einem Hoster richtet man dort eine Subdomain ein und verweist mit einer Weiterleitung auf eine externe IP auf seine eigene. Hat man keine eigene öffentliche IP kann man auch Dienste wie dynDNS oder ähnliche verwenden, wichtig ist dabei dass der Router diese unterstützt. Am Router verbindet man sich nun mit dem eingerichteten dynDNS-Account und ist ebenso erreichbar.

Jetzt kann mit dem teilen von Dateien, nutzen von eigenen Kalendern oder Adressbüchern begonnen werden. Entweder man verbindet sich direkt mit der Webseite oder benutzt eine Clientsoftware so wie man es auch gewohnt ist von z.B. Dropbox.

Cornelius Hoffmann

Was ist VPN und wofür kann man es benutzen

Ich stoße immer wieder darauf, dass es Kunden gibt die VPN nicht einordnen können. Ein "Virtual Private Network" also ein eigenes privates Netzwerk benutzt man um zum eigenen Netzwerk eine sichere Verbindung zu schaffen.

Grundsätzliche Verwendung:

So würde man zum Beispiel sich in das Firmennetzwerk einwählen um Dateien auf einem Server einsehen zu können oder Rechner in der Unternehmung fern zu steuern. Auch Datenbanken oder firmenbezogene Webseiten mit vertraulichen Informationen im eigenen Netz sind so sicher zu erreichen. Der Unterschied zu öffentlichen Verbindungen besteht darin, dass zuerst ein Tunnel aufgebaut und in diesem dann kommuniziert wird. Dadurch entsteht ein eigenes vor der Öffentlichkeit geschütztes Netzwerk welches dann als VPN bezeichnet wird.

Apple-Bordmittel:

Mit Apple eigenen Diensten die bei der Server.app mitgeliefert werden ist es möglich eine PPTP sowie L2TP Verbindung zu konfigurieren. Um diese zu nutzen ist es notwendig eine Weiterleitung auf dem Router oder der Firewall einzurichten. Sicherheitstechnisch wäre es dann auch möglich am Server Benutzer oder Gruppen für diesen Dienst freizugeben, damit nicht Jeder sondern nur ausgesuchte Benutzer diesen Dienst nutzen können.
Der Vorteil dieser Konfiguration ist dass die Benutzer und Passworte überall gleich zu verwenden sind, egal ob Serveranmeldung im Netzwerk oder VPN von einer externen Lokation, es findet immer der selbe Benutzer Verwendung. Ausserdem ist die Konfiguration und der Betrieb einer solchen Lösung recht einfach, also auch durch einen Laien gut zu verwalten, was ja mitunter eine Kostenfrage sein kann.
Nachteil einer solchen Konfiguration ist, dass von extern auf das Interne Netzwerk zugegriffen wird und somit wenn ein Benutzeraccount kompromittiert ist auch der VPN-Zugriff davon betroffen ist. Daraus kann eventuell eine Gefahr für das Firmennetzwerk entstehen.
Wenn es dann auch um Sicherheit geht ist noch zu benennen, ist die dass L2TP an der Stelle das sichere Protokoll ist. PPTP ist einfach älter und somit gegen Angriffe nicht so gut gewappnet aber immer noch besser als gar keinen Schutz - auch das muss man ganz deutlich sagen.

Beide Protokolle können sowohl von Windows als auch macOS-Clients genutzt werden. Bis Windows 8 muss für L2TP an den Diensten noch eine Veränderung vorgenommen werden, bei der aktuellen Windows 10 Version habe ich das noch nicht probiert.

openVPN:

Will man es nun noch einen Schritt sicherer haben installiert man einen openVPN-Server. Dieser steht am besten in der DMZ und hat ein explizites Routing für betimmte Teilnehmer in das interne Netzwerk. Basierend auf Zertifikaten in Verbindung mit Passwort-Authentifizierung oder auch Radius-Servern ist die Einwahl wesentlich sicherer als die eben beschriebene Variante, allerdings eben auch deutlich arbeitsaufwändiger durch das Erarbeiten von Zertifikaten, Schlüsseln und Benutzern. Eine vereinfachung ist da schon ein Radius-Server, allerdings ist die Plege und Überwachung eines Servers ebenso als zusätzlicher Aufwand zu betrachten.

Fazit:

Mein Fazit ist, geht es um Netzwerke die doch kleiner sind ist eine Apple-Serverlösung gut ausreichend, wenn man sonst bei der Firewall auf ein wenig mehr Sicherheit achtet. Ist einem Sicherheit deutlich wichtiger so sollte man sich einen Profi holen der einem eine adäquate Lösung installiert.

Cornelius Hoffmann

Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden. Diese Webseite benutzt Google Analytics. Die IP-Adressen wird durch die Erweiterung "anonymizeIP()"nur gekürzt weiterverarbeitet werden, um einen direkten Personenbezug auszuschließen. Sie können die Erfassung auch durch das Setzen eines Opt-Out-Cookies unterbinden. Wenn Sie die zukünftige Erfassung Ihrer Daten beim Besuch dieser Website verhindern möchten, klicken Sie bitte hier: Google Analytics Opt-Out
Weitere Informationen Akzeptieren Ablehnen