# [OT] Multitalent PC durch UML ?

## haggi

Hallo, ich plane grad den Aufbau eines kleineren Netzwerkes. Neben ein paar Clients soll es noch einen Rechner für die üblichen Server Dienste (Apache, Samba, DHCP, Datenbank, Printserver) und einen Rechner für eine Firewall / Router Lösung. Soweit ja eigentlich nix ungewöhnliches.

Da ich aber nicht unbedingt die Mittel habe, mir zwei Zustätzliche Rechner zu kaufen, habe ich mir überlegt ob man das ganze nicht auch mit einem Rechner realisieren kann. Das man Serverdienste und Firewall normalerweise aus Sicherheitsgründen nicht auf einen Rechner packt, ist mir klar. Deswegen hab ich mich etwas umgehört und anscheinend kann man sowas mit UML realisieren. Wenn ich das richtig verstanden habe, kann man damit mehrer Linux Versionen komplett entkoppelt voneinander auf einem Rechner laufen lassen? 

Hat jemand Erfahrungen  damit gesammelt, gerade in Hinsicht auf Sicherheit und Performance ? Ich würde halt ein Gentoo oder Debian als Host-Betriebsystem auf dem Rechner installieren, welcher die ganzen Server-Dienste bereit stellt und dann per UML darin eine Smoothwall installieren. Ist das machbar / spricht was dagegen ?

Über Anregungen zur Konfiguration würde ich mich sehr freuen. Auch bin ich noch nicht auf gute Tutorials im Internet gestoßen die ein ähnliches Szenario abdecken.

MfG

Haggi

----------

## padde

 *Quote:*   

> Hat jemand Erfahrungen damit gesammelt, gerade in Hinsicht auf Sicherheit und Performance ? Ich würde halt ein Gentoo oder Debian als Host-Betriebsystem auf dem Rechner installieren, welcher die ganzen Server-Dienste bereit stellt und dann per UML darin eine Smoothwall installieren. Ist das machbar / spricht was dagegen ?

 

Erfahrungen weniger (mal n bisschen mit VMWare und verschiedenen Betriebssystemen darin herumgespielt, ist ja im Prinzip ähnlich). Aber meinst du nicht dass es sinnvoller wäre, die Firewall auf dem "äußersten" System, also dem Host für alle anderen, laufen zu lassen?

----------

## haggi

Du meinst, die Firewall als Hostsystem, und dann darauf aufsetzend per UML das "Serverbetriebsystem" ?

----------

## padde

Na... welchen Sinn hätte es denn, sämtlichen Netzwerkverkehr nach innen in das Firewall-System reinzuschleusen, dann zu überprüfen ob der überhaupt rein darf, und ihn dann wieder zurück an das Host-Betriebssystem auf dem die Serverdienste laufen, zu übergeben?

----------

## haggi

Hm. Das ist doch der übliche Vorgang, nur das es auf einem Rechner stattfindet und nicht wie normalerweise auf 2.....

----------

## ro

ich würd am host gar nix machen sondern 1 guest system als firewall, 1 guest als log-server und 1 als server .... so habs ich (auf nem 433er P2 256MB RAM)

----------

## haggi

Ja, das hört sich doch gut an, mit der Performance scheint es also keine Probleme zu geben. Könntest du eventuell dein Vorgehen beim erstellen dieser Konfiguration etwas näher beschreiben? Welche Distributionen hast du für die Gastsysteme genommen, und welches als Host? Oder vielleicht ein paar Anlaufstellen nennen, wo man sich eventuell inofmieren kann.

Danke.

----------

## ro

hab natürlich gentoo hergenommne, und das ganze wie im wiki erklärt aufgesetzt. das guest-system herunterfahren, die datei für das root verzeichnis + kernel-executable + swap-datei einfach kopiert und dann halt die entsprechende konfig vorgenommen (andere ip adresse, mysql+apache+samba+qmail installiert). wichtig ist dabei, dass der host-kernel den skas patch enthält, sonst wirst du performance-probleme kriegen.

----------

## haggi

Danke für den Hinweis. Das Wiki scheint ein guter Ansatz zu sein.

----------

## slick

Muß diesen Thread mal aus der Versenkung holen.

Möchte jetzt auch mal wieder was mit uml realisieren, nun stelle ich mir grad die Frage wie ich die Services am besten verteile. Ich hatte mir gedacht in jeder uml (in der benötigt) eine mysql aufzusetzen wäre eigentlich Quatsch, daher möchte ich nur eine mysql auf dem Host aufsetzen. Spricht da außer dem Sicherheitsaspekt etwas dagegen? 

Ein weiterer Punkt wäre ein Fileserver, dessen Daten aber evt. von mehreren umls benötigt wird, da wäre es sinnvoll einen nfs auf dem Host aufzumachen oder gar den Fileserver als eigene uml? (Diese Cow-FS, also direkter Zugriff auf die Hostplatte mag ich nicht.) Anderseits überlege ich ob es sinnvoll ist das  jeweils "auszulagern", denn gewissermaßen müssen ja dann mehrere "Maschinen" daran rechnen.

Wer kann mir Hinweise/Denkanstöße geben und/oder erläutern (warum er es genau so und) wie er es gelöst hat.

----------

## m.b.j.

Ist es ein problem UML in einem hardened system zu nutzen (Host & Guest)? Sind mixturen möglich?

----------

## x1jmp

Was ist denn eigentlich zu empfehlen, UML oder chroot/jail?

UML wäre ein komplettes Betriebssystem, chroot/jail nur eine neue Umgebung?

Ich wäre für eine kleine Erleuchtung dankbar  :Wink: 

----------

## slick

 *m.b.j. wrote:*   

> Ist es ein problem UML in einem hardened system zu nutzen (Host & Guest)? Sind mixturen möglich?

 

Als Gast dürfte es kein Problem sein solange man den SKAS  in den Kernel bekommt. Also Host, k.A. aber ich wüßte nichts was dagegen spricht, im Endeffekt ist ja UML nur eine spezielle Application.

 *x1jmp wrote:*   

> UML wäre ein komplettes Betriebssystem, chroot/jail nur eine neue Umgebung? 

 

chroot ist ein "abgeschotteter" Bereich innerhalb eines Systems, UML (Usermode Linux) ist ein simuliertes System innerhalb eines Systems, _grob_ vergleichbar mit vmware. UML ist von "innen" betrachtet eine eigene Maschine (kann auch als Honeypot eingesetzt werden), bei chroot erkennt man meist von "innen" das man in einem chroot ist. 

gemischte Verschachtelung ist möglich: ein Host, darin ein UML-Gast-System, darin eine chroot-Umgebung, darin ein UML-Gast-System, ...  :Wink: 

----------

## Tinitus

Hallo,

habe die ganze Sache gestern auch mal wieder durchgespielt....IPCOP auf extra Rechner ..VOIP ...etc. und dann mein normaler Rechner.

Ist aber leider am Stromverbrauch hängen geblieben.

Rechner mit DSL Modem etc. min. 50 W ...Fritzbox 7,5 Watt.

Ist einfach zu teuer

G. R.

----------

## Anarcho

Tja,

dafür kann ein PC eben mehr als ne Fritzbox. Kommt eben immer drauf an was man haben will. Wenn's nur ums Internet geht, hast du sicher recht.

Aber bei mir läuft z.b. auch der AB/Fax dadrauf inklusive Webinterface welches mir über den Apache per DynDns weltweit zur Verfügung steht. 

Und wenn du z.b. FileSharing machst, dann muss eh ein Rechner laufen. Also warum nicht der Server? Dann kommt noch TrafficShaping dazu.

Vorher hatte ich auch alles in einem Rechner. Der war dann so voll das ich ernste Hitzeprobleme bekommen habe. Nun habe ich die Datenplatten in den Server ausgelagert und dort sind sie auch noch verschlüsselt. Das würde meine Performance an der Workstation normalerweise bremsen, so merke ich da so gut wie garnichts von.

----------

## m.b.j.

Kleine Frage: Dualprozessorsysteme? Sollte man für sowas lieber xen, oder uml verwenden?

----------

## Damian

Im Augenblick unterstützt Xen kein kein Mehrproc. in der Virtu. Machine

aber kann die Processoren auf die Virtu. Machinen verteilen

und ist scheller als UML was Netzwerkdurchsatz anbetrift.

Glaubt man div. Benchmarks ist Xen insgesamt performanter

und bekommt mehr Unterstützung von aussen (Intel, AMD, ...)

Tip: Xen und UML sind prinzipiel schneller wenn sie von ISO-Image

starten und nicht von einer Partition, bei Xen wird aber daran

gearbeitet. (unter Xen 3. soll bereits Win-XP laufen -> sh. Pro-Linux)

-> Für mich ist Xen die erste Wahl, da auch BSD ohne Probs. hier läuft.

Damain

----------

## golloza

Damit unmodifizierte Gastsysteme laufen, muss die CPU aber VT/Pacifia unterstützen, oder?

----------

## Damian

Ja

Damain

----------

## longinus

Generell zu UML, betrift auch ein bisschen XEN, solche Systeme erhöhen zwar die Sicherheit deutlich man sollte aber auch nicht vergessen daß das größte Sicherheitsrisko meißt vor dem Monitor sitzt  :Smile: 

Multi Rechner Systeme sind logistisch leichter zu durchschauen (optischer Effekt "Was man anlangen und sehen kann versteht man leichter") und zu warten, und auch eine UML Umgebung ist von einem guten Hacker zu knacken.

Ob sich der Aufwand lohnt ist halt Fallspezifisch, zu gern schleicht sich doch mal ein Fehler bei der Konfiguration ein, ist wie bei den komplexen Firewall Scripten ein fehlerhafter Regelsatz öffnet Tür und Tor  :Sad: 

----------

