Sicherheitskonzept für Poweruser NAS?

[Knogle]

Ich grüße euch liebe Community.
Habe nun fast 8 Jahre meinen NAS in Betrieb, momentan mit Sockel 2011 Prozessor ECC RAM, 2x 10GBit LC-LC NIC, und 4x 2TB Speicher auf ZFS und NVMe SSD als Systemplatte, und 1TB NVMe SSD als /home/ Partition.
Momentan ist da einfach nur Debian lauf, und auf dem System laufen Webseite, Teamspeak3, 1 Minecraft Server, OpenVPN server, mein Nextcloud Zugang, als auch meine ganzen wichtigen Daten, welche auf den 4x 2TB ZFS Platten liegen, und auf der 1TB NVMe SSD im /home Verzeichnis.
Leider habe ich nun schon mehrfach gehört dass das ganze so nicht sicher ist, aber wie kann ich das optimieren? Ich habe mich mal ein bisschen erkundigt, und VMs sollen da irgendwie die Lösung schaffen, aber hat jemand da eventuell konkrete Vorschläge und Anwendungsmöglichkeiten für mich, wie ich das ganze umsetzen, bzw. verbessern kann?
Keine Sorge, nicht wieder denken es sei gewerblich. Damals habe ich knapp 1500 Euro da reingesteckt, da ich früher immer nur mit einem Pentium 3 NAS rumgedackelt bin, da wollte ich damals dann was vernünftiges als Poweruser.
Es geht mir um die Sicherheit vor Angriffen etc. Weiterhin wäre es sinvoll, wenn nicht der ganze Server einfriert, falls irgendein Ding rumspinnt, hatte ich z.B. schonmal bei ZFS wegen eines Segfaults.
Wie sieht eigentlich die Performance aus wenn man sowas in einer VM laufen lässt, und die Sicherheit? Ist der Zugriff von dem einen dann nicht ohne weiteres auf die andere VM möglich? Und wie sichere ich den Host dann vernünftig ab? Gibt es dazu einen Guide?
Habe Anfangs dran gedacht einen alten 4U Server 1366 mit 2 CPUs dafür zu veranschlagen, aber der Idle Verbrauch von 280W lässt einen schon darüber nachdenken ob man das ganze doch auf einem stromsparenderern Server mit 8 Kernen hinkriegt.
Moment ist es ja so, wenn der Angreifer irgendwo einbricht, dann hat er direkt alles.

Habe z.B. gesehen es gibt VirtualBox f. Server ohne GUI, und es gibt auch sowas wie KVM, bin aber nicht sicher was davon "besser" ist, VirtualBox kenne ich zumindest aus dem Desktop Umfeld reichlich.

 

[gea]

Die ungünstigste Variante dürfe sein, alles auf Debian zu installieren. Das kleinste Problem legt alles tot und eine Neuinstallation ist sehr aufwändig.

Besser wäre Debian bei dem man alles Dienste virtualisisert (Proxmox). Ist zwar imme rnoch ein komplettes fettes Betriebssystem aber mit weniger Abhängigkeiten. Als Dateisystem ZFS nehmen. Der Komfort als NAS läßt zu wünschen übrig (im Vregleich zu Storage Appliances).

Virtualbox etc ist eigentlich ein NoGo.

Meine bevorzugte Variante ist ESXi.. Das ist eher eine Firmware zum Virtualisieren beliebiger Betriebssysteme wie Free-BSD, Linux, Windows, OSX, Solaris inkl einer Storage VM. Man vermeidet damit Abhängigkeiten zwischen Virtualisierunsserver, Storageserver und VMs für Dienste. Auch ist alles im Crashfall schnell und einfach wiederhergestellt. Diese Variante habe ich vor knapp 10 Jahren erstmals mit Solaris/OmniOS als ZFS Storageserver vorgestellt. FreeNAS hat das Konzept inzwischen übernommen. Konzept siehe https://napp-it.org/doc/downloads/napp-in-one.pdf

Vorteil zu dem mehr CLI basierten Storagemanagement bei Debian ist die komfortable webbasierte Verwaltung z.B. bei FreeNAS ode rmeinem napp-it für Solaris &Co.. Auch ist ZFS vor allem bei Solaris/OmniOS (da kommt ZFS her) und bei Free-BSD irgendwie ausgereifter als aktuell bei Linux.

Aktuelle ZFS Features wie Verschlüssellung und spezielle vdev zur Performancesteigerung gibt es aktuell bei Illumos/OmniOS und Linux ab ZoL 0.8. Free-BSD hängt momentan hinterher. Die neuen ZFS Features werden da ab Mitte 2020 erwartet.

 

[Knogle]

Werde mal beide Varianten testen auf meinem Server, das mit ESXi sieht natürlich super ausgereift aus! Ist prinzipell bei Variante 1 als Host dann auch sowas wie FreeBSD o.ä. geeignet? Weil bei nem Host ist das ja ziemlich egal was da läuft, oder nicht?
ESXi werde ich aber mal als erstes probieren. Mich regt bei meinem jetzigen Setup auf dass direkt alles tot ist wenn man verkackt.
Momentan laufen gefühlt 1000 Services auf dem System, und als ich im Urlaub war habe ich da mal was bei den iptables verpatzt, und der komplette Zugriff auf das System war weg.

 

[gea]

Variante 1, also alles auf dem Host installieren geht unter Linux deutlich am Besten. Unter Free-BSD ist die Auswahl an "ready to use" Packeten deutlich geringer, unter Solarish am geringsten. Letzteres ist eigentlich eher der ZFS Storage Spezialist obwohl es mit pkgin ein Packet-Distributionssystem gibt, das mehrere Betriebssysteme unterstützt (https://pkgsrc.joyent.com/)

 

[VirtuGuy]

Momentan laufen gefühlt 1000 Services auf dem System, und als ich im Urlaub war habe ich da mal was bei den iptables verpatzt, und der komplette Zugriff auf das System war weg.

So einem Fall kannst du immer wieder haben, hier wäre dann ein Remote Management Zugang die einfachere Lösung (Ipmi, ilo, idrac,..). Des weiteren wirst nur bedingt weiterkommen wenn du EINEN Host verwendest. Tausche iptables mit einem simplen Hardware Defekt => dein System ist tot, egal wie du es drehst.


Grundsätzlich würde ich deine Anwendungen in Container umziehen, mit VM´s ziehst du nur Balast mit.

Ob du diverse Einzelösungen zusammenbastelst (ESX, Storage VM mit omnios und nappit, Container VM, Backup Lösung,..) oder eine AIO Lösung wie Proxmox/xcp-ng/... verwendest, musst du selber entscheiden. Am Ende kommst du hier nur mit durchprobieren weiter, funktionieren tun alle irgendwie.

 

[Knogle]

ESXi schaue ich mir gerade mal in einer VM an, sieht interessant aus.
Sonst wie @gea sagte werde ich mal in Linux Kram wie KVM , Proxmox undsowas testen.
FreeBSD schaue ich mir auch einfach mal an.
Aber fest steht wohl, so wie es jetzt ist, kann es nicht bleiben
Hardwareausfall, ja gut da kann man wohl nix machen. So wichtig ist die Verfügbarkeit jetzt auch nicht. Im Zweifel habe ich halt den 2. Server den ich einfach nur einschalten brauch, womit ich im Zweifel einige wichtige Dienste wieder zum laufen kriege (Läuft einfach nur mit CentOS), nix wildes.
Aber ich gehe mal nicht von einem Hardwaredefekt aus, hatte sowas in meinen 15 Jahren mit PCs extrem selten, und wenn dann meist selbstverschuldet.
Das Board selbst hat jedoch tatsächlich eine Macke, eine defekte Leiterbahn welche nach einem Kurzschluss abgeraucht ist.
Damals ist ein Lüfter über lange Zeit warm geworden, weshalb sich der Aufkleber hinten auf dem Lüfter langsam gelöst hat. Weiterhin waren die Lötstellen irgendwann auch ab, und die PWM Leitung hat das Gehäuse berührt wodurch es zu einem fetten Kurzschluss kam, welcher die Leiterbahn abrauchen lies.
Aber sowas ist mir jetzt nicht so wichtig.

 

[bluesunset]

Wohin wird denn das Backup geschrieben, und ist dieses gegen Ransomware geschützt?

 

[Knogle]

Wohin wird denn das Backup geschrieben, und ist dieses gegen Ransomware geschützt?

Das Backup von wichtigen Daten wird vierterjährlich angefertigt (Von wichtigen Daten, welche sich eigentlich nicht großartig verändern), und wird in einem Bankschließfach gelagert.
Ein anderes Backup wird einmal im Monat angefertigt, und bei mir Zuhause verwahrt.
Beide jeweils auf mit LUKS verschlüsselte Datenträger.