Hallo zusammen,
ich beschäftige mich seit einiger Zeit mit SelfHosting. Dabei interessiere ich mich besonders für Lösungen die von Jedermann/Frau installiert werden können, ohne grossartige Kenntnisse vorauszusetzen. Freedombox ist ein sehr interessantes Projekt, aber leider noch nicht als stabil zu bezeichnen. Nun da owncloud aus Debian rausgeflogen ist, fehlt dort auch eine wichtige Komponente für die es noch keine Alternative gibt.
Das hat mich dazu animiert mich nochmal nach Alternativen umzuschauen. Dabei bin ich auf das bisher wenig bekannte YunoHost gestossen. Es ist ein wirklich tolles Projekt mit vielen Möglichkeiten. Ich habe dazu ein Debian Jessie als Basis genommen und vor einiger Zeit die Version 2.2 installiert. Mittlerweile ist 2.4 erschienen (https://forum.yunohost.org/t/yunohost-2-4-released/1544) und ich habe meinen Server aktualisiert. Das Upgrade lief problemlos durch und die Software hat sich nochmals deutlich verbessert.
Was mir gefällt:
- Einfach zu installieren - Wartung und Update über GUI oder Shell möglich - Grosse Auswahl an Applikationen (owncloud, wallabag, ttrss, roundcube, dokuwiki, wordpress uvm) - Integrierter ddns Service - Möglichkeit zur Installation von eigenen WebApps inkl. SQL DB - Sympathische Community mit gutem Forum - Integrierte Backupmöglichkeit
Bei Interesse empfehle ich einen Blick auf https://yunohost.org/
Viele Grüsse Marcus
Hallo Marcus,
das Projekt sieht wirklich sehr vielversprechend aus. Vielen Dank für den Hinweis! Noch ein paar Ergänzungen zu deiner Liste "Was mir gefällt":
- Basiert auf Debian
- Ändert so wenig wie möglich am Debian-System (sodass man direkt die Updates aus Debian nutzen kann, insbesondere die Security-Updates)
Was mir allerdings etwas Sorgen macht, ist dass hier der Fokus auf Security fehlt. Das macht es allerdings nicht schlechter als praktisch alle anderen ähnlichen Projekte. ;-)
Ich fände es zum Beispiel sehr sinnvoll, wenn alle Software erstmal via HTTP-Auth über den Webserver (nginx) abgeschirmt wird. Und der die Authentifikation (über LDAP oder was auch immer) übernimmt. Das würde die Angriffsfläche enorm reduzieren. Stattdessen ist praktisch jede (Web-)Applikation selbst dafür verantwortlich, und die nächste PHP-Sicherheitslück schlägt sofort durch alles hindurch.
Auch ihr Hinweis, mehrere Nutzer sollten einfach in mehreren virtuellen Maschinen laufen, wirkt etwas blauäugig. An sich ist der Hinweis absolut berechtigt, schützt aber nur vor schlechten Passwörtern. Da in jeder VM die selbe Software läuft, funktioniert der Einbruch in die eine VM genauso auch in der nächsten. Auch ist das dann mit dem Mailserver nicht mehr so einfach, wobei man das durch Subdomains "user@user.example.com" statt "user@example.com" oder ähnliches lösen kann.
Und grundsätzlich ist Linux vielleicht nicht die beste Wahl dafür. Ich fände sowas wie YunoHost interessant, das auf FreeBSD oder ganz hardcore OpenBSD bzw. MirageOS aufbaut.
Und bei dem jede installierte Software in einem eigenen Container (oder VM?) läuft, so stark isoliert wie nur möglich. Und der Multiuser-Kram einfach komplett rausgelassen, was ja auch Komplexität und Angriffsfläche entfernt. LDAP und Co. könnten dann auch raus. Dann das System lieber auf den (ohnehin empfohlenen) Anwendungsfall von Single-User optimieren.
Gruß Volker
Marcus Moeller schrieb:
Hallo zusammen,
ich beschäftige mich seit einiger Zeit mit SelfHosting. Dabei interessiere ich mich besonders für Lösungen die von Jedermann/Frau installiert werden können, ohne grossartige Kenntnisse vorauszusetzen. Freedombox ist ein sehr interessantes Projekt, aber leider noch nicht als stabil zu bezeichnen. Nun da owncloud aus Debian rausgeflogen ist, fehlt dort auch eine wichtige Komponente für die es noch keine Alternative gibt.
Das hat mich dazu animiert mich nochmal nach Alternativen umzuschauen. Dabei bin ich auf das bisher wenig bekannte YunoHost gestossen. Es ist ein wirklich tolles Projekt mit vielen Möglichkeiten. Ich habe dazu ein Debian Jessie als Basis genommen und vor einiger Zeit die Version 2.2 installiert. Mittlerweile ist 2.4 erschienen (https://forum.yunohost.org/t/yunohost-2-4-released/1544) und ich habe meinen Server aktualisiert. Das Upgrade lief problemlos durch und die Software hat sich nochmals deutlich verbessert.
Was mir gefällt:
- Einfach zu installieren
- Wartung und Update über GUI oder Shell möglich
- Grosse Auswahl an Applikationen (owncloud, wallabag, ttrss, roundcube, dokuwiki, wordpress uvm)
- Integrierter ddns Service
- Möglichkeit zur Installation von eigenen WebApps inkl. SQL DB
- Sympathische Community mit gutem Forum
- Integrierte Backupmöglichkeit
Bei Interesse empfehle ich einen Blick auf https://yunohost.org/
Viele Grüsse Marcus
fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
Hi again.
das Projekt sieht wirklich sehr vielversprechend aus. Vielen Dank für den Hinweis! Noch ein paar Ergänzungen zu deiner Liste "Was mir gefällt":
Basiert auf Debian
Ändert so wenig wie möglich am Debian-System
(sodass man direkt die Updates aus Debian nutzen kann, insbesondere die Security-Updates)
Was mir allerdings etwas Sorgen macht, ist dass hier der Fokus auf Security fehlt. Das macht es allerdings nicht schlechter als praktisch alle anderen ähnlichen Projekte. ;-)
Man wird regelmässig in der Admin UI über mögliche Sicherheitsprobleme informiert und erhält laufend Updates vom OS sowie von YuhoHost selbst.
Ich fände es zum Beispiel sehr sinnvoll, wenn alle Software erstmal via HTTP-Auth über den Webserver (nginx) abgeschirmt wird. Und der die Authentifikation (über LDAP oder was auch immer) übernimmt. Das würde die Angriffsfläche enorm reduzieren. Stattdessen ist praktisch jede (Web-)Applikation selbst dafür verantwortlich, und die nächste PHP-Sicherheitslück schlägt sofort durch alles hindurch.
So wie ich das verstehe, wird das genau so gemacht. Dafür gibt es das sso System.
…
Und grundsätzlich ist Linux vielleicht nicht die beste Wahl dafür. Ich fände sowas wie YunoHost interessant, das auf FreeBSD oder ganz hardcore OpenBSD bzw. MirageOS aufbaut.
Das ist Geschmackssache. OpenBSD ist auch nur sicher wenn man es regelmässig patched.
Und bei dem jede installierte Software in einem eigenen Container (oder VM?) läuft, so stark isoliert wie nur möglich. Und der Multiuser-Kram einfach komplett rausgelassen, was ja auch Komplexität und Angriffsfläche entfernt. LDAP und Co. könnten dann auch raus. Dann das System lieber auf den (ohnehin empfohlenen) Anwendungsfall von Single-User optimieren.
Ich finde es schon praktisch, da ich damit gleich die ganze Familie versorgen kann.
Viele Grüsse Marcus
Marcus Moeller schrieb:
- Ändert so wenig wie möglich am Debian-System
(sodass man direkt die Updates aus Debian nutzen kann, insbesondere die Security-Updates)
Was mir allerdings etwas Sorgen macht, ist dass hier der Fokus auf Security fehlt. Das macht es allerdings nicht schlechter als praktisch alle anderen ähnlichen Projekte. ;-)
Man wird regelmässig in der Admin UI über mögliche Sicherheitsprobleme informiert und erhält laufend Updates vom OS sowie von YuhoHost selbst.
Ja, die _Reaktion_ auf Security-Probleme is sehr gut, wiegesagt.
Was ich vermisse ist eine konsequente _Prevention_ dieser Probleme.
Ich fände es zum Beispiel sehr sinnvoll, wenn alle Software erstmal via HTTP-Auth über den Webserver (nginx) abgeschirmt wird. Und der die Authentifikation (über LDAP oder was auch immer) übernimmt. Das würde die Angriffsfläche enorm reduzieren. Stattdessen ist praktisch jede (Web-)Applikation selbst dafür verantwortlich, und die nächste PHP-Sicherheitslück schlägt sofort durch alles hindurch.
So wie ich das verstehe, wird das genau so gemacht. Dafür gibt es das sso System.
In den Demo-Anwendungen habe ich Web-Formulare für Login gesehen, kein HTTP-Auth.
Daher gehe ich davon aus, dass die Applikationen alle selbst authentifizieren.
Damit ist die Angriffsfläche 'zigmal größer, als wenn erst einmal alles gegen den Web-Server authentifizieren muss. Denn dann hätten dann nur noch _authentifizierte_ Nutzer die Möglichkeit, Sicherheitslücken in den einzelen Web-Applikationen überhaupt zu triggern, und nicht das gesamte Internet.
Und grundsätzlich ist Linux vielleicht nicht die beste Wahl dafür. Ich fände sowas wie YunoHost interessant, das auf FreeBSD oder ganz hardcore OpenBSD bzw. MirageOS aufbaut.
Das ist Geschmackssache. OpenBSD ist auch nur sicher wenn man es regelmässig patched.
Ja, das ist wirklich ein Jammer. Ich habe nie verstanden, warum das das Upgraden bei denen mit so viel Handarbeit verbunden ist.
Und bei dem jede installierte Software in einem eigenen Container (oder VM?) läuft, so stark isoliert wie nur möglich. Und der Multiuser-Kram einfach komplett rausgelassen, was ja auch Komplexität und Angriffsfläche entfernt. LDAP und Co. könnten dann auch raus. Dann das System lieber auf den (ohnehin empfohlenen) Anwendungsfall von Single-User optimieren.
Ich finde es schon praktisch, da ich damit gleich die ganze Familie versorgen kann.
Ja klar, wenn man viele Container hat, muss man die Container managen. Das heißt, das Aufsetzen mehrerer paralleler YonoHost-Instanzen sollte dann auch benutzerfreundlicher werden. Sonst macht das keinen Sinn, klar.
Gruß Volker
Hi again.
Ich fände es zum Beispiel sehr sinnvoll, wenn alle Software erstmal via HTTP-Auth über den Webserver (nginx) abgeschirmt wird. Und der die Authentifikation (über LDAP oder was auch immer) übernimmt. Das würde die Angriffsfläche enorm reduzieren. Stattdessen ist praktisch jede (Web-)Applikation selbst dafür verantwortlich, und die nächste PHP-Sicherheitslück schlägt sofort durch alles hindurch.
So wie ich das verstehe, wird das genau so gemacht. Dafür gibt es das sso System.
In den Demo-Anwendungen habe ich Web-Formulare für Login gesehen, kein HTTP-Auth.
Daher gehe ich davon aus, dass die Applikationen alle selbst authentifizieren.
Damit ist die Angriffsfläche 'zigmal größer, als wenn erst einmal alles gegen den Web-Server authentifizieren muss. Denn dann hätten dann nur noch _authentifizierte_ Nutzer die Möglichkeit, Sicherheitslücken in den einzelen Web-Applikationen überhaupt zu triggern, und nicht das gesamte Internet.
Hier findest du weitere Informationen zum SSO System.
https://github.com/YunoHost/SSOwat
Viele Grüsse Marcus
Marcus Moeller schrieb:
Hi again.
In den Demo-Anwendungen habe ich Web-Formulare für Login gesehen, kein HTTP-Auth.
Daher gehe ich davon aus, dass die Applikationen alle selbst authentifizieren.
[...]
Hier findest du weitere Informationen zum SSO System.
Schick! Dann habe ich mich geirrt.
Es ist zwar eine formularbasierte Authentifikation, aber trotzdem zentral im Webserver (Nginx) verankert.
Gruß Volker