[Discuss] Raspberry Pi - Sinn und Zweck?
Bernd Petrovitsch
(spam-protected)
Do Nov 14 15:20:17 CET 2013
Hi!
On Don, 2013-11-14 at 14:53 +0100, Patrik Karisch wrote:
> Am 14. November 2013 14:43 schrieb Bernd Petrovitsch
> <(spam-protected)>:
[...]
> > Naja, der kleine IMAP/POP/SMTP-, HTTP-, FTP, SVN-, git, ...-Server -
> > wird für Privatgebrauch genügen, u.U. mit USB-Stick (da gibt es eh schon
> > ziemlich große;-).
> > Selbst mit den SSL-Varianten überall bzw. STARTTLS wird es gehen.
> SSL/TLS ist immer gut. Dazu kann ich startssl.com als CA empfehlen,
K.A. - hab welche von cacert.org.
> wenn man eine Domain besitzt. Wobei ich dazu sagen muss, bei
> Mailservern sollte dann ein bisschen Erfahrung mitgebracht werden,
> dass kein Open Relay entsteht.
Bei allen obigen Services geh' ich davon aus, daß das Leute mit
Ahnung/Interesse betreiben (eben weil die Dinger weltweit zugänglich
sind).
Ein Open-SMTP-Relay ist bei einem Mailserver nur eines von vielen
potentiellen Problemen, die andere mitkriegen (udn dann den Server ggfs.
auf BLs packen). Allerdings ist per default mWn bei den üblichen MTAs
(sendmail, postfix, exim, qmail) das eh längst nicht mehr offen.
Lästiger ist schon Backscatter u.ä. Unfug - wen es wirklich
interessiert, Googeln und lesen;-)
Schon eher wird man den eigenen MTA drosseln müssen, weil es nur eine
Frage der Zeit ist, bis einer die Domain fürs From: in Spam mißbraucht
und man jede Menge Bounces u.ä. Müll abbekommt. Und wenn die Load auf 99
steht, tut sich auch auf größeren Kisten nicht mehr viel.
> > On Don, 2013-11-14 at 14:05 +0100, Marc Stibane wrote:
> > [...]
> >> Noch besser wäre, wenn die Daten direkt am Endgerät verschlüsselt
> >> werden, so dass auf dem RaspPi wirklich nix mehr abzuschnorcheln ist.
> >
> > Hmm, gibt es da schon passende Blockdevice- bzw. Filesystemtreiber, daß
> > da echt nur noch selbst-hart-verschlüsseltes übers Netz geht?
> Ein laufendes System ist immer entschlüsselt. Da kann man noch so
> krasse Festplattenverschlüsselung haben, solange das System läuft ist
> es lesbar. Für den ausgeschaltenen Fall natürlich sinnvoll, jedoch
... und wenn man die Harddisk wegschmeißen will;-)
Allerdings ist der physikalische Zugang beim gehosteten immer so eine
Sache und wenn man an einen Rechner physikalisch rankommt, ist das
Aufmachen massiv einfacher als wenn das nicht geht.
Und es ist ein Mißverständnis - ich meinte: Verschlüsselung am Client
(zu Hause) und nur Verschlüsseltes geht übers Netz - so a la "NBD over
SSL". Ja, ein paar technische Implikationen sind mir bewußt ....
K.A., ob es da was für DRBD und den ganzen Haufen an Clusterfilesystemen
etwas gibt - zumindest für den Netzwerkverkehr zwischen den Hosts (oder
sagen die einfach, "pack openvpn drunter"?), aber vremutlich sollte man
weiter oben ansetzen .....
Und ja, der Angreifer soll nicht mal ein Directory oder die Größe eines
Files wissen (deswegen ist "verschlüssel über FUSE mit GPG und kopiers
aufs NFS" eher unbrauchbar).
MfG,
Bernd
--
Bernd Petrovitsch Email : (spam-protected)
LUGA : http://www.luga.at
Mehr Informationen über die Mailingliste Discuss