Ideen für den Anfang mit Proxmox

[PikAss]

So nochmal back to topic.

Ich habe bis jetzt leider noch keine richtige Möglichkeit eines BMR fähigen Desaster recovery gefunden.
Sicher kann ich alle Backups der VMs nochmal auf eine NAS schieben.
Aber wenn mein Host System einen Abflug macht, dann wird das so ja nicht gesichert.
Ich habe auch einiges an Anpassungen vorgenommen die ich zwar dokumentiert habe, aber eine Möglichkeit des BMR Recovery wäre trotzdem etwas eleganter.
Soweit ich das überblickt habe können weder QNAP, Synology oder Asustor das leisten.

Die Überlegung ist jetzt:
Einen alten Desktop pc zu suchen, vielleicht sogar geschenkt aus der Bucht, den möglichst leer zur räumen (unnötiges wie GraKa und DVD raus) und dort einen raid 1 mit ssd für PBS und noch mal einen raid X mit HDD als richtiges externes Backup zu basteln.
Ggf. sogar wieder mit SAS Platten und einer PCIe Karte.
Oder, falls PBS da nicht drauf läuft oder die Option bietet, sowas mit z.B. veeam zu basteln.

 

[ThoSo]

Vielleicht bringt dich das ja weiter : https://relax-and-recover.org

Alternativ könntest du auch das System mittels Image auf einer externen USB Platte sichern - https://github.com/rescuezilla/rescuezilla?tab=readme-ov-file
Beide Varianten würden ein NAS (Hersteller egal, hauptsache SMB) unterstützen.


Wenn Dir die Systemplatte abraucht wäre "Ersatz" im Schrank auch nicht schlecht - oder du spiegelst diese.

 

[sdettmer]

Hallo, ich bin Dennis und komme aus der Nähe von Koblenz.
Ich habe mir ein Projekt vorgenommen und dazu hier im Forum auch schon einiges gelesen. Leider bin ich durch das lesen hier eher verunsichert und dachte mir, ich frage mal nach einem Feedback für das was ich so geplant habe.

ja, da hast ja einiges vor im Homelab

Hardware (schon beschafft und im Testrun):
Mainboard: Gigabyte MC12-LE0
RAM: 2 x 16 GB SAMSUNG UDIMM DDR4 mit ECC
CPU: AMD Ryzen 4650G PRO
PCIe: LSI 9300-8i in HBA / IT Mode geflashed
1x 256 GB M2 SSD
2x 500 GB SATA SSD
2x 3 TB SATA HDD
4x 4 TB SAS HDD

Mein Idee:
Proxmox installieren

Virtuelle Maschinen:
NAS -> sowas wie ein RAID 5, dachte da an TrueNAS

Raid5 ist nicht ausreichend, wenn's wichtige Daten sind. Raid macht keine Integrity-Prüfung und wenn beim rebuild noch ein einziger block defekt ist, geht das (Hardware-)Raid nicht mehr. Da könnte man raid6 nehmen, aber das macht immer noch keine Prüfung (selbst dann nicht, wenn beim rebuild noch Redundanz da ist). Daher würde ich lieber ZFS RAIDz2 oder wenigstenst RAIDz1 (das ist ca "RAID5 mit Integrität") nehmen.
Da beißt sich dann ein bisschen, dass Proxmox storage managed und TrueNAS auch.
Für ZFS hast Du schon HBA geflasht, top!
die M.2 ist vermutlich sehr schnell, aber vermutlich nicht sicher (nicht powerfail safe) und nicht redundant; da will man aus Performancegründen seine häufigen Daten haben aber aus Sicherheitsgründen dann doch nicht. Vielleicht könnte man die als ZIL/ZLOG nehmen (denn wann fällt schon mal Strom aus) um die SATA SSD zu beschleunigen, aber das wird schnell kompliziert, am besten ausprobieren, gerade, wenn man so wenig RAM hat, ist das vielleicht hilfreich (jedenfalls, wenn Du 10Gbit/sec oder sowas dran hast; bei 1 Gbit/sec reicht natürlich ein SATA SSD mirror locker).

Videostreaming mit Unterstützung für Film- und Serieninfos, Covers, Trailer, Watchlist und Markierung gesehener Inhalte -> Jellyfin oder Plex
AdGuard
Reverse DNS
Home Assistant
Firewall für Schutz der externen Kommunikation ins Internet -> Sinnvoll, Vorschläge?

gibt OpenWRT als VM image, das ist klein, flink, simpel (linux-basiert)
sonst nehme ich gern OPNsense (BSD basiert, nicht linux-basiert).
Sinnvoll finde ich das auf jeden Fall, und sei es nur, wenn man einen Homecall-Server, irgendwelches Tracking oder Online-Updates wegblocken will.

Backup-VM für Apple-Geräte (inkl. Fotosynchronisation und vollständige Backups) -> MacOS und/oder sowas wie iMazing?
Update/APT-Proxy mit Virenscanner für Ubuntu-VMs (inkl. Live-Scan, Updates über APT und Caching) -> Als Scanner dachte ich an ClamAV
Surveillance-VM für IP-Kameras (aktuell max. 60 GB, zukünftig skalierbar) -> für meine Reolink Kameras

Das ist ja eine ganz schön lange Liste und dann noch ein paar HD streams? dann reicht 1Gigabit wohl nicht mehr.

Monitoring für alle Systeme
vielleicht auch noch ein paar mehr oder weniger, je nachdem was so auf dauer Sinn macht.

Zukünftig baue ich vielleicht auch noch mein Netzwerk an sich ein wenig um. Ich möchte eigentlich ein IoT VLAN (eigenes WLAN) für die Dinger haben, ein Gast WLAN, ein "scharfes" WLAN für alle die wirklich zu Hause wohnen und entsprechende VLAN´s dazu einrichten.

Ja, das geht (wenn die Switches und APs das können). Da kann man dann schon pro VLAN im Proxmox eine virutelle Netzwerkkarte ins OPNsense reinreichen und dort Zonen definieren.
Rein praktisch sind schon unterschiedliche IP Netze (im selben VLAN) schon ganz gut. Sicherer wird VLAN ja auch nur, wenn Du die VLAN tags fest auf Switchports und Kabel (also Geräte) festlegst und das ist schnell nervig zu warten (im Zeitalter der alles sendenden Handies vlll overkill).

Daher auch teilweise die Idee mit dem Reverse DNS und der Firewall.
Auch hier bin ich für Vorschläge noch zu haben, bin da auch grad erst am Anfang.

Sytem Aufbau:
M2 SSD für Proxmox

den schnellsten Speicher für das, was nur einmal geladen wird?

SATA SSD`s als Datastore für die VM`s
SATA HDD als Backup Platten
SAS HDD am LSI 9300 für die NAS

bei 10Gbit/sec reicht das vermutlich nicht
Ich habe im Windowsnetz fast immer eine Share für SSD-Daten (da sind dann die Dokumente etc) und andere für HDD Daten (AV Medien, Archivdaten, Backups). Wenn man ein bisschen aufräumt, hat man oft recht wenig Daten, die man oft nimmt - die packe ich immer auf SSD.

Ist das so realisierbar oder schieße ich mit Spatzen auf Kanonen?

Wenn Du das wirtschaftlich betrachtest, spielt sich das vermutlich nie ein, aber es klingt nach sehr spannenden, lehrreichen und interessanten Projekten. Also muss es getan werden

Welche Einstellungen sollten noch zwingend im BIOS gemacht werden (Stichwort Trankodierung, PCIe bzw. die SAS HDD korrekt "durchreichen")?

Wenn Du die so durchreichst, kommt nur TrueNAS ran, aber kein Container kann da irgendwas tun, die müssen dann alle über TrueNAS. Wenn man keine TrueNAS Funktionen braucht, würde ich das nicht machen, dann lieber ZFS Datasets and (priviligierte!) Samba container. Dann können drei verschiedene Container die gleichen Dateien nutzen, ohne das irgendwas umkopiert oder über ein (virtuelles) Netz geschoben werden muss.
(dafür hat trueNas vermutlich die hübschere GUI und einfachere Features, aber wenn Du es nur einfach gewollt hättest, wärst Du ja nicht hier )
Ein Samba-Container kommt aber auch mit ein paar hundert MB Systemspeicher aus, eine VM sind ja meist ein paar GB, das läppert sich.

Worauf ist bei der Proxmox installation zu achten? Gibt es noch "Addons" die unbedingt mit dazu sollten?
Sollte vorab noch zwingend etwas geändert werden?
Wie mache ich am besten Backups der VM`s und Proxmox selbst?

ich rate, die Storages nach Backup zu sortieren. Wenn eine VM Daten hat, die stündlich gesichert werden sollen und andere, die man nur täglich oder wöchentlich sichert, dann zwei Disks usw.
E-Mail im Mailcontainer sichere ich z.B. gern über zfs snapshot send/recv alle 5 Minuten (am besten auf einen zweiten ZFS Server), die VM Systemdisks nur täglich.
Dann im Proxmox Datacenter einen automatischen Backupjob einstellen.

Gibt es eine Art Tutorial Seite oder Seiten die ihr empfehlen könnt?

Ich finde die Proxmox Doku sehr schön (Admin Handbuch und so).

Ich danke euch jetzt schon einmal fürs lesen und bin gespannt auf euer Feedback

 

[PikAss]

Wenn Du die so durchreichst, kommt nur TrueNAS ran, aber kein Container kann da irgendwas tun, die müssen dann alle über TrueNAS. Wenn man keine TrueNAS Funktionen braucht, würde ich das nicht machen, dann lieber ZFS Datasets and (priviligierte!) Samba container. Dann können drei verschiedene Container die gleichen Dateien nutzen, ohne das irgendwas umkopiert oder über ein (virtuelles) Netz geschoben werden muss.
(dafür hat trueNas vermutlich die hübschere GUI und einfachere Features, aber wenn Du es nur einfach gewollt hättest, wärst Du ja nicht hier )
Ein Samba-Container kommt aber auch mit ein paar hundert MB Systemspeicher aus, eine VM sind ja meist ein paar GB, das läppert sich.

Ein interessanter Aspekt und alles korrekt. Die GUI ist natürlich schön und man ist auch recht schnell in allem was man so macht.
Aber ehrlicherweise nutze ich die TrueNAS VM nur um aus den 4 SAS Platten ein RaidZ zu machen, Nutzer anlegen für Freigaben und halt Freigaben erstellen. Also viel oberload für Basics.
Was genau meinst du mit Samba Containern?
Einen Container der dann nur für das Management der smb freigaben läuft? Weil auch da müsste ich doch die SAS Platten durchreichen oder nicht?

Wenn ich TrueNAS weg lasse:
Wer sagt mir dann wenn mein raid degraded ist?
Wenn er mal degraded war, wie bekomme ich dann eine neue Platte reingehangen?

Ich habe mit TrueNAS jetzt folgende Szenarien probiert:
Eine HDD tauschen
TrueNAS aus einem Backup wiederherstellen und RAIDz importieren
TrueNAS komplett neu installieren und raid importieren

Das geht mit der GUI natürlich leicht von der Hand, aber mit einer guten Doku geht das auch alles per Hand zu Fuß wenn es mal sein muss

Hier wäre ich für ein paar tips noch dankbar.


Hinterher ist man immer schlauer. Vielleicht hätte ich hier erstmal fragen und dann Hardware bestellen sollen. Aber in meinem Kopf hatte das alles Sinn gemacht so wie es geplant war
Vielleicht wird meine aktuelles HomeLab ja irgendwann mein Backup und ich baue noch eines, bis dahin muss das aber reichen.

Inzwischen sind z.B. der Mailserver und die MAC / iPhone Geschichte auch erstmal wieder rausgefallen. Wahrscheinlich fliegt hier und da noch was raus oder kommt dazu. Man ist ja nie so richtig fertig.

 

[sdettmer]

Der Eindruck täuscht ;-)

Hier sind mehr Profis unterwegs, als vielleicht in anderen Foren.

ja und niemand registriert sich für ein Forum, nur um zu schreiben "hey, ich hab keine Probleme"
und (im Gegensatz zu manch anderem Hersteller) hab ich hier immer schnell kompetente Hilfe bekommen.

 

[sdettmer]

(jetzt sind wir ganz schön off topic)

Wie gesagt: Ich finde das vollkommen legitim, man sollte sich aber halt dann auch klar machen, was sich wofür eignet und wofür nicht. Als Lernumgebung ist ProxmoxVE nicht zu schlagen.

Du kannst es auch alles zu Fuß machen, notfalls in C Code. Bei Linux kann man ja so tief reingucken, wie man möchte, da kann man überall viel lernen.

Es könnte schlimmer sein, ich habe auch schon von Firmen gehört, wo nur eine Person "die IT" ist bei 100-200 Mitarbeitenden plus einen externen Dienstleister als Unterstützung. Was man macht, wenn die Person krank oder im Urlaub ist, wollte man mir nicht verraten.

Na immerhin gibt es einen. Oft geht man ja zu Dienstleistern und lässt sich "beraten". ("Sollen wir das kostenlose Proxmox nehmen, ein bisschen Support vom Hersteller kaufen, der dann auch wirklich helfen kann - oder lieber das ganz teure XYZ, wo Du und der Hersteller dann bei Problemen auch nicht helfen, höchstens kostenpflichtig alles neu installieren?" "ja klar nehmt ihr das teure, da krieg ich 20% und das ist ja mehr! Und gut, dass es nicht wartungsfrei läuft, sonst würde ich ja keinen Service verkaufen können!" - *deswegen* gibt es so wenig Linux. Das ist zu gut, da verdient man nichts. Lieber teure Abos verkaufen und lebenslang 20% kassieren. Das klappt bei Zeitschriften und Versicherungen ja auch. SCNR.)
Bedank Dich bei Microsoft. Die sind in den 90ern rumgegangen und haben erzählt, dass man keinen teuren Unixadmin braucht, weil auch die Sekretärin Druckertreiber installieren kann. Das wurde nur zu gern geglaubt. Und heute installieren Admins mit dem Gehalt einer Sekretärin halt die Druckertreiber und die gesparten Kosten zahlt man im Form von steigenden Abogebühren.

Als jemand der selbst in einer realtiv großen IT-Abteilung (geschätzt 100 Leute, der Großteil davon arbeitet aber im Usersupport an den verschiedenen Standorten) arbeitet fand ich folgenden Vortrag ganz spannend, um selbst mal eine andere Sichtweise zu kriegen:
https://media.ccc.de/v/38c3-was-mac...ft-die-deutsche-industrie-die-digitalisierung

Auch wenn es hauptsächlich eine Anekdotensammlung ist, fand ich es doch nicht uninteressant mal zu sehen, wie es ist, wenn sehr wenig Admins eine Umgebung betreuen dürfen, die NIE gestoppt werden kann (weil sonst Vertragstrafen fällig werden)

Admins, zu deutsch Verwalter, sollen verwalten. Da sollte bei automatischen Systemen wenig zu tun sein. Selbst Wartung möchte man heute eigentlich vollautomatisch. Oder spielst Du auf die Tiefe von Fachwissen ab? Was nützt es denn zu wissen, dass man keine Abos nehmen darf (keine Planungssicherheit, denn auch der Anbieter kann kündigen), dass man kein vendor-lockin machen darf (dann wird man in seinen Entscheidungen eingeschränkt), dass man für jedes Gewerk immer mindestens zwei Lieferanten haben muss (damit man nicht erpressbar wird), dass Sicherheit auf Stand der Technik gegenüber "mit einem Single-Point-Of-Failure-Account überall direkt rumwursten" einen hohen Komfortverlust hat, dass neue Features meistens Fehler haben, dass kommerzielle Produkte oft schöne Werbung haben, aber vielleicht weniger schön durchdacht sind, all das am Ende die Produktivität der Benutzer dann noch verringert, und vor allem, dass die Hersteller Geld verdienen wollen (ja müssen!) und überhaupt gar kein Interesse daran haben, dem Kunden irgendwas günstig oder stabil anzubieten - er soll ja immer nachkaufen.

ProxmoxVE ist nicht unbedingt weniger kompliziert, aber halt anders (da Linux-Unterbau) und (von den Lizens- bzw. Subskriptionskosten) bezahlbarer. Dafür braucht man dann jemanden, der damit zurecht kommt.

Letzteres ist doch bei anderen Lösungen nur noch schlimmer? Gut, bei Hyper-V gibts aktuell kein ZFS und von ReFS rät ja selbst Microsoft ab, aber zurecht kommen muss man damit auch. Und wenn dann wiedermal ein Update was zerschossen hat (was da leider immer wieder vorkommt, weil ein Hyper-V-Server halt immer ein komplettes Riesenwindows ist, unter 20 GB geht da heute ja nix mehr), dann kannst Dich erstmal durch zehn Blogs wühlen, wo dann irgendwer ein Microsoft-Posting von vor einer Woche rauskramt, wo drin steht, dass Du ja selbst Schuld bist, weil Du vor einem Jahr nicht diese oder jene Zusatzarbeit gemacht hast (die damals nirgendwo dokumentiert war).

Ich saß mal mit jemanden in einer Schulung zu Kubernetes, dem das ganze Handling mit der Kommandozeile zu sehr nach DOS erinnerte.

DOS lol
warum nicht gleich CP/M, da war auch was mit Cursor und Text
SCNR

Shell ist GUIs überlegen, erstens weil man erstens einfach dokumentieren kann. Im professionellen Umfeld muss man ja alles reproduzierbar aufschreiben, und bei GUIs ist das umständlich. Man spart 10 Sekunden beim klicken, aber muss 5 Minuten länger dokumentieren (und tut es dann nicht und jetzt weiß jeder, warum GUI IT heute meist so schlecht ist).
Und wenn man Linux-Shell dokumentiert hat, hat man nicht nur 5 Minuten gespart, man hat es im Prinzip auch schon fast automatisiert (und jetzt weiß jeder, warum die Leute monate brauchen, um Windowsumgebungen wieder zum laufen zu kriegen, Linuxumgebungen aber direkt aus der CI build pipeline deployen ).

Einkaufszettel schreibt man ja auch nicht als interaktives Video (wobei, kommt vielleicht mit Generation Beta )

Er zog also für sich das Fazit, dass er in seinen Umfeld Kubernetes (wenn überhaupt) nur in einer Variante mit GUI einführen würde.

"also" klingt, als ob es ein logischer Schluß oder eine Folge wäre, aber einen Zusammenhang gibt es hier nicht.
Du kannst mit einer GUI keine 1000 nodes administrieren, vor allem, wenn es auch mal 100 oder 2000 sind.

Kann man so sehen, allerdings auch mit einer GUI muss man ja die Konzepte lernen und verstehen. Wenn man das nicht möchte oder einen dafür die Zeit fehlt, dann nützt einen die ganze schöne Technik und die gesunkenen Kosten gar nichts.

Bedank Dich bei Microsoft, Apple usw. die haben den Leuten erzählt, IT mache sich von allein...
... und da ist natürlich wirklich was dran!
GUIs suggerieren ja nur, man müsse nichts wissen, weil ja alles dastünde und man es ausprobieren kann. Das stimmt "zum Ausprobieren" manchmal sogar. Im professionellen Umfeld ist das aber alles viel zu teuer, da kann man das nur einmal machen und danach muss es automatisch sein.
Im k8s Umfeld findet man aber dann keine "ich kann nur probieren und rumklicken", Facebook hat mal geleakt, mit 300 Engineers 300 Millionen Nutzer zu betreuen und Microsoft hat ein Hyperscaler RZ in Chigago, wo angeblich 30 IT Leute 30.000 Server betreuen. Alles durchautomatisert, die tauschen dann noch noch komplette nodes. Sonst sagt Microsoft, mit diesen Datacenterautomation (Powershell ist auch "wie DOS", nur die Farben sind nicht so schön) käme man auf 1000-2000 Server pro Admin. Die einzige GUI ist da die der Entwicklungsumgebung.

 

[sdettmer]

So nochmal back to topic.

Ich habe bis jetzt leider noch keine richtige Möglichkeit eines BMR fähigen Desaster recovery gefunden.

Disaster Recovery (englisch mit i ) ist vor allem ein Prozess und kein Button. Dazu braucht man vor allem eine gut durchdachte, getestete (!) Anleitung. Ich habe da schon einige gemacht, und für Proxmox finde ich das sehr einfach "habe einen USB Stick, im Prinzip irgendeine Serverhardware, Proxmox von USB installieren, Backups restoren, automatische Updates starten, fertig". Da kann man dann auch gern die GUI nehmen, wenn man nur ein paar Server hat, weil man die Hardware dann ja eh anfassen muss (zb tauschen). Das ist immer ganz einfach, bis dann das Active Directory nicht synct SCNR
Wichtig ist, dass die IPs, Namen, Serverinstanzen, Backuporte, Passwörter (was oft erstaunlich schwierig ist) usw dokumentiert sind, und zwar auf nem Laptop und nicht nur als Doc aufm Server (der ist ja dann weg) und dass es ohne Internet geht (denn das ist ja dann weg).
Muss man testen, zu schnell vergisst man irgendwas.

Sicher kann ich alle Backups der VMs nochmal auf eine NAS schieben.

Die reichen ja täglich, da geht ein NAS, genau.
Die Daten will man eher alle paar Minuten, da braucht man kleine Filesysteme und rsync (geht aber so IMHO nur bis zu vielleicht 1 Million Dateien) oder ZFS send/recv (für mich leider immer Bastelei).
Dabei würde ich kein "dummes" NAS, sondern ein "schlaues Linux" nehmen (oder ein NAS, was scripte kann), denn das NAS muss holen, da der Host keinen Zugriff aufs NAS haben darf. Warum? Na wie ich immer sage "hat der Admin Zugriff auf das Backup, hat der Angreifer das auch".

Aber wenn mein Host System einen Abflug macht, dann wird das so ja nicht gesichert.

Bei Proxmox musst Du ja nichts sichern, Du schreibst einfach die IP und den Namen in die Anleitung (Sprache und Region wird man wissen ) und vielleicht noch den Backupjob - das wichtige sind ja die VMs und Container und deren Konfig ist ja in den Backups der VMs und Container.
Deswegen hat Proxmox auch kein "Selbst-Backup", denn man braucht es nicht. Man müsste ja irgendwas booten, dann ein minimalsystem installieren und dann... ach, dann ist man ja schon fertig, denn Proxmox ist ja das Minimalsystem. Nur gleich die security updates einspielen, bevor man online geht.

Na ja, und wenn man vorbereitet ist, hat man vielleicht schon ein Reservesystem mit Proxmox fertig installiert und an einem anderen Standort (weil man Backups ja eh testen muss). Dann will man gar kein BMR, sondern da einfach die Restore-Buttons klicken.

Ich habe auch einiges an Anpassungen vorgenommen die ich zwar dokumentiert habe, aber eine Möglichkeit des BMR Recovery wäre trotzdem etwas eleganter.
Soweit ich das überblickt habe können weder QNAP, Synology oder Asustor das leisten.

Möglichkeiten gibt es schon. Du kannst auf ZFS installieren und das ZFS dann über das Netzwerk clonen (ZFS send/recv). Ich hab so beispielsweise getestet, ob ein Ubuntu-mit-ZFS auf die Proxmox-Stores zugreifen kann (da ich ja keinem Hersteller traue). Da kannst ein Proxmox installieren, dann was anderes booten und die SSD einbauen (die bleibt ja bootfähig, nur das nicht von gebootet wird) und da jede Stunde das Proxmox ZFS drauf replizieren. Dann musst den Server nur holen und von der SSD booten. Und wenn der Server jetzt auch die Backups repliziert bekommen hat, kannst da dann direkt die Backups restoren, oder, wenn es schnell gehen soll und komplizierter sein darf, den cold standby VMs da die ZFS vols reintun und die starten (ist bei großen volumes dann natürlich viel schneller wieder online).

Ich habe Ausfälle getestet, im Betrieb Platten ziehen und so und beim booten muss man oft Hand anlegen, weil BIOSe gern fragen, wenn sich was ändert. Man kann einen ZFS, MD oder LVM mirror auseinander reißen und dann in jede Hälfte ein device dazu tun und hat dann zwei reundante Kopien. Mehr "bare" geht nicht. Aber der Host ist ja nicht das Problem, das sind nur ja 10 Minuten USB stick, daher will man das meistens alles gar nicht.

Die Überlegung ist jetzt:
Einen alten Desktop pc zu suchen, vielleicht sogar geschenkt aus der Bucht, den möglichst leer zur räumen (unnötiges wie GraKa und DVD raus) und dort einen

mit DVD? na sooo alt vielleicht lieber doch nicht

raid 1 mit ssd für PBS und noch mal einen raid X mit HDD als richtiges externes Backup zu basteln.

wenn er schnell auf dieser Hardware online sein können soll und an anderem Standort steht (und über VPN erreichbar), geht der oben von mir skizzierte Ansatz. Leider ist das ZFS send/recv ein bisschen Bastelei (ich nehm da sanoid, aber das ist nicht ganz perfekt). Klingt aber alles bisschen fett für ein Homelab. Wenn es gebrannt hat, kann man mit zwei Stunden längerer downtime meist leben, weil man ganz andere Probleme hat.

Ggf. sogar wieder mit SAS Platten und einer PCIe Karte.
Oder, falls PBS da nicht drauf läuft oder die Option bietet, sowas mit z.B. veeam zu basteln.

mach doch einfach Proxmox drauf. Da hast zur Not eine Web GUI, in der man das Passwort eintippen kann, wenn alle Stricke reißen. Laptop hab ich immer, Monitor mit passendem Kabel hatte ich einmal nicht (war ein Keller-Backup-Sever).

 

[Johannes S]

(jetzt sind wir ganz schön off topic)


Du kannst es auch alles zu Fuß machen, notfalls in C Code. Bei Linux kann man ja so tief reingucken, wie man möchte, da kann man überall viel lernen.

Klar, kann man das, mein zugegeben subjektiver Eindruck ist aber, dass due Reddit-Honmlab-/Proxmoxszene das gar nicht will, sondern mit möglichst wenig Aufwand ein paar Dienste zuhause betreiben. Dafür finde ich PVE halt nur bedingt geeignet, arroganter, alter Sack, der ich bin

Admins, zu deutsch Verwalter, sollen verwalten. Da sollte bei automatischen Systemen wenig zu tun sein. Selbst Wartung möchte man heute eigentlich vollautomatisch. Oder spielst Du auf die Tiefe von Fachwissen ab?

Nö, mir geht es um was anderes: Bei mir auf der Arbeit bedeutet ein Ausfall der IT, dass Bescheide später erstellt und verschickt werden. Beim Kollegen im Video, dass Vertragsstrafen fällig werden in potentiell unternehmensgefährdender Größenordnung. Daraus ergeben sich unterschiedliche Bewertubgen und Herangehensweisen, etwa bei Patches oder sonstigen Änderungen.

Was nützt es denn zu wissen, dass man keine Abos nehmen darf (keine Planungssicherheit, denn auch der Anbieter kann kündigen), dass man kein vendor-lockin machen darf (dann wird man in seinen Entscheidungen eingeschränkt), dass man für jedes Gewerk immer mindestens zwei Lieferanten haben muss (damit man nicht erpressbar wird), dass Sicherheit auf Stand der Technik gegenüber "mit einem Single-Point-Of-Failure-Account überall direkt rumwursten" einen hohen Komfortverlust hat, dass neue Features meistens Fehler haben, dass kommerzielle Produkte oft schöne Werbung haben, aber vielleicht weniger schön durchdacht sind, all das am Ende die Produktivität der Benutzer dann noch verringert, und vor allem, dass die Hersteller Geld verdienen wollen (ja müssen!) und überhaupt gar kein Interesse daran haben, dem Kunden irgendwas günstig oder stabil anzubieten - er soll ja immer nachkaufen.


Letzteres ist doch bei anderen Lösungen nur noch schlimmer? Gut, bei Hyper-V gibts aktuell kein ZFS und von ReFS rät ja selbst Microsoft ab, aber zurecht kommen muss man damit auch. Und wenn dann wiedermal ein Update was zerschossen hat (was da leider immer wieder vorkommt, weil ein Hyper-V-Server halt immer ein komplettes Riesenwindows ist, unter 20 GB geht da heute ja nix mehr), dann kannst Dich erstmal durch zehn Blogs wühlen, wo dann irgendwer ein Microsoft-Posting von vor einer Woche rauskramt, wo drin steht, dass Du ja selbst Schuld bist, weil Du vor einem Jahr nicht diese oder jene Zusatzarbeit gemacht hast (die damals nirgendwo dokumentiert war).


DOS lol
warum nicht gleich CP/M, da war auch was mit Cursor und Text

Das Ding war ja gerade, dass der Kollege ja eben keinen Bock auf DOS hatte und die Shell ihn daran erinnert hat. Darum wollte er Kubernetes mit GUI oder WebUI. Dass es nicht sehr sinnvoll ist Kubernetes oder überhaupt moderne Systeme ohne CLI zu betreiben, musst du mir nicht sagen
Und selbst wenn es das wäre, muss man sich ja die Konzepte aneignen, ob das mit so einer Verweigerungshaltung klappt?

 

[sdettmer]

Klar, kann man das, mein zugegeben subjektiver Eindruck ist aber, dass due Reddit-Honmlab-/Proxmoxszene das gar nicht will, sondern mit möglichst wenig Aufwand ein paar Dienste zuhause betreiben. Dafür finde ich PVE halt nur bedingt geeignet, arroganter, alter Sack, der ich bin

ok, die Szene kenne ich nicht. Ich finde Proxmox eigentlich gerade geeignet, denn wenn man es einfach nur installiert und bisschen in der WebGUI rumklickt (die ein paar counter-intuitive Sachen hat, beispielsweise dass man Container-Image-Listen erstmal manuell holen muss, die Position/Einordnung mancher Elemente usw), kommt man doch schnell zum Ziel? Paar klicks und fünf Debian Container laufen mit auto-Backup. Ist doch top.

Nö, mir geht es um was anderes: Bei mir auf der Arbeit bedeutet ein Ausfall der IT, dass Bescheide später erstellt und verschickt werden. Beim Kollegen im Video, dass Vertragsstrafen fällig werden in potentiell unternehmensgefährdender Größenordnung. Daraus ergeben sich unterschiedliche Bewertubgen und Herangehensweisen, etwa bei Patches oder sonstigen Änderungen.

Genau deshalb dürfte man es eigentlich nur automatisch machen, obwohl heute ja selbst bei wochenlangen Windows-Ausfälle keine Köpfe rollen, da kann man es als ITler wohl entspannt angehen.
Die, die es richtig haben wollen, können (dann oft gegen den Wiederstand der Chefs) es halt richtig machen, beispielsweise ZFS replica alle fünf Minuten an zweiten Standort und hot standby haben usw. Da ein Server ja schon 5 Minuten zum Booten braucht, sollte man damit leben können. Besser geht IMHO nur mit auto-failover/HA, also k8s statt (bzw zusätzlich zu) Proxmox.
Ich glaube, das ist "meckern am falschen Ende", denn ich glaube nicht, dass groß Bescheide später rausgehen, weil ein deployment nach einem Disaster Recovery zu lange gedauert hat (sondern eher, weil ein Microsoftprodukt wiedermal nicht richtig geht, ne Cloud spinnt oder ein schlechtes Sicherheitskonzept wie Active Directory von Ransomware vermarktet wird).
Aber wie gesagt, was nützt es einem, zu wissen, dass man Active Directory nicht für Systeme mit DSGVO Daten nimmt, wenn man Active Directory nehmen muss...

Das Ding war ja gerade, dass der Kollege ja eben keinen Bock auf DOS hatte und die Shell ihn daran erinnert hat. Darum wollte er Kubernetes mit GUI oder WebUI. Dass es nicht sehr sinnvoll ist Kubernetes oder überhaupt moderne Systeme ohne CLI zu betreiben, musst du mir nicht sagen
Und selbst wenn es das wäre, muss man sich ja die Konzepte aneignen, ob das mit so einer Verweigerungshaltung klappt?

Er müsste erstmal verstehen, dass es weniger um CLI, als vielmehr um "Code" (scripte...) geht.
Wenn man jeden Monat Disaster Recovery testet (laut DSGVO muss man Backups ja regelmässig testen), dann merkt man das vermutlich, allerdings sehe ich in meinem professionellen Umfeld nur sehr selten, dass jemand testet. Die heutige Cloud-Lizenz-Software unterstützt das oft überhaupt nicht (und dürfte damit nicht eingesetzt werden, aber wird natürlich überall).
Da kann man es also nur "so gut wie möglich" (TM) (R) machen, aber ohne Einarbeitung geht's nicht. Schönes Beispiel ist Active Directory, was man gar nicht bare metal sichern darf (sagt die Betriebsanweisung von Microsoft) und mit Fremdherstellern nicht dürfte (die Betriebsanweisung sagt ja, wie man recovern soll), aber gefühlt haben "alle" doch nur ein Veeam oder ArcServe oder wie sie alle heißen.
Frag doch mal rum, wieviele ein Active Directory Restore Test gemacht haben, was dabei rauskam und vor allem, WIE sie es getestet haben (wie sichergestellt wurde, dass alle Objekteigenschaften richtig sind usw). Ich höre da hinter vorgehaltener Hand immer nur "bloß nicht! Wir machen so viele DCs, dass hoffentlich nie alle gleichzeitig fallen, weil alle nicht-trivialen Restore-Tests schiefgegangen sind!" und das ist dann richtig, bis die ransomware die Daten vermarktet. Tja und dann sind wir wieder bei den wochenlangen Ausfällen und natürlich verschlüsselten Backups.

 

[2RunX]

Virtuelle Maschinen:
NAS -> sowas wie ein RAID 5, dachte da an TrueNAS
1.VM----- sowas wie Raid 5 ? Hier geht es um die Ausfallsicherheit/ Spiegelung der Daten
Warum überhaupt ein NAS ? Die frage der fragen , für ein paar Verzeichnis freigaben oder mehr ?
Welche art von daten soll das NAS bereistellen ? Fileserver & andere Server dienste auf einem Gerät ist auch eine Art von Glaubenskrieg...deswegen meine frage

Videostreaming mit Unterstützung für Film- und Serieninfos, Covers, Trailer, Watchlist und Markierung gesehener Inhalte -> Jellyfin oder Plex
2. VM . Debian +Docker für Video....
AdGuard
1. LXC (reicht im Container ) Debian CT & Adguard siehe wie adguard beschreibt installieren
Reverse DNS
Einen Reverse oder einen falls der 1te ausfällt ?
Um wieviele LAN geräte handelt es sich ca ?
Statische routen etc. für die Clients ?
Home Assistant
3. VM Homeassistant
Firewall für Schutz der externen Kommunikation ins Internet -> Sinnvoll, Vorschläge?
4. VM je nach KnowHow & Anbindung . Pfsense / Opensense , bei kleinen Homelab würde auch OpenWrt im VM reichen.
entweder Vlans aufspannen oder Subnettings gegen den Ingress. *meine thinkblase*
Backup-VM für Apple-Geräte (inkl. Fotosynchronisation und vollständige Backups) -> MacOS und/oder sowas wie iMazing?
5.VM Backup für Apple ( keine ahnung , keine apple im LAN ) UrBackup ? Synt. / Duplikati k.a
Update/APT-Proxy mit Virenscanner für Ubuntu-VMs
6. LXC Apt Cacher NG ?
(inkl. Live-Scan, Updates über APT und Caching) -> Als Scanner dachte ich an ClamAV
Würde AntiVirus & Fileserver kombinieren dort evt. den Apt Cach dann laufen lassen ...
Surveillance-VM für IP-Kameras (aktuell max. 60 GB, zukünftig skalierbar) -> für meine Reolink Kameras
7. VM Debain + Docker ( gibt für docker ethliche lösungen )
Monitoring für alle Systeme
8. LXC . Um nicht Mainstream zu sein , docker installieren im LXC Container . Uptime oder whatever benutzen.
vielleicht auch noch ein paar mehr oder weniger, je nachdem was so auf Dauer Sinn macht.

Auf dauer macht sinn möglichst viele LXC mit jeweils einen Dienst + VM für jeweils eine Art von Dienst bereit zustellen.
- die VM Maschinen lassen sich Just in Time Sichern / Schnapshooten
- bei CT / LXC Container ist ein runterfahren dann Sichern die beste Variante.
Man "könnte" in "" eine VM Aufsetzen um dort Proxmox Backup Server laufen zu lassen , der sich dann um die Sicherung außerhalb dieses Gerätes Server kümmert . Parallel natürlich während man die VM / CT einrichtet.
Von was für LAN / WAN anbindung sprechen wir hier eigentlich ?
Kaum antworten nur noch mehr fragen =D

 

[PikAss]

Zu NAS
Bei der aktuellen Problemlage überlege ich auch ernsthaft ob ich eine NAS als solches brauche.
Um ehrlich zu sein brauche ich nur einen Bereich der ein Datengrab für Filme / Serien / Bilder bietet.
Im Moment ist das TrueNAS Core mit einem RaidZ. Ist aber eigentlich Unsinn. Das einzige was mir fehlt wenn ich das, wie schon vorgeschlagen, als Samba vm laufen lasse ist eine automatische Warnung bei RAID degraded / Ausfall. Wobei das ja ein Monitoring Tool übernehmen kann.

Das Thema Monitoring Tool macht mir im Moment echt zu schaffen, habe jetzt zabbix und checkmk mal probiert. Das ist alles echt genial und mächtig, aber eben zu mächtig für meine paar sachen. Habe heute ein bisschen mit Glances in Verbindung mit Homeassistant gespielt. Da könnte ich auch notifications selber recht einfach mit machen, läuft aber noch nicht rund.
Ich suche was einfaches was mir die Basics überwacht und mich warnt wenn was ist. Nice to have wäre noch ein Update Check, ob halt nötige Updates installiert sind.

Zu Mediaplayer
Das wird der Jellyfin lxc, bin damit bis jetzt sehr zufrieden

AdGuard und Homeassistant OS sind auch gesetzt und laufen. Da konnte ich fast 1 zu 1 mein Backup nehmen und lief wieder alles.

Reverse DNS
Hauptsächlich um https und Namen an sich im internen Netz zu verwenden.
Das geht bei der FRITZ!Box los und hört beim letzten IoT ggf. auf. Das sind dann schnell mal 100 Teilnehmer. Davon sind aber vielleicht nur 10 wichtig, also sowas wie Server.
Dazu soll ja auch noch ein Cloudflare Tunnel kommen für den Zugriff auf das ipmi des Servers und die ein oder andere vm.


APT Cacher würde ich nicht auf den Fileserver mit laufen lassen wollen, wird aber noch getestet. Aus welchem Grund soll das gut sein meinen Server mit meinem Familienbildern direkt ins Internet zu hängen?
Sogar bei mir auf der Arbeit wurde eher bemängelt das man mehrere Dinge auf einem Server zusammenfasst. Der Trend geht wohl wieder in Richtung:
1 Dienst / Service = 1 VM / Server.

ClamAV kommt auf jeden Server.

Die Apple Geschichte ist vorerst gestorben.
Die Software Firewall ggf. auch, da sich ein Arbeitskollege neu mit Hardware eindecken will und der noch Kram über haben wird für mein kleines Netz.

Ich weiß nicht genau was du mit der Anbindung meinst.
Ich habe nur 2x1Gbit im Server.
Mediastream und NVR lief vorher ohne Probleme auf der Synology NAS mit nur 1GBit, mache mir darüber also wenig Sorgen.
Die Anbindung WAN ist ein Kabelanschluss mit lächerlich zu viel Bandbreite.

Auf dauer macht sinn möglichst viele LXC mit jeweils einen Dienst + VM für jeweils eine Art von Dienst bereit zustellen

Das verstehe ich noch nicht so ganz. Ich hätte jetzt angenommen das jedes meiner VM ein eigener Dienst und keine Sammlung ist, daher also für jeden Dienst eine VM.

Also auch bei mir immer mehr fragen und weniger antworten.
Daher bin ich froh wenn wir back to topic kommen.

 

[sdettmer]

Zu NAS
Bei der aktuellen Problemlage überlege ich auch ernsthaft ob ich eine NAS als solches brauche.
Um ehrlich zu sein brauche ich nur einen Bereich der ein Datengrab für Filme / Serien / Bilder bietet.
Im Moment ist das TrueNAS Core mit einem RaidZ. Ist aber eigentlich Unsinn. Das einzige was mir fehlt wenn ich das, wie schon vorgeschlagen, als Samba vm laufen lasse ist eine automatische Warnung bei RAID degraded / Ausfall. Wobei das ja ein Monitoring Tool übernehmen kann.

Mein Proxmox schickt mir ne Mail, wenn ne Disk ausfällt (https://pve.proxmox.com/pve-docs/pve-admin-guide.html#_system_mail_forwarding) reicht das nicht?

Das Thema Monitoring Tool macht mir im Moment echt zu schaffen, habe jetzt zabbix und checkmk mal probiert. Das ist alles echt genial und mächtig, aber eben zu mächtig für meine paar sachen. Habe heute ein bisschen mit Glances in Verbindung mit Homeassistant gespielt. Da könnte ich auch notifications selber recht einfach mit machen, läuft aber noch nicht rund.
Ich suche was einfaches was mir die Basics überwacht und mich warnt wenn was ist. Nice to have wäre noch ein Update Check, ob halt nötige Updates installiert sind.

Ja, das Problem mit zabbix und co kenne ich...
Update check? Man braucht ja eh meist auto updates (sonst kommt im Urlaub der Hacker).

Reverse DNS
Hauptsächlich um https und Namen an sich im internen Netz zu verwenden.
Das geht bei der FRITZ!Box los und hört beim letzten IoT ggf. auf. Das sind dann schnell mal 100 Teilnehmer. Davon sind aber vielleicht nur 10 wichtig, also sowas wie Server.
Dazu soll ja auch noch ein Cloudflare Tunnel kommen für den Zugriff auf das ipmi des Servers und die ein oder andere vm.

ich habe für sowas auch mal gern eine kleine OPNsense VM genommen, da sind die ganzen Netz-Basis-Dienste fertig drin; der kann auch DNS on the fly ändern.

APT Cacher würde ich nicht auf den Fileserver mit laufen lassen wollen, wird aber noch getestet.

Bei Debian geht das über HTTP, OPNsense kann da mit ein paar Mausklicks einen Proxy, auch gern transparent, bereitsstellen. Braucht natürlich bissel Disk space.

Aus welchem Grund soll das gut sein meinen Server mit meinem Familienbildern direkt ins Internet zu hängen?

klar, "direkt" schon mal gar nicht. Es gibt prima VPN, z.B. openVPN, hab ich gern in einem Container, gibt Clienten auch für Android, kostete nichts, ist glaube ich schon mal viel wert (also viel sicherer).

Sogar bei mir auf der Arbeit wurde eher bemängelt das man mehrere Dinge auf einem Server zusammenfasst. Der Trend geht wohl wieder in Richtung:
1 Dienst / Service = 1 VM / Server.

Na ja, bei Windows ist das Problem, dass ein kaputtes Update schnell was zerschießt und Container nicht so oft genutzt werden (obwohl Windows Container kann und manche Apps auch welche sind, nützt nur nicht viel, wenn man die schlecht selbst verwalten kann).
Sonst eher 1 Dienst / 1 Container (docker).

ClamAV kommt auf jeden Server.

Das ist prima, wenn man langsam wird, muss man das nur abschalten und es ist wieder schnell
Nee, Spaß beiseite... warum?

Die Apple Geschichte ist vorerst gestorben.
Die Software Firewall ggf. auch, da sich ein Arbeitskollege neu mit Hardware eindecken will und der noch Kram über haben wird für mein kleines Netz.

Ich weiß nicht genau was du mit der Anbindung meinst.
Ich habe nur 2x1Gbit im Server.

(wow 2 x 1 Gigabit/sec Internet? Oder meinst Du LAN?)

Das verstehe ich noch nicht so ganz. Ich hätte jetzt angenommen das jedes meiner VM ein eigener Dienst und keine Sammlung ist, daher also für jeden Dienst eine VM.

klingt nach ein bisschen overkill (aber auch: "mehr ist immer besser")...
Meist kann eine VM ne ganze Reihe docker container (ob man das will, ist natürlich eine andere Frage).

Also auch bei mir immer mehr fragen und weniger antworten.
Daher bin ich froh wenn wir back to topic kommen.

Was ist denn Dein Thema? Wo brennts denn?
(Klingt ja, als ob Du alles prima im Griff hättest, TOP!)

 

[2RunX]

Back to Topic. Hoffe habe niemanden schwindelig getextet

Updates für die VM / CTs
crontab -e

0 6 * * * (apt-get update && apt-get -y upgrade) > /dev/null

Quick & Dirty
06Uhr morgens. Wenn Updates , downloaden & installieren.

Monitoring .
I used
UpTimeKuma für die Laufzeiten & Verfügbarkeit. Falls was ist gibt es per Telegram ne Sofortnachricht.
Ping zum Switch / Modem / DNS / VPN etc .Damit hat man eigentlich schon sein LAN im Blick.
Falls Internet Offline sein sollte, kommt die Nachricht dann vom root Server das mein LAN nicht mehr erreichbar ist.

Glances
Gotify für PVE PBS Nachrichten & Nachricht über SSH Login.
Beszel seit kurzem .Ein ultra Leichgewicht der im ~ 50mb Ram für den Server "Hub" & 12mb RAM für die Clients "Agent" braucht.
Der kann sogar die Temp. auslesen vom PVE Host *nice to have* https://beszel.dev
Das reicht eigentlich Laufzeit / Verfügbarkeit , über alles andere will ich nichts wissen =D
Smokeping - Das bedingt eher durch Arbeit
MySpeed aufm Root Server .

Kürzer ging nicht

 

[2RunX]

NAS ist immer nice to have.
Mit einer VM kannst ja alle gänigen Benutzen. OMV , FreeNAS , Openfiler
Ein NFS Server braucht man unter Proxmox eigentlich immer.

Ansonsten würde ich sagen , frohes schaffen ^^

 

[UdoB]

0 6 * * * (apt-get update && apt-get -y upgrade) > /dev/null

Hier wird regelmäßig darauf hingewiesen, niemals upgrade, sonder immer full-upgrade (oder dist-upgrade) zu verwenden...

 

[2RunX]

Hier wird regelmäßig darauf hingewiesen, niemals upgrade, sonder immer full-upgrade (oder dist-upgrade) zu verwenden...

Code Zeilen natürlich innerhalb der LXC Container & VM . Nicht für den PVE Host

 

[PikAss]

Mein Proxmox schickt mir ne Mail, wenn ne Disk ausfällt (https://pve.proxmox.com/pve-docs/pve-admin-guide.html#_system_mail_forwarding) reicht das nicht?

Doch das würde mir schon reichen. Passiert das automatisch oder muss ich das alles auch per Hand zu Fuss konfigurieren?

klar, "direkt" schon mal gar nicht. Es gibt prima VPN, z.B. openVPN, hab ich gern in einem Container, gibt Clienten auch für Android, kostete nichts, ist glaube ich schon mal viel wert (also viel sicherer).

Da mache ich das lieber auf eine extra VM, ein erster Ansatz war hier ja nach dem KISS Prinzip an die Sachen ran zu gehen. Ich habe das Gefühl wir bewergen uns kontinuirlich davon weg

Das ist prima, wenn man langsam wird, muss man das nur abschalten und es ist wieder schnell
Nee, Spaß beiseite... warum?

Warum auf jedem Server ein Virenscanner laufen soll? Um Viren zu finden, warum sollte nicht auf jedem Server ein Virenscanner laufen?
Die wichtigsten sind die, die mit dem Internet Verbindung haben, klar.

(wow 2 x 1 Gigabit/sec Internet? Oder meinst Du LAN?)

Das ist die LAN Anbindung des Servers

Was ist denn Dein Thema? Wo brennts denn?
(Klingt ja, als ob Du alles prima im Griff hättest, TOP!)

Ich bin im Moment noch in der Testphase und muss mein System neu aufsetzen. Da ich auch mit diversenen Monitoring Tools getestet und proxmox an sich hier und da was getestet habe. Auch TrueNAS Core scheint nicht so rund zu laufen wie ich dachte. Ich habe im Moment jede Nacht einen anderen Fehler den ich nur mit einem reset "gelößt" bekomme. Ich möchte aber ausschließen können, wie diese Fehler auftreten damit ich mal ein stabiles System habe.
Meine SSD`s vertragen sich scheinbar wohl nicht mit ZFS -> Forum Post zu meiner ZFS bastelei
Ich habe auch mal eben diverse andere Fehler über Nacht gehabt -> siehe hier

Alles etwas müßig im Moment, hatte ich mir einfacher vorgestellt, aber für einfach nimmt kein Hypervisor und erstellt VM´s

 

[PikAss]

Beszel seit kurzem .Ein ultra Leichgewicht der im ~ 50mb Ram für den Server "Hub" & 12mb RAM für die Clients "Agent" braucht.
Der kann sogar die Temp. auslesen vom PVE Host *nice to have* https://beszel.dev
Das reicht eigentlich Laufzeit / Verfügbarkeit , über alles andere will ich nichts wissen =D

Kürzer ging nicht

Das schaut bis jetzt am Besten aus und werde ich mir mal reinziehen, ggf. ist es DAS

 

[Johannes S]

Da mache ich das lieber auf eine extra VM, ein erster Ansatz war hier ja nach dem KISS Prinzip an die Sachen ran zu gehen. Ich habe das Gefühl wir bewergen uns kontinuirlich davon weg

Gute Idee, die Sachen simpel zu halten, auch mit der extra VM. Ich habe mal gelernt, dass Informatik die Lehre davon sei, wie man Komplexität reduziert. Seitdem ich das nicht mehr studiere, sondern beruflich IT mache, weiß ich: In der Informatik geht es darum Komplexität zu reduzieren, in der IT darum, sie zu erhöhen

Warum auf jedem Server ein Virenscanner laufen soll? Um Viren zu finden, warum sollte nicht auf jedem Server ein Virenscanner laufen?
Die wichtigsten sind die, die mit dem Internet Verbindung haben, klar.

Weil es überflüssig ist, die wichtigste Maßnahme gegen Ransomware, Hacker, Viren etc ist nach Meinung der meisten seriösen Sicherheitsexperten alle Sicherheitspatches innerhalb von 24 Stunden nach Veröffentlichung einzuspielen (danach fangen die Bösewichte an, diese großflächig auszunutzen).

Virenscanner haben mehrere Probleme:

• Sie schaffen eine zusätzliche Angriffsoberfläche: Zum einen aus den banalen Grund, dass jedes Programm auch mehr Angriffspunkte liefert. Vor allen aber da sie im Regelfall mit Systemrechten laufen und (weil wir ja heutzutage schön modern mit Cloud und KI rummachen) sich sich mit dem Internet verbinden. Bei mir auf der Arbeit haben wir diverse Server, worauf Sentinelone (auch wenn der Hersteller einen anderes weißmachen will: Im Grunde ist es ein Virenscanner) läuft, ohne Sentinelone hätten diese gar keine Verbindung zum Internet. Mit Sentinelone schon. Dazu kommt, dass diverse Virenscanner in den vergangenen Jahren selbst immer mal wieder teilweise groteske (in Sinne von sollte höchstens Anfängern passieren) Sicherheitsprobleme hatten, der Google-Mitarbeiter Tavis Ormandy hat dazu immer mal wieder publiziert:
  https://www.heise.de/news/Kritische...rodukten-von-Symantec-und-Norton-3250784.html
  Diverse neuere Meldungen: https://www.heise.de/suche?q=alert+antivirus
  "Schönes Detail": Sophus hat nicht nur durch einen Bug, sondern absichtlich (!) Überwachungssoftware installiert: https://www.heise.de/meinung/Analyse-und-Kommentar-Sophos-und-der-gebrochene-Schwur-10010073.html
  Ähnliches wurde für Palo Alto gemeldet. Der durch Crowdstrike verursachte Großausfall (der auf erhebliche Prozessprobleme bei Crowdstrike schließenlässt!) hat ja einen eigenen wikipedia-Artikel: https://de.wikipedia.org/wiki/Crowdstrike-Computerausfall_2024
  Dieses Problem hat man nicht, wenn man den Windows Defender (der ja eh dabei ist, also keine zusätzliche Angriffsoberfläche schafft) und die Windows-Firewall nutzt, die lässt sich aber halt nicht so schön verwalten, wie "Enterprise-Produkte".
• Das grundsätzliche Problem liegt aber tiefer: Seit den Anfängen der Informatik (als sie noch Teil der Grundlagenforschung der Mathematik war) ist das sogenannte Halteproblem: https://de.wikipedia.org/wiki/Halteproblem
  Grob gesagt ist es leicht möglich mathematisch zu beweisen, das ein Programm eine bestimmte Funktion hat, dagegen sehr schwer bis unmöglich zu beweisen, dass sie diese Funktion (z.B. Schadcode) NICHT hat. Virenscanner können also, egal was das Marketing verspricht, nicht leisten, was sie versprechen, da hilft auch die "KI in der Cloud" oder "heuristische" Ansätze nichts. Eigentlich sollten das auch alle Leute wissen, die mal Informatik studiert haben, aber nach der bestandenen Klausur vergisst man die lästige Mathematik ja gerne wieder oder wird "pragmatisch"
• Virenscanner kosten zusätzliche Ressourcen, machen also die Systeme langsamer und führen zu Problemen, die man dann erstmal mühsam (weil kein open-source) debuggen muss.

Etwas ausführlicher wurde das mal bei Golem dargestellt:
https://www.golem.de/news/antivirensoftware-die-schlangenoel-branche-1612-125148.html

Auf einer Security-Schulung für Linux-Admins (ging über vier Tage) hat der Referent eine halbe Stunde (wenn es überhaupt so viel war) vor der Kaffeepause mit Virenscannern unter Linux verbracht, sein Fazit war: "Bringen nichts und braucht man nicht, außer man will aus- und eingehende Emails scannen oder muss Compliance-Vorgaben erfüllen".

Und damit sind wir beim eigentlichen Grund für ihre Existenz: Man schützt sich nicht vor Angriffen, sondern deren Rechtsfolgen (Compliance). Warum war Crodstrikes vergeigtes Signaturenupdate so verherrend? Weil viele Firmen (zumindestens in den USA) gegen Schäden durch Hackerangriffe o.ä. versichert sind, aber die Versicherungen einen nur nehmen (oder sonst deutlich mehr Kohle wollen), wenn man ein einschlägiges Securityprodukt installiert hat.
Während ich also aus rein technischer Sicht finde, dass diese Dinger auf Linux-Servern nichts verloren habe, finde ich es durchaus legitim, das Managment vor Schadensersatzansprüchen zu schützen oder Vorgaben wie von den Versicherungen zu erfüllen, um sich vor den finanziellen und rechtlichen Risiken zu schützen.

Nur: Fürs Homelab braucht man das nicht Da ist es viel sinnvoller dafür zu sorgen, dass alle Updates automatisch eingespielt werden (bei Containern und VMS kriegt man die ja dank Backups schnell wieder zurückgerollt) und die Systeme zusätzlich abzusichern.
Für Windows gibt es z.B. mit WDAC, AppLocker und SRP die Möglichkeit die Ausführung von nicht explizit freigeschalteten Programmen zu unterbinden. Stefan Kanthak und Christopher Schneegans haben dazu einiges veröffentlicht:
https://skanthak.hier-im-netz.de/
https://schneegans.de/
Für Linux gibt es mit SELinux oder AppArmor (1) ähnliche Funktionen, aber bevor man da dran geht, kann man erstmal damit anfangen, dass man den Zugang von außen auf alle nicht für die Außenwelt gedachten Dienste einschränkt, bzw. nur mit VPN (wireguard oder openvpn) erlaubt. Gegen Botnetze und Skriptkiddies, die Passwörter bei ssh raten hilft fail2ban und den Login per Passwort durch ssh-keys oder Zertifikate auszutauschen:
https://www.cyberciti.biz/faq/how-to-disable-ssh-password-login-on-linux/
https://pve.proxmox.com/wiki/Fail2ban

Achtung: Das bezieht sich erstmal nur auf die VMs, für den Host kann man das bei ProxmoxVE zwar auch machen, aber da muss man aufpassen, für den Aufbau eines Clusters wird der Passwortzugang benötigt.
Cyberciti hat auch einen Guide für allgemeine Absicherung von Linux, geht nicht sehr tief, aber damit sind schon mal die low hanging fruits erschlagen:
https://www.cyberciti.biz/tips/linux-security.html
Und dann hat jemand ein ganzes Wiki dazu rausgebracht, das sieht (gerade das erste Mal gesehen) sehr ausführlich (erschöpfend ) aus:
https://trimstray.github.io/the-practical-linux-hardening-guide/

(1) AppArmor ist vom Handling einfacher, SELinux unter Redhat Systemen ausgebauter, man kann nur eines der beiden verwenden, aber auch hin- und herwechseln. Oft haben die Distributionen für die wichtigsten Dienste schon Profile mit am Start, sonst muss man die sich selbst basteln. Würde ich erst machen, wenn die ganzen low-hanging-Fruits weggeräumt sind

 

[UdoB]

Code Zeilen natürlich innerhalb der LXC Container & VM . Nicht für den PVE Host

Ok, dann sind wir uns einig

Ich hatte diese Differenzierung sogar Sekunden später nachgetragen (so etwas wie "PVE host, im Gast kann das anders sein"), aber offenbar ist die Zeile nicht mehr vorhanden...