Ideen für den Anfang mit Proxmox
- Thread starter PikAss
- Start date
Naja, da sind wir jetzt beim Thema "Abwägungen", im Zweifelsfall ist eine VM besser isoliert als ein LXC-Container, aber eine VM braucht halt auch mehr Ressourcen. Da finde ich es dann sicherer mehrere Dienste als Docker/podman-Container innerhalb einer VM zu betreiben, wenn man nicht die Kapazitäten für eine VM pro Dienst hat, statt ein LXC pro Dienst. Insbesondere wenn es privileged lxcs sind, die werden nämlich von den lxc-Entwicklern als "unsicher by design" betrachtet:
Mit systemd-Sandboxing kann man Dienste übrigens noch weiter verriegeln, auch wenn die nicht als Container laufen:
https://github.com/alegrey91/systemd-service-hardening
https://www.linux-magazin.de/ausgaben/2021/11/systemd-analyze/
Aber bevor man Dienste absichert, sollte man erstmal zusehen, dass nur der Kram von außen erreichbar ist, der das auch wirklich braucht plus ssh mit fail2ban und Abschalten des Passwort-Logins verriegelt werden.
Wenn man die Ressourcen hat, ist es natürlich besser eine VM pro Dienst zu haben, klar.
Also ich für mich folge der Regel, alles was von außen erreichbar ist (ohne VPN) kriegt eine eigene VM, alles andere kann auch ein (privilegierter) LXC sein …
Das ist keine verkehrte Regel, wobei mir das mit einen priviligierten LXC selbst dann noch zu heikel wäre. Man sollte aber im Hinterkopf behalten, dass klassische Perimeter-Sicherheit in Zeitalter der Cloud und mobiler Endgeräte nicht mehr ganz passt, da habe ich letztes Jahr einen netten Vortrag auf einer Tagung in Darmstadt zu gehört:
https://talks.mrmcd.net/2024/talk/8CZJFN/
!Cooler Talk, im wesentlichen ist es einfach kleinere "Castels" also Funktionsgruppen in eigenen LANs mit den Identies managed outside. Umgelegt auf eine Homeserver installation (so hab ich den Thread zumindest verstanden) wuerde wie aussehen ? Da wuerde ich den Homeserver schon als kleinstes Castle sehen ... oder hab ich da was noch nicht ganz verstanden? (Bei grossen Firmennetzwerken schon klar, aba im Homeserver Bereich?)
Naja, das kommt natürlich darauf an, wie weit man es treiben möchte. Wenn man z.B. eine Hausautomatisierung oder IoT-Geräte hat, würde es sich ja z.B. anbieten, die in eigene Netze zu packen. Wenn man mit Virtualisierung rumspielt (wie wir hier
) könnte man außerdem die VMs vom eigentlichen Heimnetz zum Surfen trennen. Oder LAN und WLAN und das nochmal in ein Gäste- und Familiennetzwerk Ich mache das zugebenermaßen auch nicht bisher, aber da gibt es schon einige Möglichkeiten. Bietet sich besonders an, wenn man Geräte hat, die keine Securityupdates mehr kriegen, aber "aus Gründen" trotzdem noch betrieben werden (bei mir auf der Arbeit hatten wir noch sehr lange Windows2008 VMs für eine spezielle Anwendung bis wir die endlich losgeworden sind).Das sind auch meine nächsten Pläne. Seperate VLAN`s für diverse Gruppen von Anwendungen / Teilnehmern. Vor allem die Trennung von IoT und Rest meines Netzes.
Ich muss nich meinen Roborock China Cloud Staubsauger in irgendeinem meiner Netze haben.
Genau so ist es das Gast WLAN auf der FB sinnvoll, auch wenn dieses von mir noch nie so strickt umgesetzt wurde. Zukünftig aber schon ;-)
Ich muss nich meinen Roborock China Cloud Staubsauger in irgendeinem meiner Netze haben.
Genau so ist es das Gast WLAN auf der FB sinnvoll, auch wenn dieses von mir noch nie so strickt umgesetzt wurde. Zukünftig aber schon ;-)