ubuntuusers.de

Liebe Gemeinde,

ich richte gerade eine Praxis ein und habe einen Rechner, der als Server laufen soll. Dort möchte ich eine Partition oder einen Ordner als zentrales Netzwerklaufwerk freigeben, auf den alle anderen Rechner zugreifen können. Ich habe mich natürlich schon schlau gemacht, nur ist das Angebot groß und ich weiß nicht was ich nehmen soll. Samba, NFS, SSH?! Ich betreibe ausschließlich Ubuntu-Rechner. Es ist aber nicht ausgeschlossen, dass in Zukunft Windows-Rechner drauf zugreifen (müssen).

Kann mir jemand einen kleinen Tipp geben, was für den oben beschriebenen Anwendungszweck am besten geeignet ist?

Ich habe auch eine Praxisverwaltungssoftware laufen, die auch mit dem Server-Client-Prinzip arbeitet. Vielleicht nutzt diese bereits einen der Dienste? Kann ich das irgendwie herausfinden? Vermutlich macht es dann Sinn, auch diesen Dienst zu nutzen?

Vielen Dank und viele Grüße André

Andre25 schrieb:

Es ist aber nicht ausgeschlossen, dass in Zukunft Windows-Rechner drauf zugreifen (müssen).

Dann geht das mit Bord-Mitteln nur mit Samba oder SSH, wobei Samba eben den klassischen Zweck erfüllt und SSHFS hingegen den Fokus mehr auf Sicherheit der Übertragung legt. Im lokalen Netz ist SSH deshalb hier imho nicht die beste Wahl. Also, vor dem Hintergrund möglicher Windows-Clients ist Samba die richtige Wahl.

Ich habe auch eine Praxisverwaltungssoftware laufen, die auch mit dem Server-Client-Prinzip arbeitet. Vielleicht nutzt diese bereits einen der Dienste? Kann ich das irgendwie herausfinden? Vermutlich macht es dann Sinn, auch diesen Dienst zu nutzen?

Einen Blick auf die geöffneten Ports und die laufenden Services des Rechners werfen. Beide Varianten (als root ausgeführt) sollten das beantworten (unter der Voraussetzung, dass das überhaupt ein Linux-Server ist):

# netstat -tulpn
# ss -tulpn

Andre25 schrieb:

[…] einen Ordner als zentrales Netzwerklaufwerk freigeben, auf den alle anderen Rechner zugreifen können.

Dabei kann man viel falsch machen oder sogar von Fachleuten falsch machen lassen! Lies bitte dies:

• https://www.heise.de/ct/artikel/Warum-eine-komplette-Arztpraxis-offen-im-Netz-stand-4590103.html

• https://www.heise.de/ct/artikel/Nachholbedarf-bei-der-IT-Sicherheit-deutscher-Arztpraxen-4602788.html

• https://www.kbv.de/media/sp/Technische_Anlage_Datenschutz.pdf

[…] was ich nehmen soll

Du benötigst einen SMB-Server. Den kannst Du mit Samba realisieren. Du benötigst außerdem Fachwissen oder gute Fachleute, welche den Zugriff auf diesen Dateiserver absichern, damit keine vertraulichen Daten für Unbefugte zugänglich werden. Mache nicht den Fehler, diesen Dateiserver auf dem Router selbst einzurichten und schließe den Dateiserver nur über eine in Hardware realisierte Firewall an das Internet an oder noch besser gar nicht! Trenne internes Netz von dem Netz, welches mit dem Internet verbunden ist. Die Einrichtung eines solchen Systems ist keine Aufgabe für Amateure oder Computer-Hobbyisten und eine Beratung durch ein Forum wie z.B. UbuntuUsers.de reicht nicht aus.

kB schrieb:

Dabei kann man viel falsch machen oder sogar von Fachleuten falsch machen lassen! Lies bitte dies:

Vielen Dank für die Infos! Ich werde mir das auf jeden Fall anschauen! Der Hinweis „... sogar von Fachleuten falsch machen lassen“ ist ja erschreckend.

kB schrieb:

... und schließe den Dateiserver nur (...) an das Internet an oder noch besser gar nicht!

Vielleicht wäre es die sicherste Alternative, auf ein internes Netz gänzlich zu verzichten? Das würde die alltägliche Arbeit jedoch komplizierter machen.

kB schrieb:

Andre25 schrieb:

[…] einen Ordner als zentrales Netzwerklaufwerk freigeben, auf den alle anderen Rechner zugreifen können.

Dabei kann man viel falsch machen oder sogar von Fachleuten falsch machen lassen! Lies bitte dies:

• https://www.heise.de/ct/artikel/Warum-eine-komplette-Arztpraxis-offen-im-Netz-stand-4590103.html

• https://www.heise.de/ct/artikel/Nachholbedarf-bei-der-IT-Sicherheit-deutscher-Arztpraxen-4602788.html

• https://www.kbv.de/media/sp/Technische_Anlage_Datenschutz.pdf

Das ist irrelevant. Da hatte jemand keine Passwörter gesetzt und Shares via Windows geöffnet und auch noch einem undankbaren Router gehabt.

Ich vertraue den Boxen, die vom Provider kommen, nicht. Nie, in keinem Fall. Es ist immer besser, einen eigenen Router, den man gut kennt, dahinter einzubinden.

Testen sollt man ohnehin.

Einfach SAMBA auf einem extra PC installieren, mit PW geschützte Shares einrichten, im SAMBA-Server die IPs limitieren und gut is.

Lokale Nutzer kommen ohne PW und der richtigen IP nicht hinein. Will man den Traffic schützen, kann man SAMBA über SSH tunneln. Dann kann man auch vom Internet aus zugreifen, wenn man das wirklich braucht.

An Backup denken, cron mit rsync hilft.

Auch an die Sicherung des Servers denken, da darf nicht jeder im lokalen Netz reinkucken. Patientendaten habe da eigene Vorschriften.

Und nicht 'alles mögliche' drauf packen, nur weil man einen tollen Server-PC hat. Nur SAMBA, mehr nicht. VMs gehen noch, aber keine Webserver.

rleofield

Richtet man sich nicht deswegen auf Servern iptables/nftables ein? Default policy drop, nur erlauben was nötig ist. Oder ist das nur was für Hobbyadmins, nichts für Fachleute?

Also im genannten Beispiel ist ja eine grobe Fahrlässigkeit erkennbar. Zugriffsrechte auf "Jeder" setzen ist ja schon Absicht.

ChickenLipsRfun2eat schrieb:

Richtet man sich nicht deswegen auf Servern iptables/nftables ein? Default policy drop, nur erlauben was nötig ist. Oder ist das nur was für Hobbyadmins, nichts für Fachleute?

Nein, das ist natürlich nicht nur was für Fachleute, ich halte das durchaus für sinnvoll... aber ich denke, man muss da genau differenzieren und vor allem definieren, gegen wen Regeln im Paketfilter eines einzelnen Hosts im LAN überhaupt wirken sollen.

• gegen das Internet? Das sollte doch eigentlich der DSL-Router tun, solange er nicht manuell kaputt konfiguriert wurde (...was man durchaus auch Sabotage nennen kann, egal ob vorsätzlich oder aus Dummheit). Im Regelfall hat so ein Router ja keine offenen Ports, deshalb sind für diesen Zweck direkte Regeln auf einem Host imho eigentlich unnütz.

• gegen den DSL-Router? Dann bleibt nur das, was kB schon vorgeschlagen hat, ein eigener Router zwischen LAN und DSL-Router/Internet (z.B. OpenSense oder so)

• gegen den User? Gegen einen User, der sich selber höhere Privilegien aneignen kann, gibt es keinen Schutz. Außerdem ist ein restriktives Rechte-Management da wirksamer, als Paketfilterregeln.

• gegen laufende Programme, damit die nicht raus-telefonieren könne? Ja, kann man machen. Auf einem Server hinter dem Router und ohne vom Internet kommenden Zugang ist das sicher sinnvoll.

Also im genannten Beispiel ist ja eine grobe Fahrlässigkeit erkennbar. Zugriffsrechte auf "Jeder" setzen ist ja schon Absicht.

Ja, absolut, ich nenne das boshafterweise Sabotage *lol*

Wenn man das Wort "Praxis" gelesen hat, sollten spätestens dann wirklich alle Alarmglocken klingeln.... das hat doch üblicherweise immer was mit Daten von Menschen zu tun, oder gibts auch sowas wie ne Nähmaschinen-Praxis...?... keine Ahnung. Aber wenns wirklich um Daten von Menschen geht, sind nicht iptables die alleinige Lösung, die sind nur eine unterstützende Komponenente, stattdessen ist hoher Sachverstand wichtig, der ein restriktives Zugriffs-Rechte-Management einrichtet, der Maßnahmen gegen Umgehen dieser Rechte etabliert, der das System auf Zugänge von außerhalb untersucht (Portscan) und möglicherweise offene Ports im Router deaktiviert, usw. Da gibts sicher noch viel mehr, woran man denken muss.

jm2c

TomLu schrieb: Danke!

Nein, das ist natürlich nicht nur was für Fachleute, ich halte das durchaus für sinnvoll... aber ich denke, man muss da genau differenzieren und vor allem definieren, gegen wen Regeln im Paketfilter eines einzelnen Hosts im LAN überhaupt wirken sollen.

Wieso "gegen wen"? Bisher hatte ich das immer andersrum gedacht. Generell ist alles verboten, was ich brauche schalte ich frei. Das ist - zumindest für mein empfinden im Privatbereich - viel einfacher. Minimal wäre das ssh,updates,surfen. Probleme hatte ich damit tatsächlich erst, als ich mit der Virtualisierung anfing, da ich da komplette Subnetze beachten musste (docker, libvirt).

Also im genannten Beispiel ist ja eine grobe Fahrlässigkeit erkennbar. Zugriffsrechte auf "Jeder" setzen ist ja schon Absicht.

Ja, absolut, ich nenne das boshafterweise Sabotage *lol*

Wenn man das Wort "Praxis" gelesen hat…

Da steht ja nichts von Internetzugang. Meine bevorzugte Dateiaustauschmethode ist allerdings auch im lokalen FUSE/sshfs. Kostet natürlich etwas Geschwindigkeit bei großen Datenmengen, hat aber den Vorteil, dass man sich keine Gedanken machen muss, ob man nun im heimischen Netz ist oder "mal eben" von extern einbinden will. Aber daher auch der Ursprung meiner Frage: Ich bin Privatbastler, ich kann jedes meiner Systeme akribisch einrichten. Würde ich das beruflich machen, müssten Standards her, die funktionieren müssen.

@Andre: Ist denn ein Zugriff von außen überhaupt geplant oder absehbar?