Simpler Homeserver - Hardware

Lazar07

Schraubenverwechsler(in)
Hallo Leute,
Ich wollte mir aus Weiterbildungsgründen einen Server zuhause mal aufstellen. Er sollte eigentlich nur Pi-Hole und einen FTP laufen können (Raid 5, große Datenmengen).
Der Server sollte schon meiste Zeit laufen, also wäre ein Stromsparendes System günstig. Als Betriebssystem dachte ich eine Linux Distribution zu nehmen, wie zB Ubuntu oder so, aber klärt mich auf, wenn es besseres, gescheiteres gibt.

Noch eine Frage, kann mir wer erklären, welche Unterschiede, Vorteile ich durch Nextcloud gegenüber von einem FTP habe?

Mehr braucht der Server eigentlich auch anfangs nicht können.

MfG, Lazar
 
Was sind denn in deinem Fall "große Datenmengen"? Falls 4 Sata ports ausreichen wäre ein schlankes Atom-System eine gute Wahl. Kostet nur ca. 200€ (ohne Festplatten) und verbraucht ca. 15W.
 
Das wären dann z.B. solche Mainboards (inkl. CPU und 4*SATA und 2*GBit Lan)
Mainboards mit CPU mit CPU-Hersteller: Intel, SATA 6Gb/s: ab 4x, LAN RJ-45 1Gb/s oder schneller ab 2 Preisvergleich Geizhals Deutschland
Was Du sonst noch an Ausstattung möchtest, musst Du selber wissen.
Ram+Netzteil+Gehäuse kommen natürlich dazu.

Zwar etwas veraltet in Sachen HW-Auswahl, aber im Grunde trotzdem als Anregung noch brauchbar:
Eigenbau- NAS Anleitungen fuer 4 bis 16 Festplatten auf einen Blick - Technikaffe.de

Und um ehrlich zu sein: Wenn Du den Unterschied zwischen einer privaten Cloud und einem FTP-Server nicht kennst, solltest Du das erst mal selber nachlesen (z.B. auf Technikaffe). Da darf man schon zweifeln ob Du weisst, was Du mit dem "Heimserver" machen möchtest. Z.B "manuelle" Datnebereitstellung im Heimnetz oder auch im Internet, automatisches Synchronisieren.

Aber genauso wirst Du wohl wissen, warum Du Geld für die höheree Verfügbarkeit eines RAID5 ausgibst. Große Datenmengen: 4*16 TB als RAID 5 ergibt 48 TB für Nutzdaten und ist in meinen Augen durchaus bezahlbar: 4 * 435€ für die Platten plus (mind.) 3* 435€ für das Backup.

Persönlich wüsste ich nicht, wofür ich einen FTP-Server benötigen sollte. Die Ordnerfreigabe inkl. Benutzerverwaltung läuft per Samba (SMB2 oder SMB3, damit die Performance unter Linux auch passt) und genügt mir im Heimnetz. Wollte ich automatisiert Daten zwischen Geräten Synchronisieren wäre dann wäre Nextcloud o.Ä. eine Wahl.

Wenn das ganze wirklcih aus Weiterbildung gedacht ist und Du mit den Kenntnissen über Linux danach beruflich etwas anfangen kannst, dann würde ich das selber auf Basis von Linux aufsetzen und kein fertiges NAS-System nutzen.

Dafür mag Ubuntu eine gute Basis sein, weil Du im Netz sehr viel Infos dazu findest 8aber immer extrem gut aufpassen, ob die Infos auch zu genutzten Ubuntu-Version passen und nicht "blind" darauf vertrauen. Ob du dann die Desktop-Version oder die Server-Version nimmst, ist m.M.n. für so ein Heimprojekt Geschmackssache. Und u.U. auch diue Frage, wo der Server steht. Wenn Du sowieso alles remote per Konsole adminstriert, dürfte die Server-Variante die bessere Wahl sein und Dich auch nicht mit "unnützen" Softwarebeigaben für einen Desktop verwirren.

Beruflich wird man aber vermutlich eher Red Hat Enterprise Linux einsetzen, womit u.U. CentOS als Basis für den Heimserver auch eine gute Wahl wäre.
 
Ja, ich muss sagen, dass ich sehr neu in dieser Server, Daten, Cloud - Geschichte bin und mich erst vor ein paar Tagen motiviert habe, sich einzulesen. Mein Wissen ist sehr lückenhaft und nicht sehr umfangreich, deswegen wollte ich einfach mal fragen. So große Datenmengen, wie du sie beschrieben hast sind es nicht. Ich würde so ca. von 10 -15 TB reden. Ich muss auch kein Raid 5 verwenden, aber ich wollte schon irgendein Backup.

Es geht mir wirklich nur um 1. Daten von überall aus zuzugreifen können, 2. Diese sicher sind, 3. Heimexperiment, neues Ausprobieren, Wissen erweitern (ich bin eig. nur Software-Engineer in Ausbildung, aber wollte auch andere Themen ein bisschen verstehen)
 
Ich muss auch kein Raid 5 verwenden, aber ich wollte schon irgendein Backup.

Nicht falsch verstehen. RAID ist kein Backup!

Wenn du einen günstigen Einstieg zum Schnuppern suchst, wäre ein Raspberry Pi vielleicht auch eine Möglichkeit. Ich hab mir selbst eine Pi 4B vor Kurzem zugelegt. Auf dem laufen jetzt zwei Bot-Applikationen, mein gesamter Repo-Server und zufälligerweise auch eine Nextcloud. Die Daten liegen dann allerdings auf einer per USB-Adapter angeschlossenen HDD.

Ich gehe bei mir eher den umgekehrten Weg und lade einige Backups auf den Cloud-Server, vor allem das, was Videos etc betrifft.
Per SSH und Dynamic DNS komme ich von praktisch überall auf den Server, für die Cloud habe ich dann aber noch ein SSL/TLS-Zertifikat benötigt. Das war tatsächlich nicht so einfach für mich und müsste auch wieder erneuert werden.
 
Falls es oben untergeangen ist: Ein RAID ist K E I N Backup!

Das einzige wogegen die Redundanz diesbezüglich hilft, sind Hardwareschäden an einer Platte. Sie hilft nicht gegen versehentliches Löschen (durch dich), absichtliches Löschen oder Verschlüsseln (durch Dritte).

Dein Punkt 2 ist sicher wichtig, aber auch mehrdeutig. "Sicher" im Sinne von Backup -> Siehe oben. Mindestens ein weiteres richtiges Backup ist zwingend notwendig, das nimmt dir ein NAS nicht automatisch ab, bietet aber viele Möglichkeiten dieses automatisiert durchzuführen. "Sicher" im Sinne von geschützt vor Fremdzugriff steht im Widerspruch zu deinen Punkten 1 und 3. Du möchtest dein NAS von außen erreichen, damit kann das aber auch jeder andere. Zusammen mit Punkt 3 (Nicht falsch verstehen, Basteln und Experimente sind super!) baust du dir sehr schnell ein Einfallstor in dein gesamtes Netzwerk.
 
Ich würde so ca. von 10 -15 TB reden.]
Plus einmal Backup sind das dann 20-30 TB an Daten, verteilt auf zwei "Systeme" (egal, ob das 2. System dann 1-2 ext. USB HDDs sind oder nur Platten im NAS, die in Sachen Zugriff von den Nutzdaten getrennt sind). Die USB-Platten sind zwar sicherer, da sie selbst im Fall eines gravierenden Softwarefehlers (oder bei einem Elementarschaden) nicht zugreifbar sind, dafür muss man sich regelmäßig um das Backup kümmern.

1. Daten von überall aus zuzugreifen können,
Dann wird Du etwas wie OwnCloud/NextCloud benötigen, da der Zugriff per (S)FTP von Android/iOS aus, gelinde gesagt, nicht so komfortabel ist. Keine Ahnung, ob VLC darüber Videos abspielen kann, aus den Browsern soll FTP demnächst ersatzlos gestrichen werden (die jungen Schnösel dort an der "Macht" halten halt nichts von etablierten Protokollen)

2. Diese sicher sind,
Wie hier schon gesagt wurde: Sicher im Sinne von Verlust durch eigene Fehler oder HW-Ausfälle liefert nur ein Backup. Sicherheit im Sinne von Schutz vor fremden Zugriff liefert nur der Verzicht auf den weltweiten Zugriff oder ein gute Kenntnis der Mechanismen und eine andauernde Fortbildung (da reichen m.M.n. einfache Sicherheitsupdates auf Dauer nicht), und das wirklich dauerhaft so lange das NAS genutzt wird. Dinge, die man zu Hause im Heimnetz ohne fremden Zugriff im Zweifel einfach hinnimmt, verbieten sich dann.

3. Heimexperiment, neues Ausprobieren, Wissen erweitern (ich bin eig. nur Software-Engineer in Ausbildung, aber wollte auch andere Themen ein bisschen verstehen)
Genau das ist es, warum mein NAS/Heimserver vermutlich niemals von außen erreichbar sein wird. Im Heimnetz kann ich mit vielen Dingen herum spielen und das Risiko für meine Daten dort noch ansatzweise abschätzen. Lasse ich mich, und damit potentiell auch andere, von außen auf mein NAS zugreifen, dann wäre bei mir immer die Angst dabei, dass ein bisher unbekannter Bug oder eher eine von mir nicht korrekt durchgeführte Konfig jemanden in mein Heimnetz lässt. Bin ich mal 3 Wochen im Urlaub und genau dann wird ein kritischer Bug entdeckt, bleibt er ohne zweiten Admin zu Hause entweder so lange offen oder ich aktiviere das automatisch Patchen mit allen bekannten Problemen.

für die Cloud habe ich dann aber noch ein SSL/TLS-Zertifikat benötigt. Das war tatsächlich nicht so einfach für mich und müsste auch wieder erneuert werden.
Sollte sich sowas nicht auch bei DynDNS-Zugängen mittels Let’s Encrypt kostenlos und automatisiert lösen lassen? Ich habe das aber nur auf meinem gemieteten Webspace aktiv, wo sich jemand anderes um die Konfig kümmert.
 
Zuerst einmal danke an alle Antworten! :D Ich bin hoch erfreut wie schnell solche klaren Antworten kommen.

Mit sicher meinte ich eigentlich die Hardwareseite, weil ich schoneinmal 1 TB von Familienfotos verloren habe. Viele haben dann die Sicherheit des offenen Netzes erwähnt. Ist diese in einem kleinen Home-Netz (3-4 User) so groß, dass ich diese nicht ohne viel Aufwand beseitigen könnte?

Wegen finanziellen Gründen würde ich die 10-15 TB dann so verwenden, dass das dann auch die Backup Dateien beinhaltet. Ich will, brauche eigentlich keine Sicherung gegen eigener Löschung von Dateien.

Ich werde weiter eure Antworten lesen und wenn es notwendig ist, nochmal antworten. Aber ich werde mich demnächst mal hinsetzen und alle "Fremdbegriffe" und anderen neuen Zertifikate verstehen zu versuchen und nachzulesen.
 
Sollte sich sowas nicht auch bei DynDNS-Zugängen mittels Let’s Encrypt kostenlos und automatisiert lösen lassen? Ich habe das aber nur auf meinem gemieteten Webspace aktiv, wo sich jemand anderes um die Konfig kümmert.

Ja, mit Let's Encrypt habe ich das dann auch gemacht. War aber nicht so einfach wie gedacht, zumindest nicht wenn man das zum ersten Mal macht.
 
Wobei es imo fur den Privatgebrauch auch garnicht notwendig ist das selbst erstellte Zertifikat irgendwo signieren zu lassen. Damit sieht es nur für externe sicherer aus, aber an der realen Sicherheit für dich ändert sich nichts.
 
Viele haben dann die Sicherheit des offenen Netzes erwähnt. Ist diese in einem kleinen Home-Netz (3-4 User) so groß, dass ich diese nicht ohne viel Aufwand beseitigen könnte?
Hier ein paar Beispiel, die mir spontan einfallen. Es geht meist nicht um die Anzahl der Heimuser, sondern um die potentiell millionen an Bots oder menschlichen Angreifer aus dem Internet:

Der Zugriff auf die Freigabe des NAS geschieht mittes Samba (SMB). Einige Linux-Distributionen nutzen heutzutage noch SMB1, falls man vom Linux-Desktop aus anderen Windws-Rechner "Browsen" möchte. SMB1 ist schon lange von Microsoft als unsicher definiert und wird daher sogar unter Windows 10 standardmäßig nicht mehr aktiviert. Jetzt kann man es entweder deaktiviert lassen, um auf der sicheren Seite zu sein (und damit u.U. auf einige alte Netzwerkgeräte garnicht mehr zugreifen zu können) oder man aktiviert es halt doch, weil man das Risiko in seinem Heimnetz als gering genug einschätzt.

Kommt jetzt aber noch ein Bug (z.B. in OwnCloud) dazu, mit dessen Hilfe ein unbekannter Angreifer von außen auf dem Heimmserver etwas mit Root-Rechten ausführen darf, so kann er SMB1 (oder eine der diversen u.U. nicht zeitnah in Windows gepatchen Bugs) ausnutzen und Deine Rechner übernehmen. Ähnliches gab es auch schon mit dem damals unsicheren Druckserver oder RDP von Windows.

Oder Du konfigurierst mit Absicht einne FTP-Zugang so, dass er auf die Dateien des NAS (und nicht nur auf gesonderte für FTP) zugreifen kann, auf welche Du auch per Windows-Freigabe zugreifst. Dann könnte noch ein falsch konfigurierter FTP-Zugang dazu kommen und der Angreifer manipuliert eine exe-Datei auf dem Server. Danach lädtst Du Dir diesen Installter (der nun infiziert ist) auf den PC und führst ihn im guten Glauben aus, dass er noch dem Origunal entspricht, das Du schon zehnmal genutzt hast.

Oder der Angreifer kann durch irgendeinen Bug Dein OwnCloud Passwort auslesen, welches Du der Einfachheit halber auch für alle Windows-Rechner nutzt. Oder das NAS hängt per WLan am Heimnetz und dem Angreifer gelingt es, das WLan Passwort über den Server auszulesen.

Alles reine "Spinnerei" die niemals auftreten muss, bei schon nur einer falschen Config oder einem zu späte behobenen Bug (OwnCloud besiert auf PHP) aber auftreten kann.

Die ganzen Firmenausfälle wegen WannaCry/Locky und co. waren auch rein menschliche Bugs, die bei korrekt aufgesetzter IT und geschultem Personal niemals hätten auftreten dürfen. Damit wurden (und werden) aber ganze Krankenhäuser, Stadtverwaltungen und Produktionsanlagen lahmgelegt.

Wegen finanziellen Gründen würde ich die 10-15 TB dann so verwenden, dass das dann auch die Backup Dateien beinhaltet. Ich will, brauche eigentlich keine Sicherung gegen eigener Löschung von Dateien.
Du hast etwas von 3-4 Usern geschrieben. Gilt das für alle, oder verlassen die sich nach ein paar Monaten darauf?

Da Du schonmal Daten verloren hast, musst Du das natürlich für Dich einschäzten. Ich kenne nur seit >20 Jahren meinen Unwillen, konsequent und regelmäßig manuelle Backups durchzuführen. Genauso kenne ich meine bisherigen Elementarschäden (Überspannug/Brand/Wasserschäden) und die Häufigkeit von Trojanern auf meinen PCs.

Mein tägliches und automatisches Backup liegt auf einer zweiten Platte im PC (da geht es nur um den Schutz der wichtigsten Daten vor einem HW Defekt), vom NAS gibt es nur ein manuelles Backup. Wollte ich dort etwas automatisches (weil andere Familinemitglieder sich darauf verlassen würden), dann gäbe es NAS-Intern einen inkrementellen Backup-Job, der auf eine HDD sichert, die aus dem Heimnetz nicht erreichbar ist.

Wobei es imo fur den Privatgebrauch auch garnicht notwendig ist das selbst erstellte Zertifikat irgendwo signieren zu lassen. Damit sieht es nur für externe sicherer aus, aber an der realen Sicherheit für dich ändert sich nichts.
Da ich z.B. die OwnCloud Clients nicht kenne weiss ich nicht, ob man dort die Zertifikatavalidierung deaktivieren kann. Hostet man andere Webseiten für sich selber, kann man darauf natürlich verzichten und das nicht signierte Zertifikat einfach akzeptieren.

Wenn man das einmal eingerichtete hat, sollte es mit Lets Encrypt kein großes Problem sein. Das sind ein paar Scripte, die auf dem eigenen Server laufen und die man dann regelmäßig wieder starten (lassen) muss. Das Hauptprobelm beim Heimserver scheint zu sien, dass Lets Encrypt zwingend Port 80 oder 443 nutzen muss und diese oft vom Webserver im Router genutzt werden.
 
Das heißt wenn ich auf alte Netzwerkgeräte verzichte und SMB1 weglasse, und mir meine FTP-Zugänge sehr genau anschaue, kann ich das Risiko auf fast Null herunterbrechen?

Ja, wegen Thema Datenbackups werde ich wohl noch die anderen User fragen und mich ein bisschen mehr einlesen, welche Varianten am besten für mich sind.
 
Das sind die zwei Einfallszenarien, die mir spontan eingefallen sind.

Im Grunde läuft es so:

der Router (Fritzbox o.Ä.) wird so konfiguriert, dass er den Zugriff auf einen gewissen Port an das NAS weiter leitet. Da muss man also schonmal dem Router vertrauen, dass er alles richtig macht und keine Bugs enthält. Einer noch im Support befindlichen Fritzbox würde ich das zutrauen, einer alten ohne aktuelle Firmware nicht.

Auf dem NAS läuft irgendein (oder auch mehrere) Service, welche die Anfrage entgegen nimmt, die Benutzerauthentifizierung durchführt und Daten entgegen nimmt oder ausliefert.

Ist alles korrekt konfiguriert und niemand hat einen (u.U. bisher unveröffentlichten) Bug gefunden, passiert auch nicht. OwnCLoud/NextCloud wird, genauso wie PHP, weltweit eingesetzt.

Gelingt es einem Angreifer aber, von OwnCloud aus auf Dein NAS direkt zuzugreifen, dann kann er potentiell alles machen, was Du dort auch darfst. Er kann z.B. mal eben Dein NAS verschlüsseln oder über irgendeine ungepatchte Windows-Sicherheitslücke auf Deinen PC eindringen, ein u,U. unsicheres SmartTV übernehmen (z.B. Kamera/Kicro unbemerkt einschalten) und was einem da noch alles schönes einfällt.

Genauso ist FTP, insb. als SFTP sicher, wenn man es passend konfiguriert und/oder nicht solche Vermischungen macht wie von mir oben beschrieben.

Solche Systeme lassen sich durchaus sicher im Heimnetz betreiben, je nach Wissen, Aufwand (z.B. eigenes VLan für das NAS) und Sicherheitsbedürfnis wird das halt mehr oder weniger Aufwand. Genauso kann man das Risiko akzeptieren. Es gibt ja auch Leute, die sich ein SmartHome mit Server in China oder schon nur ein Alexa ins Haus stellen.

SMB1 ist/war nur eines vor hunderten von Windows-Problemen (deshalb gibt es monatlich Security-Hotfixe von Microsoft, wenn man sie auch regelmäßig einspielt). Andere Einfallstore in Windows waren 10 Jahre lang offen, weil sie außer ein paar Geheimdiensten vermutlich keiner kannte.
 
Zurück