[Server] Configurazione di un server

[davidecda]

Salve a tutti,
innanzi tutto, tanti auguri di buon inizio anno.

Passando alla mia domanda: ho una piccola rete "domestica" composta da un server, una decina di postazioni (Ubuntu 11.10 o Windows 7, niente Vista, niente XP), un router, un AP WiFi e una stampante Xerox.
Al momento, sul server c'è Windows SBS 2008, tuttavia sono fortemente interessato a passare a Ubuntu Server.
Partiamo con il dire che il server è uno XeonQuadCore con 8Gb di RAM e ha 5 dischi rigidi (Lo so, con Ubuntu tutto questo non serve, ma sono dettagli):
2 x 70 GB SAS (che vorrei usare per il S.O. e applicazioni),
2 x 500GB SATA (che vorrei utilizzare per i dati)
1 x 1000GB SATA (che vorrei utilizzare per i dati).

Innanzitutto vorrei utilizzare glusterfs per fare il "raid" dei dischi. Vorrei utilizzare lo stripping per i due dischi da 500, il cui risultante sarebbe in mirroring con il disco da 1TB. Il tutto in previsione di future espansioni con altri server.
E' possibile fare tutto ciò, esistono guide (in italiano, magari) per capire il funzionamento di glusterfs e la sua configurazione ?

Seconda domanda: Mi sono informato e, per quanto riguarda l'accesso ai dati, ho limitato il campo a WebDAVS (con supporto di files superiore ai 2GB) o samba. sftp non è supportato da Windows.
Sinceramente sarei più propenso ad usare WebDAVS. Samba mi permette di fare il login (inteso come, accendo la macchina e mi loggo sul dominio), questo avviene anche con WebDAV ? Se no, devo utilizzare cose come Kerbros ? Che alternative ci sono a Kerbros ? Per l'accesso a Kerbros e a WebDAVS si usano le stesse credenziali ?
In ogni caso, esistono guide (possibilmente in italiano) a riguardo ?

Per il momento sono solo queste due domande, ma sicuramente ne avrò altre ! :P

Attendo i vostri pareri e i vostri consigli, ancora auguri !
Davide

P.S. Sono un ragazzo di 16 anni, non ho problemi a stare lì un po' a leggere ed imparare cose nuove, solo che non so più da che parte rigirarmi. E' tutto così dannatamente complesso (e in inglese...).

[toma.luca95]

Per la configurazione della condivisione ti consiglierei di implementare un dominio gestito da linux usando samba (ci sono un'infinità di guide in tutte le lingue che desideri per poterlo fare) in maniera tale da poter accedere comodamente dai pc windows e anche da quelli linux (anche se per quelli linux poi potresti usare sftp).
Per quanto riguarda il raid dubito che si possa fare così come l'hai descritto, a meno di impostare che gli utenti usano i due dischi da 500 che vengono periodicamente copiati su quello da 1TB (magari con un sistema incrementale).

Io per realizzare una cosa del genere ho usato il libro che si intitola ubuntu small business server che ha di pregio di unire tutti i frammenti di guide che si trovano online e di calarli in un esempio pratico, ma comunque se ti va di scartabellare per il web di guide a proposito ne trovi fino a che ne cerchi.

[davidecda]

Grazie mille per aver risposto.
Beh, innanzitutto, per quanto riguarda il "raid" con glusterfs puoi. Mi serve solo "imparare" il funzionamento di questo software.


Per quanto riguarda il file sharing, io volevo sentire magari dei pareri di qualcuno che ha implementato e testato una o piu' soluzioni.
Samba e' semplicissimo, lo so. Ma dicono che sia piu' lento rispetto a sftp o WebDAVs.
Io, sinceramente, volevo fare un ambiente omogeneo, nel quale ci fosse uno solo file server.

Per bind (DNS) sto gia' all'opera, volevo sentire i pareri anche di altri !
Tu, come ti trovi con il dominio samba ? E' veloce ? Hai mai provato altri sistemi di file sharing ?

[toma.luca95]

Indubbiamente sftp e/o apache (webdav o http) sono più veloci ma sono scomodi, per l'sftp devi dare un "utente pieno" che ha quindi accesso anche alla shell, con apache non mi sono addentrato più di tanto perché la gestione dei permessi è molto difficile, samba poi ha un alto grado di integrazione con windows e devo dire che tutto sommato si viaggia anche abbastanza bene, però la differenza c'è. Il mio consiglio è usare samba per far accedere "gli utenti" e tu come amministratore accedi con sftp, ti risparmi molti problemi di sicurezza non dando una shell agli utenti che devono solo accedere ai file e non devi impazzire più di tanto per i permessi (le acl dell'ext4 sono perfette allo scopo).

Io ho messo in piedi una soluzione con samba nel negozio di un mio amico e anche se lui ha l'sftp configurato con filezilla preferisce samba, forse anche un po' per assuefazione all'esplora risorse.

[davidecda]

Ok, SFTP non funziona con Esplora Risorse, ne sono consapevole. Pero' WebDAVs dovrebbe funzionare con esplora risorse.

Poi, il mio quesito era: Se con Samba posso avere utenti di rete (stile dominio winzozz), posso averli anche con WebDAVs ? Nel senso: posso fare il login con gli utenti WebDAVs ?

[toma.luca95]

Il problema di fondo di ftp, come sftp è che chiedono che l'utente abbia accesso alla shell, per webdav (usando apache) si ha problemi per quanto riguarda la gestione dei permessi, a mio avviso la soluzione migliore è lasciare samba per gli utenti normali e ftp/sftp per gli altri.

[davidecda]

Capisco. Quindi tu dici che, nonostante il rallentamento del trasferimento, conviene utilizzare samba.
Ok.

Ponendo, per tesi, che io voglia usare samba, per lo scambio dei dati tramite internet e' piu' conveniente usare un server sftp o una VPN.

Sinceramente, dato che ho gia' un file server, io, logicamente, opterei per una bella e sana VPN. Da quella, posso fare "desktop remoti" (di vede che vengo da windows, neh ... xD), accedere a tutte le periferiche di rete, stampare con le stampanti in rete, oltre che vedere i files. Pero', mi auto obiettavo, serve una porta particolare per la VPN. Magari qualche ISP, sopratutto se mobile, la blocca.

Quindi mi risulterebbe piu' comodo installare un sftp oltre a samba. O sbaglio ?

Questa ultima configurazione, potrebbe avere risvolti negativi per l'integrita' dei files e dei loro attributi (contando che io sono abbastanza maniaco in questo senso).
Non e' che poi samba e sftp vanno "in conflitto" per avere il controllo dei files ?
Inoltre, se ho cinque utenti su Samba, i quali posso leggere e scrivere solo le cartelle a loro assegnatogli, con sftp, posso "copiare" questi utenti e fare in modo che, quando si collegano al server da esterno, venga loro chiesta username e password e si possano collegare solo alle cartelle a loro concesse ?

[davidecda]

P.S. Non capisco il problema di accesso alla Shell. E' per un discorso di di sicurezza ?

[toma.luca95]

In sintesi: si un problema di sicurezza.
Per esteso: dare una shell all'utente è dare un accesso al server, questo vuol dire che se non si mettono i giusti limiti qualche simpaticone (io mi divertivo a fare queste cose) potrebbe impantare il server con una fork bomb, o anche, se la rete ha filtri per la navigazione, potrebbe eluderli se il server si trova in una posizione privilegiata.

[toma.luca95]

Non esiste VPN vs SFTP, per un semplice fatto: sono due cose separate, la prima ti permette di avere accesso alla rete locale o a parti di esse o al server direttamente previa autenticazione, la seconda è un protocollo di trasmissione file cifrato, ad ogni modo io direi che la soluzione migliore è mettere una vpn per limitare il numero di servizi direttamente accessibili dall'esterno evitando così possibili intrusioni, e poi utilizzare sftp, ftp, samba, qualunque protocollo.

Per quanto riguarda installare l'sftp oltre a samba è quasi necessario, essendo l'sftp una parte di openssh-server che è il paccetto che permette l'amministrazione remota (questo si può disabilitare ma non conviene solitamente).

Per quanto riguarda possibili conflitti non ti devi preoccupare, i permessi sono i medesimi.

Per l'ultima richiesta si può fare, il problema che abilitare un utente all'sftp vuole dire dare una shell all'utente con la quale potenzialmente può "vagare" per l'intero filesystem (permessi permettendo), anche, ad esempio, poter visualizzare file di log o file che per errore sono stati resi leggibili. Invece con samba è più facile limitare queste possibilità perché si condividono percorsi specifici, per esempio l'utente "pippo" deve avere accesso alla sua home che è "/home/pippo" e basta? allora io creo la condivisione che condivide "/home/" in maniera che ogni utente li vede la propria cartella home.

Sinceramente samba da qualche problema ma non più di tanto, rogna un pochino solo quando si devono gestire liste di file/cartelle molto lunghe, se no funziona bene.

[davidecda]

Si, no. Ho capito.

Quello che intendevo io era: se il mio scopo e' quello di accedere occasionalmente al mio server per prelevare dei files, quale delle due opzioni e' piu' affidabile ?

Detto questo, ho ancora perplessita'. Se io do all'utente una shell, posso settare i permessi solo ad una cartella. Questo utente puo' vedere solo la sua cartella, con la shell.

Con il mio normale utente linux, devo usare sudo per fare qualsiasi operazione su files al di fuori della home, nevvero ?
Non riesco a comprendere il problema.

P.S. Il fatto di avere OpenSSH non e' un problema, dal momento che il server e' in magazzino a temperatura ottimale e prevedo che ci saranno ben pochi intoppi dopo l'installazione. (Fatta eccezione per errori hardware), dal momento che sto passando a linux proprio perche' voglio avere un server che c'e' ma non si vede. Nel senso che non ho voglia di perdere ore di studio per sistemare un server. Devo installarlo e lui deve funzionare. Comunque, nel caso debba compiere delle operazioni di amministrazione, preferisco farlo direttamente sulla macchina. Non mi sono mai piaciuti i collegamenti di rete. Va sempre a finire che spegni la scheda di rete. Hahahhahah xD
Quante volte !

[toma.luca95]

Dunque, samba ti permette di creare un utente e usarlo anche se non ha la shell, dando la shell questo utente può usare anche sftp se installato. Dando una shell il problema è che l'utente può eseguire una fork bomb (brutta cosa), diciamo che non essendo necessario è meglio evitare.

Tra vpn e ssh è meglio ssh perché è comunque necessario e quindi si evita di far girare servizi inutili.

Il mio consiglio è: samba per gli utenti normali che devono accedere solo dalla LAN, per amministratore di rete e "pochissimi eletti", ma veramente pochissimi, meglio nessuno, sftp per poter accedere anche da remoto per manutenzione.