hallo alle F�r die folgenden L�sungen wird eine Archivierung der Projekte �ber einen Zeitraum von f�nf Jahren angestrebt. Das Ziel ist es, ein abgeschlossenes Projekte einmalig auf einem System zu installieren, und zwar so, dass keinen weiteren Betreuungsaufwand mehr n�tig ist.
Das Problem von unbetreuten Systemen, welche �ber ein Netzwerk zug�nglich sind, ist die Sicherheit. Je mehr Zeit vergeht, desto mehr Sicherheitsl�cken werden bekannt und desto mehr Exploits, um �ber diese Sicherheitsl�cken ins System einzudringen, sind vorhanden. Debian erlaubt es zwar, �ber das Packet-Managment relativ einfach das System auf den neusten Stand zu bringen. Doch ist dies aus folgendem Grund keine L�sung: Unter Umst�nden wird von einer projektrelevanten Software ein neues Pakete aufgespielt. Dieses Packet kann sich zwischenzeitlich so ver�ndert haben, dass das Projekt nicht mehr einwandfrei l�uft. Beinhaltet das Projekt viel selbst geschriebene Software, kann der Anpassungsaufwand betr�chtlich sein und wird aus Zeitmangel nicht durchgef�hrt: das Projekt zerf�llt. Auch vom archivarischen Standpunkt, welcher die Projekte im Originalzustand erhalten will, sind �nderungen nicht erw�nscht. L�sung Idee Das Ziel ist ein System zu bauen, bei dem ein Wirtssystem mehrere Gastsysteme beheimatet. Sowohl auf dem Wirtssystem, wie auch auf dem Gastsystem l�uft ein Webserver. �ber den Webserver des Wirtssystem wird die Webseiten des Gastsystem geroutet und dem Besucher geliefert. So ist nur das Wirtssystem vom Internet aus erreichbar und ist somit das einzige System, bei dem Sicherheitsupdate eingespielt werden m�ssen. Umsetzung User Mode Linux, abgek�rzt UML, heisst die L�sung.[1] Mit User Mode Linux ist es m�glich auf einem Wirtssystem unter einem normalen User einen Linux-Kernel zu starten. Dieser modifizierte Kernel verh�lt sich wie der eines normalen Systems. Ein im UML ausgef�hrtes Programm bemerkt nicht, dass es in einer UML-Umgebung l�uft. Jede dieser virtuellen Maschinen besitzt eine eigenes Filesystem und ein Teil vom RAM der Wirtsmaschine. Die Anzahl von UML-Systemen auf einem Computer ist somit nur durch die Hardwareausstattung der Wirtsmaschine begrenzt. Komerzielle Anbieter von UML betreiben bis zu f�nfzig UML-Systeme parallel auf einem Rechner. In einem UML wird nun das zu archivierende Projekt mit aller ben�tigter Software installiert. Sobald die Konfiguration abgeschlossen ist, wird der Zugriff �bers Internet auf das UML unterbunden. Dem UML wird eine lokale IP-Nummer zugeteil. Nun ist es nur noch m�glich �ber das Wirtssystem auf die virtuelle Maschine zuzugreifen. Mit dem mod_proxy und mit dem mod_rewrite Modul vom Apache wird �ber den Webserver des Wirtsystems auf den Webserver im UML zugegriffen.[2] Diskussion Die einzige M�glichkeit in das UML System einzudringen besteht �ber den Apache, da alle andern Dienste abgeschaltet werden. Wenn ein Angreifer �ber den Apache eindringt, kann er dann �berhaupt Kontakt zum gehackten Server aufnehmen? Der Server besitzt ja keine IP-Nummer die von Internet her ansprechbar ist. Was meint ihr �ber dieses Konzept, ist es realistisch die Projekte in der UML-Umgebung sozusagen einfrieren ohne nach f�nf Jahren gehackt zu werden ? martin krung [1] http://user-mode-linux.sourceforge.net/ [2] http://www.newarchitectmag.com/archives/1998/05/engelschall/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
