Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Hey,
um den Stromverbrauch weiter zu reduzieren könntest du z.B. mit powertop schauen, wo sich noch was einsparen lässt. Im Ubuntuusers-Wiki gibts eine ganze Seite dazu: http://wiki.ubuntuusers.de/Strom_sparen
Vielleicht kommst du damit ja unter die 20W im Betrieb.
Da wird sich nicht mehr viel rausholen lassen. Das Netzteil - ich gehe mal vom System Power 300W aus - arbeitet bei 10% Last immerhin noch mit knapp 80% Effizienz (Quelle). Selbst wenn man den Energieverbrauch der Komponenten weiter senkt, wird die Ersparnis vermutlich durch die schlechtere Effizienz geschluckt. Bei 22W würde ich mir keine große Mühe mehr geben
Wenn man da noch was reißen will, muss man schon auf ne PicoPSU oder dergleichen umsteigen, die sind dann auch im unteren Lastbereich noch sehr effizient.
Das stimmt natürlich, das Netzteil wird ein limitierender Faktor sein. Allerdings ist es bei Linux oft so, dass die aggresiveren Stromsparmaßnahmen per Default deaktiviert sind, weil sie evtl. das System instabil machen können. Von dem her würde es sich schon lohnen, mal mit powertop zu schauen. Sachen wie USB Autosuspend oder PCIe ASPM kann man schon aktivieren.
Selbst wenn er nur 2-3 Watt rausholt sind das ja immerhin >10% Ersparnis
Danke für den Bericht! Freut mich, dass das alles geklappt hat.
Zum Stromverbrauch: Im Idle sollte noch ein bisschen was gehen. Ich komme ohne HDD und mit PicoPSU auf 10-11 W im Idle.
Hast du im BIOS als "Package State" (oder so ähnlich) C7 aktiviert? Der RAM kann auf 1,35V laufen. Ansonsten im BIOS alles deaktivieren was du nicht brauchst (z. B. Audio-Controller).
Was der Unterschied zwischen Windows und Linux ausmacht weiß nicht.
Das Board kann auch aus dem heruntergefahrenen Zustand per WOL geweckt werden, solange du die Stromversorgung nicht unterbrichst. Da lässt dich evtl. noch ein Watt holen.
Raijin schrieb:
Wenn man da noch was reißen will, muss man schon auf ne PicoPSU oder dergleichen umsteigen, die sind dann auch im unteren Lastbereich noch sehr effizient.
Die Pico PSU hätte mein Budget gesprengt. Bin bisher sehr zufrieden. Das mit WOL aus dem heruntergefahrenen Zustand geht, wusste ich nicht. Wird geändert. Was bedeutet es denn, wenn ich C7 aktiviere? RAM werde ich dann wohl "undervolten", nennt man doch so oder? Audio und Co. ist alles aus. Werde aber alles nochmal durchschauen.
Werde alles mal probieren und die Werte korrigieren. Du hast geschrieben, dass ich den Server aus dem heruntergefahrenem Zustand aufwecken kann. Meinst du wirklich den Shutdown-Zustand oder den Standby? Kennst du evtl. ein Programm für Windows mit dem ich den aufwecken kann? Hab noch nicht so das gescheite gefunden...
Ich meine schon Shutdown (zumindest aus Windows heraus, Linux hab ich nicht probiert). Geht aber nur solange du den Strom nicht unterbrichst. Wenn der Strom weg war, musst erst einmal manuell Starten damit WOL wieder funktioniert.
El_Shadow schrieb:
Kennst du evtl. ein Programm für Windows mit dem ich den aufwecken kann? Hab noch nicht so das gescheite gefunden...
Hast du dir mal MagiWOL angeschaut?
Ich benutze für WOL meistens ein leicht adaptiertes PowerShell-Skript aus RoyalTS heraus oder das Webinterface meiner WLAN-Bridge mit DD-WRT. WOL ist aber so einfach zu implementieren, dass es eigentlich jedes dafür gemachte Programm hinkriegen sollte.
So, bin jetzt endlich dazu gekommen wieder am System zu pfeilen. Package State C7 war bereits aktiv. Audio Controller und Dinge wie serieller Port sind auch aus. RAM läuft nun auf 1,35V. Ich bin jetzt aber weiterhin immer so zwischen 19W-20W im IDLE.
Habe das Script übrigens so umgebaut, dass es das NAS herunterfährt. Mit MagiWOL das NAS wieder aufzuwecken hat wunderbar funktioniert.
Evtl. werde ich mir irgendwann doch eine Pico PSU kaufen. Momentan bin ich jedoch voll zufrieden.
Als nächsten Schritt werde ich mich etwas in OpenVPN lesen. Die Verwaltung aus der Ferne wäre bei einigen Dingen nicht schlecht wie z.B bei Programmen wie pyLoad. Diese sind immer aus, da das Script fragt ob es läuft, bevor es das NAS herunterfährt. So könnte ich es dann auch aus der Ferne öfters mal starten oder auch beenden.
OpenVPN ist innerhalb von 30 Minuten eingerichtet. Es wird bereits mit allen nötigen Scripts zur Erstellung von Zertifikaten, etc. ausgeliefert. Einmal ein HowTo durchgehen (Installieren, Zertifikate erzeugen, Konfiguration anpassen, Testen) und fertig ist die Kiste.
Je nachdem was man noch so an Routing braucht (LAN2LAN, etc) feilt man noch etwas an den Einstellungen.
Am Ende hast du am Router nur noch einen einzigen offenen Port - den VPN-Port (frei wählbar). Ich würde höchstens noch den SSH-Zugang am VPN vorbei einrichten, falls das VPN mal streikt.
Guten Abend.
Bevor ich mich an OpenVPN wage, bin ich gerade dabei den Server so freizugeben, dass ich ihn über ssh von außen erreichen kann. Ich habe bereits einen dynamic dns anbieter gefunden (spdns.de) und alles auch in meinem Router eingetragen. Daraufhin in der SSH Konfiguration Root-Login verboten sowie den Standardport geändert. Von außen ist dieser jetzt auch erreichbar. Meine Frage an dieser Stelle, reicht das als Sicherheitsmaßnahme oder sollte ich das Login nur über ein Keyfile machen. Wobei wir bei der nächsten Frage wären: "Wie bekomme ich das Keyfile auf meinen Windowsrechner? Auf diesem nutze ich Putty um mich zu verbinden.
Prinzipiell ist das schon mal ok so. Das Passwort für die SSH Logins muss natürlich stark sein (groß/klein/zahlen/sonderzeichen). Ich hab anfangs bei mir binnen kürzester Zeit mächtig viele Brute force Attacken im auth.log entdeckt. Das hab ich einerseits mit 'Security through obscurity' (Alternativport) und zum anderen durch die Begrenzung auf x Logins in y Minuten pro IP und anschließendem Bann (IP wird geblockt) weiter abgesichert. Brute force wird nun im Keim erstickt
edit:
Das habe ich im übrigen mit 'denyhosts' realisiert. Das ist ein Skript, das automatisch verdächtige Loginversuche mitloggt (zb viele Logins von derselben IP, etc) und die verdächtige IP nach Überschreiten einer gewissen Grenze automatisch in /etc/hosts.deny ablegt. Da muss man allerdings etwas aufpassen. Wählt man die Regeln zu straff, sperrt man sich selbst schneller aus als man gucken kann - ich sag nur: Caps Lock 3x failed = für 24h (konfigurierbar) gesperrt
Danke, Danke. Werde mich nacher dann mal um denyhost kümmern.
Kleiner Statusbericht, zu tun ist noch folgendes:
- Absicherung des Servers nach außen (Mache ich ja gerade)
- Einrichtung von OpenVPN
- Shutdown Script Fehlerbehebung. Cronjob wird nicht ausgeführt
- DLNA Server einrichten
- Datei-Converter installieren (sofern vorhanden)
- Backup Script mit rsync (Ausgewählte Ordner auf externe Festplatte)
bei dem Punkt der Absicherung kannst du auch den (Internet-)Port des SSH auf einen anderen legen, damit verhinderst du auch einen sehr großen Teil der Bruteforce Attacken. Mein Server hat intern natürlich Port 22 für SSH, aus dem Internet aber einen Port aus einem Bereich 1xxx . Ergebnis dabei tendiert gegen 0 "Fremdloginversuche".
Zur Keyauthentifizierung: Putty hat ein Tool Namens "PuttyGen", mit welchen du entweder einen Schlüssel erstellen oder einen existierenden in ein für Putty nutzbares Format umwandeln kannst. Bei Putty selber kannst du die Schlüsseldatei unter "Connection - SSH -Auth" angeben.
Ansonsten: Bisher ganz interessanter Thread, bin auf die nächsten Berichte gespannt
Hallo.
Habe lange nichts mehr geschrieben, da ich am Thema Verschlüsselung dran bin. Werde die nächsten Tage ein Backup machen und das System nochmal aufsetzen. Dieses mal mit verschlüsseltem LVM System und die zweite Festplatte wird mit LUKS verschlüsselt. Dann werde ich eine Schlüsseldatei versteckt auf einem USB Stick platzieren.
Habe übrigens fail2ban eingerichtet, da denyhost aus den offiziellen Paketquellen verschwunden ist. Hat auch wunderbar funktioniert. Habe es ausgiebig getestet
Danach werde ich mich um openVPN kümmern und meine To-Do-Liste weiter abarbeiten.
Ich kann jetzt schon sagen: "Der Spaß und die Freiheit mit dem NAS ist unglaublich!"
@Xmechanisator
Standardport wurde bereits geändert!
Oh, tatsächlich. Hab gerade auf meiner Ubuntu 14.04 VM im Büro nachgeschaut, denyhosts gibts wirklich nicht mehr
fail2ban macht aber prinzipiell das gleiche, das ist also halb so wild. Auch wenn bei einem alternativen SSH-Port tendenziell weniger Angriffe stattfinden, finde ich, dass das irgendwie dazugehört. Es ist ja schnell eingerichtet und wenn man es nicht zu aggressiv einstellt, dann merkt man selbst nix davon. Man muss eben nur aufpassen, dass man sich nicht im Zweifelsfalle selbst aussperrt, weil CapsLock geklemmt hat ^^ . Derzeit habe ich zB ne Sperrzeit von 24h konfiguriert, sofern Loginname stimmt und nur das Passwort falsch war - sonst gibts ne lange Sperre..
Wenn man Spaß am tüfteln und an Linux hat (das geht eh Hand in Hand), dann ist das eine sehr interessante Freizeitbeschäftigung mit großem Lerneffekt. Ich hab auf meinem Server Dienste laufen (gehabt), die ich nur aus Spaß an der Freud installiert habe. Mailserver/Groupware und was es sonst noch so alles gibt. Hab mir dazu seinerzeit ein Linux-Server-Buch zugelegt und hab es von vorne bis hinten ausprobiert. Unter anderem auch eine lokale Paketquelle mit apt-cacher. Kann ich eigentlich nix mit anfangen, weil ich normalerweise keine Linux-Clients im LAN habe und nur für den Test ne Linux-VM installieren musste ^^
Besonders vorteilhaft sind Kenntnisse im Netzwerkbereich, die man sich zwangsläufig bei der Konfiguration der Dienste nach und nach aneignet. Bei VPN zB kommen Routing-Tabellen und NAT ins Spiel, je nachdem wie man das realisiert.
Fail2ban war wirklich schnell eingerichtet. Habe es bisher auf eine Sperre von 24h gesetzt. Die Option mit der längeren Sperre bei falschem Loginnamen habe ich noch nicht entdeckt.
Zum Lerneffekt: Ja, der ist unglaublich. Ich hatte in der Vergangenheit bereits den Plan einen Linux-Server zu betreiben, doch dieser scheiterte weil ich noch so windows geblendet war und meine Geduld war auch nicht vorhanden. Habe dann dieses Jahr angefangen bei Langeweile in meiner VM zu spielen. Man hat relativ schnell die Handhabung gelernt und alles andere kam auch mit der Zeit. Also an alle anderen: "Mit Linux werdet ihr viel Spaß haben, wenn ihr 1. Geduld und 2. Zeit mitbringt!"
Hallo.
Habe das Thema Sicherheit auf meinem NAS erweitert. Ich habe die letzten Tage alle Konfigurationen gesichert und das System neuaufgesetzt. Dieses Mal habe ich Ubuntu mit verschlüsseltem LVM installiert. Die zweite HDD mit 3TB habe ich nach der Installation mit Luks verschlüsselt. Um das NAS nun zu starten muss man entweder 2x ein 20-stelliges Passwort eingeben oder man verwendet einen USB Stick wo ich die Keyfiles habe. Sollte ich mal für längere Zeit nicht da sein oder es nicht verwenden, lege ich den USB Stick an einen sicheren Ort. Alle anderen Dienste habe ich auch bereits eingerichtet. Das war recht leicht, da ich die configs vorher alle gesichert habe.
Nun bin ich erstmal 2 Wochen im Urlaub. Anschließend kümmere ich mich um den SSH Zugriff von außen, das hat komischerweise noch nicht funktioniert, und danach möchte ich openvpn zum laufen bekommen um manche Daten auch unterwegs immer bei mir zu haben. Einiges an Optimierung ist aber auch noch bei Pyload fällig. Aber ansonsten wird es schon sehr gut genutzt. Richtig produktiv nutzen tu ich es erst wenn mein rsync-backup-script eingerichtet ist.
