mehrer Linux-Clients im Netzwerk (Zentral)?!

[opentech1337]

Hallo liebe Forengemeinde,

ich suche derzeit nach der Möglichkeit diverse Anzahl von Linux Clients Zentral zuverwalten und upzudaten. Ich habe dank dieses Forums ein wenig Erfahrungen mit PXE machen können, und habe eine PXE-Umgebung (TFTP; DHCP, NFS) lauffähig von welcher diverse LiveCDs gestartet werden können. Nun möchte ich folgendes Realisieren:

-Netzwerkboot eines Live-Images
-Möglichkeit Einstellung und Daten begrenzt auf einen Server zuspeichern
-Ein Neustart soll jedoch einen gewissen Grundzustand sofort wiederherstellen
-Bei erneuten Start soll auf die gepeicherten Daten zugegriffen werden können (Lesezeichen, Dokumente,Codecs....)
-Ein ständig aktiver Virenschutz auf dem Server, welcher die entsprechenden ausgelagerten Daten überwacht
-aktueller Virenscanner auf den Clients, welche sich das aktuelle Repository von Server holen
-Zentrale Updates für die Clients
-immer "aktuelles" unter Sicherheitsaspekten bereitgestelltes Bootimage

Nun meine Frage, hat jemand von euch damit Erfahrung und eine Idee wie man sowas am besten angeht. Der Virenscanner darf auch etwas Kosten, der Rest sollte möglichst so zu realisieren sein.

Hoffe auf einige Anregungen, da ich lediglich die PXE-Umgebung lauffähig habe.

[sbruder]

1. Netzwerkboot eines Live-Images
2. Möglichkeit Einstellung und Daten begrenzt auf einen Server zuspeichern
3. Ein Neustart soll jedoch einen gewissen Grundzustand sofort wiederherstellen
4. Bei erneuten Start soll auf die gepeicherten Daten zugegriffen werden können (Lesezeichen, Dokumente,Codecs....)
5. Ein ständig aktiver Virenschutz auf dem Server, welcher die entsprechenden ausgelagerten Daten überwacht
6. aktueller Virenscanner auf den Clients, welche sich das aktuelle Repository von Server holen
7. Zentrale Updates für die Clients
8. immer "aktuelles" unter Sicherheitsaspekten bereitgestelltes Bootimage

1. ist nach meiner Auffassung schon erfüllt
2. NFS /home mounten
3. ja, du kannst ja einstellen, was per NFS gemountet wird, wenn jemand alles im Home löscht, kann man das nicht mehr wiederherstellen
4. ~/.mozilla, ~/Dokumente (oder ~/Documents) Codecs sind Pakete, wenn du die dir in das Image packst, sind die vorab schon instaliert
5. Für was wird der Virenscanner benötigt? Linux-Viren müssen meistens manuell gestartet werden → kleineres Angriffspotenzial
6. Das Repository wird von apt aktualisiert, bzw. von deinem Live-Builder
7. Da musst du einen Cronjob machen, der das Image aufdröselt und die Pakete updated
8. Siehe 7.

[uname]

Live-CDs, Sicherheits-Updates und Linux-Virenscanner in einem Zusammenhang zu nennen ist interessant.

Ich weiß nicht welche Anforderungen du erfüllen willst oder vor allem musst. Wenn du Anforderungen erfüllen musst (immer aktuelle Sicherheitspatches und irgendeinen Virenscanner, da es bei Windows auch so sicher ist) dann verwerf besser das ganze Projekt.

Umgekehrt ist eine veraltete Live-CD weitaus sicherer als jedes gepatchte und mit einem Virenscanner verseuchte Windows.

Verfolge maximal folgenden Anspruch:
- eine Live-CD-ISO gilt für einen Zeitraum von X Tagen/Monaten als sicherer als jedes installierte/gepatchte System
(-> hierzu Updates manuell verfolgen und bewerten, siehe z.B. für Debian: http://security.debian.org)
- Virenscanner bringen unter Linux nichts. Ok das ist falsch. Richtig ist sie bringen gar nichts.
- sollte es Windows-Rechner geben, die durch den Linux-Virenscanner geschützt werden sollen, dann solltest du erst recht das Projekt verwerfen.

Alternativ kannst du dir eine Beratungsfirma besorgen. Die wird dir ähnlich wie bei LiMux (Linux für München) eindeutig von Linux abraten.
Aber nur deshalb, da sie nicht verstehen, wo die wirklichen Vorteile von Linux liegen.
Wahrscheinlich ist es am Ende wieder eine Geldfrage. Aufgrund des Geldes sollte niemand zu Windows oder Linux wechseln.

[opentech1337]

Okay der Hinweis mit der LiveCD sollte ich überdenken, aber deinen Hinweis auf den Virenscanner kann ich nicht nachvollziehen. Es geht darum, dass in den Home-Verzeichnis unterschiedlichste Dateien für die unterschiedlichsten Betriebssysteme heruntergeladen werden sollen. Ein Virenscanner soll von vorneherein "verhindern", dass ein Virus auf ein anderes System transportiert wird (unabhängig davon ob auf dem anderen System ebenfalls ein Scanner ist). Das eigentliche "Exportsystem" soll nicht direkt durch den Virenscanner geschützt werden, was ja auch keinen richtigen Sinn macht.... Mir geht es bei Sicherheitsupdates eben um Sicherheit, des jeweiligen Systems da eine Vorgabe wöchentlich Updates (falls vorhanden) ist.

[uname]

Nicht mal unter Windows funktionieren Virenscanner verlässlich. In Teilen sind sie sogar gefährlich. Sie erhalten z.B. Administratorberechtigung, die man dem dummen Anwender erst gar nicht eingesteht. Einen lokalen Virenscanner sehe ich als Schutz des einzelnen Endsystems und nicht der gesamten Umgebung. Der Linux-Client braucht diesen Schutz nicht. Aber es ist natürlich sinnvoll auf dem NFS- bzw. Samba-Server (dort wo /home tatsächlich gehostet wird) einen Virenscanner zu verwenden, der im übrigen am Ende auch nur Windows-Viren findet.

Sei doch umgekehrt konsequent und setze Sicherheitsmaßnahmen von Linux bei Windows durch. Hierzu gehört, dass die Ausführung von EXE unterbunden wird. Software ist einzig über einen sicheren Appstore (Paketverwaltung) zu installieren. Kontrollierst du unter Windows die Prüfsummen? Ist die Software signiert? Oder installierst du Software direkt aus dem Internet? Und glaubst du wirklich der Virenscanner findet alle fehlerhafte Windows-Software? Windows nutzt mit Virenscanner eine Art recht unvollständige Blacklist, Linux nutzt mit der Paketverwaltung eine Art Whitelist. Das ist der Unterschied. Das macht die Sicherheit wirklich aus. Aber solange irgendjemand nach Virenscannern schreit wird sich wohl bei der Sicherheit nichts ändern.

[opentech1337]

Mir sind die gängigen Konzepte unter Windows bewusst, aber Windows ist keine alternative und auszuschließen.(Lizenzenproblematik). Es geht letztendlich um das oben beschriebene Projekt, welches in dieser Art bei der ein oder anderen Schule bereits im Einsatz sein dürfte. Leider finde ich kaum brauchbare Informationen, daher erhoffte ich mir von diesem Post eine Art "Erfahrungsaustausch". Es nur eine freie kostengünstige Lösung vorgegeben.

[Mounty]

Moin, Moin!

Ist nicht evtl. --> https://skolelinux.de// als Basis passend?

Gruß
Mounty

[opentech1337]

@Mounty THX das wäre in der Tat eine gute Basis, nur muss das komplett an unsere Vorgaben (keine Lernsoftware) angepasst werden. Weißt du du reinzufällig, wie ich so etwas "zu Fuß" also from Scratch realisieren kann?

[uname]

Vielleicht bekommt man von dem Projekt ja neben fertige ISOs auch die Konfigurationen für deren Erstellung. Dann könnte man es einfach selbst bauen und müsste es nicht remastern.

[ohnex]

Hi


Vllt. Kommst du hiermit weiter?
http://www.linuxmuster.net/


Ciao