Verständnis Frage Debot Sync

[fiebing]

Hallo OPSIs Kenner!

Wir testen OPSI grade im kleinen Aufbau. Dabei haben wir nun schon ordentlich graue Haare bekommen, sind aber schon sehr weit gekommen.

Unser Soll-Aufbau besteht später aus rund 40 Slave-Depots, evtl. einem Depot in der Cloud und einem Master der alle Befehle via VPN verteilt.
Für uns ist es sehr wichtig kurzfristig ein Depot neu hinzufügen zu können und dieses soll sich automatisch mit dem Master bzw. dem Depot in der Cloud abgleichen. Der Inhalt soll auf allen der gleiche sein.
Wir haben es nun geschafft ein Paket per Befehl direkt an alle Depots zu senden. (opsi-package-manager -i paketname.opsi -d all)
Für unseren Aufbau würde es allerdings mehr Sinn machen, wenn die Depots sich alle x Minuten mit einem Master abgleichen...
Gibt es dafür einen Schalter bzw. einen Workaround?

Dann noch eine reine Sicherheitsfrage: Setze ich mir ein Depot in die Cloud ohne VPN, welches vom Master ohne VPN bedient wird und lasse die 40 Sub-Debots über die Cloud mit Daten füttern(auch ohne VPN), der Master und die 40 Sub Debots liegen allerdings innerhalb eines VPNs. Wie sicher ist dieser Aufbau?
Es wäre also nur ein Mittelsdebot ausserhalb des VPNs und wir hätten nur einen Upload ins Rechenzentrum, von dort aus gehts dann 40 mal zurück auf die einzelnen Server. Die einzelnen Server sind allerdings alle auch via VPN mit dem Master verbunden und damit sollte doch die ganze Kommunikation abgesichert sein...? Sollte es ein Leck geben, kann man nur das Depot des Mittelsmann, nicht aber die Konfigurationen etc. infizieren... Oder sehe ich da was falsch?

Ich hoffe ihr könnt ein wenig Licht in unsere Geschichte bringen...
Vielen Dank!

[dkoch]

Habe leider von hier aus gerade keinen Zugriff auf meine Konfiguration und schreibe das jetzt aus dem Kopf. Trag auf den Slave-Depots in /etc/opsi/opsi-product-updater.conf die DepotID ein von der sie sich synchronisieren sollen (Siehe http://download.uib.de/opsi4.0/doc/html ... uctupdater). Anschließen kannst du z.B in /etc/cron.hourly/ (bei Debian) ein Script erstellen :

Code: Alles auswählen

#!/bin/sh
opsi-product-updater -vvv
exit 0

Das Script machst du dann noch ausführbar mit

Code: Alles auswählen

chmod +x /etc/cron.hourly/{script}

dadurch wird es stündlich ausgeführt.

[ueluekmen]

Hallo fiebing,

Dabei haben wir nun schon ordentlich graue Haare bekommen

Das kennen wir, aber es wäre auch einfacher gegangen. Wir haben einen Einführungssupport, da kann man sich ein kleines Kontingent von 4 Stunden einkaufen, viele Kunden kaufen diesen Supportvertrag, um Ihre Evaluierung unterstützen zu lassen. Das hätte euch wahrscheinlich einiges an arbeit und Zeit erspart.

Nun zu deinem Aufbau:

Wie sicher ist dieser Aufbau?

Cloud und sicher? Ich habe jetzt nicht verstanden, warum Ihr unbedingt einen Server ausserhalb des VPNs braucht. Gibt es einen besonderen Grund? Diese Server sollten gesondert gehärtet werden. Man sollte auch versuchen alle Möglichkeiten für die Security von opsi zu nutzen, aber dafür müsste man genau wissen, welche Funktionen dieser Server haben soll. Wenn es sich hier um ein reines Paket-Depot handelt, der nur Server bedienen soll, muss man nicht undingt einen vollen opsi-Server installieren, denn man braucht ja eigentlich nur einen Webserver.

Wenn Clients über einen Server in der Cloud betankt werden sollen, dann empfehlen wir ein opsi-Zertifikat zu kaufen:

http://www.uib.de/www/service_support/s ... ertifikate

Damit kann man die Kommunikation zwischen Server und Client noch mal gesondert absichern.

Ansonsten ist gerade in Bezug auf VPN unser WAN/VPN-Modul sehr zu empfehlen.

Wie immer die Empfehlung bei produktiv Installation immer einen Professional Supportvertrag abschliessen. Es kann auch Sinn machen, sich bei der Planung des Aufbaus Consulting ein zu kaufen. Das kann Fehlplanungen von vorn herein eindämmen und später viele graue Haare spaaren .

Ich hoffe die Informationen helfen Ihnen weiter.

@dkoch:
interessanter Ansatz, aber der opsi-product-updater ist extra so gebaut, dass er direkt in den cron eingetragen werden kann, deshalb gibt er auch nichts aus, wenn kein -v gesetzt ist. Das Notification-Feature sind normalerweise ausreichend.

Grüße
e. ueluekmen

[fiebing]

Hallo dkoch, hallo ueluekmen,

vielen Dank für eure Posts!

Erst einmal zu dkoch:
Genial, dass die DepotID das ganze regelt, ist eine feine Sache! Leider haben wir nichts in die Richtung an Infos finden können, so war der Eintrag ins Forum nötig... Wir werden das ganze heute mal testen und mittels Cron (Eintrag des Befehls direkt, wie von ueluekmen verbessert vorgeschlagen) das Ganze zu automatisieren... Ich bin gespannt!!!

Nun zu Ueluekmen:
Ich gebe zu, ich habe meine Anleitung selbst kaum verstanden(war spät gestern und musste noch kurz vor Feierabend raus)... Aber wie schon richtig angenommen, es soll ein reines Depot im Netz sein. Grund ist, wir sind absolut dezentral aufgestellt, 1 Zentrale, 40 Standorte. Wenn ich nun 40 Syncs über unsere 20 MBit laufen lasse, kann ich mich dumm und dämlich warten und belaste damit unsere sehr teure Leitung. Nehme ich einen kleinen v- oder Root-Server und Sync nur einmal dort hin, können sich alle Depots in den Standorten über die Leitung des Rechenzentrums her machen...
Was ich also brauche ist ein Depot im WAN, welches sich die Daten vom Master holt (hier kann ich auch gern noch ein VPN eröffnen, um den Master zu schützen). Nun die Frage wie groß das Risiko ist, wenn die Standort-Depots den Master über VPN erreichen und die Order bekommen, sich am Depot im WAN (ohne VPN) zu bedienen. Die Dateien sollten anhand von Hashes ja geschützt sein und weitere Kommunikation findet (sweit wir das nun verstanden haben) zwischen Standort-Depot und Depot im WAN nicht statt...

Wie nun auch in den Raum gestellt, wäre ein Webserver im WAN schon vorhanden, nur wie beiteilige ich diesen an einer OPSI Struktur? Wenn man einen Webserver als zwischen Depot nimmt, ist dann die Sicherheit mittels Hash immer noch gegeben?

Zu dem Thema Schulung/Support: Ich bin auch ein Freund von ordentlichem Support zu einer wichtigen Struktur, momentan aber einfach finanziell nicht drin. Evtl. folgt sowas später.
Für mich wäre es schon absolut klasse ein ordentliches Buch über OPSI in den Händen halten zu können. Leider finde ich auf dem Markt kein vernünftiges Buch was sich ausschließlich mit OPSI beschäftigt und nicht grade nur eine Sammlung aus Wiki-Beiträgen ist.

Ich danke für die Hilfe!
VG

[ueluekmen]

Hallo Fiebing,

ja das mit einem opsi-Buch haben wir uns auch schon überlegt. Allerdings ändert und passt sich opsi so schnell an wachsende Anforderungen an, das ein Buch, welches für den Druck geplant ist, vor dem eigentlichen Erscheinen schon wieder veraltet wäre, deshalb raten wir unseren Kunden und unseren Anwendern unsere Manuals nicht aus zu drucken. Da man dann nie die Änderungen mitbekommt und wir hatten es schon oft, dass opsi-Anwender viel Falsch gemacht haben, nur weil Sie mit veralteter Dokumentation gearbeitet haben.

Zu deinem Problem, wir arbeiten momentan ja auch so. Der opsi-product-updater wird in der Standard-Konfiguration mit unserem download.uib.de-Server ausgerollt. Das ist im Grunde einfach ein Webserver, dort läuft jetzt nicht direkt opsi. Wie stellt man nun sicher, dass die Pakete nicht unterwegs manipuliert werden können? Das ist etwas komplizierter, da die Hashsummen durch die .md5-Dateien ja kontrolliert werden, dort geht es aber mehr darum, zu prüfen, ob der Download funktioniert hat. Da der Webserver selbst die Hashsummen zur Verfügung stellt ist das jetzt nicht gerade ein Schutz gegen Manipulation durch dritte.

Ich könnte mir vorstellen, dass ein Konstrukt möglich wäre, welches die VPN-Leitung zu eurem "Master"-Server dazu verwendet, um über eine Abfrage alle verfügbaren Paketinformationen, wie Version, Hashsumme, Dateigröße über den Master zu erhalten, dadurch kannst du gewährleisten, dass keine Manipulatiuon durch dritte so einfach möglich ist. Die eigentlichen Daten ziehst du dann von dem Server im Netz, den man mit den "normalen" Webserver-Hilfsmitteln absichern (härten) sollte. Die gezogenen Daten kannst du dann mit den Metadaten vergleichen, die du vom echten Master-Server bekommst. Damit hättest du eine "ziemlich" sichere Verteilung und da du nur die Metadaten durch die VPN-Leitung ziehst auch keine riesen Datentransfers über eure teure Leitung.

Das ist jetzt alles theoretisch, aber durchaus denkbar und auch möglich. Nur Ihr werdet das selber ohne weiteres wahrscheinlich nicht hinbekommen. Wir unterstützen euch dabei aber gerne. Nur wirst du hoffentlich verstehen, dass so etwas über das freie Support-Forum nicht möglich ist.