What’s in my Homeserver
Ein Server muss nicht zwangsläufig ein großer Schrank in einem... Der Beitrag What’s in my Homeserver erschien zuerst auf WindowsArea.de.
Ein Server muss nicht zwangsläufig ein großer Schrank in einem Rechenzentrum sein, der Unmengen an Strom frisst und in dem laute Lüfter heulen.
Per Definition ist ein Server erstmal ein Computer, der Dienste bereitstellt.
In meinem Haus tut dies ein Lenovo ThinkCentre M910 Tiny, ein Mini-PC, unsprünglich für Büros und Produktionshallen gedacht, in denen man Zugriff auf Netzwerkressourcen und einfache Verwaltungsaufgaben benötigt.
Ausgestattet ist dieser mit einem Intel Core i5 7500T (35W TDP, 4 Core, 4 Threads, 2.7 – 3.3Ghz), 8GiB DDR4 SODIMM-RAMM (2666Mhz) und einer 256GiB M.2 SSD (PCIe 3.0).
An zwei der sechs ganzen USB 3.0 (aka 3.1 Gen1 aka 3.2 Gen1 aka 3.2 Gen2x1 aka 5Gib/s) hängen jeweils eine 1000GB und eine 500GB HDD (2.5 Zoll, 5400U/min) im externen Gehäuse.
Klingt jetzt erstmal nach nicht viel Wumms, für meine Anwendungszwecke und Aufgaben ist das aber ausreichend und teilweise sogar leicht überdimensioniert!
Ausgesucht habe ich das Gerät wegen seinen 6 USB-Ports, seiner Aufrüstbarkeit (CPU, RAM, SSD) und seinem verhältnismäßig geringem Stromverbrauch (10W im Idle und 40W in der Spitze).
Das geht zwar mit aktueller Hardware wie dem Intel N100 deutlich sparsamer, dann müsste ich aber die gute Hardware austauschen und das ist wenig nachhaltig.
Als Basis für das Betriebssystem verwende ich, wie sollte es auch anders sein, Windows Server.
War nur Spaß, ich bin doch nicht behämmert ; )
Ich setze auf Ubuntu Server 22.04.6 LTS.
Warum genau dieses OS?
Naja, Arch Linux hat auf einem Server nichts verloren, RedHat Enterprise Linux (RHEL) kostet viel Geld und mit seinen kostenfreien binärkompatiblen Ablegern Alma Linux und Rocky Linux habe ich keine Erfahrung gemacht, ebenso wenig mit Fedora Server.
Bleiben noch Debian und Ubuntu übrig. Da ich aus dem Debian Milieu komme, fragt man sich vermutlich, warum nicht direkt Debian?
Prinzipiell wäre das auch meine Antwort, Ubuntu verwende ich aber wegen der kostenfreien Ubuntu Pro Subscription.
Die ist für Privatkunden auf 5 Maschinen kostenfrei, bietet statt 5 Jahren stattliche 10 Jahre Support und hat auch Kernel-Livepatch dabei, was es ermöglich, wichtige Sicherheitsupdates im laufenden Betrieb anzuwenden ohne Reboot.
Das erhöht die Sicherheit und Uptime meiner Dienste.
Diese Dienste sind alle ausßnahmslos Docker-Container. Warum das jetzt?
Docker-Container sind einfach zu managen und erstmal für sich abgeschottet.
Wenn eine Anwendung plötzlich meint Amok zu laufen und Harakiri zu begehen, reißt sie mir nicht mein ganzes System und alle Datenbanken ins Nirvana und kann ganz einfach per YAML-Konfiguration wieder hochgezogen werden.
Welche Dienste sind es denn nun?
Pihole
Angefangen mit PiHole, meinem DNS-Filter.
Ganz einfach gesagt wird PiHole als DNS-Server in alle Clients in meinem Netzwerk eingetragen und beantwortet mittels Filterlisten DNS Anfragen. Zum Einen sind das die von mir im Browser, aber auch diejenigen, die Anwendungen tätigen.
Durch Blacklists lassen sich so zum Beispiel Werbung, Tracker oder Malware blockieren, was das Surfen im Netz sicherer, schneller und angenehmer macht, weil man genau mitbekommt, wer was sendet und empfängt.
Wireguard
WireGuard ist mein VPN in mein Heimnetz.
Egal ob ich auf meine lokalen Dienste, die gleich kommen, oder im Urlaub auf ein sicheres Netz zugreifen möchte, WireGuard bietet mir dafür die Schnittstelle.
Das VPN ist auch fast die einzige Anwendung, die im Router nach draußen offen ist (und natürlich nicht auf dem Default-Port 51820), was für mehr Sicherheit und einfachere Wartung sorgt.
RustDesk
Für Fernwartung setze ich RustDesk ein. Den Server hoste ich natürlich gleich auch selbst.
Die von mir bedienten Clients in der Familie sind so konfiguriert, dass sie sich bei einem Verbindungsaufbau verschlüsselt mit meinem Server verbinden und der Traffic über mich läuft.
Das verbraucht garnicht mal so viel Leistung, wovon ich selbst auch überrascht war.
Vaultwarden
Vaultwarden ist mein Bitwarden-Server in flinker und effizienter Programmiersprache Rust geschrieben.
Meine Passwort-Datenbanken liegen also lokal bei mir und nicht bei Bitwarden, wobei diese mittlerweile auch EU-Server anbieten.
Aber wenn ich schon hoste, dann auch meine Passwörter, die einen wichtigen Sicherheitsaspekt in meinem Netzwerk bilden.
Duplicati
Auch ein All-TIme-Favourite von mir: die Backupsoftware Duplicati.
Damit sichere ich die Daten auf meinem Server, also Workstation und Laptop Backups, Jellyfin Medien und Nextcloud Daten automatisiert und verschlüsselt in eine externe Hetzner Storage-Box und auf eine lokal angeschlossene HDD.
Sollte bei mir im Heimnetz irgendwann mal der Server platt gehen oder ich sonst wie alle lokalen Backups verlieren, etwa durch Hochwasser oder Feuer, kann ich den letzten Stand einfach aus dem Internet zurück laden.
Dauert bei 50Mbit/s zwar ganze 4 Tage, aber besser als alles zu verlieren.
Nextcloud/MariaDB
Eben schon genannt: Nextcloud mit einer MariaDB als Datenbank stehen für Kalender, Kontakte (und wieder vom Handy zurück als Backup), Bücher und Zeitschriften im PDF-Format und meine mobilen Fotos, Signal, Aegis (2FA-App) und Bitwarden Backups bereit.
Von unterwegs eben mal auf ein Dokument zugreifen, oder einen neuen Termin in den Kalender eintragen, der direkt auch am Laptop erscheint, ist schon eine Bereicherung.
Zusätzlich kann ich auch bei Bedarf im Browser Text-, Tabellen-, und Präsentationsdokumente mit CollaboraOffice bearbeiten.
Jellyfin
Jellyfin als Open-Source-Alternative zu Plex ist mein „privates Netflix“.
Ich nutze keine herkömmlichen Streaming-Dienste und schaue nur Filme auf DVD und BluRay und in den Mediatheken von ARD, ZDF, arte und 3Sat, welche Inhalte ich mir auch problemlos über die MediathekenView lokal und legal runterladen kann.
Manche Filme rippe ich auch als MP4 und lade sie in meine Jellyfin Sammlung hoch, die ich dann per Handy, Fernseher oder PC abrufen und genießen kann.
StirlingPDF
StirlingPDF hat mein Leben verändert. Das soll nicht wie eine billige Marketing-Kampagne klingen, ist aber wirklich so.
Wie oft muss man Passwörter von Dokumenten entfernen, Seiten drehen, ausschneiden, Bilder in PDFs konvertieren, Layouts ändern oder Wasserzeichen einfügen?
PDF24 kann das als Online-Tool und Desktop-Anwendung auch, ist aber werbefinanziert und meiner Meinung nach gewöhnungsbedürftig in der Bedienung.
Zudem sollte man keine privaten oder Geschäftsdokumente auf irgend welche Server hochladen.
Adobe Acrobat Reader DC kann vieles davon auch, das kostet aber Unmengen an Geld und Adobe verfolgt höchst fragwürdige Geschäftspraktiken, weshalb ich nur davon abraten kann, deren Produkte zu nutzen.
Mittlerweile gibt es zu StirlingPDF auch eine Demo Online Version für alle, die es nicht selbst hosten können oder wollen.
Nginx-Proxy-Manager
Der Nginx-Proxy-Manager ist bei mir etwas zweckentfremdet: eigendlich dient er als Proxy für die eigenen, selbst gehosteten Dienste ins Internet, die per Domain erreichbar und mit Zertifikaten versehen sind.
Ich habe aber wie oben schon gesagt nur WireGuard und RustDesk als offene Ports.
Anwendungen wie Vaultwarden fordern bei der Nutzung ein SSL Zertifikat, aus Punkto Sicherheit mehr als verständlich.
Das kann man im Heimnetz per DNS-Challenge erreichen.
Kurz und einfach gesagt: ich stelle eine Anfrage an einen Internetdienst (DuckDNS), der mir als Antwort ein „OK“ zurück gibt und ich Vaultwarden ein Zertifikat ausstellen kann, ohne dass der Service im Internet erreichbar ist.
Watchtower
Als letztes gilt es wie beim Betriebsystem: Updates sind wichtig und sind zügig einzuspielen.
Darum kümmert sich Watchtower, ein kleiner Container, der Nachts bei den Anbietern der Docker Images prüft, ob ein neues Image verfügbar ist.
Er lädt es runter, stoppt den Container, wendet das neue Image an und fährt ihn wieder hoch, ohne dass ich was davon mitbekomme.
Das sind aktuell alle Dienste, die ich auf meinem Server hoste.
Ich spare mir dadurch viel Geld an fremde Hoster und kann die Datenhoheit ehalten. Zudem lernt man bei der Einrichtung eine ganze Menge, mal aus Erfolg, mal aus Fehlern (siehe Abschnitt Nextcloud/MariaDB mit Blick auf MariaDB).
Wenn sich was an meinem Server tut, wird es gegebenenfalls mal ein Update geben, Pläne habe ich schon einige, die Umsetzung will aber gut überlegt sein, weil man schnell und leicht viel Geld bei Neuanschaffungen lassen kann.
Der Beitrag What’s in my Homeserver erschien zuerst auf WindowsArea.de.
What's Your Reaction?