Re: YunoHost - Alternative für SelfHosting

Marcus Moeller marcus.moeller at gmx.ch
Fr Mai 27 17:58:02 UTC 2016 

Hi again.

> das Projekt sieht wirklich sehr vielversprechend aus.  Vielen Dank für
> den Hinweis!  Noch ein paar Ergänzungen zu deiner Liste "Was mir
> gefällt":
> 
> - Basiert auf Debian
> 
> - Ändert so wenig wie möglich am Debian-System
>  (sodass man direkt die Updates aus Debian nutzen kann,
>   insbesondere die Security-Updates)
> 
> Was mir allerdings etwas Sorgen macht, ist dass hier der Fokus auf
> Security fehlt.  Das macht es allerdings nicht schlechter als
> praktisch alle anderen ähnlichen Projekte. ;-)

Man wird regelmässig in der Admin UI über mögliche Sicherheitsprobleme informiert und erhält laufend Updates vom OS sowie von YuhoHost selbst.

> 
> Ich fände es zum Beispiel sehr sinnvoll, wenn alle Software erstmal
> via HTTP-Auth über den Webserver (nginx) abgeschirmt wird.  Und der
> die Authentifikation (über LDAP oder was auch immer) übernimmt.  Das
> würde die Angriffsfläche enorm reduzieren.  Stattdessen ist praktisch
> jede (Web-)Applikation selbst dafür verantwortlich, und die nächste
> PHP-Sicherheitslück schlägt sofort durch alles hindurch.

So wie ich das verstehe, wird das genau so gemacht. Dafür gibt es das sso System.

…

> Und grundsätzlich ist Linux vielleicht nicht die beste Wahl dafür.
> Ich fände sowas wie YunoHost interessant, das auf FreeBSD oder ganz
> hardcore OpenBSD bzw. MirageOS aufbaut.

Das ist Geschmackssache. OpenBSD ist auch nur sicher wenn man es regelmässig patched.

> Und bei dem jede installierte Software in einem eigenen Container
> (oder VM?) läuft, so stark isoliert wie nur möglich.  Und der
> Multiuser-Kram einfach komplett rausgelassen, was ja auch Komplexität
> und Angriffsfläche entfernt.  LDAP und Co. könnten dann auch raus.
> Dann das System lieber auf den (ohnehin empfohlenen) Anwendungsfall
> von Single-User optimieren.

Ich finde es schon praktisch, da ich damit gleich die ganze Familie versorgen kann.

Viele Grüsse
Marcus
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 842 bytes
Beschreibung: Message signed with OpenPGP using GPGMail
URL         : <http://lists.fsfe.org/pipermail/fsfe-de/attachments/20160527/4f4383ef/attachment.sig>

Mehr Informationen über die Mailingliste FSFE-de