Re: YunoHost - Alternative für SelfHosting
Marcus Moeller
marcus.moeller at gmx.ch
Fr Mai 27 17:58:02 UTC 2016
Hi again.
> das Projekt sieht wirklich sehr vielversprechend aus. Vielen Dank für
> den Hinweis! Noch ein paar Ergänzungen zu deiner Liste "Was mir
> gefällt":
>
> - Basiert auf Debian
>
> - Ändert so wenig wie möglich am Debian-System
> (sodass man direkt die Updates aus Debian nutzen kann,
> insbesondere die Security-Updates)
>
> Was mir allerdings etwas Sorgen macht, ist dass hier der Fokus auf
> Security fehlt. Das macht es allerdings nicht schlechter als
> praktisch alle anderen ähnlichen Projekte. ;-)
Man wird regelmässig in der Admin UI über mögliche Sicherheitsprobleme informiert und erhält laufend Updates vom OS sowie von YuhoHost selbst.
>
> Ich fände es zum Beispiel sehr sinnvoll, wenn alle Software erstmal
> via HTTP-Auth über den Webserver (nginx) abgeschirmt wird. Und der
> die Authentifikation (über LDAP oder was auch immer) übernimmt. Das
> würde die Angriffsfläche enorm reduzieren. Stattdessen ist praktisch
> jede (Web-)Applikation selbst dafür verantwortlich, und die nächste
> PHP-Sicherheitslück schlägt sofort durch alles hindurch.
So wie ich das verstehe, wird das genau so gemacht. Dafür gibt es das sso System.
…
> Und grundsätzlich ist Linux vielleicht nicht die beste Wahl dafür.
> Ich fände sowas wie YunoHost interessant, das auf FreeBSD oder ganz
> hardcore OpenBSD bzw. MirageOS aufbaut.
Das ist Geschmackssache. OpenBSD ist auch nur sicher wenn man es regelmässig patched.
> Und bei dem jede installierte Software in einem eigenen Container
> (oder VM?) läuft, so stark isoliert wie nur möglich. Und der
> Multiuser-Kram einfach komplett rausgelassen, was ja auch Komplexität
> und Angriffsfläche entfernt. LDAP und Co. könnten dann auch raus.
> Dann das System lieber auf den (ohnehin empfohlenen) Anwendungsfall
> von Single-User optimieren.
Ich finde es schon praktisch, da ich damit gleich die ganze Familie versorgen kann.
Viele Grüsse
Marcus
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 842 bytes
Beschreibung: Message signed with OpenPGP using GPGMail
URL : <http://lists.fsfe.org/pipermail/fsfe-de/attachments/20160527/4f4383ef/attachment.sig>
Mehr Informationen über die Mailingliste FSFE-de