Dienste im FreiFunk-Intranet

Sheogorath · 9. Oktober 2015 um 07:34

Lassen wir mal die Kirche im Dorf. Ein Server im Freifunknetz richtet, wenn er nicht gerade rumbroadcasted wie ein verrückter auch nicht mehr Schaden an, als ein Server im Web. Ich würde sogar sagen, eher weniger. Die Bandbreiten sind stärker eingeschränkt (Privater Anschluss + VPN) und der Zugriff ist ebenso eingeschränkt. (Der Angreifer muss zumindest in den meisten Fällen im Freifunknetz sein)

Dass es da im Web interessantere Zeile gibt, da sind wir uns sicher einig. Außerdem ist Freifunk zum lernen da. Das ist ja primär eine der Aufgaben. Wenn jemand einen Server aufsetzen will, würde ich also erstmal nicht von einer schlechten Idee sprechen, im Gegenteil. „Yay, schön, dass du Lust hast was zu machen, beim nächsten Treffen sollten wir uns mal die Sicherheit anschauen!“

Tja und generell @Nordrunner:
Um die Seelen zu beruhigen: Solange du nur Apache2/nginx/… und SSH nutzt, sollte noch nicht so viel passieren, Schau dir zum Thema Sicherheit mal Zertifikatbasierte SSH Authentifizierung an, die du ja vielleicht schon von deinem Node kennst und am besten Fail2ban. Ansonsten kannst du auch vielen Tutorials von Raspberry Pis folgen, da sich die OS Architektur von Ubuntu und Debian/Raspian ziemlich ähneln. Außerdem sind auch die Ubuntu-Foren voll von Guides und Tipps. Ansonsten, wie schon gesagt, einfach mit den Leuten deiner Community zusammensetzen und die noch mal drüber schauen lassen. Dann sollten auch die kritischen Stimmen zufrieden sein

Nordrunner · 9. Oktober 2015 um 07:49

Moin.

Danke für den Zuspruch @Sheogorath.

Ja es soll ja kein „Superding“ werden!

Und wirklich nur lokal begrenzt.

Im Moment kaue ich noch auf dem Unterbau rum.
Ob nun tatsächlich UBUNTU oder vielleicht doch CentOS. Oder habt ihr da einen ganz anderen Tipp?
Vielleicht wäre die Rolle eines CoAdmins für mich erstmal geeigneter?!
Die Datenschleuder soll ja nicht „Systemrelevant“ sein.
Also kennen tue ich SUSE und UBUNTU. So als Nutzer.

Vielleicht mag mich ja einer von euch alten Hasen als Flügelmann ein wenig an die Hand nehmen.

Gruß

anon76216146 · 9. Oktober 2015 um 09:35

Ich würde dir zu Ubuntu raten, da gibt es massig Einsteiger freundliche tutorials… CentOs basiert auf Redhat wo es zwar auch massig gute dokus gibt, die ich persönlich aber weniger Einsteiger freundlich halte.
Unter Ubuntu hast du auch etwas aktuellere Pakete als unter Debian.

LG

Nordrunner · 9. Oktober 2015 um 10:09

Moin.

Ja, ich tendiere auch zu UBUNTU.

Gruß

Freifunker · 10. Oktober 2015 um 09:57

Ubuntu ist immer ein gute Wahl wenn man Einsteigen will. Ich selber bin von Suse rüber zu Mandrake und dann bei Ubuntu gelandet und geblieben. Hab mir zwar auch mal Arch, CentOS und Gentoo angeschaut, aber das war mir dann doch etwas zu Heavy alles. Ich persönlich möchte OpenSource Software halt nutzen und das möglichst einfach. Ich muss nicht das maximum an Leistung aus meiner Hardware holen. Es soll einfach funktionieren.

Wenn du neu in Sachen Linux Server bist, mach erst mal ne minimal Install des ganzen. So das quasi nur Grundsystem drauf ist und SSH funktioniert. Nicht im Installer schon auswählen was man denn alles haben möchte. Sondern später die Dienste bewusst installieren und konfigurieren.

Nordrunner · 10. Oktober 2015 um 10:17

Moin.

Der läuft schon und ist am Netz. Zumindest Statusseiten werden angezeigt.
War ne lange Session.
Ich denke mal Wordpress sollte der nächste Schritt sein.
Wobei eigentlich eine feste IP nötig wäre innerhalb von FFNord.

Gruß

dgoersch · 10. Oktober 2015 um 13:16

„Ein Server im Web“ wird auch nicht von $jedermann im Wohnzimmer oder gar Kinderzimmer betrieben. Ich hab’ das ganze Theater Ender der 90er und besonders Anfang der 2000er hautnah miterlebt. Ich war damals im „Rootforum“ und dem dazu gehörigen IRC-Channel aktiv. Annähernd täglich kam einer mit „gehacktem“ Server an und heulte rum.

Nix für ungut, aber besser hätte man nicht demonstrieren können, dass man keinen Plan vom Thema hat. Auch bei den angesprochenen, vermeintlich „sicheren“ Diensten gab und gibt es immer wieder Schwachstellen und Löcher. Alleine innerhalb der letzten drei Monate gab es DSAs (Debian Security Advisories) für beispielsweise Wireshark, PHP5, Iceweasel, Virtualbox, Chromium, Owncload, Drupal, Wordpress, Subversion, Bind, Pdns, Squid und viele, viele mehr. Die meisten davon dürften nicht Debian-Spezifisch gewesen sein.

Nicht umsonst liest unsereins täglich diverse Mailinglisten/Newsletter und andere Quellen, um auf gefundene Schwachstellen zügig reagieren zu können. Mitunter kommt es dabei auf wenige Stunden an, zwischen Bekanntwerden einer Schwachstelle und dem Erscheinen von benutzbaren Exploits für selbige. Manchmal wird auch beides gleichzeitig veröffentlicht.

Wer einen Server betreibt, sollte sich darüber im Klaren sein, dass er sich täglich um Sicherheitsupdates für selbigen zu kümmern hat - zumindest aber die gefundenen Schwachstellen bewerten muss ob sie eine konkrete Gefahr darstellen. Andernfalls ist solch ein Server sehr schnell kompromittiert und damit nicht nur schädlich für’s eigene Netz/für den Freifunk, sondern es können von ihm aus auch weitere Angriffe auf Andere ausgehen.

Ich habe absolut nichts dagegen, wenn im Freifunk Dienste von Jedermann bereitgestellt werden. Aber das sichere Betreiben eines Servers bedeutet eben mehr als nur irgendeine Distribution seiner Wahl zu installieren und Kontent darauf abzukippen.

Freifunker · 10. Oktober 2015 um 14:04

Genau, und zum Lernen dazu gehört auch das man ab und zu mal auf die Fresse fällt, wieder aufsteht und weiter macht. Und ja auch vermeintlich Große Betreiber machen Fehler und lassen sich ihre Server hacken, also glaubt blos nicht das es 100% Sicherheit gibt im Netz. Und niemand ist von 0 auf 100 Vollprofi geworden in Sachen sicherer Server Konfiguration.

Btw, wer sagt eigentlich das alle im Freifunk verwendeten Gateways und Supernodes super sicher sind? Wir sind alle nur Menschen und die machen Fehler. Also Kirche im Dorf lassen, Spaß an der Technik haben und einfach machen was einem Spaß macht. Erst recht im Freifunk!

fragstone · 10. Oktober 2015 um 17:21

Hallo,

ich muss gestehen, ich habe den gesamten Thread nun nicht verfolgt und tat mich schwer zu entscheiden welchem Kommentar ich nun antworten soll. Deshalb ist es einfach mal der letzte geworden.

Ich finde den Titel schon recht schlecht gewählt. eigentlich müsste es „Dienste im Freifunk Netzwerk“ heißen.
Des jeder sollte sich im klaren sein das so ein Computer sich 24x7 im Internet auffällt und auch permanent von außen penetriert wird. (Dies gilt zumindest für IPv6)

Ich finde die Diskussion zwischen Server und Client ziemlich schwierig. Was ist den ein client, was ein Server?
Wenn ich jetzt als Beispiel auf meinem Linux oder auch Mac einen sshd starte ist dieser Computer dann noch ein Client oder doch schon ein Server?

Wichtig zu verstehen ist aber das dass FF Netz nicht für High Performance Services gedacht ist.
Dies gilt im übrigen auch für fette Video Streaming diese wie Youtube (um mal wieder auf der Client Seite zu sein)

Weiterhin heißt es in der Satzung des FF Rheinland:
–cut–
2. Weiterhin fördert der Verein ideell, materiell und/oder finanziell:
• den Zugang zur Informations technologie für sozial benachteiligte Personen
• die Schaffung experimenteller Kommunikations- und Infrastrukturen sowie Bürgerdatennetzen.
• Kulturelle, technologische und soziale Bildungs- und Forschungsobjekte
–cut–

Ich bin auch persönlich immer ansprechbar wenn jemand etwas im Bereich Niesrufer experimentieren will.
Basteln tun wir doch alle gerne

Gruß
Thomas

Zumpel · 10. Oktober 2015 um 17:36

Auf der einen Seite will man ein offenes Netz, auf der anderen Seite soll dieses am Ende aber auch noch funktionieren.
Ich sehe das sehr gespalten und empfehle den pragmatischen Ansatz:

Jeder schaltet sein Hirn an und verschwendet keine Ressourcen. Unsere Kapazitäten sind endlich. Einen HD-Videostreaming Dienst im FF Netz brauchen wir nicht.
Der Freifunk ist ein Community Projekt. Man informiert seine Community über seine Server und Angebote und hört auch zu, wenn es dort bedenken gibt. Ggf. diskutiert man mit der Community für alle tragbare Rahmenbedingungen.
Wer gezielt einen Diensteserver aufsetzt informiert die jeweiligen Admins darüber, damit diese wissen an wen sie sich wenden können, wenn etwas aus dem Ruder läuft. Weiter hört man auch hier auf die Community-Admins

Wenn alle miteinander reden und zuhören, dann finden sich sicher Lösungen. Man kennt sich doch. Rücksichtnahme ist Knorke. Ich mag nicht generalisieren, sondern solange es möglich ist empfehlen sich individuell abzustimmen.

Was nicht geht ist, dass Leute Dinge tun, die die Netzstabilität gefährden. Da muss jedem klar sein, dass die Admins ggf. mal nein sagen müssen.

Nordrunner · 10. Oktober 2015 um 17:49

Tscha, die Flensburger Gegend gehört da wohl nicht wirklich zu deiner Nachbarschaft. lach

Hab ich Pech gehabt.

Gruß

Nordrunner · 3. Januar 2016 um 20:54

Moin.

Um das Thema mal wieder aufzugreifen… .

Kennt ihr Warzone 2100? Warzone 2100

Ich finde es hochinteressant, weil das Game unter Anderem auch einen Multiplayermodus bietet und Opensource ist.

Viele Möglichkeiten!

Gruß

Markus · 4. Januar 2016 um 04:10

Ich hatte mal auf nem Windows Tablet nen Minecraft Pocket Edition Server am laufen Also auch im Freifunk-Netz.
Gibt doch so viele tolle Spiele, irgendeins sollte doch dabei sein was jedem/vielen gefällt.

Nordrunner · 4. Januar 2016 um 06:06

Moin.
@Markus
Da gebe ich dir absolut recht.
Problem dabei bleibt aber immernoch: Wenn es aber keiner weis.
Auf meinem Blech habe ich manchmal zu Testzwecken iperf im Servermodus laufen, oder eben WZ2100 im Multiplayer.
Ob das nun sehr sinnvoll ist, weil nicht bekannt…

Ich bin da noch am „Michschlaumachen“ inwiefern gewünscht, machbar, nutzbar usw. .

Gruß

danielkrah · 4. Januar 2016 um 10:24

Bei uns in Fulda gibts den Küchenfunk
der DNS ist aber zur Zeit leider kaputt :-/

ffksBeteiligter · 4. Januar 2016 um 10:32

Suchdienste ala Yaci oder ähnlich wäre noch eine schöne Sache. Ich experimentierte gerade damit.

adorfer · 4. Januar 2016 um 10:41

Vergebene Mühe (sagt jemand, bei dem YaCi in der Heimat-FF-Domain schon seit mehr als einem Jahr läuft und auch regelmäßig diskutiert wird.)

Warum?

Weil >90% der Nutzenden gar keinen Unterschied zwischen „Adressfeld“ und „Suchmaschine“ kennen in ihrem Webbrowser („Webbrowser? Du meinst das Internet, oder?“)
Weil 95% der Nutzenden Google verwenden und nichts anderes kennen.
Weil „im Internet“ für die erschlagende Mehrheit gleichbedeutend ist mit „Wird von Google als erster Hit oder zumindest auf der ersten Ergebnisseite geliefert“.

Es wäre vermessen, daran etwas ändern zu wollen. Das kann man wollen. Aber nur wenn man „auf Scheitern steht“, um sich dann öffentlich in dem empfundenen Unglück zu wälzen.

ffksBeteiligter · 4. Januar 2016 um 12:00

Spitz betrachtet hast Du da leider Recht.

Das ist eigentlich erschreckend und ernüchternd zugleich…

Delta · 4. Januar 2016 um 12:51

Hinzu kommt noch, das nicht alle Community’s untereinander verbunden sind.

Sprich, die „Freifunk“-internen Dienste sind erst einmal nur in der Community/Regional erreichbar.

Ein interner Dienst macht meiner Meinung nach erst dann Sinn wenn er einer größeren Masse zur Verfügung steht.

Hier sollte erst einmal eine breit aufgestellte Anbindung an das IC-VPN anstreben.

Danach kann man sich Gedanken zu den Diensten machen.

Sheogorath · 4. Januar 2016 um 15:46

Naja, nicht alles wird so heiß gekocht wie es gegessen wird.

Das stimmt schon. Aber vielleicht muss man gar nicht direkt die breite Masse ansprechen. es gibt nämlich gute und funktionierende Beispiele für Netze mit internen Diensten, die auch rege genutzt werden.

Auf der einen Seite gibt es da das Tor-Netz mit seinen hiddenservices. Das funktioniert bestens und ist auf einer recht abstrakten Ebene einem Freifunknetz auf Basis von Gluon mit Internet-Access nicht mal ganz unähnlich.

Da gibt es irgendwie im Internet Server zu denen man sich verbindet. Da gibt es irgendwie Internet drin und es gibt irgendwie interne Dienste. Klar ist der Ansatz ein anderer und auch die angebotenen Dienste sind in den meisten Fällen wesentlich Fragwürdiger, ABER es ist eigentlich schonmal ein Ansatz wie man interne Dienste organisieren kann. Der Vorteil seitens Freifunk ist: Die DNS Namen sind frei wählbar.

Ich habe z.B. für meinen Freifunkdienst beschlossen mir die .ffxyz Domain zu sparen, weil sie eigentlich keinen echten Vorteil hat. stattdessen habe ich lieber meine ohnehin schon registriere Domain genommen und eine Subdomain angelegt.

Also ist der eigentliche Weg den man gehen will/muss irgendwo Linklisten zu „pflegen“ die im Zweifel halt auch irgendwie mal schauen, ob noch was am anderen Ende vorhanden ist und den Link ab einer Downtime von X einfach killen. Ist jetzt eigentlich kein all zu großer Aufwand.

Ein weiteres gutes Beispiel für die Organisation von Diensten außerhalb der Reichweite von öffentlichen Suchmaschinen ist das i2p Netzwerk. Hier liegt der Fokus noch mehr auf internen Diensten.

Und ansonsten sehe ich Freifunks stärke darin, dass es Regionalbezug hat und sich die internen Dienste auch daran orientieren sollten. Ein guter Anfang ist es doch, wenn man einfach in einer Ecke wo Freifunk verfügbar ist, ein Faltblatt, Plakat, einlaminiertes Papier, … auslegt/hängt/stellt auf dem irgendwie steht „Verbinde dich mit $Community finden - freifunk.net und scanne den QR-Code um xyz zu tun/erfahren/erleben“. Hier ist man völlig unabhängig von Suchmaschinen

Wer Zeit und Lust hat könnte sich mal dran machen und einen solchen Generator für solche „Linkpoints“ schreiben. Sollte eigentlich nicht all zu komplex sein. Wenn da was im PDF-format rauskommt, ein bisschen hübsch aussieht und ein QR-Code groß drauf ist, wäre es ideal. Wenn es keiner tut, setze ich mich mal dran, wenn ich irgendwann mal die Zeit dazu finde >.>