O S O P

Open System Operations Platform

OSOP LogoDie Open System Operations Platform kurz OSOP ist eine offene Systemplattform für den IT-Betrieb kleiner und mittlerer Betriebe, die weitgehend aus Open Source Software besteht. Betriebssystem für das Hauptsystem ist Linux. Ein besonderes Augenmerk bei der Entwicklung liegt darauf, möglichst Standard-Software und Hardware zu verwenden, damit alles leicht ausgetauscht und verändert werden kann.

Wichtig sind dabei preiswerte und funktionale Lösungen, die den Betriebsablauf optimieren und die Kosten senken. Dazu gehört auch, keine zu hohen Anforderungen an die Hardware zu stellen, was durch ressourcensparende Software erreicht wird. OSOP läuft in Langen im Betrieb einer Tierarztpraxis. Für Anwendungen, die Windows benötigen, steht Windows in der VirtualBox zur Verfügung. Es ist auch möglich ein Windows Programm mit Wine, einer Windows Laufzeitumgebung unter Linux, laufen zu lassen. So wurde es auf den Clients realisiert, um die Lizenzgebühren für Windows zu sparen.

Begonnen mit dem Probebetrieb wurde im April 2012 mit der Umstellung von Windows XP auf Xubuntu-Linux. OSOP lief die ganzen Jahre problemlos und übertraf bisher alle Erwartungen. Der Service für die Infrastrktur und die Unterstützung der Nutzer erfolgen im Allgemeinen über Fernwartung.

Da es momenan aktuell ist, Daten kostengünstig in der Cloud zu speichern, beabsichtigten wir für die Tierarztpraxis den alten Backup-Server abzubauen und alles verschlüsselt extern in der Cloud zu speichern. Allen Versprechungen zum Trotz, war unser Provider HostEurope mit einem Webhosting PREMIUM-Vertrag über fünf Wochen lang nicht in der Lage, uns die versprochene Leistung mit Anbindung über ssh/rsync zur Verfügung zu stellen. Da eine funktionierendes Backup sehr wichtig ist, haben wir unsere gut funktionierende Backup-Lösung mit neuer Hardware wieder aufgebaut und die Vertragsänderung bei HostEurope storniert.

Auf Grund dieser Erfahrung wird es auch in Zukunft bei einem eigenen Backup-Server bleiben.

OSOP2-Netz

Beispiel einer preiswerten, funktionalen OSOP-Lösung


Server / Workstation für OSOP

Der zentrale Server für OSOP kann ein Büroarbeitsplatz sein, ein eigener PC ist nicht erforderlich. Auf diesem werden die erforderlichen Programme installiert.

Für die Installation wurde Xubuntu gewählt, eine Derivat von Ubuntu, das die ressourcensparende Xfce-Arbeitsumgebung verwendet.

Zusätzlich wurde Glx-Dock (früher Cairo-Dock) eingefügt.

OSOP-WS-Screen

Das ist die grafische Oberfläche von Xubuntu mit Glx-Dock (früher Cairo-Dock)


E-Mail (Evolution)

Für E-Mail wird Evolution mit folgenden Funktionen eingesetzt:

  • E-Mail-Client
  • Adressbuch (auch LDAP-Einbindung)
  • Terminkalender (iCal-Standard)
  • Aufgabenliste/Tasklist/TODO
  • Kommunikation mit MS Outlook

Entscheidend für Evolution war die Datensicherheit. Aktuelle Versionen speichern die E-Mails im Maildir Format, wodurch ein Höchstmaß an Datensicherheit entsteht. Im Gegensatz zum mbox Format wird jede E-Mail in einer eigenen Datei gespeichert. Durch eine beschädigte Datei sind nicht alle E-Mails verloren.

Realisierung

Die Anbindung wurde das IMAP Protokoll gewählt. Ein zentraler Mail-Server hat den Vorteil, dass von verschiedenen Orten auf die E-Mails zugegriffen und E-Mails versendet werden können. Wenn kein eigener Webserver installiert ist, nimmt man dazu den Mailserver bei einem Hosting Provider, der meistens 2 GB Platz pro Mailbox bietet.

E-Mails, die man aufheben, aber noch nicht archivieren will, kann man in die lokalen E-Mail Verzeichnisse verschieben. Diese liegen dann auf der eigenen Maschine und werden zusätzlich mit der eigenen Datensicherung abgespeichert.


DynDNS

Wenn der Router im Internet keine feste IP-Adresse hat erfolgt die Namensauflösung mit DynDNS. Dadurch ist Ihr Server / Router immer unter dem gleichen Domainnamen im Internet zu finden.


VPN – Virtual Privat Network

Wofür braucht man Virtual Privat Network kurz VPN?

Hier sind einige Beispiele für die Anwendungsmöglichkeiten:

  • Über VPN können lokale Netze an verschiedenen Orten über das Internet auf sichere Art miteinander verbunden werden. Ein fremder Zugriff von außen ist nicht möglich.
  • Ein Mitarbeiter kann mit seinem Computer über VPN von Zuhause aus über einen gesicherten Zugriff im Firmennetz arbeiten.
  • Sie können von unterwegs sicher über eine verschlüsselte Verbindung zu Ihren eigenen Router im Internet surfen oder auf Ihre E-Mails zugreifen.
  • Dies sind einige Beispiele, es gibt noch viel mehr Möglichkeiten.

VPN-Verbindung zur FRITZ!Box (Client-LAN-Kopplung)

  • Shrew Soft VPN Connect für VPN-Verbindungen zur FRITZ!Box einrichten, wie bei AVM beschrieben, funktioniert nicht mit der aktuellen Version bei Ubuntu.
  • Die Lösung des Problems: Einrichtung als iPhone auf der Fritz!Box und  vpnc-Client unter Linux.
  • Hier finden Sie die Beschreibung.

SSH

Secure Shell oder SSH bezeichnet sowohl ein Netzwerkprotokoll als auch entsprechende Programme, mit deren Hilfe man auf eine sichere Art und Weise eine verschlüsselte Netzwerkverbindung mit einem entfernten Gerät herstellen kann.

Bei OSOP wird der SSH-Server so eingestellt, dass ein Login mit Passwort nicht möglich ist. Es werden Schlüssel erzeugt, die beim Server hinterlegt werden müssen. Mit diesen Schlüssen erfolgt die Authentifizierung.

Bei einem Notebook mit unverschlüsselter Festplatte wäre die Sicherheit nicht mehr gegeben. Darum wird hier ein USB-Stick mit dem Linux-Dateisystem ext4 formatiert, verschlüsselt und mit einem Passwort geschützt. Hierbei ist auf ein sicheres Passwort zu achten. Alternativ kann auch eine eigene verschlüsselte Patition für sensible Daten angelegt werden.

Auf dem USB-Stick können neben den Schlüsseln noch weitere sensible Daten abgelegt werden, die für Unbefugte nicht zugänglich sein sollen. Damit ist die Sicherheit der Schlüssel bei unbefugtem Zugriff gegeben. Dieses Verfahren ist bei Desktoprechner z. B. für Banking auch möglich.

Das SSH-Protokoll wird z. B. für die Administration, Datensicherung und X2Go benutzt, um einen sicheren Zugriff zu gewährleisten.


Datensicherung

Die Anforderungen

1. Für die Datensicherung muss definiert werden,

  • welche Daten wo, wie und wie lange aufgehoben werden sollen
  • und ob Revisionssicherheit erforderlich ist.

2. Soll berücksichtigt werden, dass die Daten vor

  • Feuer,
  • Einbruch,
  • Überspannung
  • und Blitzschlag

geschützt werden müssen.


Der Server

Aufteilung der 750 GB Festplatte des Servers:

OSOP Server Partitions

 

PartitionEinhängepunktDateninhalte
/dev/sda1/Betriebssystem und Programme, Datenbanken, E-Mail, Nutzerdaten soweit nicht in /data1,
/dev/sda6/data1Nutzerdaten liegen auf einer separaten Partition, damit Sie vom
Betriebssystem getrennt sind.
/dev/sda7/data2Datensicherung, Sicherung von Systemdateien

Die Datensicherung erfolgt beim Server nach /data2.

Die Daten von /data2 werden auf einen zweiten PC in den Geschäftsräumen und auf einem Backup-Server außerhalb noch einmal gesichert. Damit existieren die zu sichernden Daten insgesamt drei mal und es kann auf teure Hardware verzichtet werden. Es muss eine in jedem Fall eine regelmäßige Überwachung stattfinden, dass alles korrekt funktioniert.


Der Backup-Server

Der Backup-Server steht in der Wohnung oder an einem anderen sicheren Ort außerhalb der Geschäftsräume.
Damit soll erreicht werden, dass die Daten bei

  • Feuer,
  • Einbruch,
  • Überspannung
  • und Blitzschlag

an einem anderen Ort noch einmal existieren und bei Verlust im Betrieb wieder hergestellt werden können.

Das Backup erfolgt mit ssh und rsync. Hier wird darauf geachtet, das eine Syncronisation nur in einer Richtung auf den Backup-Server erfolgt. Damit wird erreicht, dass keine Datenverluste auftreten, wenn durch einen Defekt des Servers Daten verloren gehen.

  1. Als Backup-Server genügt ein kleiner Thin Client mit AMD Sempron 2100+, 1 GHz, 2 GB RAM und einer Notebook-Festplatte. Dieser braucht max. 25 W und muss nur während des Backups zeitgesteuert laufen. Es muss darauf geachtet werden, dass der Thin Client intern einen SATA-Anschluss hat, damit eine SATA Notebook-Festplatte eingebaut werden kann. Sonst muss die Festplatte über USB angeschlossen werden.
  2. Die Namensauflösung in das andere Netz erfolgt mit DynDNS.
  3. Die Verbindung zum Backup-Server über den Router wird mit Portweiterleitung und OpenSSH realisiert.

 

Zurück: Linux Update: 21.03.2016