Pflichtenheft aktuell (1)

Hans-Dietrich Kirmse hd.kirmse at gmx.de
Wed May 21 21:12:50 CEST 2003 

Hallo,

bevor jetzt etwas in die falsche Kehle kommt, was ich schreibe.
Unser Schulserver hängt zwar am Netz, aber natürlich hat von
außen keiner Zugriff und die IP ändert sich m.E. häufiger.
dyn.dns und Co. bei uns keine Chance.

ABER: es geht um einen Schulserver und zwar einen, der auch in 
2 oder vielleicht auch 3 Jahren noch möglichst vielen Schulen
gerecht wird. Natürlich auch denen, die den aktiv nutzen = 
ausreizen (wollen).

Es ist nichts gekonnt zu sagen, weil das für einen Lehrer nicht zu
verantworten ist, dann wird das für diesen Schulserver nicht 
vorgesehen. Resultat wäre, das solche Leute einfach einen anderen
Server wählen werden. sie werden ihre bösen Erfahrungen machen,
aber sie werden dann bei diesen Server bleiben. ist damit jemanden
geholfen? - Natürlich, der Firma, die vielleicht eine win2000-Server
teuer verkaufen konnte. Und -  die wird jetzt noch alles mögliche
zum Absichern verkaufen können.

Ich denke, die zeiten werden sich ändern. vor 3 jahren waren die
meisten Schulen noch gar nicht am Netz, denn kostenlos T-Online
gibt es noch nicht solange (denke ich jetzt mal).
In 3 Jahren, warum sollen denn da nicht Standleitungen möglich sein.
Die Frage wird zumindest häufiger gestellt.

Wenn eine saubere Lösung mit guter Dokumentation (einschließlich
der deutlichen Warnungen!) als skalierbare Lösung existieren würde,
dann wäre mehr gekonnt.



Martin Emonts-Gast schrieb:
> 
> Wieland Poser wrote:
> >
    :
> >
> > du meinst sicher als Voreinstellung. Warum sollen denn nicht Webseiten
> > vom Schulserver bereitgestellte werden, insbesondere wenn man
> > Standleitung hat. Ich verstehe deine Logik nicht.
> >
> 
> Bloss nicht,
> 
> bei uns ist der Schulserver nicht von aussen erreichbar und ich halte
> dies auch fuer richtig.
> Natuerlich gibt es einige Gruende, - ein paar davon hast du genannt -
> die dafuer sprechen, den Schulserver und seine Dienste ins Internet
> zu stellen. Aber die meisten Gruende sprechen dagegen. z.B.:
> 
> - Sicherheitsaspekt: Wie die Erfahrung zeigt muss ein Server im Internetz
> viel besser abgesichert werden. 

richtig. Aber auch Universitäten, Krankenhäuser etc. haben serienweise
die Rechner am Netz. Die Brisanz der Daten ist dort ungleich höher.
Viel bessere Absicherung - völlig korrekt, für Kollegen die das
aufsich nehmen wollen sollte das bereitgestellt werden.


> Auch muessen sich die Nutzer viel vernuenftiger 
> und verantwortungsvoller verhalten.

das leuchtet mir nicht ein. - eine secure policy muß her
und was noch viel wichtiger ist, die Instrumentarien, das diese auch
durchgesetzt werden kann. wird aber leider immer als Mittel für
Repressalien gesehen - so nach dem Muster: "Kirmse der Tyrann".

Aber das bin ich wirklich nicht - denke ich zumindest ;-)

 
> - Rechtlicher Aspekt: Wer ist fuer die Schuelerseiten, die ja dann
> oeffentlich im Netz stehen, verantwortlich? (Urheberrecht, etc.)

nun, auch hier wieder meine Standard-Bemerkung:

nicht der zugriff auf alle Seiten, sondern das Freigeben ganz gezielt.
Beispiel von Dieter Kroemer (mit Arktur - jetzt SuSE-Schulserver):

von außen war nur ein bestimmter Ordner erreichbar, ich sage jetzt
mal http://www   (was es wegen der Scripte aber mit sicherheit nicht
war.

jeder Lehrer oder Schüler der seine Seiten von außen zugänglich machen
wollte hatte sich an Dieter gewendet, er legte einen sym-link von
dem www-pub-Verzeichnis des Betreffenden in dieses Verzeichnis und
dann konnte man von außen die Seiten dieses Kollegen aufrufen.

Bei mir würde das wieder über ein unterschriebenes Formular gehen.
Vielleicht noch über die Schulleitung ...

Jetzt noch etwas zu den webseiten: die kommen doch nicht in Frage,
weil es doch dazu die Homepage gibt. 
Was in Frage kommt, wäre z.B. ein Webmailer zum Abruf der 
persönlichen Mails oder z.B. das Schulportal. Ebenso ein
BSCW-Server ist von vielen Arkturianern von außen zugägnlich.
(aber der ist ja im Pflichenheft nicht drin)

Diese Dienste gehen natürlich nur mit Passwort und damit das nicht
im Klartext übers netz geht, gehört hier alles über SSL.



> 
> Man koennte ueberlegen, ob diese Funktionalitaet durch ein Zusatzmodul gewaehrleistet
> werden kann, aber zur Basisaustattung sollte es nicht gehoeren.

richtig, es sollte eben mit fli4l oder für die Smoothwall eine
detaillierte Anleitung erstellt werden - quasi als Addon.

> (Ich weiss aber nicht, ob dies so sinnvoll ist. Wahrscheinlich ist dann
> ein grundlegend
> anderes Konzept, d.h. ein Server fuers Schul-Intranet und davon getrennt
> ein
> Server fuer den Zugang von Aussen, oder aehnliches, viel besser geeignet.)

Prinzipiell kann man 2 Server anders strukturieren, aber wenn der
eine Server nunmal so da ist, dann wird eben ein kleiner Rechner
als Firewall davor gesetzt.

wie gesagt - nicht als Empfehlung, aber für eine skalierbare lösung
gehört es (irgendwann) dazu.

Dabei zieht das sicher weitere Kreise. Wenn man an sowas denkt, dann
kann man auch an Fernwartung denken. - es gab bis jetzt keinen
Gedanke dazu.

Wenn man immer online wäre, dann könnte es vielleicht auch probleme 
geben, das der Admin nicht mehr weiter weiß (wer weiß schon alles).

einen Account, das man von außen inspizieren kann, ohne etwas zu
verändern zu können wäre sicher hilfreich. (zumindest Lesezugriff 
auf alle logfiles und auf Konfigurationsdateien)
Arktur hat dazu meines Wissens einen User "service". natürlich nicht
dokumentiert und schon ist das ganze in der Versenkung verschwunden.

warum nicht soetwas überlegen/abgucken? könnte sogar sinn machen
ohne das man im Netz etwas freigibt.



                                  /"\
Mit freundlichen Grüßen           \ / ASCII ribbon campaign
Hans-Dietrich                      X  against HTML mail 
                                  / \ and postings

More information about the SAN mailing list