Einige Fragen, vielleicht hat jemand Antworten...

[starcounter]

Um da mal meinen Senf dazuzugeben.

Für mich war von Anfang an eine Trennung von Mail und Webserver unabdingbar.

Ich bin nun leider kein Entwickler, sondern nur Sicherheitsberater und musste mir also etwas mit einer anderen Herangehensweise helfen.
Ich habe das schon vor 1,5Jahren wie folgt gelöst und fahre bis jetzt immernoch spitze damit:

Ein richtig großer Server mit ubuntu 8.04 Server LTS (vorher Debian 4.0), der mit openVZ installiert ist und wirklich sonst gar nichts drauf hat. mittels iptables werden die entsprechenden Ports auf die virtuellen Maschinen umgesetzt. mit den OpenVZ Parametern kann man den Maschinen Ressourcen und Prioriäten zuordnen. Der SSH-Port ist auf einen anderen gesetzt und ist auch nur vom Admin-Server zu erreichen.
Darunter dann 3 Maschinen:

1. Admin-Server (hat mit ispcp nix zu tun, sondern ist nur zur Verwaltung da).
Dieser hat den SSH-port von "aussen" durchgeroutet. Wenn sich also einer von außen anmeldet kommt der NUR auf dem Admin-Server an.

2. Webserver: Hier sind Mysql, proftpd, apache2, php5 zusammen mit ISPCP am laufen.
Ports von außen werden nur 21, 80, 443 und zugelassen. SSH nur vom ADMIN-Server.

3. Mailserver: Hier sind dann Courier, Amavis, Spamassassin, Postfix am laufen.
Ports wieder nur die nötigen. Also in diesem Fall 25, 110, 143, 993, 995.
SSH wieder nur vom ADMIN-Server.

Und jetzt der Clou: Der Webserver hat zwar manche Dienste nicht, greift aber mittels symlilnks in der /etc auf die Konf vom Mailserver zu.

Ich bin dann sogar noch einen Schritt weiter gegangen und habe mittels "mount --bind" in der OpenVZ Konfiguration einige Verzeichnisse vom Host direkt eingebunden, so dass sich der mail, Admin und Webserver einige Verzeichnisse teilen können. So kann ich z.B. auf dem Admin-Server die Logs lesen ohne auf den anderen Maschinen einzuloggen.

Dieses Konzept ist meines Erachtens äußerst sicher. Man benutzt zwar nur eine Maschine, hat aber die Möglichkeit die Ressourcen perfekt zu kontrollieren und zuzuordnen. Eine Killeranwendung des Webservers legt nicht den Mailserver lahm und umgekehrt. Und man kann auch noch über den Host quasi "unter" die Maschinen greifen.
Für Hacker ist dieses prinzip äußerst schwer zu durchdringen.
FTP ist allerdings ein Dorn im Auge, welches ich auch bald abstellen werde. (Wobei ich noch nie Probleme damit gehabt habe.

Aber zurück zum Thread:
Im Prinzip kann man diese Aufteilung auch auf mehrere physikalische Maschinen übertragen. In diesem Fall müsste man halt die Conf-Verzeichnise mittels NFS/SSHFS oder auch einem schönen NAS einbinden. Oder man löst es mittels eines rsyncs.

Im Prinzip brauch man ja nur das /etc/postfix mit den ispcp-Alias blabla und den sasl2 mist...

Aber ich finde diese Virtualisierung so schön, dass ich das auch schon bei mehreren physikalischen Servern gemacht hab. Einfach immer openvz drunter und los gehts... Man hat einfach mehr Möglichkeiten und der Performanceverlust bei OpenVZ ist minimal.

Das wollte ich nur mal so in den Raum schmeissen, da ich (glaube ich zumindest) von dieser Lösung noch nicht hier im Forum gelesen habe. (Bin aber auch nicht sehr aktiv)

An dieser Stelle würde mich mal interessieren, was ihr dazu denkt.