Weblog

Puffy

Ich habe vor, dieses Wochenende ein bisschen mit Qualys Container Security und Docker auf den Hetzner ARM64 CAX-Servern zu experimentieren. Angesichts der aktuellen Strompreise ist es wahrscheinlich nicht wirklich notwendig, einen Proxmox Server zu Hause zu haben. 

Die neuen Ampere┬« ARM64 Server von Hetzner sind relativ preisg├╝nstig und bieten sich daher als gute Alternative an. Besonders jetzt, da Intel und AMD wieder mit CPU-Bugs zu k├Ąmpfen haben, ist dies eine noch bessere Idee. Mir gef├Ąllt aktuell Debian 12 sehr gut, daher m├Âchte ich gerne ein verschl├╝sseltes Debian darauf verwenden.  

Hetzner bietet einen bevorzugten Weg, ein verschl├╝sseltes System zu installieren. Eine entsprechende Anleitung findet man unter folgendem Link. Zu beachten ist jedoch, dass man dabei auf die privaten Netze verzichten muss. F├╝r mich pers├Ânlich ist das vorerst akzeptabel.  

In der Anleitung muss man noch eine Anpassung beim Punkt "/tmp/setup.conf" vornehmen und die Zeile einf├╝gen:

PART /boot/efi esp 256M 


Danach kann man den Cloud-Server per SSH mittels Dropbear entsperren:  

ssh -o StrictHostKeyChecking=no root@your_hetzner_ip
25. Juli 2023, 22:02
Puffy

Neuerdings bietet Hetzner Cloud ARM64 Cloud-Server in deren Rechenzentrum in Falkenstein an, die kosteng├╝nstiger als ihre AMD64 Alternativen sind. Allerdings konnte OpenBSD wegen fehlendem VirtIO GPU Support, der f├╝r die Hetzner-Konsole erforderlich ist, auf diesen Servern eine Zeit lang nicht installiert werden. Gl├╝cklicherweise hat Entwickler Joshua Stein es jetzt m├Âglich gemacht, OpenBSD Current und zuk├╝nftige Versionen auf diesen Servern zu installieren.

Zu beachten ist, dass nur *.iso Dateien in Hetzner-Cloud-Server eingebunden werden k├Ânnen, w├Ąhrend OpenBSD (derzeit) nur ein *.img File (f├╝r USB-Sticks) f├╝r ARM64 bereitstellt, das auf diesen Servern nicht bootf├Ąhig ist. Doch es gibt einen Weg, dies zu umgehen. Starte zuerst den CloudServer in das Hetzner Rescue System und w├Ąhle Linux 64-bit aus. Logge dich dann per SSH ins Rettungssystem ein und lade das installXX.img mit wget herunter. Verwende: dd if=installXX.img of=/dev/sda bs=1M , um das Image auf das virtuelle sda zu schreiben. Starte dann den Server neu, gehe zur Hetzner-Cloud-Konsole im Browser und starte die Cloud-Server-Konsole. Installiere dann OpenBSD in der Konsole, wo du lediglich Passwort und Benutzer angeben musst und auch die Festplattenverschl├╝sselung verf├╝gbar ist. W├Ąhle sd0, whole disk, f├╝r die Installation. Starte danach den Server neu und gib das Boot-Passwort in der Konsole ein, wenn die Festplattenverschl├╝sselung aktiviert wurde. Nach der Installation zum Server mit SSH verbinden, und OpenBSD nach deinen Bed├╝rfnissen konfigurieren. Und sofern gew├╝nscht, die Hetzner-Firewall in der Hetzner Cloud einrichten.

Obwohl der Installationsprozess kompliziert erscheinen mag, ist er durchaus machbar, um einen g├╝nstigen verschl├╝sselten OpenBSD-Server zu bekommen. Zu beachten ist, dass die Konfiguration des IPv6-Netzwerks bei Hetzner anders als erwartet sein kann, insbesondere die Konfiguration der IPv6 Adressen. Meine Empfehlung ist ├╝ber /etc/hostname.vio0 mit der folgenden Konfiguration:

inet autoconf
inet6 autoconf
!route add -inet6 default fe80::1%vio0
inet6 alias dein_hetzner_ipv6_block::1
-soii