Weblog

Puffy

Ich habe vor, dieses Wochenende ein bisschen mit Qualys Container Security und Docker auf den Hetzner ARM64 CAX-Servern zu experimentieren. Angesichts der aktuellen Strompreise ist es wahrscheinlich nicht wirklich notwendig, einen Proxmox Server zu Hause zu haben. 

Die neuen Ampere® ARM64 Server von Hetzner sind relativ preisgünstig und bieten sich daher als gute Alternative an. Besonders jetzt, da Intel und AMD wieder mit CPU-Bugs zu kämpfen haben, ist dies eine noch bessere Idee. Mir gefällt aktuell Debian 12 sehr gut, daher möchte ich gerne ein verschlüsseltes Debian darauf verwenden.  

Hetzner bietet einen bevorzugten Weg, ein verschlüsseltes System zu installieren. Eine entsprechende Anleitung findet man unter folgendem Link. Zu beachten ist jedoch, dass man dabei auf die privaten Netze verzichten muss. Für mich persönlich ist das vorerst akzeptabel.  

In der Anleitung muss man noch eine Anpassung beim Punkt "/tmp/setup.conf" vornehmen und die Zeile einfügen:

PART /boot/efi esp 256M 


Danach kann man den Cloud-Server per SSH mittels Dropbear entsperren:  

ssh -o StrictHostKeyChecking=no root@your_hetzner_ip
25. Juli 2023, 22:02
Puffy

Neuerdings bietet Hetzner Cloud ARM64 Cloud-Server in deren Rechenzentrum in Falkenstein an, die kostengünstiger als ihre AMD64 Alternativen sind. Allerdings konnte OpenBSD wegen fehlendem VirtIO GPU Support, der für die Hetzner-Konsole erforderlich ist, auf diesen Servern eine Zeit lang nicht installiert werden. Glücklicherweise hat Entwickler Joshua Stein es jetzt möglich gemacht, OpenBSD Current und zukünftige Versionen auf diesen Servern zu installieren.

Zu beachten ist, dass nur *.iso Dateien in Hetzner-Cloud-Server eingebunden werden können, während OpenBSD (derzeit) nur ein *.img File (für USB-Sticks) für ARM64 bereitstellt, das auf diesen Servern nicht bootfähig ist. Doch es gibt einen Weg, dies zu umgehen. Starte zuerst den CloudServer in das Hetzner Rescue System und wähle Linux 64-bit aus. Logge dich dann per SSH ins Rettungssystem ein und lade das installXX.img mit wget herunter. Verwende: dd if=installXX.img of=/dev/sda bs=1M , um das Image auf das virtuelle sda zu schreiben. Starte dann den Server neu, gehe zur Hetzner-Cloud-Konsole im Browser und starte die Cloud-Server-Konsole. Installiere dann OpenBSD in der Konsole, wo du lediglich Passwort und Benutzer angeben musst und auch die Festplattenverschlüsselung verfügbar ist. Wähle sd0, whole disk, für die Installation. Starte danach den Server neu und gib das Boot-Passwort in der Konsole ein, wenn die Festplattenverschlüsselung aktiviert wurde. Nach der Installation zum Server mit SSH verbinden, und OpenBSD nach deinen Bedürfnissen konfigurieren. Und sofern gewünscht, die Hetzner-Firewall in der Hetzner Cloud einrichten.

Obwohl der Installationsprozess kompliziert erscheinen mag, ist er durchaus machbar, um einen günstigen verschlüsselten OpenBSD-Server zu bekommen. Zu beachten ist, dass die Konfiguration des IPv6-Netzwerks bei Hetzner anders als erwartet sein kann, insbesondere die Konfiguration der IPv6 Adressen. Meine Empfehlung ist über /etc/hostname.vio0 mit der folgenden Konfiguration:

inet autoconf
inet6 autoconf
!route add -inet6 default fe80::1%vio0
inet6 alias dein_hetzner_ipv6_block::1
-soii