Beiträge: 193
Themen: 39
Registriert seit: Jul 2019
Hallo Stephan,
da sich unser Sachaufwandsträger weigert, weiterhin einen Server für den NM zu betreiben, überlegen wir, die DB extern zu hosten - z.B. bei Hetzner.
Gibt es da Probleme oder kann ich das alles per lokaler Installation des NM SV bzw. NMAdmin nutzen?
LG
Christoph
Beiträge: 18.402
Themen: 820
Registriert seit: Sep 2003
Hallo Christoph,
interessante Herangehensweise. Der Sachaufwandsträger bestimmt also, wie eine Schule zu arbeiten hat.
Technisch ist das freilich möglich, allerdings ist der Notenmanager für dieses Einsatzszenario nicht konzipiert. Zwar kann der Zugriff auf den Datenbankserver per Zertifikat abgesichert werden (der Notenmanager macht das mit der Musterdatenbank so, die ist bei Strato gehostet), aber das Zertifikat müsste im Dateisystem des Notenmanagers hinterlegt werden (\nmsv5\cert) und wäre da für jeden Benutzer frei zugänglich (und könnte daher auch entwendet werden). Falls eure Schule über eine feste IP ins Internet kommt, dann müsste der Postgresql-Server auf jeden Fall so konfiguriert werden, dass er nur Anfragen von dieser IP akzeptiert. Dann wäre das ganze zumindest einigermaßen sicher. Aber auf jeden Fall brauchst du da einen absoluten Fachmann in Bezug auf Datenbank, Sicherheitsstrukturen, Firewall, ... das ist nicht für eine Selbstbastellösung.
Gruß
Stephan
Beiträge: 193
Themen: 39
Registriert seit: Jul 2019
12.05.2023, 19:58
(Dieser Beitrag wurde zuletzt bearbeitet: 12.05.2023, 20:22 von ChristophT.)
Hallo Stephan,
vielleicht bin ich da ja zu blauäugig, aber ist es nicht so, dass die Daten des NM ohnehin verschlüsselt in der DB liegen?
Dann müsste doch eine SSL-verschlüsselte Verbindung unter Verwendung einer festen IP für den Server reichen, oder?
Der Abgleich per CloudSync ist doch im Grunde ähnlich oder verstehe ich das falsch?
Beiträge: 283
Themen: 30
Registriert seit: Oct 2003
Auf welchem Server läuft denn die Datenbank für ASV???
Beiträge: 193
Themen: 39
Registriert seit: Jul 2019
Der läuft aktuell separat, soweit ich weiß.
Beiträge: 283
Themen: 30
Registriert seit: Oct 2003
Und warum dann nicht die Notenmanager-Datenbank auf dem ASV-Server ?
Beiträge: 193
Themen: 39
Registriert seit: Jul 2019
Hatte ich gar nicht auf den Schirm.
Danke.
Kläre ich mal ab.
Beiträge: 18.402
Themen: 820
Registriert seit: Sep 2003
Hallo Christoph,
es gibt zwar vollverschlüsselte Datenbanken, in aller Regel ist das aber nicht so. Das gilt so auch für die ASV, die Daten sind dort unverschlüsselt. Wer also Zugang zum Server erlangt (wie auch immer) hat potentiell auch Zugriff auf die Daten. Da liegt dann nur noch das Datenbankpasswort als Hindernis dazwischen. Und Passwörter lassen sich halt nun einmal knacken.
Beim CloudSync ist das anders. Der arbeitet nicht mit einem Datenbankserver sondern dateibasiert. Auf die Datei in der Cloud wird aber auch nicht zeitgleich lesend und/oder schreibend von mehreren Benutzern zugegriffen, die Situation ist also ganz anders und daher ist eine Vollverschlüsselung möglich.
Gruß
Stephan
Beiträge: 193
Themen: 39
Registriert seit: Jul 2019
23.05.2023, 09:19
(Dieser Beitrag wurde zuletzt bearbeitet: 23.05.2023, 09:20 von ChristophT.)
Vielleicht kann mir ja jemand noch weiterhelfen - ich bin langsam am Ende mit meinem Latein:
Unsere Stadt möchte die NM-DB nicht auf dem ASV-Server laufen lassen, weil
1. das angeblich zu Problemen beim Support für den Server durch das bayerische ASV-Team führen könnte (klingt für mich eher fadenscheinig)
2. der Zugriff auf den ASV-Server durch den NM ein Sicherheitsproblem darstellt (der ASV-Server läuft zentral für alle Schulen unserer Stadt)
Da nun auch das externe Hosten der DB wohl sicherheitstechnisch nicht funktioniert, werden wir den NM in Zukunft nicht mehr nutzen können.
Das finde ich aber ziemlich blöd, denn die uns zur Verfügung stehenden Alternativen sind allesamt schlechter.
Falls jemand noch einen Ansatz sieht, wie ich unseren NM retten kann, würde ich mich über Rückmeldung freuen.
Beiträge: 18.402
Themen: 820
Registriert seit: Sep 2003
Hallo Christoph,
wenn du willst, kannst du gerne den direkten Kontakt zwischen der Stadt und mir herstellen. Dann kann ich mit denen vielleicht mal die Problematik durchdiskutieren.
Ansonsten gäbe es noch folgende Möglichkeiten:
1. Lokaler stand-alone Linux-Server: nur Postgresql und eine Freigabe drauf, sonst nichts. Wenn du Updates manuell installierst, muss der noch nicht einmal einen Internetverbindung haben. Billig, wartungsarm.
2. Ich gehe mal davon aus, dass auch die IT eurer Stadt mit Virtualisierungs-Lösungen arbeitet. Also virtuellen Linux-Server, darauf nur Postgresql und eine Freigabe.
Gruß
Stephan
Beiträge: 193
Themen: 39
Registriert seit: Jul 2019
Hallo Stephan,
den eigenen Server hatten wir ja - die Stadt will ihn aber nicht mehr administrieren. Und ich kann nicht einfach selbst einen Server im Netzwerk platzieren.
Die IT-Abteilung versucht einfach auf Teufel-komm-raus jede minimale Zusatzarbeit abzulehnen. Und ich kann nur sagen, dass wir dann umso mehr Arbeit und Fehler haben werden. Damit finde ich nur nicht genug Gehör ( der Chef sieht das zwar schon, hat aber auch kein Druckmittel ).
Ich bräuchte eine Lösung, die ich quasi sicher und unabhängig vom lokalen Netzwerk betreiben kann....
Beiträge: 18.402
Themen: 820
Registriert seit: Sep 2003
Hallo Christoph,
tut mir leid, das geht dann nicht. Allerdings verstehe ich die Problematik aus Sicht der Stadt immer noch nicht: ein wie oben von mir beschriebener Linux-Rechner muss nicht administriert werden, wenn er nicht am Internet hängt. Einmal eingerichtet, fertig.
Aber noch einmal: das würde ich mir (und auch unser Chef) mit Sicherheit nicht bieten lassen, dass das LRA bestimmt, wie wir an der Schule zu arbeiten haben. Dann gibt es halt einen Anruf beim Landrat oder einen Leserbrief in der Zeitung. Soweit kommt es noch. Bei uns wollte das LRA z. B. keine Dokumentenkameras mehr beschaffen, da dieser Gerätetyp aus ihrer Sicht nicht mehr notwendig wäre. Das gab dann auch einen deutlichen Widerspruch und die Sache war ganz schnell gegessen.
Ansonsten kann ich dir aber von meiner Seite nicht helfen.
Gruß
Stephan
|