Empfehlung: Lüfterloser Mini-PC (Barebone) als Server (kein Celeron, Atom, o.ä.)

[cuco]

In den letzten 10-15 Jahren sind mir leider immer wieder viele Hersteller negativ aufgefallen, die nach der Produktveröffentlichung nur noch kurz BIOS-Updates bereitstellen. Daher verwende ich seitdem nur noch Produkte der Business-Produktlinien, bei denen man sich freuen darf auch nach vielen Jahren noch mit BIOS-Updates versorgt zu werden.

Meine Erfahrung ist leider eher das Gegenteil. Während ich für so manches schon ziemlich alte Asus-Board noch BIOS-Updates bekommen habe, war die Lizenz bei Supermicro, die mir erlaubt, BIOS-Updates per IPMI-Webinterface einzuspielen, meist fast schon rausgeschmissenes Geld. Denn für die 0-2 BIOS-Updates, die da so kamen (meist auch nur kurz nach Erscheinen des Produkts), war die ganz schön teuer. Ebenso bei meinem jetzigen AsRock-Rack. Das letzte BIOS dafür ist nun fast 1 Jahr alt (November 2019), der Microcode-Stand darin ist von September 2019 (AGESA 1.0.0.3 ABBA).

Auch die alten Fujitsu-Kisten auf der Arbeit haben nicht gerade mit langem Support bei den BIOS-Updates geglänzt. Lediglich die Dell-Kisten momentan scheinen einigermaßen versorgt zu werden. Mal gucken, wie lange das so bleibt - erstens sind die noch nicht alt und zweitens haben die auch fünfstellige Beträge je Server gekostet.

Aber gut, das war jetzt auch genug Offtopic. Ansonsten kann ich mich beserene nur anschließen. Lüfterlos aufgrund der Lautstärke macht nur wenig Sinn, denn unhörbar bekommt man auch mit Lüftkühlung hin. Welche weiteren Gründe sprechen denn für lüfterlos, wenn es heißt "nicht nur wegen der Lautstärke"?

 

[boisbleu]

Fujitsu und Intel liefern 5-6 Jahre Updates - passt für (mein) Businessumfeld.

Ein NUC fürs Wohnzimmer wäre also eine gute Wahl. Rein passiv gekühlte Rechner sind teuer und das Wohnzimmer ist für solche Geräte meist zu warm. Lieber ein Gerät das aktiv kühlt, dessen Lüfter aber mit 1000upm lautlos oder zumindest fast lautlos dreht.

 

[hikaru]

Falls das Thema noch offen ist, Heise hat gerade einen Artikel zum ASRock V2000. [1] Die Kiste erfüllt eigentlich alle Kriterien: passiv, 2x SSD (M.2 + 2,5"), 64GB RAM möglich.
Nur die CPU-Leistung kann ich nicht einschätzen. Aber die wird sich wohl im Rahmen anderer 15W-Ryzens bewegen.
Preise und Bezugsquellen gibt es im Artikel leider auch nicht, aber vielleicht lohnt es sich, die Augen offen zu halten.

[1] https://www.heise.de/news/ASRock-iB...i-PCs-mit-AMDs-7-Nanometer-Ryzen-4958518.html

 

[Gummiente]

Für meinen wohl über fünf Jahre alten NUC bekomme ich immer noch regelmäßig BIOS Updates. Meist wenn Sicherheitskatastrophenmeldungen die Runde durch die Presse machen. Andererseits ist ein Update so eingespielt wie man es von einem Profi Gerät erwartet wie etwa auch bei Lenovo Thinkpads.

Asus aber scheint es bei einem Consumer Gerät Service zu belassen. Nach dem Flashen werden die Settings zurückgesetzt. Da darf man einige Zeit im BIOS herumstochern und versuchen zu erinnern was man letztes mal konfiguriert hatte.

 

[hikaru]

Für meinen wohl über fünf Jahre alten NUC bekomme ich immer noch regelmäßig BIOS Updates. Meist wenn Sicherheitskatastrophenmeldungen die Runde durch die Presse machen.

Da stellt sich immer die Frage, wie sinnvoll diese BIOS-Updates sind.
BIOS-Changelogs sind ja vom Informationsgehalt meist ein Witz, denn sie erschöpfen sich in Ausagen wie: "unspezifiziertes Problem beseitigt"

Um auch nur ansatzweise sinnvoll zu sein müssten sie zumindest auf entsprechende CVEs verweisen. Außerdem müssten sie ein Abstract der Lösung beinhalten.
Richtig sinnvoll wäre es aber natürlich erst, wenn sie einen Code-diff der Änderungen enthalten oder auf so einen öffentlich zugänglichen(!) diff verweisen. Andernfalls kann der BIOS-Hersteller auch das Blaue vom Himmel versprechen.
Letztendlich kommt man wieder an den Punkt, dass alles andere als FLOSS mit Reproducible Builds Mist ist, weil man nie wissen kann, was die Kiste tatsächlich macht.

 

[cuco]

Spätestens seit Meltdown und Spectre sind BIOS-Updates wichtig geworden, weil Microcode-Updates darüber ausgeliefert werden. Abgesehen von CVEs wird man da nie einen detaillierten Changelog finden, aber ohne diese BIOS-Updates gibt's halt keine Sicherheit gegen neu gefundene Lücken im Prozessor.

Bei AMD bringen BIOS-Updates außerdem öfter auch mal neue praktische Funktionen mit, die nicht selten auch für nicht zu verachtende Performanceschübe sorgen.

 

[hikaru]

Spätestens seit Meltdown und Spectre sind BIOS-Updates wichtig geworden, weil Microcode-Updates darüber ausgeliefert werden.

Microcodes kann man auch zur Kernel-Laufzeit laden.

Abgesehen von CVEs wird man da nie einen detaillierten Changelog finden, aber ohne diese BIOS-Updates gibt's halt keine Sicherheit gegen neu gefundene Lücken im Prozessor.

Mit BIOS-Updates gibt's diese Sicherheit auch nicht, denn alles was du hast ist die unüberprüfbare Behauptung des Herstellers.
Der könnte auch ins Changelog schreiben, dass das BIOS-Update kleine Rosa Einhörner enthält, welche angreifende Geister (Spectres) aufspießen.

 

[cuco]

Microcodes kann man auch zur Kernel-Laufzeit laden.

Unter Linux geht das, ja, muss aber in der Regel explizit aktiviert werden (was wohl sehr viele nicht tun). Unter Windows sieht's dagegen mau aus. Da geht's AFAIK nur für die wenigsten CPUs und meist auch da nur unvollständig.

Mit BIOS-Updates gibt's diese Sicherheit auch nicht, denn alles was du hast ist die unüberprüfbare Behauptung des Herstellers.
Der könnte auch ins Changelog schreiben, dass das BIOS-Update kleine Rosa Einhörner enthält, welche angreifende Geister (Spectres) aufspießen.

Na das Problem hast du bei allem, was closed source ist. Und selbst bei open source musst du darauf vertrauen, dass allein deshalb stimmt, weil die Gefahr, dass Schmu auffliegen würde, zu groß ist - aber auch da wirst du garantiert nicht jeden Teil des Codes durchgehen, um zu prüfen, ob der Code tatsächlich das tut, was der Changelog behauptet. Von daher ist der Changelog eh immer auf Vertrauensbasis. Das ist jetzt kein Vor-/Nachteil oder eine besondere Eigenschaft von BIOS-Updates.

 

[hikaru]

Na das Problem hast du bei allem, was closed source ist.

Richtig.

Und selbst bei open source musst du darauf vertrauen, dass allein deshalb stimmt, weil die Gefahr, dass Schmu auffliegen würde, zu groß ist

Auf eben dieses "blinde" Vertrauen bin ich bei FLOSS nicht angewiesen ...

aber auch da wirst du garantiert nicht jeden Teil des Codes durchgehen, um zu prüfen, ob der Code tatsächlich das tut, was der Changelog behauptet.

... denn ich könnte zumindest den Code durchgehen, wenn ich die Fähigkeiten dazu habe. Ich kann aber auch jemanden meiner Wahl(!) damit beauftragen, das für mich zu tun. Bei Closed Source kann ich keines von beiden.
Der entscheidende Punkt ist, dass ich nicht darauf angewiesen bin, allein den Behauptungen des Herstellers zu glauben.

Von daher ist der Changelog eh immer auf Vertrauensbasis. Das ist jetzt kein Vor-/Nachteil oder eine besondere Eigenschaft von BIOS-Updates.

Mein Punkt war, dass das Sicherheitsargument für BIOS-Updates reines Schlangenöl ist, wenn man nicht unabhängig überprüfen kann, was da tatsächlich geändert wurde.

 

[cuco]

Auf eben dieses "blinde" Vertrauen bin ich bei FLOSS nicht angewiesen ...

Angewiesen ist man darauf nicht, aber ganz ehrlich: >99,99% machen es auch bei FLOSS so. Die wenigsten lesen Sicherheits-Audits oder prüfen den Quellcode oder lassen jemanden prüfen.

... denn ich könnte zumindest den Code durchgehen, wenn ich die Fähigkeiten dazu habe. Ich kann aber auch jemanden meiner Wahl(!) damit beauftragen, das für mich zu tun. Bei Closed Source kann ich keines von beiden.

Klar, du könntest es prüfen oder jemanden damit beauftragen. Aber machst du das auch? Nicht falsch verstehen, ich bin auch ein großer Fan von FLOSS. Aber die Aussage, dass man theoretisch prüfen könnte, ist halt in sehr vielen Fällen eine rein hypothetisch getroffene Aussage, die in der Praxis nur selten tatsächlich umgesetzt wird.

Der entscheidende Punkt ist, dass ich nicht darauf angewiesen bin, allein den Behauptungen des Herstellers zu glauben.

Richtig.

Mein Punkt war, dass das Sicherheitsargument für BIOS-Updates reines Schlangenöl ist, wenn man nicht unabhängig überprüfen kann, was da tatsächlich geändert wurde.

Aber da hinkt die Argumentation doch irgendwie. Wenn ich sage, dass alles nur Schlangenöl ist, was ich nicht überprüfen kann, dann kann ich mir eine ganze Menge Updates sparen:
- Updates für Windows
- Updates für die Firmware-Pakete unter Linux
- Updates für die Microcode-Pakete unter Linux
- BIOS-Updates jeglicher Art
- Updates für alle closed source Anwendungssoftware
- ...
... und zwar ganz egal, ob da Sicherheitslücken bekannt sind oder nicht. Das wäre fatal. Wie viele Leute würden dann mit einem Windows offen wie ein Scheunentor durch die Gegend surfen, weil das Sicherheitsargument für die Updates ja nur Schlangenöl ist, weil man es ja gar nicht überprüfen kann? Das halte ich für ziemlich kritisch.

 

[hikaru]

Angewiesen ist man darauf nicht, aber ganz ehrlich: >99,99% machen es auch bei FLOSS so. Die wenigsten lesen Sicherheits-Audits oder prüfen den Quellcode oder lassen jemanden prüfen.

Klar, du könntest es prüfen oder jemanden damit beauftragen. Aber machst du das auch? Nicht falsch verstehen, ich bin auch ein großer Fan von FLOSS. Aber die Aussage, dass man theoretisch prüfen könnte, ist halt in sehr vielen Fällen eine rein hypothetisch getroffene Aussage, die in der Praxis nur selten tatsächlich umgesetzt wird.

Natürlich mache ich das nicht annähernd in dem Ausmaß in dem es nötig wäre, um selbst umfänglich zu wissen was der Code auf meinem Rechner macht. Dazu habe ich nicht die Zeit und selbst wenn ich sie hätte, hätte ich nicht die Fähigkeiten dazu.
Von Zeit zu Zeit schaue ich mir mal ein Stück Code an, aber ich bin nicht so vermessen zu glauben, mit meinen doch eher bescheidenen Kenntnissen komplexe Programme auf Sicherheitslücken prüfen zu können. Ich habe da aber z.B. in das Debian-Security-Team als zusätzliche Instanz zu Upstream mehr Vertrauen als ich es z.B. in Microsoft hätte, wo es gar keine öffentliche Kontrolle gibt, bzw. die "öffentliche Kontrolle" die es gibt nicht als unabhängig angesehen werden kann, da jeder der ein Audit auf MS-Code machen möchte, auf das Wohlwollen von MS angewiesen ist um überhaupt Zugang zu bekommen.

Aber da hinkt die Argumentation doch irgendwie. Wenn ich sage, dass alles nur Schlangenöl ist, was ich nicht überprüfen kann, dann kann ich mir eine ganze Menge Updates sparen:
- Updates für Windows
- Updates für die Firmware-Pakete unter Linux
- Updates für die Microcode-Pakete unter Linux
- BIOS-Updates jeglicher Art
- Updates für alle closed source Anwendungssoftware
- ...
... und zwar ganz egal, ob da Sicherheitslücken bekannt sind oder nicht. Das wäre fatal. Wie viele Leute würden dann mit einem Windows offen wie ein Scheunentor durch die Gegend surfen, weil das Sicherheitsargument für die Updates ja nur Schlangenöl ist, weil man es ja gar nicht überprüfen kann? Das halte ich für ziemlich kritisch.

Da habe ich mich vielleicht schlecht ausgedrückt. Closed-Source-Sicherheitsupdates sind wichtig, denn die Lücken die dadurch geschlossen werden sollen, sind sicher vorhanden. Aber im Gegensatz zu FLOSS kann man eben nicht prüfen, ob sie auch tatsächlich das tun, was sie vorgeben. Und das meine ich durchaus im doppelten Sinn:
1. Schließt das Update tatsächlich die kritische Lücke oder hat es vielleicht einen Bug, der die Lücke nicht wirklich schließt?
2. Schließt das Update nur die kritische Lücke oder schiebt es mir weitere Funktionen unter die ich gar nicht haben will?

Mit "Schlangenöl" meine ich nicht das BIOS-Update an sich, sondern das Versprechen, dass es Sicherheitsprobleme löst, denn keiner der unabhängig ist kann es überprüfen und keiner der es überprüfen kann ist unabhängig.

 

[beastiesoft]

Falls das Thema noch offen ist, Heise hat gerade einen Artikel zum ASRock V2000.

Danke für diesen Hinweis! Von den technischen Daten gefällt mir das Gerät ebenfalls sehr gut. Zum Intel-Pendant (iBOX-1145G7E) habe ich von ASRoc mittlerweile die Rückmeldung erhalten, dass es erst irgendwann in der ersten Jahreshälfte 2021 lieferbar sein wird. Das ist mir zu spät. Bei der iBOX-V2000M kann ich mir nicht vorstellen, dass sie sehr viel früher kommen wird

Es läuft wohl auf einen Intel NUC 8 Pro raus (NUC8v5PNH oder NUC8v5PNK), den ich dann in ein Akasa Newton PX stecken werde. Das ist preislich sogar günstiger als der Shuttle-Barebone. Solltet Ihr noch Vorschläge für ein hübscheres NUC-Gehäuse (fanless) haben, freue ich mich sehr darüber! Von Streacom, deren Gehäuse mir deutlich besser gefallen, gibt es hierfür leider nichts im Angebot...

Dann war noch die Frage offen, warum es unbedingt lüfterlos sein muss. Neben der Lautstärke geht es mir insbesondere um Wartungsfreiheit und Langlebigkeit bei 24-Stunden-Betrieb. Performance steht für mich nicht in Vordergrund, sondern ein stabiler, störungsfreier und lautloser Betrieb. Daher möchte ich auf Lüfter gänzlich verzichten.

Die Diskussion zu den BIOS-Updates habe ich mit Interesse verfolgt. Für meinen Anwendungsfall erscheint mir ein halbwegs zuverlässiger Support mit (Closed-Source-)BIOS-Updates, die die gröbsten Schnitzer beheben, als vollkommen ausreichend. Es dreht sich schließlich nicht um ein öffentlich erreichbares Multi-Tenancy-System oder den Betrieb von Hochsicherheitsanwendungen.

Insgesamt nochmals herzlichen Dank an die Runde für die zahlreichen konstruktiven Beiträge und Hinweise!

 

[Gummiente]

Dann war noch die Frage offen, warum es unbedingt lüfterlos sein muss. Neben der Lautstärke geht es mir insbesondere um Wartungsfreiheit und Langlebigkeit bei 24-Stunden-Betrieb. Performance steht für mich nicht in Vordergrund, sondern ein stabiler, störungsfreier und lautloser Betrieb. Daher möchte ich auf Lüfter gänzlich verzichten.

Wozu nach Ausreden für lüfterlos suchen? "Ich will einen" reicht doch immer als Begründung.
Sonst gäbe es keinen Ferrari oder Porsche. Wie langweilig.

Die Lüfter in Siemens ISDN PMX TK Anlage funktionierten 20+ Jahre wartungsfrei rund um die Uhr bis sie entsorgt wurde. So auch die 1" Winzlüfter in 100 MBIT/s HP VG Anylan Switch im biblischen Alter von 20, 30 Jahren bis er voll funktionsfähig auf dem Recyclinghof endete.

10 Jahre? Ein Klacks für hochwertigere Lüfter. Ob man allerdings so ein NUC der jetzt schon schwachbrüstig ist in 10 Jahren noch nutzen will? Man darf ja schon begründete Hoffnung hegen, dass dann 10 GBE so verbreitet ist wie 1 GBE heute?

 

[cuco]

Langlebigkeit und Wartungsfreiheit geht auch mit Lüftern. Ich habe hier Server mit beQuiet-Netzteilen im Einsatz, die auf einem nicht klimatisierten Dachboden arbeiten - Luftfilter o.ä. gibt es da nicht. Auch mein Heimserver arbeitet seit Jahren mit Standard-Hardware (be Quiet Netzteil, Noiseblocker/Blacksilent-Lüfter sowie welche von Noctua und Arctic) im 24/7-Betrieb. Die Server laufen allesamt seit vielen Jahren einwandfrei. Wenn ich die Dinger eh offen hatte, habe ich auch mal Staub entfernt, einige haben aber auch noch nie 'ne Reinigung bekommen. Billige Lüfter und so manches schrille Server-Lüfter-Heul-Gebläse haben auch schon mal aufgegeben, die vernünftigen Lüfter von Noctua, Blacksilent/Noiseblocker und auch die billigen Arctic (sofern man die CO-Modelle, also die Continous Operation, nimmt) sind bisher aber noch nie ausgefallen.

Was ich damit sagen will: Auch ein PC mit Lüftern arbeitet quasi wartungsfrei und langlebig, auch im 24/7-Betrieb, sofern du ihn vielleicht nicht gerade in der Werkstatt stehen hast, wo die Staubbelastung eine ganz andere ist. Dort sind aber auch passiv gekühlte Modelle nicht wartungsfrei, denn auch Passivkühler arbeiten unter einer dicken Staubschicht nicht mehr ausreichend.

 

[Gummiente]

Wirklich ausgefallen ist bei mir ein Chipsatzlüfter. Als ich mal einen Rechner aufmachte wegen Entsorgen oder Aufrüsten wand sich ein fingerdicker Staubwurm in dem winzigen Lüfterkäfig. War ein total befriedigendes Gefühl als er mit einem satten "Flupp" im Staubsagerüssel verschwand.

Schade, dass AMD diese Sollbruchstelle wieder populär macht mit X570 Chipset.

 

[ach]

War ein total befriedigendes Gefühl als er mit einem satten "Flupp" im Staubsagerüssel verschwand.

:facepalm: :facepalm:

 

[elensar]

silentmaxx.de hat eine große Auswahl, wenn hier noch nciht erwähnt;

 

[beserene]

Was ich damit sagen will: Auch ein PC mit Lüftern arbeitet quasi wartungsfrei und langlebig, auch im 24/7-Betrieb, sofern du ihn vielleicht nicht gerade in der Werkstatt stehen hast, wo die Staubbelastung eine ganz andere ist. Dort sind aber auch passiv gekühlte Modelle nicht wartungsfrei, denn auch Passivkühler arbeiten unter einer dicken Staubschicht nicht mehr ausreichend.

Ich würde sogar zusätzlich behaupten das PCs mit (guten) Lüftern noch deutlich wartungsfreier und langlebiger sind.

Etwas OT, und da stimme ich Cuco zu:
Noctua ist sehr genial in der Hinsicht, mit >150.000 MTTF für den Lüfter, und der Option nachträglich Kits für andere Sockel zu erhalten. Das sind Kühler & Lüfter die man für mehrere PC-Wechsel nutzen kann, die auch ebenso (je nach Modell) unhörbar sind. beQuiet ist in der Hinsicht auch nicht mehr zu verachten.

Scheint jeder immer nur auf Dinge wie CPU Kühlung zu achten, dass andere Komponenten hitzestau noch weniger vertragen ist oft außen vor. Desweiteren hast du mit den NUCs nahezu keine vernünftige Modularität langfristig.

Wie dem auch sei, waren nur meine zwei Pfennige, da ich selber auch so ein silent freak bin.