wolf2000
Goto Top

Ist mein Server sicher?

Mein Netzwerk besteht aus 1 Workstation & 2 Thin Client.
Der Router: Fritzbox 7590 mit einer festen IP-Adresse.

Für die Sicherheit habe ich AdGuard & Failban auf Proxmox auf einen LXC Container installiert,
die DNS läuft über AdGuard.
Sollte ich noch was hinzufügen?

Ps: Ich hatte schon einen angriff auf die eMail-Adresse die ist auf einen Provider Host.....

Danke in voraus.
Mfg Wolf2000

Content-ID: 671829

Url: https://administrator.de/forum/ist-mein-server-sicher-671829.html

Ausgedruckt am: 10.04.2025 um 07:04 Uhr

Vision2015
Vision2015 09.03.2025 um 07:23:54 Uhr
Goto Top
Moin...

Ist mein Server sicher?
Nein...
Ps: Ich hatte schon einen angriff auf die eMail-Adresse die ist auf einen Provider Host.....
was hat das eine mit dem anderen zu tun?
Angriffe auf Mail Adressen sind normales hintergrund rauschen.
Frank
radiogugu
radiogugu 09.03.2025 um 08:00:46 Uhr
Goto Top
Morschen.

Falls dein Server keinen Internetzugriff hat und das Gerät nicht aus dem Internet erreichbar ist, intern nur von einem PC mit MAC Filterung über ein nicht geroutetes VLAN erreicht werden kann, dann ist eingeschränkt von "sicher" zu sprechen.

Das ist aber alles mit nur der Fritzbox nicht möglich.

Daher ist die Frage etwas seltsam.

Wie Frank schon schrieb, das Eine hat mit dem Anderen nix zu tun.

Welche Dienste laufen denn auf dem Proxmox und welche davon sind von extern erreichbar?

Gruß
Marc
Xerebus
Xerebus 09.03.2025 um 08:10:48 Uhr
Goto Top
Hallo.
Ich lese nichts von Backup.
100% Sicherheit gibt es nicht.
potsbits
potsbits 09.03.2025 um 10:59:20 Uhr
Goto Top
Läuft auf dem Proxmox keine VM, kein container und nix? nur aus dem Lan Erreichbar mit einem "guten" Kennwort?

dann ja

wenn VMs und Container dazukommen - it depends
DivideByZero
DivideByZero 09.03.2025 um 11:19:12 Uhr
Goto Top
Moin,

wo/was ist denn der Server mit welchen Diensten? Davon ab, 100% sicher gibt es nicht, und wenn da irgendetwas von außen erreichbar ist, egal was, dann gibt es nur ein "so sicher wie derzeit möglich", mehr nicht.
Art der Information und Art Deiner Fragen lassen aber vermuten, dass Du etwas von außen erreichbar machst und da wohl eher nicht die passende Ahnung hast. In so einem Fall überlege Dir, etwaige Serverdienste auf einen Clouddienst bei einem Hoster zu setzen, der gewährleistet Dir dann wahrscheinlich ein besseres Sicerheitsniveau.

Gruß

DivideByZero
maretz
maretz 09.03.2025 um 11:23:20 Uhr
Goto Top
generell ist jede zusätzliche software auch ein sicherheitsrisiko... du musst aber halt auch zumindest sagen "was ist sicher"? wenn du zB. deinen "Server" einfach nur mit nem kleinen Holzbrett im Swimmingpool laufen lässt würde ich sagen "das ist nicht sicher", egal welche software drauf läuft (sofern der pool gefüllt ist natürlich).
Lochkartenstanzer
Lochkartenstanzer 09.03.2025 um 14:22:12 Uhr
Goto Top
Moin,


"sicher" ist kein absoluter Zustand, sondern definiert sich darüber, gegen welche Angriffe man sich absichern will.

Sicher gegen Hausbrand? Gegen LKW die ins Haus fahren? Einbrecher? Böse Mitarbeiter? FSB? CIA? BND? ETC.? Malware auf Deinem System? Pöhse Purschen im Internet, die versuchen Deine Fritte zu umgehen?


Und wie die Kollegen schon sagten, hat der Angriff auf Deinen Mailprovuder mit der Sicherheit Deines Systems normalerweise nichts zu tun, außer Deine authentifikationsprozesse beruhen auf Deiner Email.

lks
Wolf2000
Wolf2000 09.03.2025 um 20:40:20 Uhr
Goto Top
Danke für die vielen Antworten

Es geht ja nicht um den Mailprovider, ich bin dadurch munter geworden.

Natürlich ist ein Zugang von außen mit einer eigenen Domain für Nextcloud, usw.

Mir ist es auch klar das nichts ganz sicher ist.

Ich hatte Crowdsec probiert das ist zu Kompliziert und nie angriffe.

Meine frage wäre was ich noch installieren könnte außer AdGuard & Failban,
ich will auch nicht zu viel installieren das ich die Übersicht bewahre.

Mfg Wolf2000
DivideByZero
DivideByZero 09.03.2025 um 20:53:57 Uhr
Goto Top
Natürlich ist ein Zugang von außen mit einer eigenen Domain für Nextcloud, usw.
Und was noch so (usw)? Für Eigennutzung (kleiner Nutzerkreis) solltest Du auf ein VPN umschwenken und alles andere abschalten, denn vermutlich hast Du ja derzeit Port-Weiterleitungen oder einen exposed host aktiv.
Wolf2000
Wolf2000 09.03.2025 um 23:00:24 Uhr
Goto Top
Es sin der Port 80, 443, 3000 für Caprover was au einer Openmediavault VM läuft,
die Ports sind nur für Openmediavault offen.
Die " usw." Roundcube Webmail, ONLYOFFICE , Plex, File Browse
DivideByZero
DivideByZero 09.03.2025 um 23:39:52 Uhr
Goto Top
Plex und Filebrowser nach außen offen und unverschlüsselter Verkehr auf Port 80?
Da kann man im privaten und kleinen Umfeld nur VPN empfehlen.
Wolf2000
Wolf2000 10.03.2025 aktualisiert um 00:15:04 Uhr
Goto Top
Wie meinst du das? die gehen ja per https: (Caprover Reverse Proxy) nach draußen
und die Docker Container ein hohe Port Nummer.?
Michi91
Michi91 10.03.2025 um 06:52:23 Uhr
Goto Top
Fail2Ban solltest du auf dem Proxy oder in den Dienst-VM's am laufen haben und entsprechend für die Services passend konfigurieren. Besser wäre vermutlich CrowdSec. Wir verwenden bei uns Mod-Security, aber das ziemlich aufwendig in der Einrichtung
kpunkt
kpunkt 10.03.2025 um 07:53:17 Uhr
Goto Top
Ich hab irgendwie noch nicht genau rauslesen können, was genau du denn gegen was genau absichern willst.
Um welchen "Server" handelt es sich denn nun? Hostest du da irgendwas? Was genau macht denn dieses Workstation-Thinclient-Konstrukt?
Wolf2000
Wolf2000 10.03.2025 um 15:08:55 Uhr
Goto Top
Zitat von @kpunkt:

Ich hab irgendwie noch nicht genau rauslesen können, was genau du denn gegen was genau absichern willst.
Um welchen "Server" handelt es sich denn nun? Hostest du da irgendwas? Was genau macht denn dieses Workstation-Thinclient-Konstrukt?

Es ist eine Workstation, ich habe mit Proxmox einen LXC Container AdGuard und habe dort Failban installiert.
Weil AdGuard eine DNS vergibt habe ich mir gedacht das es die beste Lösung ist den Failban zu installieren.
Bei mir läuft alles über VM & LXC. Meine frage ist gibt es eine bessere Lösung?
DivideByZero
DivideByZero 10.03.2025 um 22:07:17 Uhr
Goto Top
Ja, VPN für alle Dienste, die nicht zwingend für die Allgemeinheit erreichbar sein müssen. Sprich: Angriffsfläche reduzieren.
leisefuxX
leisefuxX 13.03.2025 um 11:04:02 Uhr
Goto Top
Zitat von @Wolf2000:
Für die Sicherheit habe ich AdGuard & Failban auf Proxmox auf einen LXC Container installiert,


du hast fail2ban in einem LX Container installiert? verstehe ich das richtig? einfach nur ein LXC Container aufgemacht und da fail2ban rein? (liest sich so).


andere Frage: was war an crowdsec zu kompliziert?