Nextcloud absichern

Mitglied: Balivorinsky

Balivorinsky (Level 1) - Jetzt verbinden

04.03.2021 um 11:28 Uhr, 700 Aufrufe, 9 Kommentare, 1 Danke

Hallo,

ich möchte eine Nextcloud bestmöglich vor Angriffen absichern. Dazu gibt es 2 Varianten:

A. Lokal auf Ubuntu
B. Nextclod auf einem Hoster

1.
Zu A:
Lokal habe ich eine pfsense die mit einem Router verbunden ist. Klassisch wäre ja, wie bereits in anderen Beiträgen
schon erwähnt [ LINK], der Aufbau in einer "DMZ" zwischen Internet.Router und Pfsense mölgich. Allerdings habe ich dann
nicht den Schutz die meine Pfsense anbietet, wie IDS und IPS, sowohl von außen, als auch von innen. Sobald andere auch die Nextcloud
nutzen, weiß man ja nie genau was die da treiben.
Wäre es da Sinnvoll und auch besser den Internetrouter durch eine weitere Pfsense zu ersetzen, auch wenn man die Nextcloud in eine
DMZ setzt und somit auch von außen erreichbar ist. mit dem Vorteil das IDS und IPS auf dem WAN Port der Pfsense horcht?

2.
Zu B.
Ich wollte evtl. bei Strato eine Nextcloud einrichten. Wie kann ich diese dann bestmöglich absichern. Ich dachte an eine Webapplikation
Firewall vor der Nextcloud, ist das möglich bei Strato bzw. woanders. Oder wäre der Einsatz einer Pfsense da auch irgendwie möglich?

3.
Sicherlich gibt es auch schon Anleitungen für die Absicherung von Nextcloud im allgemeinen, welche man auf jeden
Fall machen sollte. Kennt jemand eine Anleitung, Tutorials bw. Tipps dazu?


vielen Dank
Mitglied: Epigenese
04.03.2021, aktualisiert um 12:54 Uhr
Hallo Balivorinsky,

C. Rieger hat gute Anleitungen mit Hinweisen zu Optimierungen und Absicherungen.
https://www.c-rieger.de/

Den kann man auch als Dienstleister anfragen.

Grüße
Epi
Bitte warten ..
Mitglied: Balivorinsky
04.03.2021 um 13:17 Uhr
Zitat von @Epigenese:

C. Rieger hat gute Anleitungen mit Hinweisen zu Optimierungen und Absicherungen.
https://www.c-rieger.de/

Den kann man auch als Dienstleister anfragen.

Ja ich verstehe das du Marketing für ihn machst, habe persönlich auch nichts dagegen, nur würde ich mich auf eine konkrete Antwort freuen.
Bitte warten ..
Mitglied: aqui
04.03.2021, aktualisiert um 14:31 Uhr
Der "[Link] ist leer. :-( face-sad
Was etwas unverständlich ist, ist die Tatsache das wenn du von der lokalen Installation und DMZ redest die DMZ doch an der pfSense hängt. Damit hast du dann doch alle IDS und IPS Funktionen. Wieso argumentierst du denn das der Schutz dann weg ist. Das widerspricht sich irgendwie ?

Bei der externen Lösung ist das recht einfach indem man nur SSH mit einem Ephemeral Port zulässt und Zertifikat. Zusätzlich noch FailToBan installieren, das reicht in der Regel im 98% wegzufiltern. Kann auch bei der lokalen Variante nicht schaden !
https://www.thomas-krenn.com/de/wiki/SSH_Login_unter_Debian_mit_fail2ban ...
https://www.thomas-krenn.com/de/wiki/Absicherung_eines_Debian_Servers
https://www.thomas-krenn.com/de/wikiDE/images/b/b7/Linux-server-absicher ...
https://www.heise.de/ct/artikel/SSH-absichern-221597.html?seite=all
Bitte warten ..
Mitglied: Epigenese
04.03.2021, aktualisiert um 16:56 Uhr
Hallo Balivorinsky,

soll keine Werbung sein.
War lediglich ein Hinweis, was noch möglich ist.

Eine deiner Fragen war:
3.
Sicherlich gibt es auch schon Anleitungen für die Absicherung von Nextcloud im allgemeinen, welche man auf jeden
Fall machen sollte. Kennt jemand eine Anleitung, Tutorials bw. Tipps dazu?

Ich habe mit seinen Anleitungen schon einige Installationen gemacht.
Zuletzt mit seinem Script für Ubuntu.
https://www.c-rieger.de/nextcloud-installation-mit-nur-einem-skript/

Da ist UFW schon mit drin. Meine sogar auch fail2ban. Da müsste ich aber nochmal nachschauen.
Kannst dir das Script runterladen und anschauen.

Wenn du mit dem Script die Installation machst und dann in der Nextcloud unter "Einstellungen" -> "Übersicht" nachschaust, dann ist das fehlerfrei und mit ssl self signed certificate, so dass man es ohne Probleme hinter ein Reverse Proxy setzen kann.
Man kann aber auch direkt mit Letsencrypt und Zugang zum Internet ein Zertifikat und SSL Gedöns machen.
Er hat zu Nextcloud eine Menge Infos und Beschreibungen eben zu deinen Fragen bezüglich Sicherheit.

Grüße
Epi

Edit: Habe gerade nachgeschaut. Der installiert mit dem Script auch fail2ban mit einem Nextcloud Filter.
Hier der Auszug aus seinem Script:

Einfach das Script mit Notepad++ öffnen und mal drüberschauen.
Trifft glaube ich das was du suchst.
Bitte warten ..
Mitglied: Balivorinsky
04.03.2021 um 16:59 Uhr
würde ich mir mal anschauen.
Bitte warten ..
Mitglied: commodity
04.03.2021 um 18:56 Uhr
Zitat von @Balivorinsky:

würde ich mir mal anschauen.

Nachdem Du ihn erst angemault hast, wäre ein Danke vielleicht angemessen.

Zitat von @aqui:

Bei der externen Lösung ist das recht einfach indem man nur SSH mit einem Ephemeral Port zulässt ...

Verstehe ich das richtig? Nur mit einem spezifisch vorgegebenen Ephemeral Port (Client) auf Port 22 (Server)? Wie geht das praktisch (Putty, sshd_config)?
Bitte warten ..
Mitglied: Epigenese
04.03.2021, aktualisiert um 19:36 Uhr
Hallo commodity,

du kannst auf dem Ubuntu Server unter /etc/ssh/sshd_config den Port von ssh auf z.B. den Wert 33344 legen, wie du ja selbst schon geschrieben hast.
Ich denke nichts anderes ist damit gemeint.

Mit dem Ephemeral Port hört sich das nur technischer an und weißt darauf hin dass man keinen Port nimmt, der schon mit einem Protokoll belegt ist.

https://netzikon.net/lexikon/e/ephemeral-ports.html
https://www.ncftp.com/ncftpd/doc/misc/ephemeral_ports.html

Grüße
Epi
Bitte warten ..
Mitglied: commodity
04.03.2021 um 20:15 Uhr
Oh Danke :-) face-smile, das kannte ich natürlich. Ich dachte, vielleicht hat @aqui da mal wieder einen "Zaubertrick" parat. Zumal ich den Terminus "Ephemeral" nur auf Sourceports bezogen kenne. Definierter Sourceport auf SSH klang für mich auf den ersten Blick irgendwie sicher. Ist es aber dann doch gar nicht. Ebenso wenig wie ein verlegter Destinationport. @aqui meinte das dann wohl in Bezug auf das sonstige Rauschen auf Port 22.

@TO: Ich nehme, wie von @aqui beschrieben, standardmäßig Zertifikat und fail2ban auf SSH, sowohl Lokal als auch beim Hosting. Lokal läuft NC in der DMZ der pfsense. Fail2ban für Port 443 habe ich nichte eingerichtet. Meine NC-Accounts sind U2F-gesichert.

Hier gibt's jede Menge Infos, sogar zum Fail2ban für NC.
Bitte warten ..
Mitglied: altmetaller
04.03.2021 um 23:52 Uhr
Hallo,

failt2ban

Gruß,
Jörg
Bitte warten ..
Heiß diskutierte Inhalte
Netzwerke
Was passiert wenn ich zeitgleich PoE und Strom vom Netzteil an einen Access Point (Mikrotik) lege?
kartoffelesserVor 1 TagFrageNetzwerke3 Kommentare

Hallo Experten und Admins Ich habe einen Mikrotik wAP ac (RB-WAPG-5HACD2HND) an einem Laptopwagen im Einsatz. Leider ist die vorhandene Stromversorgung für den AP ...

Netzwerkprotokolle
Proxy Zugang von Extern
gelöst Jannik2018Vor 1 TagFrageNetzwerkprotokolle16 Kommentare

Hallo zusammen, ich habe mir einen Squid Proxy auf einer Linux VM aufgesetzt und möchte das man aus allen netzen drauf zugreifen kann allerdings ...

Windows Server
Veeam Endpoint Backup FREE zur Sicherung eines DCs
gelöst takvorianVor 1 TagFrageWindows Server7 Kommentare

Hallo zusammen, ich habe hier bei mir 1 Hypervisor mit 4 VMs (darunter 1 DC) welche ich mittels backupAssist alle wegsichere. Klappt soweit auch ...

Windows Server
Windows 10 VM auf Server 2019 Essentials
jhuedderVor 1 TagFrageWindows Server8 Kommentare

Hallo, einer meiner Kunden möchte aus Kostengründen einen Windows Server 2019 (direkt auf einer physikalischen Maschine installiert) erwerben und dort für einen Außendienstler mit ...

Windows Server
Infrastruktur für Firma
brainwashVor 7 StundenFrageWindows Server6 Kommentare

Hallo zusammen, kurze Erklärung zu meinem Problem Wir sind eine kleine Firma mit zwei Standorten im Bereich Brandschutz. Zur Zeit nutzen wir für unsere ...

LAN, WAN, Wireless
WLan-unterstütztes Telefonieren iOS, Unifi
VisuciusVor 1 TagFrageLAN, WAN, Wireless8 Kommentare

Hallo. Ich bins (wieder) ;-) Guten Morgen, ich beobachte seit einer Umstellung ein "komisches Verhalten" und kann mir das gerade nicht erklären. Und vielleicht ...

Server-Hardware
Verkaufe RX300 S7 Server von Fuijutsu
HolzBrettVor 8 StundenAllgemeinServer-Hardware9 Kommentare

Hi, Ich wohne in Aachen und habe die Server von der Firma umsonst erhalten. Ich habe sie bereits überprüft (es geht alles). Ich möchte ...

LAN, WAN, Wireless
Heimnetzwerk mit VLAN - getrennter Internetzugang
gelöst anyibkVor 1 TagFrageLAN, WAN, Wireless5 Kommentare

Hallo liebe Community! Ich bastle seit einiger Zeit an einem recht besonderen Heimnetzwerkproblem. Wir haben einen neuen Glasfaseranschluss ins Haus (3 Parteien) bekommen und ...