balivorinsky
Goto Top

Nextcloud absichern

Hallo,

ich möchte eine Nextcloud bestmöglich vor Angriffen absichern. Dazu gibt es 2 Varianten:

A. Lokal auf Ubuntu
B. Nextclod auf einem Hoster

1.
Zu A:
Lokal habe ich eine pfsense die mit einem Router verbunden ist. Klassisch wäre ja, wie bereits in anderen Beiträgen
schon erwähnt [ LINK], der Aufbau in einer "DMZ" zwischen Internet.Router und Pfsense mölgich. Allerdings habe ich dann
nicht den Schutz die meine Pfsense anbietet, wie IDS und IPS, sowohl von außen, als auch von innen. Sobald andere auch die Nextcloud
nutzen, weiß man ja nie genau was die da treiben.
Wäre es da Sinnvoll und auch besser den Internetrouter durch eine weitere Pfsense zu ersetzen, auch wenn man die Nextcloud in eine
DMZ setzt und somit auch von außen erreichbar ist. mit dem Vorteil das IDS und IPS auf dem WAN Port der Pfsense horcht?

2.
Zu B.
Ich wollte evtl. bei Strato eine Nextcloud einrichten. Wie kann ich diese dann bestmöglich absichern. Ich dachte an eine Webapplikation
Firewall vor der Nextcloud, ist das möglich bei Strato bzw. woanders. Oder wäre der Einsatz einer Pfsense da auch irgendwie möglich?

3.
Sicherlich gibt es auch schon Anleitungen für die Absicherung von Nextcloud im allgemeinen, welche man auf jeden
Fall machen sollte. Kennt jemand eine Anleitung, Tutorials bw. Tipps dazu?


vielen Dank

Content-ID: 658818

Url: https://administrator.de/contentid/658818

Ausgedruckt am: 05.11.2024 um 06:11 Uhr

Epigenese
Epigenese 04.03.2021 aktualisiert um 12:54:05 Uhr
Goto Top
Hallo Balivorinsky,

C. Rieger hat gute Anleitungen mit Hinweisen zu Optimierungen und Absicherungen.
https://www.c-rieger.de/

Den kann man auch als Dienstleister anfragen.

Grüße
Epi
Balivorinsky
Balivorinsky 04.03.2021 um 13:17:28 Uhr
Goto Top
Zitat von @Epigenese:

C. Rieger hat gute Anleitungen mit Hinweisen zu Optimierungen und Absicherungen.
https://www.c-rieger.de/

Den kann man auch als Dienstleister anfragen.

Ja ich verstehe das du Marketing für ihn machst, habe persönlich auch nichts dagegen, nur würde ich mich auf eine konkrete Antwort freuen.
aqui
aqui 04.03.2021 aktualisiert um 14:31:53 Uhr
Goto Top
Der "[Link] ist leer. face-sad
Was etwas unverständlich ist, ist die Tatsache das wenn du von der lokalen Installation und DMZ redest die DMZ doch an der pfSense hängt. Damit hast du dann doch alle IDS und IPS Funktionen. Wieso argumentierst du denn das der Schutz dann weg ist. Das widerspricht sich irgendwie ?

Bei der externen Lösung ist das recht einfach indem man nur SSH mit einem Ephemeral Port zulässt und Zertifikat. Zusätzlich noch FailToBan installieren, das reicht in der Regel im 98% wegzufiltern. Kann auch bei der lokalen Variante nicht schaden !
https://www.thomas-krenn.com/de/wiki/SSH_Login_unter_Debian_mit_fail2ban ...
https://www.thomas-krenn.com/de/wiki/Absicherung_eines_Debian_Servers
https://www.thomas-krenn.com/de/wikiDE/images/b/b7/Linux-server-absicher ...
https://www.heise.de/ct/artikel/SSH-absichern-221597.html?seite=all
Epigenese
Epigenese 04.03.2021 aktualisiert um 16:56:17 Uhr
Goto Top
Hallo Balivorinsky,

soll keine Werbung sein.
War lediglich ein Hinweis, was noch möglich ist.

Eine deiner Fragen war:

3.
Sicherlich gibt es auch schon Anleitungen für die Absicherung von Nextcloud im allgemeinen, welche man auf jeden
Fall machen sollte. Kennt jemand eine Anleitung, Tutorials bw. Tipps dazu?


Ich habe mit seinen Anleitungen schon einige Installationen gemacht.
Zuletzt mit seinem Script für Ubuntu.
https://www.c-rieger.de/nextcloud-installation-mit-nur-einem-skript/

Da ist UFW schon mit drin. Meine sogar auch fail2ban. Da müsste ich aber nochmal nachschauen.
Kannst dir das Script runterladen und anschauen.

Wenn du mit dem Script die Installation machst und dann in der Nextcloud unter "Einstellungen" -> "Übersicht" nachschaust, dann ist das fehlerfrei und mit ssl self signed certificate, so dass man es ohne Probleme hinter ein Reverse Proxy setzen kann.
Man kann aber auch direkt mit Letsencrypt und Zugang zum Internet ein Zertifikat und SSL Gedöns machen.
Er hat zu Nextcloud eine Menge Infos und Beschreibungen eben zu deinen Fragen bezüglich Sicherheit.

Grüße
Epi

Edit: Habe gerade nachgeschaut. Der installiert mit dem Script auch fail2ban mit einem Nextcloud Filter.
Hier der Auszug aus seinem Script:
###install fail2ban
apt install fail2ban -y
###create a fail2ban Nextcloud filter
touch /etc/fail2ban/filter.d/nextcloud.conf
cat <<EOF >/etc/fail2ban/filter.d/nextcloud.conf

Einfach das Script mit Notepad++ öffnen und mal drüberschauen.
Trifft glaube ich das was du suchst.
Balivorinsky
Balivorinsky 04.03.2021 um 16:59:02 Uhr
Goto Top
würde ich mir mal anschauen.
commodity
commodity 04.03.2021 um 18:56:29 Uhr
Goto Top
Zitat von @Balivorinsky:

würde ich mir mal anschauen.

Nachdem Du ihn erst angemault hast, wäre ein Danke vielleicht angemessen.

Zitat von @aqui:

Bei der externen Lösung ist das recht einfach indem man nur SSH mit einem Ephemeral Port zulässt ...

Verstehe ich das richtig? Nur mit einem spezifisch vorgegebenen Ephemeral Port (Client) auf Port 22 (Server)? Wie geht das praktisch (Putty, sshd_config)?
Epigenese
Epigenese 04.03.2021 aktualisiert um 19:36:39 Uhr
Goto Top
Hallo commodity,

du kannst auf dem Ubuntu Server unter /etc/ssh/sshd_config den Port von ssh auf z.B. den Wert 33344 legen, wie du ja selbst schon geschrieben hast.
Ich denke nichts anderes ist damit gemeint.

Mit dem Ephemeral Port hört sich das nur technischer an und weißt darauf hin dass man keinen Port nimmt, der schon mit einem Protokoll belegt ist.

https://netzikon.net/lexikon/e/ephemeral-ports.html
https://www.ncftp.com/ncftpd/doc/misc/ephemeral_ports.html

Grüße
Epi
commodity
commodity 04.03.2021 um 20:15:30 Uhr
Goto Top
Oh Danke face-smile, das kannte ich natürlich. Ich dachte, vielleicht hat @aqui da mal wieder einen "Zaubertrick" parat. Zumal ich den Terminus "Ephemeral" nur auf Sourceports bezogen kenne. Definierter Sourceport auf SSH klang für mich auf den ersten Blick irgendwie sicher. Ist es aber dann doch gar nicht. Ebenso wenig wie ein verlegter Destinationport. @aqui meinte das dann wohl in Bezug auf das sonstige Rauschen auf Port 22.

@to: Ich nehme, wie von @aqui beschrieben, standardmäßig Zertifikat und fail2ban auf SSH, sowohl Lokal als auch beim Hosting. Lokal läuft NC in der DMZ der pfsense. Fail2ban für Port 443 habe ich nichte eingerichtet. Meine NC-Accounts sind U2F-gesichert.

Hier gibt's jede Menge Infos, sogar zum Fail2ban für NC.
117471
117471 04.03.2021 um 23:52:42 Uhr
Goto Top
Hallo,

failt2ban

Gruß,
Jörg