Nextcloud absichern
Hallo,
ich möchte eine Nextcloud bestmöglich vor Angriffen absichern. Dazu gibt es 2 Varianten:
A. Lokal auf Ubuntu
B. Nextclod auf einem Hoster
1.
Zu A:
Lokal habe ich eine pfsense die mit einem Router verbunden ist. Klassisch wäre ja, wie bereits in anderen Beiträgen
schon erwähnt [ LINK], der Aufbau in einer "DMZ" zwischen Internet.Router und Pfsense mölgich. Allerdings habe ich dann
nicht den Schutz die meine Pfsense anbietet, wie IDS und IPS, sowohl von außen, als auch von innen. Sobald andere auch die Nextcloud
nutzen, weiß man ja nie genau was die da treiben.
Wäre es da Sinnvoll und auch besser den Internetrouter durch eine weitere Pfsense zu ersetzen, auch wenn man die Nextcloud in eine
DMZ setzt und somit auch von außen erreichbar ist. mit dem Vorteil das IDS und IPS auf dem WAN Port der Pfsense horcht?
2.
Zu B.
Ich wollte evtl. bei Strato eine Nextcloud einrichten. Wie kann ich diese dann bestmöglich absichern. Ich dachte an eine Webapplikation
Firewall vor der Nextcloud, ist das möglich bei Strato bzw. woanders. Oder wäre der Einsatz einer Pfsense da auch irgendwie möglich?
3.
Sicherlich gibt es auch schon Anleitungen für die Absicherung von Nextcloud im allgemeinen, welche man auf jeden
Fall machen sollte. Kennt jemand eine Anleitung, Tutorials bw. Tipps dazu?
vielen Dank
ich möchte eine Nextcloud bestmöglich vor Angriffen absichern. Dazu gibt es 2 Varianten:
A. Lokal auf Ubuntu
B. Nextclod auf einem Hoster
1.
Zu A:
Lokal habe ich eine pfsense die mit einem Router verbunden ist. Klassisch wäre ja, wie bereits in anderen Beiträgen
schon erwähnt [ LINK], der Aufbau in einer "DMZ" zwischen Internet.Router und Pfsense mölgich. Allerdings habe ich dann
nicht den Schutz die meine Pfsense anbietet, wie IDS und IPS, sowohl von außen, als auch von innen. Sobald andere auch die Nextcloud
nutzen, weiß man ja nie genau was die da treiben.
Wäre es da Sinnvoll und auch besser den Internetrouter durch eine weitere Pfsense zu ersetzen, auch wenn man die Nextcloud in eine
DMZ setzt und somit auch von außen erreichbar ist. mit dem Vorteil das IDS und IPS auf dem WAN Port der Pfsense horcht?
2.
Zu B.
Ich wollte evtl. bei Strato eine Nextcloud einrichten. Wie kann ich diese dann bestmöglich absichern. Ich dachte an eine Webapplikation
Firewall vor der Nextcloud, ist das möglich bei Strato bzw. woanders. Oder wäre der Einsatz einer Pfsense da auch irgendwie möglich?
3.
Sicherlich gibt es auch schon Anleitungen für die Absicherung von Nextcloud im allgemeinen, welche man auf jeden
Fall machen sollte. Kennt jemand eine Anleitung, Tutorials bw. Tipps dazu?
vielen Dank
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 658818
Url: https://administrator.de/contentid/658818
Ausgedruckt am: 26.11.2024 um 07:11 Uhr
9 Kommentare
Neuester Kommentar
Hallo Balivorinsky,
C. Rieger hat gute Anleitungen mit Hinweisen zu Optimierungen und Absicherungen.
https://www.c-rieger.de/
Den kann man auch als Dienstleister anfragen.
Grüße
Epi
C. Rieger hat gute Anleitungen mit Hinweisen zu Optimierungen und Absicherungen.
https://www.c-rieger.de/
Den kann man auch als Dienstleister anfragen.
Grüße
Epi
Der "[Link] ist leer.
Was etwas unverständlich ist, ist die Tatsache das wenn du von der lokalen Installation und DMZ redest die DMZ doch an der pfSense hängt. Damit hast du dann doch alle IDS und IPS Funktionen. Wieso argumentierst du denn das der Schutz dann weg ist. Das widerspricht sich irgendwie ?
Bei der externen Lösung ist das recht einfach indem man nur SSH mit einem Ephemeral Port zulässt und Zertifikat. Zusätzlich noch FailToBan installieren, das reicht in der Regel im 98% wegzufiltern. Kann auch bei der lokalen Variante nicht schaden !
https://www.thomas-krenn.com/de/wiki/SSH_Login_unter_Debian_mit_fail2ban ...
https://www.thomas-krenn.com/de/wiki/Absicherung_eines_Debian_Servers
https://www.thomas-krenn.com/de/wikiDE/images/b/b7/Linux-server-absicher ...
https://www.heise.de/ct/artikel/SSH-absichern-221597.html?seite=all
Was etwas unverständlich ist, ist die Tatsache das wenn du von der lokalen Installation und DMZ redest die DMZ doch an der pfSense hängt. Damit hast du dann doch alle IDS und IPS Funktionen. Wieso argumentierst du denn das der Schutz dann weg ist. Das widerspricht sich irgendwie ?
Bei der externen Lösung ist das recht einfach indem man nur SSH mit einem Ephemeral Port zulässt und Zertifikat. Zusätzlich noch FailToBan installieren, das reicht in der Regel im 98% wegzufiltern. Kann auch bei der lokalen Variante nicht schaden !
https://www.thomas-krenn.com/de/wiki/SSH_Login_unter_Debian_mit_fail2ban ...
https://www.thomas-krenn.com/de/wiki/Absicherung_eines_Debian_Servers
https://www.thomas-krenn.com/de/wikiDE/images/b/b7/Linux-server-absicher ...
https://www.heise.de/ct/artikel/SSH-absichern-221597.html?seite=all
Hallo Balivorinsky,
soll keine Werbung sein.
War lediglich ein Hinweis, was noch möglich ist.
Eine deiner Fragen war:
3.
Sicherlich gibt es auch schon Anleitungen für die Absicherung von Nextcloud im allgemeinen, welche man auf jeden
Fall machen sollte. Kennt jemand eine Anleitung, Tutorials bw. Tipps dazu?
Ich habe mit seinen Anleitungen schon einige Installationen gemacht.
Zuletzt mit seinem Script für Ubuntu.
https://www.c-rieger.de/nextcloud-installation-mit-nur-einem-skript/
Da ist UFW schon mit drin. Meine sogar auch fail2ban. Da müsste ich aber nochmal nachschauen.
Kannst dir das Script runterladen und anschauen.
Wenn du mit dem Script die Installation machst und dann in der Nextcloud unter "Einstellungen" -> "Übersicht" nachschaust, dann ist das fehlerfrei und mit ssl self signed certificate, so dass man es ohne Probleme hinter ein Reverse Proxy setzen kann.
Man kann aber auch direkt mit Letsencrypt und Zugang zum Internet ein Zertifikat und SSL Gedöns machen.
Er hat zu Nextcloud eine Menge Infos und Beschreibungen eben zu deinen Fragen bezüglich Sicherheit.
Grüße
Epi
Edit: Habe gerade nachgeschaut. Der installiert mit dem Script auch fail2ban mit einem Nextcloud Filter.
Hier der Auszug aus seinem Script:
Einfach das Script mit Notepad++ öffnen und mal drüberschauen.
Trifft glaube ich das was du suchst.
soll keine Werbung sein.
War lediglich ein Hinweis, was noch möglich ist.
Eine deiner Fragen war:
3.
Sicherlich gibt es auch schon Anleitungen für die Absicherung von Nextcloud im allgemeinen, welche man auf jeden
Fall machen sollte. Kennt jemand eine Anleitung, Tutorials bw. Tipps dazu?
Ich habe mit seinen Anleitungen schon einige Installationen gemacht.
Zuletzt mit seinem Script für Ubuntu.
https://www.c-rieger.de/nextcloud-installation-mit-nur-einem-skript/
Da ist UFW schon mit drin. Meine sogar auch fail2ban. Da müsste ich aber nochmal nachschauen.
Kannst dir das Script runterladen und anschauen.
Wenn du mit dem Script die Installation machst und dann in der Nextcloud unter "Einstellungen" -> "Übersicht" nachschaust, dann ist das fehlerfrei und mit ssl self signed certificate, so dass man es ohne Probleme hinter ein Reverse Proxy setzen kann.
Man kann aber auch direkt mit Letsencrypt und Zugang zum Internet ein Zertifikat und SSL Gedöns machen.
Er hat zu Nextcloud eine Menge Infos und Beschreibungen eben zu deinen Fragen bezüglich Sicherheit.
Grüße
Epi
Edit: Habe gerade nachgeschaut. Der installiert mit dem Script auch fail2ban mit einem Nextcloud Filter.
Hier der Auszug aus seinem Script:
###install fail2ban
apt install fail2ban -y
###create a fail2ban Nextcloud filter
touch /etc/fail2ban/filter.d/nextcloud.conf
cat <<EOF >/etc/fail2ban/filter.d/nextcloud.conf
Einfach das Script mit Notepad++ öffnen und mal drüberschauen.
Trifft glaube ich das was du suchst.
Nachdem Du ihn erst angemault hast, wäre ein Danke vielleicht angemessen.
Zitat von @aqui:
Bei der externen Lösung ist das recht einfach indem man nur SSH mit einem Ephemeral Port zulässt ...
Bei der externen Lösung ist das recht einfach indem man nur SSH mit einem Ephemeral Port zulässt ...
Verstehe ich das richtig? Nur mit einem spezifisch vorgegebenen Ephemeral Port (Client) auf Port 22 (Server)? Wie geht das praktisch (Putty, sshd_config)?
Hallo commodity,
du kannst auf dem Ubuntu Server unter /etc/ssh/sshd_config den Port von ssh auf z.B. den Wert 33344 legen, wie du ja selbst schon geschrieben hast.
Ich denke nichts anderes ist damit gemeint.
Mit dem Ephemeral Port hört sich das nur technischer an und weißt darauf hin dass man keinen Port nimmt, der schon mit einem Protokoll belegt ist.
https://netzikon.net/lexikon/e/ephemeral-ports.html
https://www.ncftp.com/ncftpd/doc/misc/ephemeral_ports.html
Grüße
Epi
du kannst auf dem Ubuntu Server unter /etc/ssh/sshd_config den Port von ssh auf z.B. den Wert 33344 legen, wie du ja selbst schon geschrieben hast.
Ich denke nichts anderes ist damit gemeint.
Mit dem Ephemeral Port hört sich das nur technischer an und weißt darauf hin dass man keinen Port nimmt, der schon mit einem Protokoll belegt ist.
https://netzikon.net/lexikon/e/ephemeral-ports.html
https://www.ncftp.com/ncftpd/doc/misc/ephemeral_ports.html
Grüße
Epi
Oh Danke , das kannte ich natürlich. Ich dachte, vielleicht hat @aqui da mal wieder einen "Zaubertrick" parat. Zumal ich den Terminus "Ephemeral" nur auf Sourceports bezogen kenne. Definierter Sourceport auf SSH klang für mich auf den ersten Blick irgendwie sicher. Ist es aber dann doch gar nicht. Ebenso wenig wie ein verlegter Destinationport. @aqui meinte das dann wohl in Bezug auf das sonstige Rauschen auf Port 22.
@to: Ich nehme, wie von @aqui beschrieben, standardmäßig Zertifikat und fail2ban auf SSH, sowohl Lokal als auch beim Hosting. Lokal läuft NC in der DMZ der pfsense. Fail2ban für Port 443 habe ich nichte eingerichtet. Meine NC-Accounts sind U2F-gesichert.
Hier gibt's jede Menge Infos, sogar zum Fail2ban für NC.
@to: Ich nehme, wie von @aqui beschrieben, standardmäßig Zertifikat und fail2ban auf SSH, sowohl Lokal als auch beim Hosting. Lokal läuft NC in der DMZ der pfsense. Fail2ban für Port 443 habe ich nichte eingerichtet. Meine NC-Accounts sind U2F-gesichert.
Hier gibt's jede Menge Infos, sogar zum Fail2ban für NC.
Hallo,
failt2ban
Gruß,
Jörg
failt2ban
Gruß,
Jörg