Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VServer (Linux): Absichern, verschlüsseln usw

Mitglied: mrserious73

mrserious73 (Level 1) - Jetzt verbinden

24.05.2019, aktualisiert 23:50 Uhr, 1657 Aufrufe, 11 Kommentare

Hallo zusammen,

ich möchte einen Linux-Vserver mieten und diesen absichern. Darunter verstehe ich in diesem Falle hauptsächlich: Dafür sorgen, dass (nach Möglichkeit) nur ich Zugriff auf meine Daten habe.
Ich bin erfahren mit Linux, es geht also zB nicht darum, wie ich openvpn härte, sondern eher um ein paar allgemeine Sachen.

Laufen soll nextcloud. In der werden keine wahnsinnig wichtigen Daten liegen, aber es soll dennoch eine sichere Installation werden.
Mein Plan ist zunächst, dass nach außen keinerlei Dienste verfügbar sein werden außer ein openvpn-Server. Alles weitere soll dann darüber laufen, inkl. SSH.
Ein iptables-Skript wird dafür sorgen, dass nach außen wirklich nur dieser eine Port offen ist.

Ich möchte einen Datei-Container anlegen, den ich mit luks verschlüssle, in diesen kommt dann alles, was mit der nextcloud-installation zu tun hat. Also nicht nur die eigentlichen Daten, sondern z.B. auch das MariaDB-Verzeichnis, die Nextcloud-Installation selbst usw.

Meine Frage: Was schlagt ihr noch vor? Mir geht's vor allem darum, wie sicher ich auch ggü. dem Hoster des Servers bin, dieser könnte doch vmtl. den RAM auslesen und so meinen luks-Key erhalten?
Mitglied: Sheogorath
24.05.2019 um 17:06 Uhr
Moin,

generell bin ich inzwischen dazu übergegangen auch v-server mit einem ganz üblichen LUKS setup aufzusetzen und entsprechend komplett von boot an zu verschlüsseln, man muss sich allerdings bewusst sein, wogegen das hilft und wogegen nicht:

Hilft nicht gegen:
- Bösen Hoster der deine Daten klauen will, denn der kann deine LUKS keys aus dem RAM auslesen, wie du bereits bemerkt hast
- Angreifer auf der gleichen Maschine, denn die können, wenn sie es denn schaffen den Hypervisor zu übernehmen, das gleiche, was der Hoster auch kann

Wogegen es hilft:
- Angreifer die Zugriff auf das Daten Backend des Hosters bekommen (z.B. auf ein SAN welches von einem anderen VM host aus, hier kommt es aber auch auf die Virtualisierungslösung an)
- Hoster, die nach deiner Kündigung und shutdown/löschung des Servers noch irgendwo ein Backup deiner Platte rumfliegen haben
- Angreifer die Nach deiner Kündigung versuchen irgendwelche Daten abzugreifen
- Langeweile. Ein LUKS unlock bei jedem neustart kann halt schon etwas unentspannt sein.

Wenn du wirklich auf nummer sicher gehen willst, sprich auch gegenüber deinem Hoster absicher, dann solltest du das end-to-end feature von Nextcloud benutzen, oder auf einen dedizierten Server wechseln. Der könnte da musst du dem Hoster nur noch vertrauen, dass er sich nicht viel mühe gibt um die Hardware zu manipulieren, du sperrst also schon mal eine Menge Angreifer aus.

Gruß
Chris
Bitte warten ..
Mitglied: 139905
24.05.2019 um 17:08 Uhr
Hallo,

Ich möchte einen Datei-Container anlegen, den ich mit luks verschlüssle, in diesen kommt dann alles, was mit der nextcloud-installation zu tun hat. Also nicht nur die eigentlichen Daten, sondern z.B. auch das MariaDB-Verzeichnis, die Nextcloud-Installation selbst usw.

Warum die komplette Installation verschlüsseln? Die Daten reichen doch? Dazu bietet übrigens Nextcloud auch eine Option an:
https://docs.nextcloud.com/server/stable/benutzerhandbuch/files/encrypti ...

Außerdem müssen die Systemdaten von MariaDB und Nextcloud ohnehin im laufenden Betrieb unverschlüsselt sein, damit die Dienste arbeiten können. Und normalerweise sollte ein Provider seine Server in einem geschützen RZ betreiben, sodass EInbrecher, Diebe nicht mal in die Nähe der Kisten kommen können.

Viele Grüße
Bitte warten ..
Mitglied: mrserious73
24.05.2019 um 17:16 Uhr
Hey Leute,

glaube, mein Hoster unterstützt garkeine Vollverschlüsselung?
Sonst hätte ich das gemacht, das wäre in dem Fall auch leichter als der Weg über den Container.
Kann glaube ich nur per Klick die VM automatisch neu aufsetzen lassen, kann aber nicht quasi selbst den Installer "durchklicken".

Die End-to-End-Verschlüsselung der Nextcloud hatte ich auch schonmal in Betracht gezogen, aber dann kann ich die darin befindlichen Daten nicht mehr so ohne weiteres sichern, oder?
Bisher rsynce ich die nämlich periodisch in mein Datengrab.

Um genau solche Fälle wie die beschriebenen geht es mir: Die SAN-Platte wird irgendwann mal weggeworfen/verkauft und meine Daten sind noch drauf etc...

Nen root-Server wär sicherer, mir aber zu teuer, dafür ist der Anwendungszweck nicht wichtig genug.
Bitte warten ..
Mitglied: 139905
24.05.2019, aktualisiert um 17:23 Uhr
glaube, mein Hoster unterstützt garkeine Vollverschlüsselung?
Sonst hätte ich das gemacht, das wäre in dem Fall auch leichter als der Weg über den Container.

Können wir nicht sagen. Wir kennen ja dein Hoster nicht.
Kannst du von einem Rescue System booten? Dann könntest du notfalls darüber die Platte verschlüsseln.

Die SAN-Platte wird irgendwann mal weggeworfen/verkauft und meine Daten sind noch drauf etc...

Dann hast du dir ganz sicher einen falschen Provider rausgesucht.
Bitte warten ..
Mitglied: mrserious73
24.05.2019 um 17:27 Uhr
Hast du in der Theorie recht
Aber wir wissen doch, wie in der Praxis manchmal von Provider-Seite aus gearbeitet wird :-P
Da gehe ich lieber auf Nummer sicher...
Bitte warten ..
Mitglied: aqui
24.05.2019 um 17:29 Uhr
Warum hostest du denn nicht selber wenn dir diese Dinge so wichtig sind. Mit einem einigermaßen potenten Allerwelts xDSL Anschluss und wenn nur du den Nextcloud mit moderatem Datentraffic nutzt mit Familie und nicht die halbe Welt ist das doch durchaus eine Option.
Bitte warten ..
Mitglied: mrserious73
24.05.2019 um 17:50 Uhr
Jau, aber bitte keine "warum nicht SO"-Diskussion
Es gibt immer andere Wege, die zT besser erscheinen usw.
Das führt dann aber von meiner Fragestellung weg

E2E-Encryption scheint ja in Nextcloud noch nicht wirklich zu klappen?
Lese nicht viel gutes und ein erster Test hat mich auch nicht überzeugt.
Außerdem bleibt das Backup-Problem.
Bitte warten ..
Mitglied: it-fraggle
25.05.2019 um 07:05 Uhr
Zitat von mrserious73:
Jau, aber bitte keine "warum nicht SO"-Diskussion
Ist das auf aquis Post bezogen? Mag sein, dass dir das nicht gefällt, aber das ist eine berechtigte Frage, die sich automatisch ergibt. Wenn du die Professionalität der Hoster in Frage stellst, dann bleibt nur noch übrigt das Ganze unter eigene direkte Kontrolle zu stellen. Andere Möglichkeiten sehe ich nicht.
Bitte warten ..
Mitglied: mrserious73
25.05.2019 um 07:52 Uhr
Guten Morgen!

Nein, natürlich ist die Frage berechtigt
Generell wäre selber hosten die beste Option.
Das Problem ist aber: Mein Uplink ist dafür nicht ausreichend, außerdem rechnet es sich - für mich und meinen Einsatzzweck - nicht.
Für das, was ich in Hardware investieren müsste, kann ich einen Vserver mehrere Jahre buchen. Ganz zu schweigen von Stromkosten usw.

Ich möchte auch keinem Hoster irgendetwas unterstellen! Sondern das Ganze als theoretische Diskussion führen. Nach dem Prinzip "wie könnt' ma's denn am beste mache?"
Bitte warten ..
Mitglied: NetzwerkDude
25.05.2019 um 13:40 Uhr
Ich persönlich habe mich noch nicht damit beschäftigt, daher kann ich die Softwareunterstützung nicht einschätzen, aber SME könnte dich weiterbringen:
https://en.wikichip.org/wiki/x86/sme

gerne auch um einen Erfahrungsbericht wenn du damit was bastelst
Bitte warten ..
Mitglied: Sheogorath
25.05.2019 um 20:31 Uhr
Moin,

also viele hoster supporten keine Vollverschlüsselung beim initialen Setup, erlauben aber das booten von ISOs. Das ist dann der Weg den man geht. Funktioniert natürlich auch nur, wenn es sich um einen Hoster mit Vollvirtualisierung handelt (werden zum Glück immer mehr).

Manchmal ist diese Funktionalität übrigens auch versteckt, Hetzner Cloud z.B. hat das hinter iirc 3 Menüs versteckt und auch erst nach dem initialen aufsetzen.

Alles in allem also: Es ist nicht wichtig ob der Hoster das Vollverschlüsselung/FDE unterstützt, sondern ob er dir erlaubt ISOs zu booten, den rest kriegst du dann sicher selbst hin.

Wenn du dein LUKS dann aufgesetzt hast und genervt genug bist, dass du bei jedem reboot in die VNC Konsole musst, kannst du dir auch noch mal meine Ansible rolle für SSH in die pre-boot-Umgebung anschauen um das FDE Passwort einzugeben: https://git.shivering-isles.com/shivering-isles/infrastructure/tree/mast ... (ist für CentOS gebaut)

Gruß
Chris
Bitte warten ..
Ähnliche Inhalte
Samba
Linux Server und Windows Linux Client
gelöst Frage von 137898Samba17 Kommentare

Hallo, ich bräuchte dringend bei der Aufgabe etwas Hilfe. Die Firma XYZ besteht auf zwei Abteilungen Logistik und Technik ...

Debian
Linux Tablet
gelöst Frage von djevil-adDebian12 Kommentare

Hi, ich möchte mir gerne ein günstiges, gebrauchtes Tablet (50€) in der Bucht schiessen, auf dem ich ein BELIEBIGES ...

Schulung & Training
Linux - Zertifizierung
Frage von SeeyaaSchulung & Training1 Kommentar

Hallo. Ist LPI ist noch die am meisten anerkannte Linux Zertifizierung in Deutschland? Oder gibt es Alternativen? Wichtig für ...

Linux
Infoscreen Linux
Frage von Jannik2018Linux5 Kommentare

Hallo zusammen, ich bin derzeit auf der Suche nach einem möglichst kostenlosen tool für linux Debian/Ubuntu welches mir die ...

Neue Wissensbeiträge
Off Topic
Wann gibt es mehr Bits als Atome?
Information von AnkhMorpork vor 22 StundenOff Topic11 Kommentare

Boys 'n' girls, Freitagslektüre: Wenn Computertechnologie und Digitalisierung sich so weiterentwickeln, könnte die Zahl der digitalen Bits in 150 ...

Sicherheits-Tools

TrendMicro Worry-Free Business Security (WFBS) 10.0 SP1 - Critical Patch veröffentlicht!

Information von VGem-e vor 1 TagSicherheits-Tools3 Kommentare

Servus, siehe hier. Download-Link hier swfbs/10.0WFBS_100_SP1_All_MSA_11.7_HFB1073.exe Nähere Infos habe ich online noch nicht gefunden. Gruß VGem-e

Humor (lol)

Wie verhindere ich, dass Websitebesucher die Werbecookies abschalten?

Information von DerWoWusste vor 2 TagenHumor (lol)9 Kommentare

Ich habe gerade auf die Antwort gefunden: ich täusche einen langwierigen Änderungsprozess vor und biete nebenbei einen Cancelbutton, den ...

Sicherheit

Windows Setup erlaubt elevation of privilege plus DC Updates

Information von DerWoWusste vor 3 TagenSicherheit4 Kommentare

Eine interessante neue Sicherheitslücke. Details gibt es wenig, edit: doch, jetzt hab ich was: aber die klare Empfehlung: ...

Heiß diskutierte Inhalte
Windows Server
Administratorrechte im Dateisystem - Windows Server 2019 - DC
Frage von Indy06Windows Server19 Kommentare

Hallo, alle zusammen! Es kommt ja nun doch mal vor, dass man als Administrator auf einem Windows Server 2019, ...

Windows Server
MSI Installation als User auf TS funktioniert nicht
Frage von support-itWindows Server17 Kommentare

Guten Tag zusammen, ich habe eine Frage bezüglich der Installation von einer MSI-Datei auf einem Server 2016 Datacenter Terminalserver. ...

Windows Server
Windows Server 2019 Essentials
gelöst Frage von BosnigelWindows Server12 Kommentare

Moin! Für ein kleines Unternehmen wird komplett neue Hardware benötigt. Bis jetzt läuft es so: Drei Rechner, einer dient ...

Off Topic
Wann gibt es mehr Bits als Atome?
Information von AnkhMorporkOff Topic11 Kommentare

Boys 'n' girls, Freitagslektüre: Wenn Computertechnologie und Digitalisierung sich so weiterentwickeln, könnte die Zahl der digitalen Bits in 150 ...

Administrator Magazin
08 | 2020 Cloud-First-Strategien sind inzwischen die Regel und nicht mehr die Ausnahme und Workloads verlagern sich damit in die Cloud – auch Datenbanken. Dort geht es aber nicht nur um die Frage, wie die Datenbestände in die Wolke zu migrieren sind, sondern auch darum, welche Datenbank ...