Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VServer (Linux): Absichern, verschlüsseln usw

Mitglied: mrserious73

mrserious73 (Level 1) - Jetzt verbinden

24.05.2019, aktualisiert 23:50 Uhr, 619 Aufrufe, 11 Kommentare

Hallo zusammen,

ich möchte einen Linux-Vserver mieten und diesen absichern. Darunter verstehe ich in diesem Falle hauptsächlich: Dafür sorgen, dass (nach Möglichkeit) nur ich Zugriff auf meine Daten habe.
Ich bin erfahren mit Linux, es geht also zB nicht darum, wie ich openvpn härte, sondern eher um ein paar allgemeine Sachen.

Laufen soll nextcloud. In der werden keine wahnsinnig wichtigen Daten liegen, aber es soll dennoch eine sichere Installation werden.
Mein Plan ist zunächst, dass nach außen keinerlei Dienste verfügbar sein werden außer ein openvpn-Server. Alles weitere soll dann darüber laufen, inkl. SSH.
Ein iptables-Skript wird dafür sorgen, dass nach außen wirklich nur dieser eine Port offen ist.

Ich möchte einen Datei-Container anlegen, den ich mit luks verschlüssle, in diesen kommt dann alles, was mit der nextcloud-installation zu tun hat. Also nicht nur die eigentlichen Daten, sondern z.B. auch das MariaDB-Verzeichnis, die Nextcloud-Installation selbst usw.

Meine Frage: Was schlagt ihr noch vor? Mir geht's vor allem darum, wie sicher ich auch ggü. dem Hoster des Servers bin, dieser könnte doch vmtl. den RAM auslesen und so meinen luks-Key erhalten?
Mitglied: Sheogorath
24.05.2019 um 17:06 Uhr
Moin,

generell bin ich inzwischen dazu übergegangen auch v-server mit einem ganz üblichen LUKS setup aufzusetzen und entsprechend komplett von boot an zu verschlüsseln, man muss sich allerdings bewusst sein, wogegen das hilft und wogegen nicht:

Hilft nicht gegen:
- Bösen Hoster der deine Daten klauen will, denn der kann deine LUKS keys aus dem RAM auslesen, wie du bereits bemerkt hast
- Angreifer auf der gleichen Maschine, denn die können, wenn sie es denn schaffen den Hypervisor zu übernehmen, das gleiche, was der Hoster auch kann

Wogegen es hilft:
- Angreifer die Zugriff auf das Daten Backend des Hosters bekommen (z.B. auf ein SAN welches von einem anderen VM host aus, hier kommt es aber auch auf die Virtualisierungslösung an)
- Hoster, die nach deiner Kündigung und shutdown/löschung des Servers noch irgendwo ein Backup deiner Platte rumfliegen haben
- Angreifer die Nach deiner Kündigung versuchen irgendwelche Daten abzugreifen
- Langeweile. Ein LUKS unlock bei jedem neustart kann halt schon etwas unentspannt sein.

Wenn du wirklich auf nummer sicher gehen willst, sprich auch gegenüber deinem Hoster absicher, dann solltest du das end-to-end feature von Nextcloud benutzen, oder auf einen dedizierten Server wechseln. Der könnte da musst du dem Hoster nur noch vertrauen, dass er sich nicht viel mühe gibt um die Hardware zu manipulieren, du sperrst also schon mal eine Menge Angreifer aus.

Gruß
Chris
Bitte warten ..
Mitglied: 139905
24.05.2019 um 17:08 Uhr
Hallo,

Ich möchte einen Datei-Container anlegen, den ich mit luks verschlüssle, in diesen kommt dann alles, was mit der nextcloud-installation zu tun hat. Also nicht nur die eigentlichen Daten, sondern z.B. auch das MariaDB-Verzeichnis, die Nextcloud-Installation selbst usw.

Warum die komplette Installation verschlüsseln? Die Daten reichen doch? Dazu bietet übrigens Nextcloud auch eine Option an:
https://docs.nextcloud.com/server/stable/benutzerhandbuch/files/encrypti ...

Außerdem müssen die Systemdaten von MariaDB und Nextcloud ohnehin im laufenden Betrieb unverschlüsselt sein, damit die Dienste arbeiten können. Und normalerweise sollte ein Provider seine Server in einem geschützen RZ betreiben, sodass EInbrecher, Diebe nicht mal in die Nähe der Kisten kommen können.

Viele Grüße
Bitte warten ..
Mitglied: mrserious73
24.05.2019 um 17:16 Uhr
Hey Leute,

glaube, mein Hoster unterstützt garkeine Vollverschlüsselung?
Sonst hätte ich das gemacht, das wäre in dem Fall auch leichter als der Weg über den Container.
Kann glaube ich nur per Klick die VM automatisch neu aufsetzen lassen, kann aber nicht quasi selbst den Installer "durchklicken".

Die End-to-End-Verschlüsselung der Nextcloud hatte ich auch schonmal in Betracht gezogen, aber dann kann ich die darin befindlichen Daten nicht mehr so ohne weiteres sichern, oder?
Bisher rsynce ich die nämlich periodisch in mein Datengrab.

Um genau solche Fälle wie die beschriebenen geht es mir: Die SAN-Platte wird irgendwann mal weggeworfen/verkauft und meine Daten sind noch drauf etc...

Nen root-Server wär sicherer, mir aber zu teuer, dafür ist der Anwendungszweck nicht wichtig genug.
Bitte warten ..
Mitglied: 139905
24.05.2019, aktualisiert um 17:23 Uhr
glaube, mein Hoster unterstützt garkeine Vollverschlüsselung?
Sonst hätte ich das gemacht, das wäre in dem Fall auch leichter als der Weg über den Container.

Können wir nicht sagen. Wir kennen ja dein Hoster nicht.
Kannst du von einem Rescue System booten? Dann könntest du notfalls darüber die Platte verschlüsseln.

Die SAN-Platte wird irgendwann mal weggeworfen/verkauft und meine Daten sind noch drauf etc...

Dann hast du dir ganz sicher einen falschen Provider rausgesucht.
Bitte warten ..
Mitglied: mrserious73
24.05.2019 um 17:27 Uhr
Hast du in der Theorie recht
Aber wir wissen doch, wie in der Praxis manchmal von Provider-Seite aus gearbeitet wird :-P
Da gehe ich lieber auf Nummer sicher...
Bitte warten ..
Mitglied: aqui
24.05.2019 um 17:29 Uhr
Warum hostest du denn nicht selber wenn dir diese Dinge so wichtig sind. Mit einem einigermaßen potenten Allerwelts xDSL Anschluss und wenn nur du den Nextcloud mit moderatem Datentraffic nutzt mit Familie und nicht die halbe Welt ist das doch durchaus eine Option.
Bitte warten ..
Mitglied: mrserious73
24.05.2019 um 17:50 Uhr
Jau, aber bitte keine "warum nicht SO"-Diskussion
Es gibt immer andere Wege, die zT besser erscheinen usw.
Das führt dann aber von meiner Fragestellung weg

E2E-Encryption scheint ja in Nextcloud noch nicht wirklich zu klappen?
Lese nicht viel gutes und ein erster Test hat mich auch nicht überzeugt.
Außerdem bleibt das Backup-Problem.
Bitte warten ..
Mitglied: it-fraggle
25.05.2019 um 07:05 Uhr
Zitat von mrserious73:
Jau, aber bitte keine "warum nicht SO"-Diskussion
Ist das auf aquis Post bezogen? Mag sein, dass dir das nicht gefällt, aber das ist eine berechtigte Frage, die sich automatisch ergibt. Wenn du die Professionalität der Hoster in Frage stellst, dann bleibt nur noch übrigt das Ganze unter eigene direkte Kontrolle zu stellen. Andere Möglichkeiten sehe ich nicht.
Bitte warten ..
Mitglied: mrserious73
25.05.2019 um 07:52 Uhr
Guten Morgen!

Nein, natürlich ist die Frage berechtigt
Generell wäre selber hosten die beste Option.
Das Problem ist aber: Mein Uplink ist dafür nicht ausreichend, außerdem rechnet es sich - für mich und meinen Einsatzzweck - nicht.
Für das, was ich in Hardware investieren müsste, kann ich einen Vserver mehrere Jahre buchen. Ganz zu schweigen von Stromkosten usw.

Ich möchte auch keinem Hoster irgendetwas unterstellen! Sondern das Ganze als theoretische Diskussion führen. Nach dem Prinzip "wie könnt' ma's denn am beste mache?"
Bitte warten ..
Mitglied: NetzwerkDude
25.05.2019 um 13:40 Uhr
Ich persönlich habe mich noch nicht damit beschäftigt, daher kann ich die Softwareunterstützung nicht einschätzen, aber SME könnte dich weiterbringen:
https://en.wikichip.org/wiki/x86/sme

gerne auch um einen Erfahrungsbericht wenn du damit was bastelst
Bitte warten ..
Mitglied: Sheogorath
25.05.2019 um 20:31 Uhr
Moin,

also viele hoster supporten keine Vollverschlüsselung beim initialen Setup, erlauben aber das booten von ISOs. Das ist dann der Weg den man geht. Funktioniert natürlich auch nur, wenn es sich um einen Hoster mit Vollvirtualisierung handelt (werden zum Glück immer mehr).

Manchmal ist diese Funktionalität übrigens auch versteckt, Hetzner Cloud z.B. hat das hinter iirc 3 Menüs versteckt und auch erst nach dem initialen aufsetzen.

Alles in allem also: Es ist nicht wichtig ob der Hoster das Vollverschlüsselung/FDE unterstützt, sondern ob er dir erlaubt ISOs zu booten, den rest kriegst du dann sicher selbst hin.

Wenn du dein LUKS dann aufgesetzt hast und genervt genug bist, dass du bei jedem reboot in die VNC Konsole musst, kannst du dir auch noch mal meine Ansible rolle für SSH in die pre-boot-Umgebung anschauen um das FDE Passwort einzugeben: https://git.shivering-isles.com/shivering-isles/infrastructure/tree/mast ... (ist für CentOS gebaut)

Gruß
Chris
Bitte warten ..
Ähnliche Inhalte
Samba
Linux Server und Windows Linux Client
gelöst Frage von 137898Samba17 Kommentare

Hallo, ich bräuchte dringend bei der Aufgabe etwas Hilfe. Die Firma XYZ besteht auf zwei Abteilungen Logistik und Technik ...

Debian
Linux Tablet
gelöst Frage von djevil-adDebian12 Kommentare

Hi, ich möchte mir gerne ein günstiges, gebrauchtes Tablet (50€) in der Bucht schiessen, auf dem ich ein BELIEBIGES ...

Cluster
Linux Failover
gelöst Frage von akadawaCluster3 Kommentare

Hallo liebe Community, Ich soll eine MySQL-Datenbank, welche auf einem physischen Server (Debian) läuft , in einer virtuellen Maschine ...

Schulung & Training
CompTIA Linux+
gelöst Frage von honeybeeSchulung & Training3 Kommentare

Hallo, hat jemand schon mit dieser Zertifizierung Erfahrungen gemacht? So viel ich weiß, müsste das mit dem LPIC-1 identisch ...

Neue Wissensbeiträge
Windows 10
Windows 10: Netzwerk zeigt Fehler 0x80070035
Tipp von anteNope vor 1 StundeWindows 104 Kommentare

Moin zusammen, ich hatte gerade mal wieder das Vergnügen mit dem obigen Fehler. Unter Borns Blog ist das beschreiben: ...

Windows 10

Bug: Windows 10 Enterprise LTSC erhält Funktionsupdate angeboten

Information von kgborn vor 19 StundenWindows 104 Kommentare

Der Fehler ist mittlerweile zwar korrigiert, aber ich denke, ich stelle die Info doch mal hier für Leute ein, ...

Viren und Trojaner

Entschlüsselungs-Tool für aktuelle GandCrab-Version verfügbar

Information von MrCount vor 23 StundenViren und Trojaner

Für alle Betroffenen gibt es offenbar ein Tool zur Entschlüsselung. Dann wird wohl die nächste version von GandCrap nicht ...

LAN, WAN, Wireless
Sophos RED50 stürzt ab und ist danach tot
Information von Ex0r2k16 vor 4 TagenLAN, WAN, Wireless3 Kommentare

Hey, nach meinem Thread bin ich durch Zufall auf das hier gestoßen: Also wenn ihr UTMs und RED50's im ...

Heiß diskutierte Inhalte
Viren und Trojaner
Gefahr - Risiko zwischen doc xls und docx xlsx
Frage von Asker06Viren und Trojaner33 Kommentare

Guten Tag, ich wollte wissen ob die .doc und .xls datein viel gefährlicher sind als .docx und .xlsx?? Ich ...

Sicherheit
Wie sichert (verschlüsselt) ihr eure Passwörter ?
gelöst Frage von decehakanSicherheit20 Kommentare

Hallo Admins, Mittlerweile hat man für jeden Dienst seine Zugangsdaten, sei es Amazon, Bank, FB, etc , vor allem ...

Windows Netzwerk
Standardgateway bei Clients mit statischer IP Adresse ändern
Frage von sammy65Windows Netzwerk17 Kommentare

Hallo miteinander, Wie kann ich über eine GPO die Standardgateway an meinen Clients ändern? Ich habe das versucht?: Es ...

Netzwerkmanagement
VLAN zwischen HP Switchen
gelöst Frage von SykoNFNetzwerkmanagement15 Kommentare

Moin Moin, ich versuche eine ganz einfachen Aufbau von VLAN zu erreichen. Ich habe zwei Switche, HP 1920-48G und ...