meister_lamp3 Geschrieben 28. August 2013 Geschrieben 28. August 2013 Guten Abend Leute, ich habe auf meinem Rasperry PI die OWNCLOUD laufen, für Kontakte, Kalender und natürlich als Speicher. Nun würde ich das jedoch gerne ans Internet anbinden um auch von der Arbeit/Berufsschule/Handy darauf zugreifen zu können. Nun muss ich mir Gedanken um die Sicherheit machen und habe im Internet recherchiert. In etwa so habe ich mir das bis jetzt zurechtgelegt : - SSH über Key+PW - root login deaktiviert - apache ssl erzwingen - fail2ban ist ja wenn ich das richtig verstehe nicht mehr notwendig wenn key benutzt wird, oder ? - per ufw alles ports sperren und einzelnt die Gebrauchten per allow/limit freischalten Geht das so in Ordnung oder habe ich was wichtiges vergessen ? Grüße PS : Ans Internet kann ich den PI durch die Portweiterleitung meiner FritzBox anbinden oder ?
Gast UnknownX Geschrieben 28. August 2013 Geschrieben 28. August 2013 Ich wuerde den standard ssh port noch wechseln
Crash2001 Geschrieben 29. August 2013 Geschrieben 29. August 2013 Ich wuerde den standard ssh port noch wechselnNa da reicht es ja, wenn er auf der Fritzbox dann nicht von Port 21 extern auf Port 21 intern leitet, sondern extern einen anderen Port wählt für die Portweiterleitung.
pr0gg3r Geschrieben 29. August 2013 Geschrieben 29. August 2013 Den SSH-Port zu wechseln bringt eigentlich absolut nichts, ein einfacher Portscan und man hat den richtigen Port herausgefunden. Ich würde es besser finden, SSH nur im lokalen Netzwerk zu erlauben. Nach außen dann natürlich nur HTTP(S).
Gast UnknownX Geschrieben 29. August 2013 Geschrieben 29. August 2013 Absolut nichts ist so nicht richtig. Meinst wird sich nicht die muehe gemacht eine ip komplett durchzuscannen. Ist jetzt keine fortknox sicherheit, aber bedarf auch keine 5h arbeit das im nat einzurichten.
pr0gg3r Geschrieben 29. August 2013 Geschrieben 29. August 2013 Absolut nichts ist so nicht richtig. Also ist alles richtig? Meinst wird sich nicht die muehe gemacht eine ip komplett durchzuscannen. Ist jetzt keine fortknox sicherheit, aber bedarf auch keine 5h arbeit das im nat einzurichten. Ja stimmt schon, ich ändere bei meinen Webservern auch immer den SSH-Port einfach aus routine. Wenn es aber darum geht, SSH nicht über das Internet zu benötigen, wieso sollte ich ihn dann außerhalb des lokalen Netzes erreichbar machen.
GoaSkin Geschrieben 3. September 2013 Geschrieben 3. September 2013 Falls dein Internet Provider auch IPv6 bietet, hat der Raspberry eine echte IP, über die er auf allen Ports von außen erreichbar ist. Da nutzt auch NAT am Router nichts mehr. In diesem Falle musst du entweder am Gerät IPv6 deaktivieren oder dir Gedanken über eine IPv6-Firewall machen. Der Witz bei IPv6 ist auch, dass ein Rechner nicht nur eine IP vom Router bekommt, wenn ein DHCP-Client läuft, sondern die ganze IP-Vergabe Kernel-basiert erfolgt, ohne dass ein Dienst laufen muss. Der Router teilt dabei per Multicast mit, aus welchem Adressbereich er Adressen routen kann, wobei die Clients dann den Adress-Präfix durch ihre MAC-Adresse ergänzen, um sich selbst eine vollständige und gültige IP zu geben. Bei Windows, MAC OS, fast allen Linux-Distributionen und auch vielen Firmwares (z.B. der von HP-Druckern) bekommen die Clients IPv6-Adressen verpasst, ohne dass man dies vorher einmal so festgelegt hat - und oftmals, ohne dass man es merkt. Da muss nur ein Router Broadcasten, dass er einen IPv6-Präfix (ein Subnet) hat und plötzlich haben fast alle Geräte international geroutete Adressen.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde Dich hier an.
Jetzt anmelden