Guten Abend Leute,

ich habe auf meinem Rasperry PI die OWNCLOUD laufen, für Kontakte, Kalender und natürlich als Speicher. Nun würde ich das jedoch gerne ans Internet anbinden um auch von der Arbeit/Berufsschule/Handy darauf zugreifen zu können. Nun muss ich mir Gedanken um die Sicherheit machen und habe im Internet recherchiert.

In etwa so habe ich mir das bis jetzt zurechtgelegt :

- SSH über Key+PW - root login deaktiviert

- apache ssl erzwingen

- fail2ban ist ja wenn ich das richtig verstehe nicht mehr notwendig wenn key benutzt wird, oder ?

- per ufw alles ports sperren und einzelnt die Gebrauchten per allow/limit freischalten

Geht das so in Ordnung oder habe ich was wichtiges vergessen ?

Grüße

PS : Ans Internet kann ich den PI durch die Portweiterleitung meiner FritzBox anbinden oder ?

Ich wuerde den standard ssh port noch wechseln

Ich wuerde den standard ssh port noch wechseln

Na da reicht es ja, wenn er auf der Fritzbox dann nicht von Port 21 extern auf Port 21 intern leitet, sondern extern einen anderen Port wählt für die Portweiterleitung.

Den SSH-Port zu wechseln bringt eigentlich absolut nichts, ein einfacher Portscan und man hat den richtigen Port herausgefunden. Ich würde es besser finden, SSH nur im lokalen Netzwerk zu erlauben. Nach außen dann natürlich nur HTTP(S).

Absolut nichts ist so nicht richtig. Meinst wird sich nicht die muehe gemacht eine ip komplett durchzuscannen. Ist jetzt keine fortknox sicherheit, aber bedarf auch keine 5h arbeit das im nat einzurichten.

Absolut nichts ist so nicht richtig.

Also ist alles richtig?

Meinst wird sich nicht die muehe gemacht eine ip komplett durchzuscannen. Ist jetzt keine fortknox sicherheit, aber bedarf auch keine 5h arbeit das im nat einzurichten.

Ja stimmt schon, ich ändere bei meinen Webservern auch immer den SSH-Port einfach aus routine. Wenn es aber darum geht, SSH nicht über das Internet zu benötigen, wieso sollte ich ihn dann außerhalb des lokalen Netzes erreichbar machen.

Falls dein Internet Provider auch IPv6 bietet, hat der Raspberry eine echte IP, über die er auf allen Ports von außen erreichbar ist. Da nutzt auch NAT am Router nichts mehr. In diesem Falle musst du entweder am Gerät IPv6 deaktivieren oder dir Gedanken über eine IPv6-Firewall machen.

Der Witz bei IPv6 ist auch, dass ein Rechner nicht nur eine IP vom Router bekommt, wenn ein DHCP-Client läuft, sondern die ganze IP-Vergabe Kernel-basiert erfolgt, ohne dass ein Dienst laufen muss. Der Router teilt dabei per Multicast mit, aus welchem Adressbereich er Adressen routen kann, wobei die Clients dann den Adress-Präfix durch ihre MAC-Adresse ergänzen, um sich selbst eine vollständige und gültige IP zu geben. Bei Windows, MAC OS, fast allen Linux-Distributionen und auch vielen Firmwares (z.B. der von HP-Druckern) bekommen die Clients IPv6-Adressen verpasst, ohne dass man dies vorher einmal so festgelegt hat - und oftmals, ohne dass man es merkt. Da muss nur ein Router Broadcasten, dass er einen IPv6-Präfix (ein Subnet) hat und plötzlich haben fast alle Geräte international geroutete Adressen.