Hallo Users,
von dort https://forum.ubuntuusers.de/topic/nextcloud-lxc-container/#post-9145269
besser hier weiter.
Wie sichert Ihr eure Nextcloud mit Docker ab?
Greetz
undine
Anmeldungsdatum: Beiträge: 3400 |
Hallo Users, von dort https://forum.ubuntuusers.de/topic/nextcloud-lxc-container/#post-9145269 besser hier weiter. Wie sichert Ihr eure Nextcloud mit Docker ab? Greetz undine |
Anmeldungsdatum: Beiträge: 12067 |
Definiere absichern. Meine ist nur im internen Netz zu erreichen, wird täglich "gebackupt" und wöchentlich mit dem Rest des Backup auf externe Datenträger verfrachtet. Falls du dich ins Internet wagst: fail2ban, iptables und ggf. |
Supporter
Anmeldungsdatum: Beiträge: 6486 |
|
Anmeldungsdatum: Beiträge: 12067 |
Ich halte es generell nicht für leicht Netzwerke richtig einzurichten. Deswegen bleibe ich gerne in meinem heimischen Netzwerk mit solchen Diensten. Die Docker-iptables sind allerdings nicht "störend", wenn man auf localhost mappt. Der Webserver kann das ganze dann per proxy-Modul darstellen und kümmert sich um die Weiterleitung. Ein Manko bei diesem Setup ist allerdings, dass NC immer meckert, es sei nicht online (Was ja genaugenommen auch stimmt). |
(Themenstarter)
Anmeldungsdatum: Beiträge: 3400 |
Hallo, wie muss ich "Nextcloud mit Docker Container" gegenüber Angriffen aus dem Netz absichern? Greetz undine |
Ehemalige
Anmeldungsdatum: Beiträge: 9490 Wohnort: Bochum |
Das kann man so pauschal nicht sagen, da Du den Angriffsvektor nicht definierst. Generell üblich sind die Zugriffe per HTTPS und SSH, die man zuerst absichern sollte. SSH ausschließlich per Pubkey Verfahren und HTTP nur mittels TLS-Verschlüsselung (HTTPS). Fail2ban für SSH und HTTP hilft, generell sehr zu empfehlen ist 2FA bei Nextcloud für die Anmeldung. Damit hast Du dann den großteil der Angriffe erstmal abgefangen (heißt aber nicht, das sie dann zu 100% sicher sind). Der übrige Rest ist explizit auf die Ausnutzung von Schwachstellen ausgelegt, die behebt man idealerweise mit regelmäßiger Wartung der Software und Systeme.
Mit ferm z.B. kann man sich entsprechende Regeln bauen, die Docker nicht dazwischen funken bei iptables und man dennoch seine eigenen Regeln hinzufügen kann. |
Supporter
Anmeldungsdatum: Beiträge: 6486 |
Danke für den Hinweis! |
Anmeldungsdatum: Beiträge: 17 |
Wie du Nextcloud absichern musst hängt weniger davon ab, ob du das in einer Schuhschachtel machst oder nicht, sondern eher davon, welche Dienste die Nextcloud haben wird.
Je nachdem was du mit deiner Nextcloud machst und welche Ports offen sind, brauchst gesonderte Regeln. Das ist ohne Docker schon schwer, wenn man sich mit IP-Tables oder ufw nicht auskennt. Mit Docker wird die Frage wegen des internen Netzwerkroutings einiger Docker Container auch nicht einfacher. Dann aber lediglich die Frage zu stellen, wie man das am besten absichert, ist ungefähr so, als ob mich meine Freundin morgens fragen würde Schatz was soll ich heute anziehen. Ihr Kleiderschrank dabei aber die Größe einer H&M-Filiale hat. Du musst deine Frage schon etwas präzisieren, wenn du eine vernünftige Antwort bekommen willst. Grundsätzlich ist es doch so. Über jeden offenen Port kann ein Angriff auf deinen Server Stattfinden. Je nach dem welche Dienste du auf deinem Server installiert hast hast du entweder mehr oder weniger Prots offen. Egal ob mit Docker oder ohne. Wenn du eine Liste der Offenen Ports auf deinem Server hast, die du z. B. über
auslesen kannst, dann kannst du dir überlegen. Welcher Dienst oder welche Person von wo aus auf den jeweiligen Port unter Verwendung welches Protokolls zugreifen darf. Wenn dir das klar ist, dann weist du im Grund auch schon wie du deinen Docker Container absichern kannst. Der rest ist Lesen von Man Pages und eingeben von Befehlen. Bei letzterem kann dir das Forum hier sicherlich helfen. Bei der Planung der Zugriffsrechte auf deinem Server eher weniger. Wir können ja gar nicht wissen, was da so läuft und welcher Dienst da mit welchem Dienst oder welcher Art Nutzer telefonieren soll. Darum ist deine Frage, so wie sie gestellt ist ein bischen schwierig zu beantworten. |
Supporter
Anmeldungsdatum: Beiträge: 6486 |
Hallo, Hilfe gefunden und Thema gelöst? Dann bitte als solches markieren. Danke. Gruß BillMaier |