PI absichern für Owncloud & Co

  • Hallo,


    habe mir einen PI 3 mit Owncloud eingerichtet und will noch bissel mehr über Linux lernen, wie man ich möglichst gut absichert.


    Nutze sonst nen VPN Zugang von unterwegs, aber für Owncloud muss ich ja zumindest https in der Fritzbox als Port weiterleiten.


    Bis dato:


    - Fritzbox nur 443 geht auf PI IP
    - PI user ersetzt & gelöscht
    - SSH port geändert
    - Fail2Ban eingerichtet für SSH & Owncloud + Email Benachrichtigung
    - openssl cert aber nicht verifiziert
    - Apache & MySql danach: How-To Apache&MySql


    Jemand noch gute Tips? Hab keine geheimen Daten aber Interesse & Spass am tunen ;-)


    > Bspw. bzgl. Firewall Iptables steige ich noch nicht ganz durch. Tip für nen Tutorial?


    > Oder wie kann ich der openSSL cert "vertrauenwürdig" machen?

  • Ich steige mal mit ein.


    Einen ssh key erstellen, würde ich auf jeden Fall. Ebenso Root login ausstellen und password login. Das würde ich aber erst nach laufendem key umstellen 😀 Sonst sperrst du dich evtl selber aus.


    Habe letztens auch einen "Hinweis" bekommen, iptables direkt zu benutzen. Da würde ich auch gerne ein gutes Tutorial haben.
    Benutze im mom dafür UFW.


    Ebenso, kann man noch images wie raspbian lite, miniBian etc. benutzen. Die haben unnötige Software entfernt, die evtl Sicherheitslücken aufweisen.
    Persönlich benutze ich miniBian. Bin sehr zu Frieden damit.


    Den vpn server und clienten kann man auch noch absichern. Da bin ich zur Zeit bei.


    SSL kannste auch verifizieren https://jankarres.de/2015/12/l…tls-zertifikat-erstellen/. Habe ich aber noch nicht ausprobiert.
    Wenn du es auch nur für dich bzw im Bekanntenkreis benutzt, dann sollen die den selbst erstellten einfach akzeptieren [WINKING FACE]
    Für jeden noch einen vpn client. Den irgendwie nur für die cloud und Internet zulassen und perfekt. [WINKING FACE]
    Glaube ich doch. Bin selber noch nicht lange mit Linux unterwegs 😀

  • du hast selbsterstellte zertificate und vertaust die nicht, geh zum psychiater. :angel:


    du meinst sicherlich die meldung vom browser die verbindung ist unsicher, nimm kostenlose zertificate von letsencrypt, die vertraut auch dein browser.


    genau genommen ist die meldung vom browser auch falsch, ist deswegen wohl so kurz weils sonst keiner lesen wuerde.


    ich benutz auch zertificate von letsencrypt weil z.b. meiner mutter das irritieren wuerde diese meldung wg. unsicher, wenn nur ich den server benutzen wuerde haette ich nur selbstsignierte benutzt.

  • Wenn du nur via VPN zugreifst brauchst du auch kein https. Sobald du aber auch ohne VPN auf den Server zugreifen kannst ist https unabdingbar. Am besten ein SSL/TLS Zertifikat bei Let's Encrypt holen. Würde auf jeden Fall nur mit Public Key Authentication über SSH auf den Server zugreifen. Hier sind noch einige Tipps wie man Server sicherer macht. Da ist auch ufw dabei, damit sprichst du iptables einfach an.


  • - Fritzbox nur 443 geht auf PI IP
    - SSH port geändert


    > Bspw. bzgl. Firewall Iptables steige ich noch nicht ganz durch. Tip für nen Tutorial?


    es gibt auch std firewalls wie z.b. arno dingsbums, die installieren und schaun wie die funktioniert.


    angenommen du hast port 443 und ssh in der fritzbox offen/weitergeleitet an den pi.
    eigentlich brauchst du keine firewall, was sollte die tun?
    die ports blockieren wo eh nix reinkommt?, und bei port 443 und ssh soll sie dann ja auch was durchlassen.
    der erste schutzwall ist dein router,
    dann gehts weiter mit guten passwoertern etc..

  • Danke erstmal.


    - Root Zugang ist auch schon deaktiviert und nutz Rapian Lite als Image...



    Lets-encrypt werde ich mal testen, aber 90 Tage sind nicht sehr lange :-(
    Mich stört halt das man jedes mal die Fehlmeldung bekommt und die Apple Gerät manchmal den Zugang ganz verweigern beim ersten Versuch...


    adora
    Mir geht es drum den Verkehr über den SSH port abzusichern... Denke mal die Fritzbox sollte an sich gute Blockade sein (Fernzugang deaktiviert an der FB) & SSH dank Fail2Ban auch gut geschützt. Dachte letzte Stufe sind IP tables, um darüber noch etwas zu packen...

  • Nimm ein StartSSL Zerti, das gilt 1 Jahr.


    Aber soweit ich weiß, gibt's bei DynDNS Adressen oft Probleme.

    ;) Gruß Outi :D
    PIs: 2x Pi B (Rente) / 1x Pi B+ (Rente) / 1x Pi 2 B (Tests) / 2x Pi 3 B (RaspberryMatic / Repetier Server) / 2x Pi Zero 1.2 (J. Lite)
    2x Pi Zero 1.3 (J. Lite) / 2x Pi Zero W 1.1 (Stretch) / 1x Pi 3 B+ (Buster) / 1x Pi 4 B 4GB (Buster)
    Platinen: Sense HAT / RPI-RF-MOD / PiFi DAC+ V2.0 / TV HAT

  • Kann ich nix davon sehen ....


    Quote

    •Unlimited Class 1 DV SSL certificates, 1 year, 5 domains;
    •Unlimited Class 1 Client Certificate for email encryption.


    Gerade direkt von deren Webseite zitiert.

    ;) Gruß Outi :D
    PIs: 2x Pi B (Rente) / 1x Pi B+ (Rente) / 1x Pi 2 B (Tests) / 2x Pi 3 B (RaspberryMatic / Repetier Server) / 2x Pi Zero 1.2 (J. Lite)
    2x Pi Zero 1.3 (J. Lite) / 2x Pi Zero W 1.1 (Stretch) / 1x Pi 3 B+ (Buster) / 1x Pi 4 B 4GB (Buster)
    Platinen: Sense HAT / RPI-RF-MOD / PiFi DAC+ V2.0 / TV HAT

    Edited once, last by Outlaw ().

  • Steht bei denen sogar direkt auf der Startseite, mein Zitat war eingeloggt.

    ;) Gruß Outi :D
    PIs: 2x Pi B (Rente) / 1x Pi B+ (Rente) / 1x Pi 2 B (Tests) / 2x Pi 3 B (RaspberryMatic / Repetier Server) / 2x Pi Zero 1.2 (J. Lite)
    2x Pi Zero 1.3 (J. Lite) / 2x Pi Zero W 1.1 (Stretch) / 1x Pi 3 B+ (Buster) / 1x Pi 4 B 4GB (Buster)
    Platinen: Sense HAT / RPI-RF-MOD / PiFi DAC+ V2.0 / TV HAT

  • Wir reden schon vom gleichen Anbieter ??


    https://www.startssl.com/


    Die haben nix unter 1 Jahr.

    ;) Gruß Outi :D
    PIs: 2x Pi B (Rente) / 1x Pi B+ (Rente) / 1x Pi 2 B (Tests) / 2x Pi 3 B (RaspberryMatic / Repetier Server) / 2x Pi Zero 1.2 (J. Lite)
    2x Pi Zero 1.3 (J. Lite) / 2x Pi Zero W 1.1 (Stretch) / 1x Pi 3 B+ (Buster) / 1x Pi 4 B 4GB (Buster)
    Platinen: Sense HAT / RPI-RF-MOD / PiFi DAC+ V2.0 / TV HAT