Datenschutz vs. BigData - privat vs. kommerziell. Wie sicher ist...? Gedanken zur Einrichtung eigener Web-Dienste

  • An dieser Stelle möchte ich ein paar eigene Gedanken zu im Laufe der Zeit im Forum gelesenen Fragen äußern, die so oder mit ähnlichem Inhalt gelegentlich gestellt werden: "Ich möchte auf meinem neuen Raspberry PI ein NAS (und/oder eine Cloud und/oder einen Mailserver) einrichten und von außerhalb über meinen Laptop oder Smartphone darauf zugreifen. Was muss ich dafür tun, welche Programme brauche ich dafür? Ach ja, gestern war mein erster PI in der Post und ich bin noch totaler Linux-Anfänger, ich kenne mich bisher nur mit Windows-Programmen aus. Kann ein RPi mit Linux das alles leisten?"


    Ja, ein Pi kann das alles mit einer beispiellosen (Linux-)Stabilität leisten. Ich selber habe solche Dienste seit mehreren Jahren in Betrieb und es läuft geradezu perfekt. Mit den folgenden Diensten auf einem wirklich sehr stromsparenden RPi und mit (m)einem wirklich sehr sicheren Linux konnte ich unseren alten Windows-Server komplett ersetzen: Printserver, Fileserver, OpenVPN-Server, Mailserver, Card/Cal-Dav-Server.


    Es gibt wirklich nur eine relevante Einschränkung, und zwar ist das Bewegen sehr großer Dateien in Gigabyte-Größe mit ~10 MB/s tatsächlich nervend langsam. Aber das gibt es bei uns fast gar nicht, also empfinde ich das auch nicht als Einschränkung. Dem hingegen funktionieren alle Aktionen für Dateien in üblicher Office-Format-Größe geradezu perfekt. Ebenso perfekt ist er als Mailserver und Card/Cal-Dav-Server tätig, wobei für diese Anwendungen die gegebene Leistungsfähigkeit zur Datenbewegung in jeder Hinsicht ausreichend ist.


    Aber um auf die oben eingangs gestellte Frage zurückzukommen: Die einzig richtige Antwort wäre "Wenn Du nicht vorher schon über eine längere Zeit eine Windows-Domain mit differenzierender User-Verwaltung, Netzwerk-Diensten wie Exchange-Server, Webserver, File-Server mit Public-Shares & Private-Shares & Admin-Shares, Print-Server, Firewall oder Proxy-Server oder individueller Router-Konfiguration administriert hast, dann solltest Du unter Linux zum Schutz Deiner eigenen digitalen Privatsphäre tunlichst die Finger davon lassen. Alles andere ist hochgradig fahrlässig und wirklich unvernünftig! Und darüber hinaus ist festzustellen, jeder Admin, der diese Services schon erfolgreich unter Windows eingerichtet und betreut hat, würde solche Fragen gar nicht stellen, weil er sowohl die Leistungsgrenzen des PI einschätzen kann, als sich auch über die benötigte Software im Klaren ist... da werden m.E. allenfalls gezielte Detailfragen bei einzelnen konkreten Problemen gestellt."


    Bei all meinen Aussagen geht es nicht um die Dienste an sich, denn die sind wirklich alle klasse... es geht mir allein um den offenen Zugang vom Internet und einen direkten Datenweg rein in die Dienste des privaten Heim-Netzwerks. Es ist in der heutigen Zeit mit der in beträchtlichen Maße real vorhandenen Internet-Kriminalität, der permanenten Schnüffelei der bekannten Internet-Datenkraken und der staatlichen Überwachung mit ihren Datenspionen (Telekommunikationsüberwachung, Staatstrojaner, usw.) schlichtweg verantwortungslos, solche privaten Systeme mit offenem Zugang vom Internet her in Betrieb zu nehmen, deren Arbeitsweise man nicht bis ins Detail verstanden hat, die man nicht wirklich selber erklären kann und deren Sicherheit man nicht selber sachkundig gewährleisten kann. Es ist heute absolut nicht mehr ausreichend, einfach die Installationsbeschreibung eines Programms von oben nach unten abzuarbeiten und nur zu lesen, wie man notwendige Pakete zu einem Themenkomplex mit „apt“ installiert und welche Parameter in den zu den Paketen gehörenden Confs mit Werten zu setzen sind. Die Abarbeitung einer solch technisch-chronologisch-hierarchische Fakten-Auflistung wird einem nie wirklich beim Verstehen der Zusammenhänge helfen.


    Natürlich gilt unverändert die Aussage "Linux ist deutlich sicherer als Windows". Das hat aber primär mit der Tatsache zu tun, dass es im Linux-Ökosystem wegen der geringen Ausbreitung von Linux-basierenden Desktops rein wirtschaftlich uninteressant ist, große Aufwendungen in die Entwicklung von Schad-Software zu stecken, weil man einfach zu wenig potentielle Opfer erreichen kann. Und gleichermaßen ist es Fakt, dass Windows aufgrund seiner Erfahrungen mit dem seit Jahrzehnten bestehenden hohen Cyber-Crime-Druck über das Internet ein erheblich ausgereifteres Immun-System hat, im Vergleich zu Linux. Aber dem wieder entgegengesetzt ist es auch wieder ein Fakt, dass man mit hoher Sachkenntnis sein Linux in einem Maße absichern kann, wie es meiner Meinung nach mit Windows nur schwer möglich ist. Insbesondere vor dem Hintergrund, dass das Redmonder OS mit der Version 10 einen Paradigmenwechsel in der Geschäftsphilosophie praktiziert hat, mit dem das aktuelle OS nun selber quasi zur Spyware geworden ist. Warum sonst setzen so viele große Unternehmen auf Linux als Server-Systeme? Aber ich wiederhole mich: Sie tun es mit enormer Sachkenntnis.


    Aus all dem sollten wir die Erkenntnis ziehen, dass gerade wir privaten Laien-Administratoren uns bei all unseren IT-Projekten absolut darüber im Klaren sein müssen, was wir da überhaupt tun.... zum Schutz unserer rein privaten EDV mit vielleicht für uns wichtigen, vertraulichen, persönlichen privaten Daten und Dokumenten. Und das, was wir dabei "basteln", sollte tatsächlich wenigstens in einem Mindestmaß auf echtem Verstehen beruhen. Irgendeine halbwegs (un)passende Web-Anleitung per Copy/Paste unreflektiert auf den eigenen RPi zu schreiben und die Server-Dienste einfach zu starten, ohne zu wissen, was da warum, wann und wie passiert ist tatsächlich die schlechteste Vorgehensweise. Es ist notwendig zu wissen, wie ich die Dienste sachkundig aktualisieren oder ändern kann, wie ich sie nach eigenem Ermessen starten und stoppen kann. Und letztlich muss man wissen, wie ich das alles schützen kann... und das alles ohne darauf zu verzichten, am Ende die Wirksamkeit der Schutzmaßnahmen auch geprüft und bestätigt zu haben.


    Die Inbetriebnahme solcher typischen Dienste auf einen Linux-Rechner ist möglicherweise in wenigen Wochen/Monaten erfolgreich passiert. Für die für solche Vorhaben aber absolut notwendigen Kenntnisse, um ein solches System als Administrator auch gewissenhaft und sachkundig pflegen zu können und zur Sicherstellung eines weitestgehend störungsfreien Betriebs sollte man jedoch durchaus locker 1-2 weitere Jahre mit vielen kleinen Schritten, Lernen und viel Experimentieren einplanen. Das eigene Vorgehen bei der Produktivsetzung von Diensten muss sich unbedingt daran orientieren, zusätzliche Client-Server-Dienste nur dann in Betrieb zu nehmen, wenn man deren Wirken und Arbeitsweise wirklich verstanden hat, wenn man sie zweifelsfrei Einbruchsicher (auch zum Schutz vor Fehlbedienung durch die eigenen User) eingerichtet hat und erst nachdem man die Wirksamkeit der vorgenommenen Einstellungen auch tatsächlich geprüft und bestätigt hat.


    Zum Beispiel bedeutet das für Samba mit den üblicherweise einzurichtenden Private-Shares, Public-Shares und Admin-Shares, dass man neben der Samba-Konfiguration auch die Linux-Rechteverwaltung für Benutzer und Gruppen komplett verstanden hat und das man die persönlichen Daten des einen Users vor Zugriffen durch die anderen User im LAN erfolgreich geschützt hat. Eine gewisse Privatsphäre gilt auch innerhalb der Familie. Geht man das leichtsinnigerweise anders an, verliert man im besten Fall nur die eigenen Daten. Im schlechtesten Fall übernimmt aber jemand fremdes über einen ungesicherten Zugang oder über eine "importierte" Schadsoftware und von einem selbst zunächst völlig unbemerkt zuerst die Daten und vielleicht kurz darauf sogar den ganzen Server ... einschließlich eines dauerhaften Zugangs zu allen privaten Daten. Das damit auch die Kontrolle über Webcams oder angeschlossene bzw. interne Microfone übernommen werden kann, ist nur ein böser Nebeneffekt. Zur "feindlichen Übernahme" gehört auch der sich anschließende Missbrauch des eigenen Servers, des familiären Internet-Accounts und der Mail-ISP als Bot, wenn der Server auf einmal über die persönlichen Mail-Zugänge tonnenweise Spam-Mails rausschleudert. Die einzig richtige Entscheidung für einen Neu-Linux-Administrator ist also die, die dazu führt, alle Dienste am Anfang ausschließlich nur im eigenen Heim-Netzwerk zu betreiben.


    Kann ich auf meinem RPi eine Cloud einrichten?

    Ja, das geht, aber aufgrund seiner limitierten Leistungsfähigkeit allerdings wieder mit Einschränkungen. Je mehr gleichzeitige User online sind, um so zäher wird es. Ich persönlich würde für den Einsatz von Cloud und Webserver eher eine andere und leistungsfähigere Hardware verwenden. Auf dem Pi würde ich das nur als Lernumgebung einrichten, ohne die Absicht zu haben, das wirklich produktiv zu setzen. Und ich würde vorher überlegen, ob "Cloud" für mich nicht eher nur so ein aufgeschnappter Begriff ist und ob ich solche umfassende Funktionalität tatsächlich brauche. Mein primäres Interesse zum Beispiel war die Synchronisation der Kontakt- und der Termindaten zwischen unseren Smartphones/Tablets und den jeweiligen persönlichen Thunderbirds auf verschiedenen Client-PCs. Dafür braucht man aber keine eigene Cloud und auch keinen Webserver, das geht perfekt mit "radicale" auf dem RPi, mit DavDroid auf den Smartphones und mit Thunderbird, Lightning und Cardbook auf den Linux-PCs. Sollen Dateien kopiert werden, macht das der Total-Commander mit dem LAN-Plugin auf den Smartphones geradezu perfekt.... also insgesamt brauchen wir keine CPU-lastige Cloud, die vermutlich eh nur sehr zäh läuft, sondern kommen mit kleinen schnellen Spezial-Anwendungen mit begrenztem Leistungsumfang bestens klar.


    Ist eine lokale Cloud sicherer, als ein typischer kommerzieller Cloud-Anbieter?

    Sicherer...?... bezogen auf was? Um die Frage zu beantworten, muss man zuerst unterscheiden, um welche Sicherheit es überhaupt geht und dann vergleichen.


    Gesichert gegen Datenverlust durch Hardwaredefekte oder -ausfälle?

    Weil kommerzielle Cloud-Anbieter vermutlich anstatt günstigerer Consumer-Hardware aus dem Elektromarkt eher RZ-taugliche Hardware verwenden, die Rechenzentren hinsichtlich Stromversorgung, Klimatisierung und Raumbedingungen absolut optimiert sind und die Daten zudem von Profis mit regelmäßigen Backups oder redundanter Speicherung gesichert werden, kann man davon ausgehen, dass dieser Speicherort aus technischer Perspektive erheblich sicherer ist, als eine private Cloud es jemals sein kann.


    Gesichert gegen Zerstörung oder Unbrauchbarmachung durch Schadsoftware?

    Aufgrund des professionellen Aufbaus eines RZ mit Proxy, Firewall, Antivirenüberwachung, Segmentierung der Daten, Compliance-Regeln für Mitarbeiter und Zertifizierung des Unternehmens kann man davon ausgehen, dass eine kommerzielle Cloud aus Sicht der Mitarbeiter-Qualifikation und der eingesetzten Dienste immer ein sichererer Aufbewahrungsort für die Daten ist, als es ein privates System sein kann.


    Gesichert gegen Einsichtnahme und Respekt der digitalen Privatsphäre?

    Mit der politischen Devise zur Liberalisierung des Datenschutzgesetzes und der Aussage, dass Daten der Rohstoff dieses Jahrhunderts sind, kann man davon ausgehen, dass heute schon mit den eigenen privaten Daten im weltweiten Datenhandel Geld verdient wird. Mit anderen Worten, meine privaten und persönlichen Daten aus meinem Leben werden ohne meine Erlaubnis mit großer Wahrscheinlichkeit systematisch ausgewertet und vermarktet. Ich habe zudem keinerlei Einfluss darauf, ob neben dem Cloud-Dienstleister auch noch fremde Behörden oder gar Drittinteressenten legalen oder illegalen Zugriff auf meine persönlichen Daten haben. Bei der Online-Speicherung meiner Daten und wenn im weltweiten Datenhandel mit dem Verkauf meiner zuvor ausspionierten Daten Geld verdient wird, werde ich hinsichtlich der Hoheit und Entscheidungsbefugnis für mein dort gespeichertes digitales Leben faktisch entmündigt. Dieser Gedanke ist für mich jedenfalls unerträglich, deshalb würde ich meine Daten niemals unverschlüsselt bei einem fremden Anbieter speichern, weder in einer Cloud, noch auf einem IMAP-Server.


    Ist nun meine eigene Cloud auf dem RPi sicherer oder nicht?

    Ja, solange man ihr nicht erlaubt, vom Internet kontaktiert zu werden. Ja, wenn ich die lokalen Daten segmentiere und die Zugriffe strikt reglementiere. Ja, wenn ich die Reproduzierbarkeit bei Datenverlust (Blitzschlag, Hochwasser, Plattencrash) durch regelmäßige Backups oder redundante Speicherung sicherstelle und die Qualität der Backups kontinuierlich prüfe und bestätige. Ein Backup-Prozess, mit dem man im Fall der Fälle die Daten nicht vollständig wiederherstellen kann ist reine Zeitverschwendung. Ja, wenn ich dafür sorge, dass nicht ein leichtsinniger User mit einer Ransomware die Daten aller anderen unbrauchbar machen kann. Ja, wenn ich wirksame Maßnahmen ergreife, die eine gezielte oder auch zufällige Kompromittierung von außen oder durch Anwender-Fahrlässigkeit verhindern. Die eigene Cloud ist also nur genau so sicher, wie weit meine Kenntnisse zur Administration reichen .... ansonsten ist sie es nicht.

    Fazit: Im Vergleich zu einer kommerziellen Cloud ist man selber für alle Belange der Sicherheit verantwortlich. Und die tatsächliche Qualität dieser Sicherheit hängt unmittelbar von den eigenen Sachkenntnissen zur Herstellung dieser Sicherheit ab. Wenn ich nicht will, dass mein digitales Leben von fremden ausspioniert wird, ist die eigene Cloud die optimale Alternative. Es ist aber absolut die schlechteste Alternative, diese Cloud ohne fundierte Sachkenntnis zu betreiben, weil eine schlecht administrierte Cloud vielleicht sogar der weltweiten Hackerszene einen vollständigen Zugriff ermöglicht.


    Welche Programme brauche ich für einen Fileserver?

    Für ein einfaches NAS ist Samba perfekt, weil es auch Windows-Clients den Zugriff ermöglicht und geringeres KnowHow bei der Installation verlangt, als bei NFS notwendig ist.


    Kann ich von außerhalb auf die Dateien zugreifen?

    Nein, zuerst einmal primär nur innerhalb des Netzwerk, also nur zuhause im LAN. Wenn der Zugriff auch von außerhalb notwendig ist, geht das z.B. via OpenVPN. Das bedarf dann eines DynDNS-Accounts, mit dem das eigene Heim-Netzwerk über einen symbolischen Namen "angerufen" werden kann. Das ist notwendig, weil das durch die heute noch übliche DSL-Zwangstrennung durchaus noch ein Problem ist. Am besten kann man sich das mit einer täglich wechselnden Telefon-Nr. vorstellen - man kann nur nach Hause anrufen, wenn man die heutige Telefon-Nr. kennt. Zur Lösung des Problems braucht man einen Dienst-Anbieter, über den man mit einem immer gleichem symbolischen Namen die jetzt gerade geltende IP-Adresse des Heim-Netzwerks "anrufen" kann. ... eben diesen o.g. DynDNS-Account. Es gibt kostenpflichtige Dienstleister mit kontinuierlicher Funktion, kostenfreie mit temporär begrenzter Funktion und für Fritzbox-Router den Dienst MyFritz, der kostenlos ist und richtig gut funktioniert.


    Ist ein eigener Webserver sicher?

    Ja, solange man ihm nicht erlaubt, vom Internet kommende Verbindungen anzunehmen, sonst nicht. Und ich behaupte mal, dass vermutlich ein sehr großer Anteil der privaten Laien-Admins ihren Webserver nicht wirklich ausreichend gesichert haben. Und wenn man mal eine Zeitlang Port 443 vom Router auf einen beliebigen Rechner ge'forwarded hat und dort den Traffic protokolliert, wer alles von irgendwo auf der Welt versucht eine Verbindung aufzunehmen, dann erkennt man, wie groß der Druck von außen ist und man sollte sich deshalb ein solches Vorhaben sehr genau überlegen. Bei mir ist Port 443 (ohne installierten Webserver) geöffnet ... einfach deshalb, damit ich über Port 443 via VPN tunneln kann. Ich nutze das, wenn ein offener WLAN-AP (Gastgeber) jeglichen UDP-Traffic und auch alle unprivilegierten TCP-Ports via Firewall blockt. In dem Fall verwende ich einfach den HTTPS-Port, um einen TCP-Tunnel nach Hause zu öffnen und unterlege damit den mit SSL/TLS verschlüsselten Traffic mit meinem ebenfalls verschlüsselten Tunnel. Eigentlich sollte damit überhaupt nicht mehr erkennbar sein, dass weitere verschlüsselte Daten übertragen werden. Und ich bin jedes mal beim Blick ins Log begeistert, wenn ich Tag für Tag hunderte Besucher von überall auf der Welt sehe, die mein VPN kurzerhand wieder rausgeschmissen hat. Da sag ich mal "Viel Spass mit dem Webserver", der bestimmungsgemäß rund um die Uhr auf Port 443 auf Besucher wartet und diese dann auch freudig begrüßt. Und wenn all das, was ich hier in diesem Absatz zu Ports und Protokollen genannt habe, im Moment "böhmische Dörfer" sind, dann ist das ein deutlicher Hinweis darauf, keinesfalls selber einen Webserver mit Cloud-Funktionen aufs Internet loszulassen.


    Ist ein eigener Mail-Server sicher? Welches Programm brauche ich dafür?

    Ja, er ist sicher... solange man ihm nicht erlaubt, vom Internet kontaktiert zu werden, sonst nicht. Wenn man z.B. wegen dem Wunsch mehrerer "daten-synchroner" Client-Geräte IMAP-Funktionen benötigt, ist das gerade hinsichtlich Datenschutz sogar viel sicherer, weil man nicht über einen längeren Zeitraum bei einem fremden Dienstleister langsam mehr und mehr werdenden persönlichen Schriftverkehr speichert. Will man allerdings vom Internet aus darauf zugreifen, gelten die gleichen Risiken wie für den Webserver. Ohne qualifizierte Maßnahmen wird solch ein Mailserver vermutlich binnen kurzer Zeit gekapert. Wir nutzen unseren Mail-Server direkt von den Clients nur im Heimnetzwerk. Und wenn unbedingt ein Zugang von außerhalb notwendig ist, dann geht das mit ein klein wenig Aufwand prima via OpenVPN-Tunnel. Das hat gleichzeitig auch den Vorteil, dass man seine Zugangsdaten zu seinen Postfächern nicht in einem unbekannten Netzwerk eingeben muss, die somit auch nicht ausspioniert werden können. Der Zugang via OpenVPN ist immer sicher. Insofern besteht für uns kaum eine Einschränkung darin, dass der Mail-Server nicht direkt vom Internet erreicht werden kann. Für einen Mail-Server ist nicht nur 1 Programm notwendig, man benötigt mehrere: Zum Beispiel Dovecot als Imap/Pop3-Server, Postfix als Mail-Transfer-Agent, Getmail als Mail-Retrival-Agent, Sieve als Mail-Filter. Neben diesen genannten gibt es noch weitere Alternativen für die gleichen Aufgaben. Mit welcher Lösung man am besten zurecht kommt, muss man für sich selber herausfinden.


    Kann ich alle Daten auf der SD-Karte speichern?

    Auf der SD-Karte meines PI's wird überhaupt nichts gespeichert und dafür ist sie meiner Meinung nach auch nicht gedacht. Es gibt Studien darüber, dass mit vielen schreibenden Vorgängen die Data-Retention der Karte massiv nachlässt. Meine SDC ist deshalb nur ein reines Boot-Medium, alle Schreibvorgänge -mit Ausnahme der Upgrades- finden auf externen Speichern statt, und zwar mehrere HD und 1 SSD.


    Ich habe keine Geheimnisse und ich habe auch nichts zu verbergen!

    Tja, das ist eine Aussage, die m.M.n leider darauf beruht, keine wirkliche Vorstellung von den Konsequenzen der Aufhebung des Verfügungsrechts auf die eigenen Daten zu haben. Stell Dir mal vor, es kommt wirklich zur von unserer werten Frau Kanzlerin angekündigten Liberalisierung des Datenschutzes (womit sie offensichtlich sehr dubiose Interessen verfolgt), also quasi der Aufhebung des Rechts auf geschützte, eigene, private, persönliche Daten. Und dann vergleiche mal den Datenumfang, über den z.B. das Traditionsunternehmen Schufa (die bislang führende Auskunftei in Deutschland für kreditrelevante Informationen) verfügt, mit der Menge an Daten, über die Google mittlerweile weltweit verfügt. Stell Dir weiter vor, wie es sein wird, wenn Google im Rahmen des liberalen Datenhandels irgendwann mal ebenfalls als Auskunftei tätig wird und Personenprofile z.B. bei Kreditgesuchen anbietet, oder bei einer Jobsuche, oder bei der Wohnungssuche... und wenn sich dann solch ein 'Anbietender' über einen Kunden, Mieter, Mitarbeiter für ein paar Euros Auskünfte über Dich einholen kann.


    Was wirst Du sagen, wenn Du dann bei einem vielleicht irgendwann in der Zukunft stattfindenden Bewerbungsgespräch die Antwort bekommst: "Lieber Herr M., aufgrund Ihrer Neigung zu körperbetonten Sportarten sehen wir ein für uns zu hohes Risiko, sie als Mitarbeiter einzustellen". Oder bei der Beantragung eines Renovierungs-Kredits bei der Bank: "Lieber Herr M., aufgrund Ihres aktuellen beruflich bedingten gesundheitlichen Zustandes sehen wir die Gefahr, dass sie ihren Beruf vielleicht bald nicht mehr ausüben können und dann die Kreditrate nicht mehr zahlen können." Oder vielleicht bei der Wohnungssuche: "Lieber Herr M., laut ihrem Google-Profil arbeiten sie bei der Firma XYZ, deren Google-Profil zur Zeit schlechte Unternehmens-Prognosen hat. Wir können Ihnen leider die Wohnung nicht vermieten, weil sie bei dem im nächsten Jahr voraussichtlichen Konkurs Ihres Arbeitgebers wahrscheinlich ihren Job verlieren werden und wir damit vermutlich die Mietzahlungen."

    Was ist passiert? Nichts besonderes, Du hast nur alle Deine Termine über das Smartphone und mit Thunderbird in der Google-Cloud gespeichert, Arzttermine, Jobtermine, Freizeittermine, private Events. Du speicherst Emails, private und teilweise auch vom Arbeitgeber im IMAP-Postfach. Die Ergebnisse für Deine sportlichen Freizeitaktivitäten findest Du durch googlen. Die Reiseangebote mit passenden sportlichen Hotspots findet... na wer wohl... Google. Die Google-Cloud weiß alles über Dich... na dann... viel Glück mit der Einstellung, dass Du keine Geheimnisse hast.


    Also soll/darf ich meinen Raspberry PI gar nicht vom Internet aus erreichbar machen?

    Richtig, so ist es. Aber das ist dennoch die falsche Frage, es geht nicht nur um das "ob überhaupt", sondern auch um die Antwort auf die Frage "Wann ist der richtige Zeitpunkt, meine Server-Dienste auch von außen erreichbar zu machen?"

    Meiner Meinung nach ist diese Anwort wirklich einfach: Der richtige Zeitpunkt ist dann erreicht, wenn alle eingerichteten Dienste beschränkt auf innerhalb des Heim-Netzwerks eine Zeitlang (mindestens mehrere Monate) fehlerfrei gelaufen sind und ich selber alle Störungen sachkundig beseitigen konnte. Und er ist dann erreicht, wenn ich einen neuen Server (z.B. nach einem Release-Wechsel der Distribution) mit vollständiger Funktionalität jederzeit anhand meiner Dokumentation neu in Betrieb nehmen kann, ohne dabei auf ein Full-Backup des installierten Alt-Systems zurückgreifen zu müssen. Wenn man diesen Stand eines KnowHow's erreicht hat, hat man wahrscheinlich auch das Wissen erworben, seinen Server und seine Daten zuverlässig vor Attacken von außen zu schützen. Jeder andere frühere Zeitpunkt ist meiner Einschätzung nach einfach nur grob fahrlässig. Allerdings besteht mit diesem Sachwissen durchaus auch die sehr große Wahrscheinlichkeit, dass man genau diesen Zugang von außen jetzt eigentlich gar nicht mehr benötigt, weil man mit OpenVPN schon einen Zugang hat, ohne die Sicherheit aller Komponenten zu gefährden. So hat sich das beispielsweise bei mir ergeben.


    Mein persönliches Fazit ist:

    Komfortable Funktionen und Services mit eigener Hardware bereitzustellen, ist ohne jeden Zweifel die beste Lösung, um sich wirksam vor diesen Datenkraken und der Schnüffelei im eigenen Leben zu schützen. Wenn man es richtig macht, gibt es zu eigenen von einem selbst betriebenen Services auf eigener Hardware keine bessere Alternative für den Datenschutz des eigenen digitalen Lebens. Wenn man es jedoch falsch macht, gibt es Datenschutztechnisch nichts schlimmeres. Das A und O für die Sicherheit ist also, auf die eigenen Services solange keinen Zugriff vom Internet aus zu erlauben, bis man selber absolut fundierte Sachkenntnisse hat, um effektiv jeglichen notwendigen Schutz herstellen zu können.


    Ich glaube, dass ich selber schon einigermaßen fortgeschrittene Linux-Kennntnisse habe.... aber in meinem Netzwerk ist es selbst nach mehreren Jahren des Betriebs bis heute keinem einzigen Dienst gestattet, von außen über das Internet kontaktiert zu werden. Aber durch die Nutzung von OpenVPN und dessen Möglichkeiten ist das eigentlich keine Einschränkung... ob das nun die Web-Cams sind, der File-Server, der Mail-Server, der Cal/Card-Dav-Server, mein zweiter PI als FTP-Server... auf kein einziges System ist vom Internet ein direkter Zugriff möglich, auf alle Systeme kann ich aber via OpenVPN auch aus dem Internet zugreifen.... und zwar immer über eine abhörsichere und verschlüsselte Leitung, die mich in der Ferne mitten rein in das eigene Heimnetzwerk beamt. Mit anderen Worten, ich greife i.ü.S. nicht wirklich von außerhalb aus dem Internet auf meine Daten zu, sondern immer nur von innerhalb des Netzwerkes. Das ich drinnen bin, dafür sorgt auch aus der Ferne OpenVPN.


    j.m.2.c.

    Edited 2 times, last by ThomasL ().

  • Der gute Will ist ja zu loben... Aber sorry, leider viel zu lang, zu viel Prosa und deshalb völlig unlesbar.

    Oh, man kann hier unliebsame Nutzer blockieren. Wie praktisch!

  • Gnom


    Oh, und keine Bilder! vielleicht legt ThomasL ja noch ein paar virtuelle Buntstifte zu seinem Post, dann hast du was zu tun während die anderen lesen:shy:

    [Blocked Image: http://www.reactiongifs.com/r/tl.gif]


    Diese Unbereitschaft zu lesen kotzt mich an...beim Maulen sind sie aber gleich da...mit richtig peppigen Einzeilern


    ThomasL


    Ich kleb es an, wie versprochen. Der Titel könnte etwas knackiger sein, sonst schrecken wir user wie gnom schon ab bevor er den Text überhaupt sieht.

    Der Unterschied zwischen Genie und Wahnsinn definiert sich im Erfolg.

  • Der gute Will ist ja zu loben... Aber sorry, leider viel zu lang, zu viel Prosa und deshalb völlig unlesbar.



    Nun ja, ich zähle Dich auch nicht zur von mir beabsichtigen Zielgruppe. Zielgruppe sind stattdessen die, die nicht verlernt haben, auch mal lange Texte zu lesen und durchaus bemüht sind, nicht-offensichtliche Zusammenhänge zu verstehen und sich auch mit den Gedanken anderer befassen und auseinandersetzen wollen... deshalb, weil das auch ein Weg für die eigene Entwicklung ist .


    Zielgruppe sind definitiv nicht die, die mit einem einzelnen Satz darauf abzielen, undifferenziert etwas abzuwerten, ohne auch nur den Hauch eines Aufwandes zu unternehmen, sich selber konstruktiv mit der Schaffung von Inhalten zu befassen oder überhaupt irgendwelche eigenen konstruktiven Inhalte für andere zu schaffen. Zielgruppe sind definitiv nicht diejenigen, die gar kein Interesse an konstruktiver Beteiligung haben, sondern sich nur auskotzen wollen, um tote Diskussionen ins Leben zu rufen. Wie soll man Leute ernstnehmen, die eine Kritik über ein Buch schreiben und nur den Titel gelesen haben? Sorry... ich tu's nicht. Also, spare Dir die Kritik, schmeiss beides einfach in den Ofen.....:baeh2:

    Edited 2 times, last by ThomasL ().

  • Der Titel könnte etwas knackiger sein, sonst schrecken wir user wie gnom schon ab bevor er den Text überhaupt sieht.

    Ändere es nach eigenem Ermessen ab... ich habe ne viertelstunde davor gesessen und mir ist nix eingefallen. Vielleicht haben andere ja noch bessere Vorschläge.... ich bin da völlig offen.

  • ThomasL Danke für den umfangreichen Beitrag. Das mit dem Port 443 für den VPN-Dienst ist wirklich eine lustige Idee :) .

    Ich suche nicht nach einer fertigen Lösung sondern nach dem Weg dahin ;)

  • Leider eine häufige Reaktion auf Kritik. Naja, jeder geht damit auf seine Weise um. Beleidigungen aller Art zeugen aber nicht von besonderer Reife in dieser Disziplin.


    Wenn du von Leuten mit dem Hintergrund: Zitat: "Ach ja, gestern war mein erster PI in der Post und ich bin noch totaler Linux-Anfänger, ich kenne mich bisher nur mit Windows-Programmen aus. " erwartest, dass sie zehn eng beschriebene A4-Seiten in lesen, bist du wirklich optimistisch. Das beste Fachwissen nützt doch nichts, wenn man den potenziellen Leser schon mit dem ersten Absatz verschreckt.

    Oh, man kann hier unliebsame Nutzer blockieren. Wie praktisch!

  • Leider eine häufige Reaktion auf Kritik. Naja, jeder geht damit auf seine Weise um. Beleidigungen aller Art zeugen aber nicht von besonderer Reife in dieser Disziplin.


    Auch das ist eine Unterstellung, die wider besseres Wissen nur auf Infamität beruht. Du selber weisst ganz genau, wie ich mit Deiner per PN formulierten Kritik bei dem anderen Thema umgegangen bin, die einigermaßen sachlich war, die ich positiv aufgenommen habe und die nachträglich zu gravierenden Änderungen geführt hat. Das heisst, ich habe auf konstruktive Kritik entsprechend sachlich reagiert und dazu auch ein Feedback gegeben.


    Du hast *hier* nicht kritisiert, sondern nur mit einem einzigen Satz negativ bewertet ... das ist für mich ein Unterschied.... und das nur weil DIR der Text zu lang war, unberücksichtigt dessen, dass das für andere vielleicht nicht gilt. Und jetzt lass es bitte gut sein... ich möchte das Klima hier nicht mit einem solchen Mist vergiften. Das passiert weger solcher Beiträge, die nur darauf ausgelegt sind, schon viel zu oft. Ich bitte Dich ganz direkt, es NICHT zu lesen und Dich auch NICHT weiter damit zu befassen. ... ich betone, das ist nur eine Bitte.... nichts anderes... nur eine Bitte.


    Ganz nebenbei bemerkt, lautet der allererste Satz in meinem Beitrag "An dieser Stelle möchte ich ein paar eigene Gedanken zu...". Und die letzten 8 Zeichen im Beitrag lauten "j.m.2.c.". Damit sollte deutlich werden, dass das nur eine unbedeutende persönliche Meinung ist, ohne Lehrcharakter oder Anspruch auf absolute Wahrheit. Und genau vor dem Hintergrund gibt es kein "zu lang". Insofern kann sich sachliche Kritik allein mit einzelnen Aussagen befassen, die vielleicht eben auch sachlich falsch sein können. Dem stelle ich mich jedoch gerne.

    Edited 3 times, last by ThomasL ().

  • Also ich finde das inhaltlich echt super! Es ist wirklich sehr viel Text, das kann man nicht abstreiten. Ich empfinde das aber nicht als Problem. Ist halt auch eine Menge Input, den man da abliefern muss bzw kann. Und das ist hier ja auch sehr sinnvoll geschehen. Ich finde, man könnte das noch etwas übersichtlicher gestalten - mit Inhaltsangabe am Anfang und vielleicht Absatznummerierungen oder so.


    Dass das hier gleich wieder mit Streiterei losgeht, ist natürlich nicht so toll und auch für den TE wahrscheinlich sehr frustrierend. Da sollte ein Admin oder Mod dann irgendwann nochmal aufräumen, sobald es ein bisschen ruhiger geworden ist und die Beiträge sich inhaltlich auf das Thema beziehen.

  • llutz


    Danke! Ab einem gewissen Punkt ist man schlichtweg auf äußere Hilfe angewiesen... man sieht das einfach nicht mehr selber. Ich habe den Satz wie folgt geändert:

    "In dem Fall verwende ich einfach den HTTPS-Port, um einen TCP-Tunnel nach Hause zu öffnen und unterlege damit den mit SSL/TLS verschlüsselten Traffic mit meinem ebenfalls verschlüsselten Tunnel. Eigentlich sollte damit überhaupt nicht mehr erkennbar sein, dass weitere verschlüsselte Daten übertragen werden."


    Das war übrigens auch ursprünglich der Grund (schon zu Windows-Zeiten), nicht Port 80 zu verwenden, weil dabei im unverschlüsselten Traffic der Tunnel erkennbar ist. Mit 443 konnte ich damals aus dem Büro "raustunneln", was mit Port 80 nicht möglich war. Zwischenzeitlich wars bei mir dann so, dass wegen der Verwendung von Baikal und Nginx Port 80 sowieso selber in direkter Verwendung war, also musste ich bei 443 bleiben. Baikal und Nginx sind Geschichte, jetzt ist es radicale, und dafür brauche ich keinen ausgewiesenen Web-Server mehr.


    Und ganz aktuell ist die Entscheidung wieder gefallen, endgültig bei Port 443 zu bleiben. Weil einige hier das aber interessant fanden, erkläre ich kurz noch was dazu. Auf meinem Server gibt es keinen Dienst, der auf Port 443 lauscht. Der dort laufende VPN-Server ist ein "normaler" TCP-Lauscher auf einem unprivilgierten Port >1024... bei mir ist es halt ein sehr hoher 5-stelliger Port. Port 443 ist lediglich auf meinem Router geöffnet, wird aber zu diesem besonderen Port des Servers geforwarded. Neben dem TCP-OpenVPN läuft gleichzeitig aber auch noch ein UDP-OpenVPN, ebenfalls auf einem sehr hohen 5-stelligen Port. Die UDP-Verbindung ist performanter und wird eigentlich per default genutzt. TCP ist nur das Ausweichgleis, wenn mir ein Admin irgendwo in EU UDP verbietet. Das alles funktioniert natürlich nur, solange es keine Konkurrenz um Port 443 gibt, z.b durch einen Webserver. In dem Fall müsste der Router den Port 443 auch wirklich auf Port 443 des Servers forwarden. OpenVPN unterstützt Portsharing und reicht einfach "falsche" (also nicht-VPN-Pakete) Pakete weiter an den regulären "Lauscher". Aber ich bin mir sicher, dass ich heute keinen Web-Server mehr betreiben möchte. Ich traue schlichtweg meiner Qualifikation nicht.

    Edited once, last by ThomasL ().

  • Wenn du von Leuten mit dem Hintergrund:...............erwartest, dass sie zehn eng beschriebene A4-Seiten in lesen, bist du wirklich optimistisch.

    Es sind 8 Seiten, Copy und Paste in Word. :*

    (Hängt natürlich immer vom installierten Druckertreiber, der Schriftart und Größe, von der Brillenstärke und den Seitenrändern ab)


    ThomasL :thumbup:

    Edited once, last by flyppo: Seitenrendern durch Seitenrändern ersetzt ().

  • Nachtrag:

    Angelehnt an das Eingangsposting erfolgte an anderer Stelle der Hinweis, dass OpenVPN als Alternative zur Öffnung ins Internet durch eher kritische Services zu wenig Beachtung hatte. Ja stimmt... ich habe das zuerst nicht für notwendig erachtet zu beschreiben, was OpenVPN eigentlich ist und was es tut. Aber gerade OpenVPN ist für mich einer der wichtigsten Komponenten zur sicheren Beibehaltung der digitalen Privatsphäre. Der eigentlich wichtigste Aspekt für OpenVPN ist, es kann die von mir bemängelte Öffnung dieser kritischen Services mit nur geringen Mehraufwand bei der Bedienung vollkommen überflüssig machen, und das quasi ohne diese von mir angesprochenen Sicherheitsmängel als Begleiterscheinung zu haben. Insofern versuche ich das hier nachzureichen, so gut (oder so schlecht) wie ich das eben nur vermag. Was ist also OpenVPN?


    Zunächst mal ist OpenVPN von seinem Charakter nur eine Netzwerk-Software, es stellt eine Verbindung zwischen zwei Endgeräten her. Das wesentliche Merkmal dieser Verbindung ist, dass die zwischen den beiden Geräten ausgetauschten Daten verschlüsselt sind. Nehmen wir aber mal eine Lupe zur Hand, um etwas genauer hinzuschauen. Aber sorry, ich will mal einlenken... dieses Thema laiengerecht zu erklären ist eine ziemlich anspruchsvolle Aufgabe, die mir auch nur gelingt, wenn ich das sehr oberflächlich tue, also indem ich mich auf eine Perspektive aus sehr großer Höhe beschränke. Also bitte ich hier um Nachtsicht der Fachleute. Wenn jemand das genauer erläutern möchte oder selber etwas hinzufügen möchte, bitte, gerne, ich wäre dafür dankbar.


    Wenn ein User auf seinem PC im Internet surft und der User sich auf irgendeinem Server der Welt eine Web-Seite anschaut, so ist in diesem Moment eine TCP-Verbindung zwischen den beiden Geräten (Client-PC und Web-Server) hergestellt. Beide Geräte haben eine Netzwerk-Schnittstelle, beide Geräte haben eine IP-Adresse, und die Datenpakete beider Geräte werden auf nicht-vorhersehbaren Strecken zwischen beiden Geräten wie im Dialog hin und her gesendet. Man kann sich das etwas vereinfacht wie ein Telefongespräch zwischen zwei Menschen auf der Welt vorstellen. Die gemeinsame Sprache ist das Übertragungsprotokoll, mit der sich beide miteinander verständigen können. Ohne gemeinsame Sprache gibt es keine Verständigung. Im Datenverkehr ist TCP die gemeinsame Sprache oder anders ausgedrückt, TCP ist ein weltweit gültiges Übertragungsprotokoll. TCP ermöglicht eine richtungsunabhängige und bidirektionale End-to-End-Verbindung. Ein TCP-Daten-Paket enthält ebenfalls -wieder vereinfacht beschrieben- wie ein Postpaket Informationen über Absender und Empfänger (die IP-Adressen) sowie den Paketinhalt der eigentlich zu übertragenden Daten. Ein Blick auf die beiden folgenden Grafiken kann das ein wenig erklären:



    Im Normalfall sendet also ein Programm auf dem PC, wie z.B. der Browser, seine Daten via TCP-Pakete an das lokale Netzwerkinterface des PCs, das TCP-Paket wandert von dort über den DSL-Router ins Internet und findet auf irgendwelchen Routen seinen Empfänger an irgendeinem Ort auf der Welt. Diese Wege bzw. die dahinterstehende Logik zu erläutern kann natürlich hier keine Aufgabe sein. Wer sich dafür interessiert, findet alle notwendigen Infos im Web.


    OpenVPN nutzt ebenfalls genau diese Verbindungen zur Kommunikation zwischen Client und Server im Internet. Der Unterschied ist, dass OpenVPN zuvor ein eigenes virtuelles Interface erstellt und dem Betriebssystem mitteilt, dass alle TCP-Datenpakete jetzt nicht mehr über das physische NIC versendet werden, sondern nur noch über das virtuelle. Den Programmen (z.B. Browser) ist das egal, für die ist das eine NIC so gut wie das andere.


    Die Besonderheit ist, dass OpenVPN die Daten des ursprünglichen TCP-Paketes über sein eigenes virtuelles NIC jetzt vor dem Ausgang in Internet empfängt, diese nun vollständig verschlüsseln kann und dann ein neues TCP-Paket erstellt, welches erst jetzt an das physische Interface zur Reise ins Internet gegeben wird. OpenVPN arbeitet in gewisser Weise als Übersetzer zwischen Sender crypt/decrypt und <-Internet-> und crypt/decrypt Empfänger und verwendet dabei eine verschlüsselte Sprache (SSL, AES), die kein anderer verstehen kann. OpenVPN ist also eine absolut sichere Datenleitung in der End-to-End-Verbindung.



    Hier wieder -passend zum vorherigen- zwei Beispiele, mit denen man sich die Arbeitsweise wieder sehr vereinfacht und im übertragenen Sinne vorstellen kann:



    Natürlich muss man sich hier beim Telefon-Beispiel zusätzlich die beiden sprechenden Menschen vorstellen, die ich nicht eingezeichnet habe. Und ebenso gibt es zwei "sprechende" Teilenehmer bei der Netzverbindung, auf der Client-Seite ist das die Applikation, irgendein Programm, auf der Server-Seite ist es ein bestimmter Service, wie z.B. Cloud-Dienste, Mailserver, Fileserver, etc.


    Bei beiden Verbindungsbeispielen besteht jedoch der gleiche Effekt, dass das Gespräch resp. die Daten im jeweils öffentlichen Netz nicht belauscht werden können. Beim Telefon nimmt die angerufene Person das Gespräch entgegen. Da es sich bei OpenVPN allerdings um eine maschinell durchgeführte Annahme der Verbindung handelt, besteht hier anscheinend das Problem, woher weiß der VPN-Server eigentlich, ob da Freund oder Fremder "anruft". Das ist bei OpenVPN mit individuellen Client-Zertifikaten gelöst. Das heisst, kann sich der Anrufer nicht mit einem gültigen Zertifikat (als weithergeholtes Beispiel wie ein VPN-Personalausweis) ausweisen, wird die Verbindung einfach sofort getrennt. Das gültige individuelle Zertifikat und ein zugehöriges Keyfile wird zuvor einmalig vom "Herrn" des OpenVPN-Servers, also dem Heim-Netzwerk-Admin, herausgegeben bzw. auf dem Mobil-Client installiert.

    Edited 4 times, last by ThomasL ().

  • Ja, ich weiss, dass IP-Segmente nicht größer als 0xff sein können, der Fehler ist absichtlich.

    Welchen Erkenntnismehrwert erhoffst du dir durch diese absichtliche Falschdarstellung beim Leser? Sie führt imo lediglich zur Verunsicherung/-wirrung.


    //Edit folgendes wurde durch ThomasL Änderungen obsolet

    (Wo ist bei dir der openVPN-Server angedacht (mode p2p ist eher die Ausnahme)? Deine grafische Darstellung erweckt den Anschein, ein openVPN-Client würde sich zu einem Webserver verbinden. Den, mit seiner RFC1918-Adresse zu erreichen, eh schwierig sein dürfte...)

    "Wenn du nichts zu sagen hast, sag einfach nichts!"

    Edited 2 times, last by llutz: Kritikpunkte wurden durch @ThomasL Änderungen obsolet ().

  • Welchen Erkenntnismehrwert erhoffst du dir durch diese absichtliche Falschdarstellung beim Leser? Sie führt imo lediglich zur Verunsicherung/-wirrung.

    Wo ist bei dir der openVPN-Server angedacht (mode p2p ist eher die Ausnahme)? Deine grafische Darstellung erweckt den Anschein, ein openVPN-Client würde sich zu einem Webserver verbinden. Den, mit seiner RFC1918-Adresse zu erreichen, eh schwierig sein dürfte...


    Keine Ahnung... nicht zufällg eine aktive IP zu verwenden. Äh... Web-Server...?... das hatte ich vorher schon korrigiert.... das war beim ersten Entwurf ein Kopierfehler.


    Um was geht es denn, wenn ich mich unterwegs bei Mäcces fliegend mit einem Mobilegerät zuhause auf meinen Server verbinden will....?.. doch um mich entweder mit den Lan-Ressourcen des Homeservers zu verbinden oder um meinen Home-DSL-Router als sicheres Gateway zu verwenden... ich nutze beides. Mit der Verwendung eines TUN-Devices ist es bridging eines temporären Netzes. Insofern ist es doch auch eine P2P-Verbindnung ...oder? Die Frage, warum ist das wichtig? Für mich gehts nicht um persistent verbundene entfernte Netzwerk-Hosts.


    Und die Erreichbarkeit via IP ist oben ausreichend im Eingangsposting beschrieben, mit dem Hinweis auf DynDNS. Das jetzt zu wiederholen ist imho unnötig. Das muss auch imho auf einer gewissen Abstraktionsebene beschränkt bleiben.... hart ins Detail zu gehen, würde ich nicht leisten wollen.

  • Das würde ich gerne mal einstreuen: Onion Router


    Ist IMHO genau die richtige Art, auf diesen Thread hinzuweisen! :thumbup:


    Edit: leider nur mit eingeschränktem Erfolg, wenn überhaupt :denker:

    (Onion Router)

  • In Nachgang zu llutz Einwänden habe ich noch mal nachgebessert... insbesondere das zweite Code-Paket mit geänderter Grafik sollte jetzt deutlich zeigen, um was es bei diesem Post überhaupt geht. Ich habe keinerlei Ehrgeiz ein OpenVPN-How-To zu schreiben oder dessen Funktionsweise im Detail zu erklären. Wer sich für Details interessiert,findet nichts bessers als das OpenVPN-Wiki. Ebenso lass ich auch hier das typische IPv4-NAT auf dem Router unberücksichtigt, was natürlich immer noch Grundlage unseres privaten IPv4-Netzwerkes zuhause ist. Anders siehts mit IPv6 aus, da wäre eine Client-IP gleich auch eine globale Adresse... aber 32 Bit lassen sich kürzer und komfortbaler schreiben, als 128 Bit. Aber um diese speziellen Netzwerk-Grundlagen geht es hier nicht. Und weitere Details schaffen nicht mehr bildliche Vorstellungen.


    Mir gings also einfach nur darum, eine Noob-taugliche bildliche Vorstellung zu schaffen, was OpenVPN für mich als privaten Anwender tun kann, wenn ich mein Mobilgerät von irgendwo auf der Welt nachhause verbinden will, zum Fileserver, zum Mailserver, zu den das Haus überwachenden WebCams, um meinen Router als sicheres Internet-Gateway zu verwenden.


    Dabei geht es nicht um anonymes Surfen, sondern z.B. darum, bestimmte eigene cloud-typische Services von unterwegs nutzen zu können, ohne auf diese kommerziellen Datenkraken-Dienste zurückgreifen zu müssen, und ohne dafür zuhause mit ungeschützten Diensten ein Honeypot-Netzwerk für weltweite Hackerzugriffe hinzustellen. Und ein ganz wichtiger Vorteil ist, ich kann auch von unterwegs über meinen Router zuhause surfen. Wenn ich mich beispielsweise von irgendwo unterwegs über einen offenen WLAN-AP in irgendeinem Online-.Account anmelde, so tue ich das generell nur via OpenVPN über meinen Router zuhause. Ebenso werden meine ISP-Postfächer via k9mail auf dem Smartphone auch nur via OpenVPN-Verbindung über meinen Heim-Router als Gateway abgefragt. Genau das sind die für mich wichtigen Schwerpunktanwendungen von OpenVPN.

    Edited 2 times, last by ThomasL ().

  • Vielen Dank,

    fuer den kleinen Text!

    Natuerlich ist der Text lang aber bei so einem Thema auch nicht moeglich es mit 2 - 3 Saetzen abzufertigen. Mir fehlt da sogar noch einiges aber der Grundstein ist erst mal gegeben, wo man gut drauf aufbauen kann.

    Kritiker muessen natuerlich auch her, ob die Denkweise auch wirklich zum Ziel fuehren kann. Aber die sollten selbstverstaendlich Sachlich sein und werden wahrscheinlich mindestens halb so lange Texte schreiben. Jeder weitere, kann auch erst mal weiter 'googlen', um zu verstehen, warum nicht mehr zu googlen.
    Der Rest, dem es zu lang ist, da gibt's auch andere Threads, die kuerzer sind.

    Titel?

    • Datenschutz
    • Tracking
    • Big Data
    • Social Cooling
    • Nothing to hide
    • Aluhut :P
    • usw usf

    koennten da evtl. als Titel rein passen bzw integriert werden.



    Email Server?


    Eine Sache verstehe ich da aber nicht. Wie funktioniert das mit deinem Email Server? Wozu hast du den, wenn du ihn nur per VPN erreichst? Wie kann man dir ne mail schicken?

    Ps: Habe mir den Link noch nicht angeguckt, den du mir geschickt hast. Bzw nur kurz ueberflogen.

    Folgende Stichwoerter koennten auch noch gut zur/ m Email/ Server Diskussion mit einfliessen:


    • Metadata ( unverschluesselt)
    • PGP ( die meisten haben es nicht)
    • Blacklist/ Spam


    Cloud/ Backup


    Den Aufbau, den du da oben schoen beschreibst, Pflege ich Haar genauso ( email server halt nicht). Nur die Sichtweise zur Cloud sehe ich etwas anders. Der PI reicht dafuer super ( wie du schon erwaehnst, mitn bissel Geduld). 10GB oder auch 30GB geht auch. Dauert zwar, ist aber auch irgendwann unbemerkt fertig.

    Die Backups, hast du ja auf deinen Laptop/ Desktop oder anders eingerichtet. Da ist doch eh alles versyncchronisiert. Wenn du 2 oder 1 Laptop/ Desktop hast, hast du ja mindestens die ganze Zeit ein Backup laufen.

    Diese Art von Einrichtung, sollte man ueberigens auch bei jemand anderes haben. Falls mal die Huette abfackelt, hat man es noch bei zB seinen Verwandten gesichert.

    Zusaetzliche Backups sind natuerlich auch nicht verkehrt. Vor allem wenn man keine Lust hat, den "Krempel" komplett wieder neu einzurichten.

    Da sind zB automysqlbackup oder framps tolles raspibackup, super fuer geignet ( danke).



    Devices


    Wie ich schon erwaehnt hatte, ist dies der Grundstein fuer mich.

    Da fehlt noch der Umgang mit seinen Geraetschafften, die es dann letzten Endes komplett machen. Da ist das Smartphone meistens an wichtigster stelle. Das sollte zB von Google befreit werden und mit Open Source Software bestueckt werden.

    PC's, Laptop, Sat Receiver, Smart TV's, Kuehlschraenke .... und alles was es noch so gibt und kommen wird.


    Fuer mich ist das nur Erreichbar, wenn man sich keinen Kuehlschrank mehr kauft.... Das war ein Satz, den ich letztens von einem Freund gehoert habe. Da ging es natuerlich nicht um den Kuehlschrank. Sondern, ( grob) das es jedem Bewusst sein sollte, das alles gespeichert wird, wenn man es benutzt. Oder es halt nicht benutzen sollte, wenn man das nicht moechte.

    Das kann man selbstverstaendlich so leicht machen ( Internet adeee) aber vielen sind sich das ja noch nicht einmal bewusst, was sie immer Preis geben, jeden Tag. Davon mal abgesehen, ist ein Laptop ein gaengiges Geraet oder halt auch der Kuehlschrank, den man zum Ueberleben braucht. Sei es fuer die Arbeit oder zum Kuehlen seiner Lebensmittel. Man muss 'Selbstversorger im Digitalen Bereich' werden ( vllt der Titel?).


    Das alles ist fuer mich nur moeglich, mit Open Source Software. Linux, Android ( AOSP/ root) und Server.

    Windows, Apple und Closed Source Software sind da eher Hindernisse. Aber durch Firewall auch haendle bar. Wobei ich mir da nicht bei den Betriebssystemen so sicher bin. Deswegen benutze ich lieber Android und Linux. Wobei die Auswahl der Hardware auch nicht einfach ist. Wie erst kuerzlich Meltdown and Spectre zeigt.



    PwOSS


    Ich habe ein Forum zusammen geschustert, wo es genau um solche Dinge geht bzw gehen soll.


    Alle schon vorhandenen Software, Tutorials, Infos etc. auf eine Seite zu bekommen. Um es fuer andere Uebersichtlicher zu machen. Und nicht so wie ich, dafuer Jahre brauchen, um alles zusammen zu trommeln.


    Infos geben, wie man sein Telefon rooted, Server erstellt, ob es ueberhaupt moeglich ist, ...

    Dabei die vorhandenen Tutorials zu den Originalen zu Verlinken.


    • F-Droid & Yalp listen.
    • XPrivacyLua, AFWall ... erklaerungen und gegebenfalls Backups zum Importieren.
    • Gleiche Art und weise, fuer den Desktop und Server Bereich zu schaffen.
    • etc.

    Hauptaugenmerk immer auf seine Privatsphaere.


    Aber auch,

    themen wie das SocialCooling zu Diskutieren.


    Das alles Gehoert meiner Meinung dazu. Die durch das Tracking und Auswerten seiner Daten, das Leben nicht unbedingt fuer jedermann in Zukunft einfacher gestalten werden laesst. Wenn es dann noch zB wirklich mal irgendwann auf alle Laender ueberschwappen sollte, was die Chinesen 2020 evtl. anfangen moechten.

    Das ist zB bei 2 Milliarden aktiven Facebook user sehr wahrscheinlich eh nicht aufzuhalten aber fuer die nicht "drueber schmunzler" vllt doch Interessant.

    Falls da jemand Lust zu haben sollte, der koennte sich ja per pm melden, um dieses Forum und Thread nicht zu "belaestigen".

    Das Forum steckt aber noch so ziemlich in den Kinder Schuhen und ist als 2 Man Army aufwaendig. Vllt ist ja der eine oder andere Bereit, das ganze mit aufzubauen.

    PS: Das ist nicht von zu Hause aus gehostet ;)



    Noch zum Schluss ein paar Infos:


    Kennt der eine oder andere vllt auch schon. Die meisten Links stammen dort von der NO GAPPS gruppe von Telegram.

    Hier ist noch ne gute Erklaerung zu VPN und wie es funktioniert. Aber auch das, wie man liest, ist kein Komplett Video.

    VPN


    Danke

  • Email Server?


    Eine Sache verstehe ich da aber nicht. Wie funktioniert das mit deinem Email Server? Wozu hast du den, wenn du ihn nur per VPN erreichst? Wie kann man dir ne mail schicken?

    Mit einem privaten Email-Server ist es gar nicht notwendig, direkt von außen per Mail erreichbar zu sein. Man verwendet einen oder mehrere der üblichen Internet-Email-Provider als Relay-Host.

    Ps: Habe mir den Link noch nicht angeguckt, den du mir geschickt hast. Bzw nur kurz ueberflogen.

    Da sind aber die Antworten enthalten. Und ein Email-Server gehört meines Erachtens zu den anspruchsvollsten Vorhaben überhaupt in der ganzen privaten Computerei.


    Ich habe Dank Deiner Anregung den Titel mal ergänzt... diese Anregung finde ich richtig gut :thumbup:

  • Habe es mir jetzt angeguckt.


    Problem ist wie ich finde, das der weg immer ueber die Provider geht.
    Theoretisch koennten diese deine emails seperat speichern.

    Finde es aber trotzdem gut, die Daten dementsprechend sofort auf den Server zu laden recht simple. Sie nicht allzu lange bei den Providern liegen zu lassen.

    Das ist auf jeden Fall noch ein weiterer schritt, den ich mitsicherheit auch mal anstreben werde, wenn Protonmail mal mit ihrer bridge-linux in die gaenge kommen...


    Werde mir mal dein Tutorial angucken. Und generell die Seite ;) Gefaellt mir sehr!

    Noch passend zum Thema Email Provider.