Sicherheit mittels Nginx Proxy Manager

  • Hallo!

    Ich habe mal eine Frage bezüglich der Sicherheit meines Reverse Proxys mittels Nginx Proxy Manager mit GUI.

    Da ich jetzt endlich mal angefangen habe mich etwas mit Docker einzuarbeiten, damit ich meine 3 Raspis auf einen 4er transferieren kann.

    Was mir dabei aber aufgefallen ist, dass viele Container, wie zum Beispiel BitwardenRS, keinen HTTPS-Port 443 (die Ports waren auch der Grund von mehreren Pis) haben.

    Dafür soll ja der Reverse-Proxy herhalten.

    Bis jetzt hängen die Pis direkt am Netz mit offenen Ports, wenn benötigt.


    Kurz zum Setup:

    Ich möchte einen Raspi4 nutzen um Docker, docker-compose, Portainer, Nginx Proxy Manager und u. a. Bitwarden betreiben.

    Wenn mein Setup läuft, möchte ich auch so den Pi meiner Eltern mit dem Passwort Manager umstellen.


    Ich bin noch nicht so gut in Linux eingerichtet, daher bin ich oft auf YT-Videos/Anleitungen angewiesen.

    Den Manager habe ich via Docker-Compose mit diesen Befehlen erstellt:


    nano config.json

    {

    "database": {

    "engine": "mysql",

    "host": "db",

    "name": "npm",

    "user": "npm",

    "password": "npm",

    "port": 3306

    }


    nano docker-compose.yml


    version: '3'

    services:

    app:

    image: 'jc21/nginx-proxy-manager:latest'

    ports:

    - '80:80'

    - '81:81'

    - '443:443'

    volumes:

    - ./config.json:/app/config/production.json

    - ./data:/data

    - ./letsencrypt:/etc/letsencrypt

    db:

    image: 'yobasystems/alpine-mariadb:latest'

    environment:

    MYSQL_ROOT_PASSWORD: 'npm'

    MYSQL_DATABASE: 'npm'

    MYSQL_USER: 'npm'

    MYSQL_PASSWORD: 'npm'

    volumes:

    - ./data/mysql:/var/lib/mysql


    docker-compose up -d



    Nun zu meiner Frage.

    Ich möchte einige sicherheitsrelevante Dienste per Docker, wie zum Beispiel meinen BitwardenRS, realisieren.

    Sind die Dienste jetzt durch den Nginx-Proxy-Manager gut geschützt? Es sind ja nur noch die Ports 80 und 443 auf den Proxy umgeleitet.

    Ist es besser zum Beispiel einen Raspi Zero für den Reverse Proxy zu nutzen welcher dann auf einen Docker Raspi mit den ganzen Diensten weiterleitet?


    Ich bin sehr auf eure Tipps gespannt!


    Danke!