Sicherheitsrisiko beim Live-Betrieb eines Webservers

  • Hallöchen ihr Lieben :S


    Ich bin seit gestern stolzer Besitzer eines Raspberry Pi 4b und habe mir diesen zugelegt um meinen eigenen Webserver zu betreiben.


    Soweit läuft alles 1A mit apache2, php 7.4, MariaDB/MySQL und phpmyadmin auf raspbian lite. Natürlich alles bisher nur im internen Netzwerk (über eine Fritz!Box 7520)



    Ich habe mich nun bereits ein wenig in das Thema Sicherheit eingelesen und eine sehr allgemeine Frage die das generelle Sicherheitsrisiko betrifft. Einige Maßnahmen habe ich bereits getroffen wie z.B.:


    - Anderes PW für den Nutzer "pi" (hier werde ich vmtl noch einen neuen Nutzer anlegen und "pi" deaktivieren)

    - phpmyadmin Standard acc. ungeändert (natürlich mit eigenen PW), aber ohne Berechtigung bei Fernzugriff

    - Eigener Acc. für den Zugriff auf phpmyadmin

    - Separate Accounts ohne Global Berechtigungen für einzelne Datenbanken

    - ssh Zugriff wieder deaktiviert (ich weiß, sehr umständlich wenn man wieder was ändern will, aber sicher ist sicher?)


    Meine Frage wäre nun hauptsächlich ob ich zusätzliche Maßnahmen ergreifen muss wenn ich den Pi nun als Webserver an meiner Fritzbox betreiben möchte (per Portweiterleitung bei Port 80 auf den Pi) und wie das allgemeine Sicherheitsrisiko für mein eigenes Netzwerk ist?


    Mir geht es dabei darum, falls es jemanden Möglich sein sollte auf den Pi zuzugreifen oder diesen zu "kapern" ob von diesem auf meine anderen Geräte im Netzwerk zugegriffen werden kann?


    Ich betreibe nur ein kleines Dashboard mit nicht sensiblen Daten (wie Bookmarks, einige Datatables für Spiele und Filme (Watchlist), kleines Notizbuch (ohne sensible Daten) etc. darauf. Es wäre nun nicht "schlimm" wenn jemand Zugriff darauf selbst erhält. Ich möchte aber vermeiden, dass vom Pi aus andere Geräte im Netzwerk kompromittiert werden können.

  • Meine Frage wäre nun hauptsächlich ob ich zusätzliche Maßnahmen ergreifen muss wenn ich den Pi nun als Webserver an meiner Fritzbox betreiben möchte (per Portweiterleitung bei Port 80 auf den Pi) und wie das allgemeine Sicherheitsrisiko für mein eigenes Netzwerk ist?

    Soll dein Webserver aus dem Internet, für jeden erreichbar sein oder nur für dich?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Hey rpi444,


    danke für das schnelle einklinken in meine Frage.


    Ich vermute du zielst auf eine zusätzliche Sicherung mittels Passwort oä. ab um den Raspberry Pi überhaupt auf Port 80 ansprechen zu dürfen (gibt es da eine Lösung direkt über die Fritz!Box?)


    Gernerell wäre es schön (da ich auch einen kleinen Filebrowser für Fotos eingebaut habe) wenn er auch so "öffentlich" erreichbar ist, sodass ich noch direkt Links zu den Bildern teilen kann.


    Falls es eine Möglichkeit gibt den Raspberry erst nach einer Authentifizierung an der Fritz!Box von Außen erreichbar zu machen wäre ich an der Idee aber auch interessiert, da es ein guter Kompromiss wäre um selber noch Zugriff auf mein Dashboard zu haben von unterwegs aber den Pi selber vor Fremdzugriffen vollständig zu schützen.


    Ich hoffe ich habe richtig verstanden worauf du abzielst.

  • Grüße,


    du kannst den SSH Port getrost offen lassen, ihn aber in der sshd_conf abändern und dort weitere security einstellungen vornehmen.


    fail2ban für ssh und web authentifizierung einrichten


    die produktive version von apache2 verstecken, sodass man sie mit einem portscanner nicht erkennen kann.

    die apache2.conf oder deinen apache2 vhost anpassen, dass kein indexing usw. möglich ist.


    port 443 mit ssl kann grundsätzlich auch nie schaden


    einen eigenen user im system anlegen, dass nur der sich mit ssh anmelden kann. pi ist ein standard user, lege z.B. den user ananas im system an und gib in der sshd_conf mit AllowUsers ananas an, dass nur dieser user sich mit ssh einloggen kann.


    phpmyadmin public machen ist nicht die beste idee, außer du richtest ein fail2ban jail ein, dass z.B. bei 3 fehlversuchen beim login eine firewall bantime auf die ip von z.b. 20 jahren ausgeführt wird xD aber bitte sperr dich nicht selbst aus! :D


    eine firewall kann auch nicht schaden, ufw oder iptables :)

    Der Computer rechnet mit ALLEM, nur nicht mit seinem Besitzer.

  • Auch dir vielen Dank für dein Feedback tenknolp und Tigerbeere.


    Ich habe zusätzlich nochmal hier im Forum und über Google ein wenig recherchiert.


    Besonders dieser Thread hier: Apache Webserver absichern hat mich ein wenig besorgt.


    In erster Linie geht es mir natürlich darum, die Sicherheit meiner anderen Geräte die hinter der Fritz!Box hängen nicht zu gefährden. Der Installations- und Konfigurationsaufwand schaut zwar durchaus durchführbar aus, aber man muss das alles ja auch Up2Date halten. Ich bin nicht sehr bewandert in Sachen Netzwerke und Server und auch meine PHP und MySQL Skills würde ich eher als Basiswissen einstufen.


    Zusätzlich dazu trägt man ja auch eine gewisse moralische (und vielleicht auch rechtliche?) Verantwortung beim Betrieb eines Servers. Würde der Pi "nur" gekapert werden um damit Spam oder ähnliches zu versenden wäre das auch sehr bedenklich.


    Über eine Demilitarisierte Zone bin ich auch schon gestolpert. Aber die "richtigen" Lösungen erscheinen mir sehr kostenintensiv und eine Lösung mit zwei Reoutern bietet wohl nur eine "eingeschränkte" Sicherheit. Dazu würden dann vermutlich noch Probleme mit NAT kommen (vermute ich mal, wenn man zwei Router hintereinander klemmt). Eine Lösung mit einem Moden, wo der PI und der "richtige" Router angeschlossen wird wäre zwar sicherlich für die Sicherheit der anderen Geräte ein Mehrgewinn, aber so viel Aufwand möchte ich aktuell nicht betreiben.


    Ich werde nochmal schauen ob es eine Möglichkeit gibt die Fritz!Box als Passwortschutz vorzuschalten, ich glaube beim Fritz!Box NAS ist das ja möglich? Eventuell gibt es sowas auch für Webserver? Ansonsten werde ich denke ich doch eher darauf verzichten da mir das Risiko im Gegensatz zu dem Nutzen den ich dadurch hätte zu hoch ist.


    Vielen Dank auf jeden Fall für die tolle Hilfe. Ihr habt für viel Lesestoff bei mir gesorgt. :)

  • Auch nochmal vielen Dank für die letzten Links.


    Ich habe mich gestern noch ein wenig eingelesen bezüglich VPN über die Fritz!Box und werde den Service von AVM nun über myfritz nutzen um mich mit dem Heimnetz zu verbinden. So bleibt der kleine Pi schön geschützt und ich kann trotzdem auf mein Dashboard zugreifen.


    Nun wird es nur noch Zeit für eine ipv6 Adresse am Handy. Da ich nur DS-Lite und ipv6 habe, kann sich mein Handy welches noch über ipv4 unterwegs ist nicht mit dem VPN verbinden :D Aber das kann sich ja nur noch um Jahre handeln.


    Nochmal vielen herzlichen Dank an alle für die tollen Tipps und die nützlichen Links :)