staging.inyokaproject.org

Hallo Users,

von dort https://forum.ubuntuusers.de/topic/nextcloud-lxc-container/#post-9145269

besser hier weiter.

Wie sichert Ihr eure Nextcloud mit Docker ab?

Greetz

undine

Definiere absichern. Meine ist nur im internen Netz zu erreichen, wird täglich "gebackupt" und wöchentlich mit dem Rest des Backup auf externe Datenträger verfrachtet.

Falls du dich ins Internet wagst: fail2ban, iptables und ggf. ip route add blackhole (ip) für die Adressbereiche, die eh keinen Zugriff brauchen.

ChickenLipsRfun2eat schrieb:

Falls du dich ins Internet wagst: fail2ban, iptables und ggf. ip route add blackhole (ip) für die Adressbereiche, die eh keinen Zugriff brauchen.

Das könnte schwierig werden, weil Docker selbst ziemlich viel via iptables macht.

HTTPS ist auf jeden Fall Pflicht - bei mir via ReverseProxy.

BillMaier schrieb:

Das könnte schwierig werden, weil Docker selbst ziemlich viel via iptables macht.

Ich halte es generell nicht für leicht Netzwerke richtig einzurichten. Deswegen bleibe ich gerne in meinem heimischen Netzwerk mit solchen Diensten. Die Docker-iptables sind allerdings nicht "störend", wenn man auf localhost mappt. Der Webserver kann das ganze dann per proxy-Modul darstellen und kümmert sich um die Weiterleitung.

Ein Manko bei diesem Setup ist allerdings, dass NC immer meckert, es sei nicht online (Was ja genaugenommen auch stimmt).

Hallo, wie muss ich "Nextcloud mit Docker Container" gegenüber Angriffen aus dem Netz absichern?

Greetz

undine

undine schrieb:

Hallo, wie muss ich "Nextcloud mit Docker Container" gegenüber Angriffen aus dem Netz absichern?

Das kann man so pauschal nicht sagen, da Du den Angriffsvektor nicht definierst. Generell üblich sind die Zugriffe per HTTPS und SSH, die man zuerst absichern sollte. SSH ausschließlich per Pubkey Verfahren und HTTP nur mittels TLS-Verschlüsselung (HTTPS). Fail2ban für SSH und HTTP hilft, generell sehr zu empfehlen ist 2FA bei Nextcloud für die Anmeldung. Damit hast Du dann den großteil der Angriffe erstmal abgefangen (heißt aber nicht, das sie dann zu 100% sicher sind). Der übrige Rest ist explizit auf die Ausnutzung von Schwachstellen ausgelegt, die behebt man idealerweise mit regelmäßiger Wartung der Software und Systeme.

BillMaier schrieb:

Das könnte schwierig werden, weil Docker selbst ziemlich viel via iptables macht.

Mit ferm z.B. kann man sich entsprechende Regeln bauen, die Docker nicht dazwischen funken bei iptables und man dennoch seine eigenen Regeln hinzufügen kann.

Into_the_Pit schrieb:

Mit ferm z.B. kann man sich entsprechende Regeln bauen, die Docker nicht dazwischen funken bei iptables und man dennoch seine eigenen Regeln hinzufügen kann.

Danke für den Hinweis!

Wie du Nextcloud absichern musst hängt weniger davon ab, ob du das in einer Schuhschachtel machst oder nicht, sondern eher davon, welche Dienste die Nextcloud haben wird.

• Hängt ein Mailserver dran?

• Ist Talk aktiviert?

• Gibt es eine eigene Stun/Tun-Lösung?

• Wird Onlyoffice oder Colabora verwendet?

Je nachdem was du mit deiner Nextcloud machst und welche Ports offen sind, brauchst gesonderte Regeln.

Das ist ohne Docker schon schwer, wenn man sich mit IP-Tables oder ufw nicht auskennt. Mit Docker wird die Frage wegen des internen Netzwerkroutings einiger Docker Container auch nicht einfacher.

Dann aber lediglich die Frage zu stellen, wie man das am besten absichert, ist ungefähr so, als ob mich meine Freundin morgens fragen würde Schatz was soll ich heute anziehen. Ihr Kleiderschrank dabei aber die Größe einer H&M-Filiale hat.

Du musst deine Frage schon etwas präzisieren, wenn du eine vernünftige Antwort bekommen willst.

Grundsätzlich ist es doch so. Über jeden offenen Port kann ein Angriff auf deinen Server Stattfinden. Je nach dem welche Dienste du auf deinem Server installiert hast hast du entweder mehr oder weniger Prots offen. Egal ob mit Docker oder ohne. Wenn du eine Liste der Offenen Ports auf deinem Server hast, die du z. B. über

sudo lsof -i -P -n | grep LISTEN

auslesen kannst, dann kannst du dir überlegen. Welcher Dienst oder welche Person von wo aus auf den jeweiligen Port unter Verwendung welches Protokolls zugreifen darf.

Wenn dir das klar ist, dann weist du im Grund auch schon wie du deinen Docker Container absichern kannst. Der rest ist Lesen von Man Pages und eingeben von Befehlen. Bei letzterem kann dir das Forum hier sicherlich helfen. Bei der Planung der Zugriffsrechte auf deinem Server eher weniger.

Wir können ja gar nicht wissen, was da so läuft und welcher Dienst da mit welchem Dienst oder welcher Art Nutzer telefonieren soll. Darum ist deine Frage, so wie sie gestellt ist ein bischen schwierig zu beantworten.

Hallo,

Hilfe gefunden und Thema gelöst? Dann bitte als solches markieren. Danke.

Gruß BillMaier