meister_lamp3 Geschrieben 28. August 2013 Teilen Geschrieben 28. August 2013 Guten Abend Leute, ich habe auf meinem Rasperry PI die OWNCLOUD laufen, für Kontakte, Kalender und natürlich als Speicher. Nun würde ich das jedoch gerne ans Internet anbinden um auch von der Arbeit/Berufsschule/Handy darauf zugreifen zu können. Nun muss ich mir Gedanken um die Sicherheit machen und habe im Internet recherchiert. In etwa so habe ich mir das bis jetzt zurechtgelegt : - SSH über Key+PW - root login deaktiviert - apache ssl erzwingen - fail2ban ist ja wenn ich das richtig verstehe nicht mehr notwendig wenn key benutzt wird, oder ? - per ufw alles ports sperren und einzelnt die Gebrauchten per allow/limit freischalten Geht das so in Ordnung oder habe ich was wichtiges vergessen ? Grüße PS : Ans Internet kann ich den PI durch die Portweiterleitung meiner FritzBox anbinden oder ? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Gast UnknownX Geschrieben 28. August 2013 Teilen Geschrieben 28. August 2013 Ich wuerde den standard ssh port noch wechseln Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Crash2001 Geschrieben 29. August 2013 Teilen Geschrieben 29. August 2013 Ich wuerde den standard ssh port noch wechselnNa da reicht es ja, wenn er auf der Fritzbox dann nicht von Port 21 extern auf Port 21 intern leitet, sondern extern einen anderen Port wählt für die Portweiterleitung. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
pr0gg3r Geschrieben 29. August 2013 Teilen Geschrieben 29. August 2013 Den SSH-Port zu wechseln bringt eigentlich absolut nichts, ein einfacher Portscan und man hat den richtigen Port herausgefunden. Ich würde es besser finden, SSH nur im lokalen Netzwerk zu erlauben. Nach außen dann natürlich nur HTTP(S). Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Gast UnknownX Geschrieben 29. August 2013 Teilen Geschrieben 29. August 2013 Absolut nichts ist so nicht richtig. Meinst wird sich nicht die muehe gemacht eine ip komplett durchzuscannen. Ist jetzt keine fortknox sicherheit, aber bedarf auch keine 5h arbeit das im nat einzurichten. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
pr0gg3r Geschrieben 29. August 2013 Teilen Geschrieben 29. August 2013 Absolut nichts ist so nicht richtig. Also ist alles richtig? Meinst wird sich nicht die muehe gemacht eine ip komplett durchzuscannen. Ist jetzt keine fortknox sicherheit, aber bedarf auch keine 5h arbeit das im nat einzurichten. Ja stimmt schon, ich ändere bei meinen Webservern auch immer den SSH-Port einfach aus routine. Wenn es aber darum geht, SSH nicht über das Internet zu benötigen, wieso sollte ich ihn dann außerhalb des lokalen Netzes erreichbar machen. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
GoaSkin Geschrieben 3. September 2013 Teilen Geschrieben 3. September 2013 Falls dein Internet Provider auch IPv6 bietet, hat der Raspberry eine echte IP, über die er auf allen Ports von außen erreichbar ist. Da nutzt auch NAT am Router nichts mehr. In diesem Falle musst du entweder am Gerät IPv6 deaktivieren oder dir Gedanken über eine IPv6-Firewall machen. Der Witz bei IPv6 ist auch, dass ein Rechner nicht nur eine IP vom Router bekommt, wenn ein DHCP-Client läuft, sondern die ganze IP-Vergabe Kernel-basiert erfolgt, ohne dass ein Dienst laufen muss. Der Router teilt dabei per Multicast mit, aus welchem Adressbereich er Adressen routen kann, wobei die Clients dann den Adress-Präfix durch ihre MAC-Adresse ergänzen, um sich selbst eine vollständige und gültige IP zu geben. Bei Windows, MAC OS, fast allen Linux-Distributionen und auch vielen Firmwares (z.B. der von HP-Druckern) bekommen die Clients IPv6-Adressen verpasst, ohne dass man dies vorher einmal so festgelegt hat - und oftmals, ohne dass man es merkt. Da muss nur ein Router Broadcasten, dass er einen IPv6-Präfix (ein Subnet) hat und plötzlich haben fast alle Geräte international geroutete Adressen. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.