Hallo, ich habe mir ownCloud installiert und würde damit gerne meine mobilen Geräte synchronisieren. Neben den üblichen Maßnahmen (zeitnahe Updates, Erzwingen von SSL, Fail2Ban) überlege ich, ob es bezüglich der Sicherheit noch andere sinnvolle Maßnahmen gibt...ich frage mich z.B., ob man die Cloud besser noch in ein namentlich nur mir bekanntes Unterverzeichnis installiert und sämtliches Directory Listing natürlich unterbindet? Würde das einen akzeptablen Schutz gegen Hacker bieten, sofern der Verzeichnisname relativ kryptisch ist? Grüße...Bernd
Nachtrag...das Ganze spielt sich bei einem Webhoster ab und die Cloud bzw. das Unterverzeichnis muss wegen der mobilen Geräte natürlich mit CalDAV bzw. CardDAV über eine URL erreichbar sein. Die Domain muss ansonsten aber keine Inhalte zur Verfügung stellen.
Da mein Smartphone auch ohne Root OpenVPN unterstützt, habe ich mein ownCloud hinter VPN versteckt. Damit sind die einzigen offnen Ports und potentiellen Sicherheitsprobleme SSH und VPN an meinem Router.
Hallo, dafür müsste ich aber wohl root Zugriff bzw. einen eigenen Server haben, oder? Ein VPN bietet mir mein WebHoster in den normalen WebHosting-Tarifen jedenfalls nicht an. Grüße...Bernd
Bernd schrieb: > ob man die Cloud besser noch in ein namentlich nur mir bekanntes > Unterverzeichnis installiert und sämtliches Directory Listing natürlich > unterbindet? > Würde das einen akzeptablen Schutz gegen Hacker bieten, sofern der > Verzeichnisname relativ kryptisch ist? Ja, auf jeden Fall. Nicht-Standard Verzeichnisnamen (bei Diensten auch Ports) hilft schon mal gegen die ganzen Botnetze, die nur die Standards probieren und ca. 90% der Angriffe ausmachen. Die Variante mit VPN ist zwar recht sicher aber nicht so ganz praktisch, wenn man mal eben die Weboberfläche der Cloud von außen nutzen möchte.
Bin mir jetzt nicht sicher ob das so funktioniert.. Falls Du den apache benutzt könntest Du in einem Virtualhost als Subdomain auf einen anderen Port gehen, vielleicht auch einen Proxy nur für eine Subdomain und diesen auf einem anderen Port hören lassen.
Bernd schrieb: > Hallo, > > dafür müsste ich aber wohl root Zugriff bzw. einen eigenen Server haben, > oder? > Ein VPN bietet mir mein WebHoster in den normalen WebHosting-Tarifen > jedenfalls nicht an. Das ist richtig, aber was spricht denn gegen einen günstigen virtuellen Server? Ich nutze seit geraumer Zeit einen für €1,50 von php-friends und bin mit der Leistung voll zufrieden.
Achso Webhoster.. Hatte nur Fail2ban gelesen, haste fail2ban beim webhoster?
Sicherheit ist eine Illusion und einen ungarischen Hacker zitierend gibt es bei der Computersicherheit nur 2 Regeln: 1.) Kaufen Sie keinen Computer. 2.) Wenn Sie einen Computer gekauft haben, schalten Sie ihn nicht ein. Für einen effektiven Schutz müsste man die Interna der eingesetzten Systeme kennen und eine Sicherheitsüberprüfung ist langwierig.
Psycholösungen: 1.Wenn Du sowieso eine Webseite mit Login Laufen hast könntest über den aktiven Login, bzw bei Login Deine IP in der htaccess des Owncloud Ordners aktualisieren. #####letzten 3 Zeilen aktualisieren order deny,allow deny from all allow from DEINE IP Oder sogar ganz einfach gleich das Cookie des Usersystem das den Login deiner gehosteten Webseite benutzt mit in die Ownclod header Datei rein.. Wenn Du dann nicht auf der webseite eingeloggt bist kriegste nichtmal das Owncloud Login bzw irgendwas angezeigt.
Kann dem bisherigen auch sehr beipflichten: Unübliche Ports verwenden, unübliche Verzeichnisstruktur verwenden, unübliche Dateinamen verwenden, ... Diese sehr einfachen Massnahmen helfen schon gegen den Grossteil von automatisierten Angriffen.
Ich kenne mich nun nicht so richtig mit Cloud-Diensten bei den Hostern aus, kann dir aber folgendes empfehlen: Bernd schrieb: > Sicherheit noch andere sinnvolle Maßnahmen gibt...ich frage mich z.B., Falls du Vollzugriff auf den Server hast möchte ich dir zu Portknocking raten. Das nimmt so ziemlich alle Risiken aus der Sache, wenn du das nur für dich selber betreibst und keine Webseiten bereitstellen willst / mußt. Dabei möchte ich aber von einer Lösung mit dem "knockd" explizit abraten, weil das bei Ausfall dieses Daemon unweigerlich zum Lock deines Servers führt. Besser ist eine Lösung direkt auf iptables- (Linux) bzw. pf-Basis (BSD). Bei dieser Lösung ist dein System von außen vollkommen dicht und läßt nur bei passender knock-Reihenfolge ausschließlich die anfragende IP zum Dienst (ownCloud) bzw. Port durch. Knock-Clients gibt es auch für Android. > ob man die Cloud besser noch in ein namentlich nur mir bekanntes > Unterverzeichnis installiert und sämtliches Directory Listing natürlich > unterbindet? Das nützt dir auch nichts wenn du eine Schwachstelle im z.B. Apache oder einem seiner vielen Module hast. Dann wird der Server direkt über diese angegriffen (siehe z.b. ShellShock). > Würde das einen akzeptablen Schutz gegen Hacker bieten, sofern der > Verzeichnisname relativ kryptisch ist? Wer tatsächlich den Dienst hacken will findet bestimmt auch hier einen Weg. Security-by-Obscurity war bisher noch immer ein großer Fehler.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.