Raspberry PI/Raspbian verteidigen ...

  • Hallo,

    ich bin Newbie und habe gerade einen OwnCloud-Server auf meinem Raspbian zum Laufen gebracht und mit ufw die Firewall so eingestellt, dass nur Anfragen an Ports 22, 80 und 443 durchkommen. Was kann ich Weiteres tun, um ihn vor Zugriffen von außen zu schützen? Gibt es eine gute Anleitung?

    Gruß,
    M.

  • Also erstmal solltest du nur Ports weiterleiten die du auch tatsächlich übers Internet ansprechen musst... Somit fällt es eigentlich flach eine extra Firewall auf dem RaspberryPI einzusetzen da der Router bereits eine Firewall ist -> der lässt nur Verbindungen rein für die eine Portweiterleitung existiert

    Um ownCloud zu nutzen brauchst du nur die Webserver Ports - standardmässig wäre das für http Port 80 oder für https Port 443

    Warum also weitere Ports über eine Software Firewall auf dem RaspberryPI schützen wenn der Router sowieso nur port 80 und/oder 443 durch lässt :huh:


    Um dann fremden Zugriff zu unterbinden kannst du, wie dicker182 bereits geraten hat, fail2ban installieren aber solltest das auch noch konfigurieren..
    Nachteil von fail2ban ist allerdings dass es nur auf Dinge reagieren kann die in Logfiles stehen - es überwacht also die Logdateien und führt dann entsprechende Aktionen aus: wenn jemand 3x falsche Zugangsdaten eingegeben hat wird dessen IP zb für 360 Minuten gesperrt


  • ... einen OwnCloud-Server auf meinem Raspbian zum Laufen gebracht und mit ufw die Firewall so eingestellt, dass nur Anfragen an Ports 22, 80 und 443 durchkommen. Was kann ich Weiteres tun, um ihn vor Zugriffen von außen zu schützen?


    Hast Du den sshd (Port 22) so konfiguriert, dass nur schlüsselbasierte Authentifizierung möglich ist?
    BTW: Befindet sich dein RaspberryPi hinter einem Router oder hat dein RaspberryPi eine öffentliche externe IP-Adresse?


    EDIT:

    Der user pi sollte auch nicht dauerhaft mit ssh benutzt werden. D. h., einen anderen Benutzer (... mit einer uid > 1000) auf dem RaspberryPi anlegen.

    EDIT 2:

    Den sshd (über die sshd_config) kannst Du z. B. zusätzlich (... nach dem die schlüsselbasierte Authetifizierung sicher funktioniert) wie folgt konfigurieren/einstellen:

    Die Konfiguration des sshd kannst Du mit:

    Code
    sudo killall -HUP sshd


    erneuern.

    EDIT 3:

    Wenn Du weißt was Du machst, dann kannst Du zur Absicherung des sshd, zusätzlich auch die Datei "/etc/hosts.allow" verwenden/benutzen.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p6 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (12. November 2013 um 15:31)

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!