Ist meine Nextcloud sicher vor Hackerangriffen?

Hallo zusammen,

ich bin ein raspberry Anfänger und vor allem im Bereich nextcloud.
Ich habe mir meine nextcloud eingerichtet, bin mir aber nicht sicher, ob sie auch sicher genug ist.
https ist aktiviert und Zugriff √ľber Extern geht auch dank dyndns.

Gibt es einen Selbstcheck, ob ich aktuell vor Hackern sicher bin?

Danke f√ľr die R√ľckmeldung :slight_smile:

https://scan.nextcloud.com/

@BlueFire
Erst mal musst du √ľberlegen, dass es wahrscheinlich weltweit Hunderttausende Nextclouds gibt. Deine muss erst mal ein Angreifer finden. Sehr wahrscheinlich wird sie eher aus deinem eigenen Netz angegriffen oder aus dem Internet mit deinen Zugangsdaten, die du selbst verloren hast.

Dann ist es wichtig, dass du sowohl dein System (Pi) als auch deine Nextcloud aktuell h√§lst. Das bedeutet nicht, dass du unbedingt die neuste Version brauchst. Du brauchst eine Version, die offiziell unterst√ľtzt wird.

Zudem kannst du gegen gewisse Sicherheitsrisiken Vorkehrungen treffen. So musst du dort vielleicht nicht alles ablegen. Auch solltest du immer ein aktuelles Backup deiner Daten haben. Schau dir auch regelmäßig deine Backups an und versuche z. B. ein Restore. Ok das ist bei nur einem Pi evtl. schwierig.

Grunds√§tzlich halte ich Managed Nextcloud im Internet nicht wirklich f√ľr unsicherer. Dort gibt es Experten, die dir f√ľr kleines Geld in Deutschland deine Nextcloud hosten. Wenn du alles einpreist wie deine Arbeit und den Strom, ist eine Managed Nextcloud mit z. B. 500 GB f√ľr 5 Euro im Monat g√ľnstiger als ein Pi mit 24/7. F√ľr ein zus√§tzliches Backup musst du dann evtl. noch ein paar Euro in die Hand nehmen oder das Backup zuhause selbst machen.

3 Likes

Ich denke, das größte Risiko ist ein selbst verursachter Fehler in der Apache/nginx config.

NC Zugang kannst du prima mit Two-Factor TOTP einen zusatzschutz einbauen.

Baue eine Netzwerkaktivität Überwachung ein (Netdata zb.) und behalte diese immer im Auge.

Nutze Geoblocking. Keine Verwandte in China/USA ‚Üí Geoblock (kleiner Zusatzschutz).

Gibt es eigentlich eine Liste mit Vorschlägen, wie man auf 99% Schutz kommt?

2 Likes

Um sich zu √ľberlegen ob das eigene System Sicher ist hilft es sich zu √ľberlegen wie man den als Angreifer vorgehen k√∂nnte.

Solange du keine SSH zugriffe von außerhalb deines lokalen Netzwerks zulässt sind schon mal gut die Hälfte aller Angriffe nutzlos.

Dann hilft es den Adminaccount nur zu benutzen wenn man wirklich etwas am System √§ndern m√∂chte. F√ľr die normale Nutzung tuts auch ein seperater Account ohne Adminrechte.
Wird der zum Beispiel komprummitiert durch einen Angriff hat der Angreifer zumindest mal keine Adminrechte.

Zus√§tzlich k√∂nnen alle Accounts mit einem zweiten Faktor gesichert werden, was in meinen Augen bei einem Adminaccount definitiv pflicht ist. Einen Ubikey kriegst du auf Amazon f√ľr uvp 30 ‚ā¨ und die Nextcloud unterss√ľtzt den passwortlosen login damit um dich vor keyloggern zu sch√ľtzen oder die Nutzung als u2f-device. In meiner Instanz sch√ľtze ich den Amdinaccount mit einem Yubikey als U2F-Device. F√ľr den Normalverbraucher vollkommen ausreichend.

Dann sollte der SSH-Zugang nat√ľrlich nicht nur mit einem Passwort sondern am besten mit einem rsa key gesichert werden. 2048 bit l√§nge ist ok >4000 bit gilt aktuell als sicher.

Um den Basisschutz abzurunden empfehle ich umbedingt Fail2Ban sowohl f√ľr den SSH zugang als auch f√ľr die Nextcloud um sich vor Bruteforceangriffen zu sch√ľtzen.

1 Like

Jup, sehe ich √§hnlich wie @DrJambus. Wobei ich in der heutigen Zeit nicht mehr ganz einig gehe, dass es kein Problem ist, wenn etwas nur im lokalen Netz verf√ľgbar ist. In Zeiten, in denen ein normaler Haushalt teilweise locker 50 oder mehr Ger√§te im gleichen Subnetz wie die Nextcloud betreibt. Von der √ľber das Internet gesteuerten Toilettensp√ľlung bis zur mit Viren und Trojanen verseuchten Filesharing/Gaming/P0rn-Konsummaschine des Juniors, sollte man eigentlich im internen Netz die gleichen Schutzmassnahmen wie nach aussen treffen.

1 Like

Wichtig zu wissen ist - es gibt keine absolute Sicherheit! Man beachte: es wurde bei heise und Fireeye eingebrochen - beides nicht unbedingt nachlässige IT-ferne Unternehmen.

Man kann viel f√ľr die Sicherheit des eigenen Systems machen: angefangen bei sicheren Passw√∂rtern (mit 2FA), regelm√§ssige Aktualisierungen und √ľbliche Sicherheitsmassnahmen wie ‚Äúnicht jeden anklicken‚ÄĚ befolgen. Man kann es kaum besser auf den Punkt bringen als 2 sehr unterschiedliche Meinungen von 2 super erfahrenen Mitgliedern dieses Forums:

zur Meinung von @devnull - ich habe die genauen Zahlen nicht im Kopf, aber aktuell dauert es mit potenter Hardware und Bandbreite nur wenige Stunden (4-8) um den gesamten IPv4 Adressraum zu scannen (und verwundbare Installationen zu finden) - vermutlich wird niemand seinen Supercomputer und 1TB/s Leitung einsetzen um deine Urlaubsfotos zu klauen - aber jemand könnte…

zu @bb77 sicher kann man eher einfach viele IoT Ger√§te vollautomatisiert angreifen und √ľbernehmen - von diesem Ger√§t aber auf die im gleichen Netz laufende Nextcloud zu springen und (geringeren) Schutz zu √ľberwinden d√ľrfte im Normalfall eine manuelle Interaktion erfordern und damit eher selten passieren (kein ‚Äúrichtiger‚ÄĚ Hacker interessiert sich f√ľr deine Urlaubsfotos - es gibt aber genug Scriptkiddies) .

Unter dem Strich w√ľrde ich einen erfolgreichen Angriff als eine Frage der Zeit betrachten und (nat√ľrlich nachdem alle sinnvolle Schutzmassnahmen implementiert sind! s.o.) meine Kraft in eine verst√§ndliche, sichere und einfache Backup Strategie investieren. Ein gutes Backup sch√ľtzt nich nur vor Hackern sondern zus√§tzlich gegen Hardware und Software Ausf√§lle auch noch gegen eigene Fehler (√§√§h ich meinte die der Nutzer)‚Ķ Ich habe meine Nextcloud auf einem lokalen Linux PC mit gespiegelter Disk laufen. Im gleichen Netz l√§uft ein NAS, das die Daten t√§glich vom Linux PC per ssh abholt und dann 2*lokal sichert (beides mit Snapshot History von 14-30d). das NAS hat die Option (Backup) Verzeichnisse auf eine externe USB Disk zu sichern (ich habe 3 die ich abwechselnd nutze)‚Ķ Ich habe damit ehr viele aktuelle und wenige √§ltere Backups (die aber offline gegen Hacker/Crypto-Malware gesch√ľtzt sind)‚Ķ

Im Endeffekt muss jeder Admin sich Gedanken √ľber Gefahren machen. Jeder hat seine Priorit√§ten - der eine hat mehr Angst vor dem Virus den der Sohnemann von der n√§chst-besten Porno-Seite anschleppt, der andere f√ľrchtet die NSA‚Ķ man kann sich mit vertretbarem Aufwand nicht gegen alle Gefahren sch√ľtzen, aber es ist einfach sich Gedanken zu machen und ein Paar Schritte zu unternehmen um gr√∂sste Probleme zu adressieren! Ich pers√∂nlich kann damit leben wenn meine Backup Strategie die letzten 2-3 Tage nicht mitnimmt ich w√§re aber gekr√§nkt wenn Daten von vor 3 Monaten verloren gehen (dabei kann ich mir genug Szenarien ausdenken wie das passieren kann) - ich sch√§tze die Gefahr aber als gering ein und trage das Risiko‚Ķ

2 Likes

Ja meine Aussage war sicher etwas zu allgemein. Das ganze Thema ist sehr komplex, weshalb ich auch nicht weiter in die Details gegangen bin. Die Aussage kein richtiger Hacker interessiert sich f√ľr deine Daten, halte ich aber auch f√ľr zu einfach, auch wenn nat√ľrlich haupts√§chlich Firmen das Ziel dieser Angriffe sind. Ich halte es jedenfalls nicht f√ľr verkehrt, PCs, IOT-Ger√§te, lokale Serverdienste (NAS) und √∂ffentlich erreichbare Serverdienste in getrennten Subnetzten zu betreiben und nur den absolut n√∂tigen Traffic zwischen diesen Netzten zu erlauben. Alle anderen Sicherheitsmassnahmen kann und sollte man deshalb nat√ľrlich nicht vernachl√§ssigen.

Sehr gut gel√∂st. Vorallem weil das NAS die Dateien abholt und so nicht dauernd ein Share gemountet ist, √ľber den ein Hacker auch gleich noch die Backups verschl√ľsseln k√∂nnte. Auch Offline Backups sind ein guter und wichtiger Punkt.

Backups sch√ľtzen mich aber nicht davor, dass evtl. sensible Daten in die H√§nde der Hacker kommen k√∂nnten, wenn sie es schaffen sollten sich Zugang auf ein System zu verschaffen. Also m√ľssen die Systeme nat√ľrlich trotzdem anst√§ndig abgesichert sein.

Ich sehe das nicht als entweder oder. Ich gehe aber mit dir einig, dass ein Heimuser die Priorit√§ten richtig setzen muss. Es n√ľtzt nichts eine komplexe Firewall hinzustellen und Netze zu segementieren, wenn man die anderen Sicherheitsmassnahmen und Backups vernachl√§ssigt und/oder dann aus Bequemlichkeit den Traffic nicht (genug) einschr√§nkt zwischen den Netztsegmenten. Ein Heimuser sollte sich erst Gedanken √ľber eine Firewall und Netzsegementierung machen, wenn er alle anderen Massnahmen bereits getroffen hat. Dann kann es aber imho Sinn machen, diesen zus√§tzlichen Layer zu implementieren.

2 Likes

Noch etwas zur Bedrohungslage: Vor Diensten wie der NSA oder dem BND kannst du dich warscheinlich soewieso nicht sch√ľtzen. Wenn die dich ernstahaft auf dem Radar haben, installieren sie im Notfall den Tojaner direkt bei dir zuhause oder kommen einfach vorbei und beschlagnahmen alles. Dann hilft nur Full-Disk-Encryption :wink:

Trotzdem w√ľrde ich in der heutigen Zeit keine Wetten mehr abschliessen, dass Hacker nicht auch Privatpersonen erpressen oder sensible Daten ver√∂ffentlichen. Klar werden sie bei Hans M√ľller nicht den gleichen Aufwand betreiben wie bei einem Prominenten oder bei einer Firma, weil es einfach nicht genug Kohle zu holen gibt. Oder sie nutzen klassisches Phishing wie hier.

Allerdings werden moderne Hackertools immer ausgekl√ľglter und haben mittlerweile einen sehr hohen Grad an Automatisierung, so dass ich jetzt nicht darauf wetten w√ľrde, dass es gar nicht passiert. Sprich, die √ľblichen Tipps f√ľr Server, die man ins Internet stellt, wie SSH-Keys, HTTPS usw, auch im lokalen Netz zu verwenden, ist sicher nicht verkehrt. Weiter hilft es irgendwelche SAMBA Shares nicht dauernd gemountet zu haben, Serverdienste nicht auf Desktoprechnern installieren, die man auch zum surfen nutzt usw‚Ķ Admin Zug√§nge auch wenn sie nur lokal erreichbar sind mit sichern Passw√∂rtern und 2FA abzusichern. Software auf allen Systemen aktuell halten usw usw‚Ķ

Ich wollte deine Aussage nicht entwerten. Alles was du gesagt hast ist richtig und wichtig. Ich sehe dass Menschen nicht unbedingt Lust haben ihr System zu administrieren und zu sch√ľtzen. Ich habe meine Priorit√§ten erl√§utert und ich weiss dass ich im ‚Äúdaily business‚ÄĚ eher als ein Laie agiere und einfachere L√∂sungen einsetze, obwohl ich weiss dass bessere L√∂sungen existieren (trotzdem dass ich h√∂here Anspr√ľche an mich habe :wink:). Deswegen habe ich meine Idee beschrieben - ich bilde mir ein, vielen Hobby-Admins ist es wichtiger im Notfall ein Backup zu haben als wenn jemand Zugriff auf die Daten bekommt‚Ķ

Ich finde manche Massnahmen sind im privaten Umfeld schwer umzusetzen oder unverhältnissmäsig (zB Netz-Segmentierung - gängige Consumer Geräte beherrschen das nicht oder nicht richtig - und Profi HW zu Hause ist auch Overkill). Das heisst nicht das es falsch ist - oft ist es einfach zu viel (Profi HW ist nicht unbedingt einfach zu administrieren).

Der Punkt ist - Verteidigung gegen Angriffe kostet Zeit und Geld (und ist nicht unbedingt sexy)‚Ķ Deswegen sollte Jeder Admin sich Gedanken machen wie viel Wert die Daten sind, die man verantwortet (kann man damit leben dass die Babyfotos weg sind? die Fotos der ersten Freundin? die Filmsammlung usw.) wie viel ist man bereit in den Schutz zu investieren (Zeit und Geld)? Anschliessend kann man handeln - Redundanzen, Backups, Firewalls usw oder einfach das Risiko tragen (im Sinn von kaputt oder auch f√ľrs ganze Internet ver√∂ffentlicht). Nachdem der Wert definiert ist, ist die Reaktion relativ einfach - Bedrohungen priorisieren, und von oben nach unten abarbeiten‚Ķ

Ich auch nicht. Darum war es mir wichtig, nochmal zu erklären wie ich es gemeint habe und ich denke wir sehen die ganze Sache gar nicht so unterschiedlich :slight_smile: Mir geht es auch weniger darum DICH zu beleheren und ich bezweifle nicht dass DU weisst was du tust, sondern weniger versierten Usern, die hier allenfalls mitlesen, noch ein paar Gedankenanstösse zu geben.

Jup Backups sind wichtig. Mir ging es einfach darum, nochmal klarzustellen, dass Backups nicht gegen Datendiebstahl sch√ľtzen. Und dass es u.U. unangenem werden kann, wenn die eigenen Fotos pl√∂tzlich irgendwo im Internet auftauchen.

Jup. Netzsegementierung muss sicher nicht zwingend sein. Umso wichtiger werden aber dann die andere Massnahmen wie alle Systeme aktuell halten, SSH Ports absichern (Keys, Fail2ban), und verschl√ľsselte Protokolle wie HTTPS auch im lokalen Netz nutzen.

Das Problem, dass hier im Forum und auch anderswo h√§ufig sehe, ist weniger, dass die Leute keine Profihardware einsetzten und keine Netzwerksegementiereung machen, was ich wie gesagt eher als zus√§tzlichen Layer ‚Äúon top‚ÄĚ der anderen Massnahmen sehe. Sondern, dass immer noch vielerorts die Meinung vorzuherrschen scheint, dass wenn etwas hinter dem Router stattfindet, es automatisch sicher sei und nichts passieren k√∂nne. Da wird gesagt, man brauche kein HTTPS im lokalen Netz, oder es wird an den Berechtigungen des Datenfolders der Nextcloud herumgeschraubt, um dann rgendwie mit einem unsicheren Protokoll aus den 80er Jahren von einem unsicheren IOT Device aus, welches in den 00er Jahren das letzte mal ein Update gesehen hat, direkt darauf zugreifen. (ja das ist jetzt etwas √ľberspitzt formuliert :wink: )

Ich w√ľrde sogar soweit gehen, dass in vielen F√§llen das interne Netz unsicherer ist, als die von aussen zug√§ngliche Nextcloud. Vorausgesetzt die Nextcloud, PHP, Webserver ist aktuell und nach allen Regeln der Kunst konfiguriert und nur Port 80/443 offen. Die ganze Sicherheit macht man sich sich dann halt ganz schnell kaputt, wenn man seine Server von seinem Trojanerverseuchten Windows 7 PC aus administriert und/oder unsichere Verbindungen am ansich sicher konfigurierten Webserver vorbei aus dem internen Netz zusl√§sst.

Jup das kann ich unterschreiben. :slight_smile:

1 Like

Nat√ľrlich muss die Installation aktuell sein. Es ist sehr einfach m√∂glich √ľber
https://cloud.server.tld/status.php
die installierte Version zu ermitteln. √Ąhnlich wie bei CMS-Systeme wie Wordpress, wo gezielt veraltete Versionen angegriffen werden.

Gesamtes IPv4-Netz bedeutet aber aber nicht alle Server im IPv4-Netz. Vor allen bei Webhostern enthalten einzelne IP-Adressen oft Tausende von DNS-Namen. Bei selbst gehostetenen Namen kommt man nat√ľrlich von der einzelnen dynamischen IPv4-Adresse direkt zum DNS-Namen bzw. zum konkreten Angriffsziel.

daf√ľr f√§hrt man mal 'ne stunde ein satz von nano ec2s in der aws hoch. ist auch mit taschengeld budget m√∂glich‚Ķ

1 Like

ich sehe schon hier hat sich was los getreten, aber lasst uns nicht die urspr√ľngliche Frage aus dem Auge verlieren.
Abschlie√üend w√ľrde ich sagen: ja die betreffende Nextcloudinstanz kann als sicher angesehen werden, wenn die entsprechenden Tipps aus dem Thread umgesetzt werden.

1 Like

Die urspr√ľnliche Frage, wurde ja ganz am Anfang von @OliverV schon beantwortet. :wink:

Und ja wenn man zusätzlich noch deine Tipps beherzigt ist man sicher schon sehr gut dabei. :slight_smile:

Ansonsten kann ich noch SSL Server Test (Powered by Qualys SSL Labs) und https://securityheaders.com/ empfehlen.

2 Likes

und zusätzlich noch SSL Server Test (Powered by Qualys SSL Labs)

Hallo an euch alle.
Vielen Dank f√ľr die unz√§hligen Antworten, echt klasse wie stark die Community hier ist.

Ich bin euch wirklich sehr dankbar f√ľr alle Tipps!

Ich werde mich morgen dran setzen und zu den einzelnen Punkten mich weiter informieren.

Das Thema mit dem Yubikey muss ich mir nochmal genauer anschauen und wie praktikabel das ganze ist.

Ich finde es interessant, dass du @wwe mit einem NAS die Daten zus√§tzlich nochmal abgreifst und sicherst. Ich sichere mich so ab, dass ich die Nextcloud App auf dem Rechner habe und somit auch immer ein Abbild meiner Nextcloud auf meinem Rechner ist. Schmiert die Nextcloud ab, habe ich alle Daten noch auf meinem Rechner. Schmiert mein Rechner ab, habe ich alle Daten auf dem Server. Zus√§tzlich mache ich jeden Monat ein Backup. Die Nextcloud verwende ich als Online Share M√∂glichkeit, von der ich von √ľberall drauf zugreifen kann, auch mit meinem Handy. Meine Eltern und Schwester haben auch einen Account in meiner Nextcloud.
Muss ich hier noch weitere Dinge beachten außer die oben genannten Punkte oder ist in meinem Fall noch mehr zu beachten?

Danke euch! :slight_smile:

Ich w√§re da sehr vorsichtig und w√ľrde wenigstens sporadisch noch ein Backup der Dateien machen, und wenn du nur ab und zu die Dateien von deinem Rechner manuell auf eine externe USB-Festplatte schiebst. Besser ist es nat√ľrlich das ganze zu automatisieren.

Synchronisierung ist kein Backup! Wenn du z.B. aus Versehen eine oder mehrere Dateien im Nextcloud Ordner l√∂scht, ist das eine Sekunde sp√§ter auch auf der Nextcloud gel√∂scht und umgekehrt. Klar landen die Daten dann zuerst noch im Papierkorb‚Ķ Trotzdem w√ľrde ich dringend empfehlen noch ein echtes Backup der Dateien zu machen. Es kann immer etwas richtig schief gehen und dann beisst man sich in den A**** wenn man sich den Aufwand f√ľr ein echtes Backup gespart hat :wink:

Falls du TOTP z. B. mit Google Authenticator nutzen willst, schau dieses Video.

zus√§tzlich zur Antwort von @bb77 Synchronisierung ersetzt das Backup vor allem dann nicht wenn man √ľber reines File Management hinausgeht - Shares, Metadaten, Kalender usw - das Alles ist in der Datenbank gespeichert, die nur auf dem server liegt. Zus√§tzlich bieten neue Client Versionen das Virtual File System (VFS) an - die Files werden dabei ‚Äúon-demand‚ÄĚ synchronisiert.

Ein ‚Äúrichtiges‚ÄĚ Backup umfasst die Dateien aller Benutzer und die Datenbank. Es sollte dabei ‚Äúvon aussen‚ÄĚ d.h. nicht innerhalb der Nextcloud installation stattfinden sondern eine Ebene tiefer - im Betriebssystem. Nur so kannst du auch Dateien der anderen Benutzer sichern‚Ķ Ich w√ľrde darauf achten dass es automatisch und h√§ufig abl√§uft - manuelles Backup wird meiner Erfahrung wird eher selten durchgef√ľhrt (hoffentlich bist du hier disziplinierter als ich)‚Ķ und es sollte Offline sein - damit bei Verschl√ľsselung / Zerst√∂rung usw dieses Backup nicht betroffen wird‚Ķ das ist der Grund f√ľr das NAS - ist streg genommen nicht Offline aber die Nextcloud Instanz hat keinen Zugriff auf das Backup - so kann der Hacker das Backup nicht (ohne weiteres) zerst√∂ren. Es ist mir klar dass es ein Hacker von der Nextcloud aus das NAS einfach angreifen kann - die Sicherheit dieser Ger√§te ist auch nicht unbedingt hoch - aber ich hoffe dass wenigsten vollautomatisch Angriffe damit ins Leere laufen‚Ķ

Aber um das nochmal Kurz zusammenzufassen: jede Massnahme die du anwendest kostet Ressourcen (Zeit, Geld, Aufwand) f√ľr Einrichtung und Betrieb. Grob gesagt geht es entweder darum den Datenverlust zu vermeiden (Schutz) und falls es trotzdem zu einem Datenverlust gekommen ist die Daten wieder herzustellen (Backup/Restore).

Beide Themen sind umfangreich und man kann sich endlos damit besch√§ftigen. Um f√ľr mich selbst einen Startpunkt zu haben stelle ich mir den GAU vor = Totalverlust der Hardware/Software (egal aus welchem Grund). Der Aufwand und die Dauer des Restore sind dann sehr hoch. Weitere Massnahmen adressieren kleinere Probleme und reduzieren idealerweise die Zeit f√ľr den Restore. Das unerreichbare Ziel ist dass man real-time Backup hat und damit keinen Datenverlust erleiden kann. Man muss f√ľr sich selbst einen passenden Punkt zwischen den 2 extremen finden - z.B. wenn man 2-3 Tage ohne die Daten auskommt und im Notfall den Verlust von Freigaben und Metadaten akzeptieren kann, reicht eine USB Disk mit allen Daten, die man bei Freunden/Eltern/Zweitwohnung deponiert und damit ein gegen h√∂here Gewalt und Hacker gesch√ľtztes Offline Backup (hier ist zus√§tzlich der Aufwand f√ľr das regelm√§ssige Backup hoch)‚Ķ

Das andere Thema ist was passiert wenn Hacker meine Daten erbeuten - dagegen sch√ľtzt kein Backup und man kann nur versuchen das System so gut es geht abzusichern (Updaten/Security Scans/Passw√∂rter/2FA/Monitoring)‚Ķ aber es gibt keine absolute Sicherheit.

2 Likes