Ich glaube man muss noch das immer im Griff haben: Security Advisories · nextcloud/security-advisories · GitHub
Z.b. das ist ganz-ganz wichtige Update: Attacker can obtain write access to any federated share/public link · Advisory · nextcloud/security-advisories · GitHub alles was runter Versionen “< 19.0.11, < 20.0.10, < 21.0.2” hat Problemen.
da kommt bei mir immer A+ egal ob ich apps deaktiviere sie sicher sind, ist leider nicht gut genug
nach einem gekauften SSL- Zertifikat bei NO IP und nach der Installation, wurde mein server durch eine brute force attackiert. Ich weiß nicht wie aber danach hat der Angreifer einzelne Module des javascribtes angegriffen bis diese schwach wurden und nicht funktionierten. ich habe keine Ahnung ob er jetzt drin ist. ich habe vorsichtszahalbar mein server lahmgelegt… und durch fail2ban habe ich zuvor seine ip gesperrt. jetzt sperrt es jede ip die mir 3 versuchen nicht rein kommen können
Eigentlich erhöht TLS/SSL die Sicherheit nicht wirklich. Denn ob normaler Anwender oder Angreifer, TLS/SSL muss verwendet werden.
Angriffe sind normal. Vielleicht hatte es jemand nur auf die IP abgesehen, die zuvor für andere Zwecke verwendet wurden. Wichtig ist, dass du die aktuellesten Versionen der vom Anwender/Angreifer erreichbaren Software (Webserver, PHP, Nextcloud) einsetzt. Eigentlich brauchst du kein fail2ban, da Nextcloud eigene Sperrmechanismen anbietet. Am besten wäre natürlich die Verwendung von 2FA.
Das ist gängige Praxis. Alle Zertifikate, die von öffentlichen Zertifizierungsstellen stammen, müssen seit 2018 im Certificate Transparency Log eingetragen sein. Das wissen auch die bösartigen Bots und suchen im Certificate Transparency Log nach der Domain (gerade von neu ausgestellten Zertifikaten) um sie anschließen sofort anzugreifen. Viele Instanzen wie z.B. Wordpress/Nextcloud usw. werden dadurch schon angegriffen und übernommen, bevor diese vollständig eingerichtet und abgesichert wurden.
Mit einem Wildcard Zertifikat kann man das umgehen, da dort nicht die vollständige Domain im Zertifikat steht.
Deswegen sind solche Aussagen schon sehr gewagt.
dass es wahrscheinlich weltweit Hunderttausende Nextclouds gibt. Deine muss erst mal ein Angreifer finden.
Angegriffen vielleicht. Aber übernommen? Wenn man aktuelle Software einsetzt, sollte das nicht der Fall sein. Genauso wie nicht einfach irgendwelche Webserver übernommen werden, die gar nicht über TLS/SSL verfügen. TLS/SSL ist kein Schutz gegenüber Angreifer. TLS/SSL hat ganz andere Schutzziele. Es sichert den Kommunikationsweg von Anwender/Angreifer und bestätigt die Identität des Servers aus Sicht des Anwender/Angreifer. Bei einem Angriff vollkommen irrelevant. Das Certificate Transparency Log lässt sich ein wenig mit einer Google-Suche vergleichen, wo man auch viele Domainnamen erhalten kann, die dann interessant für einen Angriff sind oder auch nicht.
Das stimmt. Und was hilft? Genau: Erst den Server volkommen einrichten und dann um TLS/SSL kümmern und nicht umgekehrt.
Das wäre eine Möglichkeit oder eben ein Wildcard Zertifikat.
Stimme da devnull zu, ein System sollte erst online gehen wenn es fertig eingerichtet ist.
Story:
Ein Freund hatte sich einen VPS besorgt und mit Debian/Apache/Nextcloud eingerichtet. Zuvor aber schon 80/443 freigeben und die Domäne eingerichtet. Für den Start von Nextcloud sollte ja auch alles funktionieren.
Das Installscript hatte er gestartet und ist zur Mittagspause gegangen. Danach sollte es mit der Oberfläche der Nextcloud weiter gehen.
Zu dem Zeitpunkt hatte sich aber schon jemand anderes auf die Domäne gelegt und ihm die Arbeit abgenommen.
Klar, dass er jetzt nicht mehr rein kam. Ist soweit eigentlich auch kein Problem, da sich die VPS problemlos wieder resetten läßt.
Aber es zeigt doch wie schnell es manch mal gehen kann.
Den Fehler macht er bestimmt nicht wieder.
Ich denke bei Lets Encrypt besteht das Problem weniger. Lets Encrypt lässt sich z. B. mit certbot erst dann konfigurieren, wenn der Webserver auf den Ports 80/443 erreichbar ist. Wenn man zudem die Standard-Paketquellen verwendet, sollte der Webserver auch sicher sein. Beispielanleitung
Nutze selber LE ausschließlich über 443 (DNS-01). Aber das macht die Sache auch nicht sicherer.
Es ist vielmehr der Weg dahin.
Das System muss eingerichtet werden und welcher “Anfänger” macht das schon ausschließlich über VPN?
Habe auch schon genug “Profis” gesehen, bei denen es mehrere Tage!!! “schutzlos” der Welt ausgeliefert war.
— Erst mal einrichten und dann darüber informieren wie es abgesichert wird — 
Wenn ich mir vorstelle, wieviele ahnungslose User Nextcloud selber hosten und durch Unwissenheit ihr lokales Netzwerk durch simple Fehler nackig gemacht haben.
Ich verstehe nicht, was man immer unter “abgesichert” versteht. Ein normal installierter Webserver sollte trotzdem keine Sicherheitslücke haben und auch nicht angreifbar sein.
Aber selbst wenn “einer von uns” einen VPS einrichten würde, würden wir eine Firewall nutzen um nur die Ports zu öffnen die es benötigt.
Habe letztens wieder einen bei Facebook gehabt, der hat seine Nextcloud über die Fritzbox von extern nicht erreicht. Keine Ahnung von Portweiterleitung oder IPv4 und IPv6. Letztendlich hat er in der Box “alles” auf gemacht (incl. DMZ zur Nextcloud). UFW war ihm zu kompliziert. Nicht mal den ROOT Zugang per SSH gesperrt. Sogar die Fritzbox ist aus dem Inet erreichbar.
Und jetzt komms…
Studiert IT Wissenschaft.
Ja, ein Webserver sollte eigentlich “sicher” sein. Aber letztendlich sind es Sicherheiten die sich Menschen ausdenken und die Menschen auch irgend wann umgehen können und es dann auch werden.
Es ist daher nicht die Frage, ob jemand irgend wann herein kommt sondern wie lange er dafür benötigt um das Interesse zu verlieren. Also denken wir uns Menchanismen aus, die das Eindringen nicht verhindern, sondern dem Eindringling so schwer wie möglich machen.
Transparenter Proxy grundsätzlich vorweg.
Fail2ban, aber ja und wenn möglich, sperrt man im Vorfeld einen Teil der Welt schon aus.
Firewall, aber auf jeden Fall. Nur das was nötig!
Aktueller Sicherheitsstand der Software, aber selbstverständlich.
Dazu eine kleine Geschichte:
Vor einigen Jahren hatte es eine Hackergruppe geschaft, kurzzeitig DNS Server zu kapern. Mag ja im ersten Augenblick garnicht so tragisch zu sein. Aber die Folgen waren dann doch unübersehbar.
So hatten sie es geschaft die DNS Einträge für Sicherheitspatches und Updates einiger Linuxdistributionen umzulenken.
Mailserver standen durch dieses Update plötzlich vollkommen nackig da. IMAP und POP3 waren ohne Passwörter zugänglich. SSH Zugänge waren offen.
Bei einigen Servern hatte es nur Sekunden gedauert, um diesen Fehler zu entdecken. Bei anderen Minuten oder vielleicht eine Stunde.
Aber viele private Server hatte es auch getroffen.
War nicht schön, plötzlich einen “open relay” mit mehr als 10.000.000 Spam Mails zu haben. Hatte ewig gedauert um die Domän wieder von den Spamlisten zu bekommen.
Also… Es hat nichts genützt das System “sicher” zu machen. Da hat die Update Strategie gefehlt. Diese lief im Automatikmodus, was der große Fehler war.
Nach einem Update, auch ein Sicherheitsupdate, sollte ausgiebig getestet werden, bevor das System wieder frei ist.
Viele große Nextcloud Anbieter machen das für ihre Systeme. Testen, testen und noch mal testen. Daher auch ein Grund dafür, dass diese Anbieter mit der Aktualisierung so hinterher hinken.
Ich glaube auch nicht , dass Nextcloud unsicher ist. Wird da doch noch einiges mehr benötig, wie z.B. Apache/Nginx und PHP und und und.
Letztendlich befindet sich der größte Fehler vom PC immer davor.
Es sind nur die Ports erreichbar auf denen gehorcht wird. Wenn ich nichts installiere, passiert auch nichts.
Auch hier ist nur das erreichbar, was erreichbar sein will. Und die Fritzbox ist von außen eigentlich nicht erreichbar.
Nextcloud ist ein Service, der über einen Webserver (Apache2/Nginx) bereitgestellt wird. Hierfür muss man die Ports 443 und/oder 80 erlauben. Firewalls bringen hier vor allen eins: nichts . Denn gerade diese Ports muss man erlauben, damit dieser Service überhaupt funktioniert. Da kannst du gerne den Port 4711 sperren, wo sowieso kein Service horcht. Aber viel hilft vielleicht viel.
Personal Firewalls vor allen unter Windows sind sinnvoll. Wenn man sich von innen Malware einhandelt, dann ist es besser, wenn nicht nach außen kommuniziert wird. Aber das ist ein anderes Thema. Wobei da man meistens mindestens Internet will, hat man sich selbst ein neues Loch eingehandelt trotz Personal Firewall.
Könnte Tailscale (https://tailscale.com/) in diesem Fall zusätzliche Sicherheit bieten? Falls nein, warum nicht? Mir ist bewusst, dass es einen zusätzlichen Sicherheitsaspekt darstellt und dass man mit genügend Zeit und Umwegen auch dieses System überwinden kann. Mein Ziel ist es jedoch, die Sicherheit so weit wie möglich zu erhöhen. Weiterhin kann ich PHP 8.3 aufgrund eines Installationsfehlers auf meiner Domain nicht nutzen. Ein Downgrade auf PHP 8.2 behebt diesen Fehler, und der Domain-Server funktioniert fehlerfrei weiter. Besteht dadurch möglicherweise eine Sicherheitslücke? Was sagt ihr dazu…
Letztendlich ist es doch die Sicherheit und das Titelthema:
Ist meine Nextcloud sicher vor Hackerangriffen?
Von mir ein klares NEIN.
Die Hacker waren immer da und sie werden immer da sein und es ist eine Frage der Zeit, wann sie bei “dir” sein werden.
Absolute Sicherheit? PC ausschalten und dann nicht gewiss.
Aber es den Hackern erschweren? Ja, das geht mit vielen Mitteln.
Bist du dir da sicher 
Bei 65535 Ports hast du den Überblick und alle anderen auch -
Ist es da nicht wesentlich einfacher ALLES zu zumachen und NUR das öffnen was gebraucht wird.
Ich denke das wichtigste ist ein entsprechendes Know-How. Und für normale Anwender mag es sinnvoll sein alle Ports zu sperren. Man kann aber auch einfach mit einfachen Mitteln schauen auf welchen Ports überhaupt gehorcht wird und dann gezielt diese Dienste besser absichern. Damit erreicht man meistens mehr. Im Fall einer Nextcloud betrifft das die Ports 80/443 und somit den Webserver (Apache2/nginx) und die dort gehosteten Anwendungen wie z. B. Nextcloud. Selbst verwendete Dienste wie MariaDB sind (sollten) nur über Localhost (127.0.0.1) erreichbar sein, so dass sie gar nicht im ersten Schritt angegriffen werden können. Unabhängig von jeder Firewall.
Das ist natürlich grundsätzlich richtig. Trotzdem macht es imho Sinn eine Firewall zu installieren auf dem Server und dann nur die Ports zu erlauben, die man wirklich benötigt.
Klar Port 80 und 443 muss man erlauben, wenn man die Nextcloud ohne VPN oder Overlay Network (Taliscale o.ä.) erreichen will, aber gerade unerfahrene Nutzer, welche mehr oder weniger blind irgendwelchen Anleitungen folgen, haben schnell ein paar Dienste mehr installiert als nötig, und schon lauscht da ein SAMBA oder Print Server. Das ist natürlich vorallem bei VPSs, die direkt im Internet hängen blöd, aber u.U. auch in eine unsegementierten Heimnetzwerk, in dem Windows PCs hängen 
Btw. viele VPS Provider wie Hetzner, haben auch eine Firewall vorgeschaltet, die man meiner Meinung nach nutzen sollte. Aber auch dann schadet doppelt gemoppelt nicht, denn theoretisch kann es ja auch mal sein, dass die Provider Firewall ausfällt, oder falsch konfiguriert wurde, z.B. weil man “mal schnell etwas testen wollte” und dann vergessen hat, die Änderung wieder rückgängig zu machen.
Auf Debian / Ubuntu empfehle ich die UFW, was für “Uncomplicated Firewall” steht. Die ist mit wenigen Befehlen eingerichtet, und ist relativ einfach zu managen:
apt install ufw
ufw allow 22/tcp comment "SSH"
ufw allow 80/tcp comment "HTTP"
ufw allow 443/tcp comment "HTTPS"
ufw logging medium && ufw default deny incoming
ufw --force enable