Ist meine Nextcloud sicher vor Hackerangriffen?

🌐 Non-english support đŸ‡©đŸ‡Ș Deutsch (german)
,
62

Dann solltest du dir mal einen Provider suchen, der dich bei deiner “Sicherheit” unterstĂŒtzt.

Sehr wohl weis ich Subdomain und CNAME zu unterscheiden. Mein System hinter dem Router hatte eine DynDNS die verschleiert wurde. Die Techniken dahinter werde ich dir als “erfahrenen ITler” bestimmt nicht erklĂ€ren mĂŒssen. Da dort auch Mailserver drĂŒber liefern, welche sich nicht als IP mit DynDNS zu erkennen gaben, lief das System jahrelang sehr gut.

Alle Domains und Subdomain, welche auf das heimische System “zeigten”, arbeiteten mit einer festen IP. Alles weitere dahinter wirst du sicherlich aus deinem IT Leben selber kennen.

Nun gut, da wir hier auf unterschiedlichen WissenstÀnden diskutieren, belassen wir es dabei.

63

Was wird da verschleiert? Der DNS Record zeigt am Ende des Tages auf eine IP Adresse, egal ob es ein CNAME Record ist, der auf einen DynDNS-Record zeigt oder ein A Record, der direkt auf die IP zeigt. Und diese IP hat normalerweise sogar einen PTR Record, wenn sie in einem Residential-Range eines ISPs liegt, sowas wie: XXX-XXX-XXX-XXX.dynamic.deinisp.de. Du verschleierst hier also gar nichts, ausser du nutzt zusÀtzlich einen Dienst wie Cloudflare Tunnels, oder deinen eigenen Proxy auf einem VPS.

Auch ist jedes Zertifikat fĂŒr eine Subdomain, das du bei Let’s Encrypt beziehst, öffentlich auffindbar. Wenn du also keine RĂŒckschlĂŒsse auf die Dienste zulassen willst, die du hostest, musst du Wildcardzertifikate beziehen, und nicht eines pro Subdomain.

Die Möglichkeit Wildcardzertifikate zu beziehen ist ja einer der grossen Vorteile der DNS Challenge, neben dem bereits genannten, dass man keine Ports öffnen muss. Allerdings geht das dann eher schon ein wenig in die “Security by Obscurity”-Kategorie
 :wink:

Wie gesagt, mein DNS hat keine API, also muss ich die Zertifikate manuell erneuern, wenn ich die DNS Challenge verwenden will. Habe da aber ein paar Ideen, wie ich das in Zukunft allenfalls automatisieren kann. Und ja klar, ich könnte einfach mein DNS zu einem der unterstĂŒtzten Provider umziehen, aber das entspricht nicht meiner Idee von self-hosting und einem dezentralen Internet, und ich bin sehr “picky” wenn es um externe Provider geht. ;-p

Wie soll das gehen, wenn ich keine feste IP an meinem Internetanschluss habe? 
ausser ich leite alles ĂŒber einen externen Proxy, den ich entweder auf einem VPS “selber” hoste, oder ĂŒber einen Dienst wie Cloudflare.

WÀre aber interessant zu wissen wie du das im Detail löst.

Einen Mailserver betreibe ich auch, der lÀuft allerdings direkt auf einem VPS, und nicht bei mir zuhause, eben weil ich zuhause nur eine dynamische IP habe.

Und ja ich weiss es gibt Mittel und Wege auch das zum laufen zu kriegen, aber auch da brĂ€uchte es wieder einen externen Proxy und einen Tunnel nach Hause oder einen Relay Server auf einem VPS fĂŒr ausgehende Mails.

Oder einen Business Internetanschluss mit fixen IPs, wĂ€re natĂŒrlich auch noch eine Möglichkeit, was aber vorallem bei den billigen Businesspaketen auch nicht immer hilft mit dem Mailserver, weil diese fixen IPs sich hĂ€ufig in den selben IP Ranges befinden wie die dynamischen Residential IPs, und diese IP Ranges grossflĂ€chig in diversen Block- und Spamlisten gefĂŒhrt werden, aus denen man sie dann ersteinmal rauskriegen muss.

1 Like