Nexcloud auf eigener Domain oder neue Domain kaufen? (Sicherheit?)

Hallo zusammen,

ich werde demnächst Nextcloud neu installieren. Jetzt ist die Frage, sollte dafür zur Sicherheit das ganze auf einer neuen Domain gemacht werden, die niemand kennt oder kann es direkt über die Firmen Domain gemacht werden? (www.nextcloud.meinefirma.de)

Hintergrund ist, dass man als Hacker sehr schnell alle Subdomains sieht und dann könnte einer versuchen auf den Nextcloud Speicher zu kommen. Nehme Ich eine neue Domain wie z. B.

www.meinefirma-231D4s2dataserver.de

Gruß Jan :slight_smile:

Für Kunden oder Geschäftspartner sieht es deutlich besser aus, das über die eigene Domain zu hosten. Als Sicherheitskonzept ist Security by Obscurity fragwürdig, manche schwören trotzdem drauf. Auf deine Haustür kannst du auch eine Backsteintapete kleben, vielleicht lässt sich ein Einbrecher davon abhalten.

Wenn du Bedenken hast bezüglich einiger Daten, dann könntest du auch überlegen, die Nextcloud nur im internen Netz laufen zu lassen und ggf. per VPN darauf zuzugreifen.

Sobald du Let’s Encrypt nutzt ist die jedem bekannt.
alte Let’s Encrypt CA siehe hier
neue Let’s Encrypt CA siehe hier

Ich halte von Security by obscurity auch nicht viel.

Hacker benötigen keinen Domainnamen um die Services, die über eine IP-Adresse im Internet bereit gestellt werden, abzuklopfen. Anstatt mittels “Security by obscurity” vermeintlich Sicherheit zu generieren, solltest Du dein Augenmerk eher auf ein ordentliches DMZ-Konzept, Firewalls, regelmäßige Backups, 2FA-Authentifizierung etc. richten.

wieso obscurity? was verschleierst du für die script kidies?

wenn du was verschleiern willst, musst du die ip adresse 300.400.500.600 nehmen. die ist sicher und verschleiert deinen server.

ansonsten arbeiten sich die scanner von 0.0.0.0 bis 255.255.255.255 durch und finden alles, was offen ist. wenn man das scannen optimieren will, nimmt man nur die blöcke von aws, azure, digital ocean, hetzner, telekom, et.al.

sieht man im log, wenn man einfach mal bei einem hoster einen “leeren” web server hinstellt, recht schnell im log. da braucht’s keinen dns eintrag.

ich würde eher arbeit in fail2ban oder so was stecken.

nachtrag: in 44 minuten ist man durch. mit dem scan.

Hallo Reiner, bitte lies noch einmal was ich genau schrieb und Nextcloud_guy geraten habe :wink: Er fragte sich, ob er eine neue Domain beantragen soll, um zu verschleiern, dass Nextcloud genutzt würde. Dies habe ich unter dem Begriff “Security by obscurity” zusammengefasst und nicht als sinnvoll eingestuft.