Ich betreibe nextCloud auf einem rPi 4b 4Gb.
Dieser steht bei mir zuhause und funktioniert auch soweit einwandfrei.
Neuerdings machen sich Hacker über meine Cloud her - zum Glück gibt es fail2bann !!
Nun zu dem Problem: meistens treiben die Hacker nachts ihr Unwesen. Das seh’ ich morgensfrüh immer, wenn ich eine neue E-Mail von meiner Cloud // fail2bann erhalten habe.
Leider kann ich mich danach auch selber nicht mehr verbinden… Browser sagt Webseite wäre nicht verfügbar, App sagt Server nicht verfügbar und SSH sagt das der Host wohl nicht aktiv wäre.
Da ich auf Montage arbeite ist es mir nicht möglich jedes Mal meinen rPi neu zu starten.
Hat irgendwer eine Idee woran es liegen könnte, wie ich es umgehen kann, oder wie ich gucken kann, warum die Cloud jedes Mal danach offline geht??
Oder wie ich dem rPi allgemein mitteilen kann, das er Verbindungen nur von einer bestimmen MAC annehmen soll?
Nein, leider nicht. Ich benutze nextCloud hauptsächlich als Backup server (Musik, Fotos, Videos, Backup vom Handy etc.) um unabhängig von den g**gle oder iDoof Diensten zu sein.
Meine IP vom Handy wechselt (denke ich Mal) ständig und auch die WiFi’s durch die Arbeit bedingt. Deshalb wäre mir ein MAC Filter am liebsten – vorausgesetzt es lässt sich nicht beheben, das die Cloud jedes mal offline geht.
Die Hackerangriffe an sich sind mir egal, solang fail2bann funktioniert
MAC filter funktioniert nur im eigenen Netzwerk. Wie sieht das bei dir aus, greifen da so viele “Hacker” darauf zu, dass dein RPi nicht mehr nachkommt? Du selbst kommst nicht auf die Blacklist von fail2ban?
Falls du einen Router mit open-source Software hast, kannst du eventuell die IPs schon auf Router-Level sperren und den RPi entlasten.
Wenigstens als Hintereingang würde ich mir was mit einem VPN auf dem Router einrichten, worüber ich dann auf den RPi komme. D.h. die Verbindungen nach außen auf dem RPi so weit runterschrauben, dass der Zugriff über local immer klappt.
ich habe eben noch die app geoblocker gefunden… vielleicht solltest du dir die mal ansehen und dann ggf alle aussperren, die nicht aus deutschland kommen. das minimiert die möglichen angreifer schon mal.
Vielen Dank Jimmy. Bin am Wochenende wieder Zuhause, dann werde ich das Mal testen. Aktuell ist die Cloud Lieder wieder offline.
Sonntag Abend das Haus verlassen, über Nacht wurde sie dann 2x wieder angegriffen und seitdem ist sie wieder offline
Ungewöhnlich. Ich betreibe Nextcloud auf schwächerer Hardware und fail2ban blockt im Durchschnitt stündlich 2 IPs und ich habe keine Probleme. Der Raspi-4 sollte damit eigentlich locker fertig werden.
Was steht denn in der Logdatei von fail2ban (vermutlich zu finden unter /var/log/fail2ban.log) über die nächtlichen Zugriffe?
Es könnte auch sein, dass fail2ban aus irgendeinem Grunde deine (bzw. alle) Geräte „aussperrt“. Wie lange ist denn die bantime im entsprechenden jail? Hast du irgendwelche actions definiert? Kannst du die fail2ban-regexe hier posten, die du als filter benutzt?
Ich hatte die Einstellungen von fail2ban auf Standart gelassen. In einem ersten Versuch hatte ich dann die Versuche auf 3 reduziert und die Sperrzeit auf 10std erhöht.
Das log werde ich Freitagabend/Samstagmorgen Mal durchgucken und gegebenfalls posten.
Grundsätzlich ist es hilfreich einen alternativen und etwas ungewöhnlicheren SSH Port zu nutzen und 22 abzuschalten. Kann man sehr einfach in /etc/ssh/sshd_config einstellen (+ ssh(d) reboot).
Das stellt natürlich keine verbesserte Sicherheit dar, es reduziert aber die plumpen brute-force Angriffe deutlich.
Besonders hartnäckige brute-forcer kann man natürlich auch manuell permanent sperren, z.B. über IP Tables.
Das hilft nur leider bei deinem eigentlichen Problem nicht weiter.
Entweder einzelne IP Adressen xxx.xxx.xxx.xxx(/32) oder CIDR Blöcke:
192.168.3.0/24 entspricht Subnetzmaske 255.255.255.0, also alle Adressen aus 192.168.3.x
Nein, das mit der Whitelist hilft mir leider nicht. nextCloud benutzte ich hauptsächlich als Backup vom Handy, um frei von den g**gle oder iDoof Diensten zu sein.
Folglich wechselt meine IP ständig.
Eine Whitelist für MAC-Adressen wäre wohl das sinnvollste.
Danke für den Tipp mit dem ändern des SSH-Port’s. Werde das Mal anwenden und beobachten
Musst du den SSH-Port denn wirklich freigeben? Für das Nutzen von Nextcloud brauchst du den SSH-Zugang ja gar nicht. Wenn es dir genügen würde, dich nur von zuhause aus oder über VPN per SSH einzuloggen, könntest du die SSH-Portweiterleitung im Router deaktivieren und SSH-Angriffe sind schon einmal gar nicht mehr möglich.
