Login
Login-Name Passwort


 
Newsletter

Thema: Erlauben Sie externe Zugriffe auf ihr Heimsystem?

19 Kommentar(e) || Alle anzeigen ||  RSS || Kommentieren
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
0
Von needle am Fr, 30. Juni 2017 um 14:21 #

Zugriff nur per SSH möglich. Deprecated SSH Cipher funktionieren nicht. Früher jails, mittlerweile docker. Jeder der einen Account besitzt, bekommt eine dedizierte Umgebung.

Dieser Beitrag wurde 1 mal editiert. Zuletzt am 30. Jun 2017 um 14:23.
  • 0
    Von Rey am Fr, 30. Juni 2017 um 14:32 #

    Gar keine schlechte Idee, was machst du wenn jemand aus seinem Container ausbricht? Was laut den Entwicklern durchaus möglich ist.

    • 0
      Von needle am Fr, 30. Juni 2017 um 14:50 #

      Tja, was macht man da? Es sind alles Leute die ich persönlich kenne, wäre also halb so schlimm. Dann würde ich mal nachforschen wie es zu Stande gekommen ist, und versuchen ob ich es da draußen genauso machen könnte. Vielleicht würde ich die Sicherheitslücke versuchen zu verkaufen, oder einen Bugreport melden, oder versuchen einen Patch zu schreiben wenn ich das verstanden hätte.

      Nicht so schlimm wenn einer aus dem "container" ausbricht. Da kann ich nur dazu lernen beim analysieren.

      Dieser Beitrag wurde 1 mal editiert. Zuletzt am 30. Jun 2017 um 14:53.
1
Von nico am Fr, 30. Juni 2017 um 15:34 #

Auf das Heimsystem eigentlich nur mir selbst per VPN bzw. SSH.

Problematischer ist eher, dass es fast nichts mehr gibt, was einfach so ohne Cloud funktioniert. Da ist der Fremdzugriff gleich inklusive.

0
Von Nur ein Leser am Fr, 30. Juni 2017 um 15:42 #

Rein zum Verständnis: Was ist mit einem direkten Zugriff gemeint?
In der Liste steht dann "per VPN" oder "per SSH".
Heißt das, der VPN-Server oder der SSH-Server muss direkt auf dem Zielsystem laufen und die Ports sind in der Firewall für das Zielsystem freigegeben?

Meine Konfiguration ist so, das ich keine Dienste/Ports nach außen freigebe. Dennoch kann ich von extern auf Geräte (z.B. Raspberry) im Heimnetz zugreifen, indem ich das VPN der Fritzbox benutze. Für mich ist das indirekt, oder wäre das "direkt per VPN"?

mehr vpn
0
Von Dr. Random am Fr, 30. Juni 2017 um 16:31 #

$Heimrechner ist OpenVPN-Client zu mehreren weiteren Servern (die ebenfalls über OpenVPN untereinander verbunden sind). $MobilesGeraet ist roadwarrior, Routen werden per OSPF verteilt.
Backupleitung (über multi table routing) ist ein UMTS-Stick, somit kann ich auch von unterwegs dann noch Arbeiten sowohl am VPN als auch an den Leitungen vornehmen. Unterbrechungsfrei.

Lustiges Spielzeug.

  • 0
    Von needle am Fr, 30. Juni 2017 um 17:34 #

    Endlich Einer der eine wirklich gute, skalierbare Lösung mit dynamischen Routing präsentiert (OSPF) und betreibt. Bravo! :up:

0
Von Ichmeinerselbst am Fr, 30. Juni 2017 um 18:11 #

Mich würde mal interessieren, wieviele von den 36%, die keine Zugriff erlauben, ein System haben, daß per IPv6 erreichbar ist. Vermutlich einige, da man IPv6 einfach übersieht, sein System zwar per IPv4 gut abgesichert oder gar hinter nem NAT versteckt, dieses jedoch via IPv6 voll erreichbar läßt.

  • 0
    Von Ingo Buescher am Fr, 30. Juni 2017 um 20:57 #

    Ist bei mir der Fall. Ich verwende daher nft als Paketfilter um ipv4 und ipv6 im wesentlichen mit den gleichen Regeln zu bearbeiten.

    0
    Von Andre am Sa, 1. Juli 2017 um 01:31 #

    Hallo,
    ein vernünftiger DSL-Router sollte entsprechend vorkonfiguriert sein das er die Pakete automatisch filtert - ansonsten wären halt alle Rechner direkt im Netz ansprechbar. m.E. ist das designtechnisch mistig, und einer der vielen gründe warum ich derzeit erstmal noch auf ipv6 verzichte.

    0
    Von hjb am Sa, 1. Juli 2017 um 09:40 #

    Alle Dienste sind normalerweise so konfiguriert, dass kein Zugriff von außen möglich ist. Solange man die Konfiguration nicht ändert, stellt sich das Problem gar nicht.

    • 0
      Von Ichmeinerselbst am Sa, 1. Juli 2017 um 13:22 #

      Das ist ein Trugschluß. Die Default-Einstellungen der meisten Systeme ist, daß sie von überall erreichbar sind. Nur wenn man sich aktiv darum kümmert, sind diese geschützt.

      Bei IPv4 und NAT sind die Systeme nur dann erreichbar, wenn man aktiv einen Forward einrichtet. Bei IPv6 sind alle Systeme direkt aus dem Internet erreichbar (Sofern man die IP kennt, was einem einige Systeme noch vereinfachen, indem sie diese aus der MAC generieren oder, noch schlimmer, ihre Presenz offen in den Äther senden.

      • 0
        Von nico am Sa, 1. Juli 2017 um 15:37 #

        sicher? Auch bei IPv6 blockt die Firewall des Routers per default alle Anfragen von außen. Sonst ist der Router Schrott. Eher blocken die Dinger mehr, als dass der Nutzer da irgendwas freischalten kann.

        Dazu will ich im lokalen Netz auch keine externen v6 Adressen haben, auch wenn es möglich wäre.

0
Von wie am Fr, 30. Juni 2017 um 18:35 #

die Frage ist eher wie man unter Linux diese Zugriffe sperrt , deaktiviert ??

früher unter linux konnte man einfach diese linux dienste in einem speziallem program deaktivieren, heutzutage verstecken die diese abstellung ...

  • 0
    Von Moin am Sa, 1. Juli 2017 um 09:14 #

    Was meinst du mit wie?

    Nicht benötigte Dienste einfach nicht starten (init/systemd) oder erst garnicht installieren, und die Ports mußt du im Regelfall auch eh erst am System, und der Firewall (Hardware, z.B. Zyxel) aufmachen. Geht das z.B. bei openSUSE nicht mehr über yast?

    Sorry, aber ich mache das generell auf Systemebene ohne irgendwelche "Fancy"-Tools :)

    Schaue vielleicht mal nach Linux hardening für mehr Information. Suse & Debian hatten da mal zwei gute Guides.

    0
    Von zxy am Sa, 1. Juli 2017 um 19:42 #

    Opensuse bringt einen Runlevel-Editor in Yast mit, CentOS nennt Ihn auf Deutsch "Dienste" und Debian und Ubuntu haben in ihren Repos auch solche Software, z.B. "bum".

    Debian z.B. installiert standardmäßig immer überflüssigerweise den Emailserver Exim4 mit. Wer diesen nicht benötigt, hat mach dem Ausschalten oder der Deinstallation ein Sicherheitsproblem weniger.

0
Von asdfszhjddd am Sa, 1. Juli 2017 um 11:57 #

Ich lasse nur nextcloud, und mein kleines Hadoop cluster ins Netz.

Es hat einen zu hohen Gegenwert im Verhältnis zum Risiko, dass ich dabei eingehe. Bei Nextcloud, vor allem Caldav, Carddav und Tasks machen einem das Leben sehr bequem. Ich lasse es in einer VM laufen und mounte die kritischen Verzeichnisse vom Host aus als Read Only.

Bei Hadoop erwübrigt sich die Frage. Ein Cluster aus mehreren Rechnern kann keiner mitschleppen. Auch läuft die meiste Arbeit sowieso nur über das Web Interface ab. So lassen sich Ergebnisse auch bequem unterwegs ansehen.

Würde auch gern demnächst Collabora Office und Calibre Server hosten.

0
Von theors am So, 2. Juli 2017 um 19:46 #

nextcloud als tor onion service

0
Von coNP am Mo, 10. Juli 2017 um 11:28 #

diese Dienste sind im Netz auf meinem Homeserver erreichbar.
Mein Desktop PC und mein Notebook hingegen selbstverständlich nicht.

Pro-Linux
Pro-Linux @Twitter
Neue Nachrichten