in sachen nextcloud und home hosting

[micneu]

finde es ist ein echt guter artikel:
https://nachbelichtet.com/warum-nextcloud-daheim-eine-schlechte-idee-ist/

[the-mk]

cooler Artikel.
ich kann die Beweggründe grundsätzlich verstehen, aber ich würde meine Nextcloud nicht abdrehen...
mein Linux wird wöchentlich upgedated und meine Nextcloud liegt abgeschottet in einer DMZ...
die Anleitung mit welcher ich meine Installation aufgezogen habe war da ziemlich detailliert: https://decatec.de/home-server/nextcloud-auf-ubuntu-server-18-04-lts-mit-nginx-mariadb-php-lets-encrypt-redis-und-fail2ban/
aber ein Restrisiko bleibt bei mir natürlich...

[micneu]

ich sage ja auch nicht das alle installationen hier schlecht sind, aber ich denke doch das hier einige bei uns im forum nicht wirklich das know how haben um sowas ordentlich zu administrieren.

- ich habe mir auch schon gedanken gemacht ob ich mich mal an das thema mache, nur warum soll ich mir die arbeit für mich alleine machen, nee, das bin ich lieber hier im forum unterwegs :)

[lfirewall1243]

Wenn man sowieso eine OPNsense Zuhause hat. Kann man den Zugriff auf die Nextcloud auch nur mit VPN regeln.
Dann ist ein riesen Thema schonmal geschlossen

[hopper]

Also ganz ehlich: wer hier in diesem Forum nicht das KnowHow hat sowas abgesichert zu betreiben - warum beschäftigt sich ein solcher Anwender mit ner Firewall wie die opnsense?

Ich habe auch eine nextcloud-VM - um opnsense zu sichern - die ist aber nicht von außen erreichbar und wird wiederum mittels veeam auf ein nicht von außen erreichbares NAS gesichert.

[lfirewall1243]

Also ganz ehlich: wer hier in diesem Forum nicht das KnowHow hat sowas abgesichert zu betreiben - warum beschäftigt sich ein solcher Anwender mit ner Firewall wie die opnsense?

Ich habe auch eine nextcloud-VM - um opnsense zu sichern - die ist aber nicht von außen erreichbar und wird wiederum mittels veeam auf ein nicht von außen erreichbares NAS gesichert.

Weil dieses Forum unteranderem für Anfänger in den Gebiet gedacht ist

[hopper]

Ist schon richtig. Aber wer sich eine Firewall aufsetzt, hat sich in meinen Augen schon mehr Gedanken um die Sicherheit seines Netzwerkes gemacht als die meisten Anwender - und ich denke, in diesem Zuge auch Gedanken über den Zugriff auf interne Systeme.
Das "Auslagern" von Daten zu externen Anbietern - sei es ein ISP, google oder wer auch immer - nun das muß jeder selber wissen. Niemand kann sagen, was mit diesen Daten geschieht. Und Daten einer Firewall außerhalb der eigenen Kontrolle abzulegen.... nun ja....
Die nextcloud (oder welcher Service auch immer - Stichwort IoT...) muß ja, wie schon erwähnt, nicht von außen frei zugänglich sein. VPN ist da sicher ein guter Weg.

[micneu]

Such im Forum mal nach Nextcloud. Und zähle bitte die ein VPN für den Zugriff nutzen. Es sind erschreckend wenige.

Die meisten Fragen doch: wie kann ich den Port auf meine Nextcloud freigeben....

Gesendet von iPhone mit Tapatalk Pro

[lfirewall1243]

Such im Forum mal nach Nextcloud. Und zähle bitte die ein VPN für den Zugriff nutzen. Es sind erschreckend wenige.

Die meisten Fragen doch: wie kann ich den Port auf meine Nextcloud freigeben....

Gesendet von iPhone mit Tapatalk Pro

Das stimmt. Ist dann für viele einfach zu Umständlich einzurichten. Einige habe aber auch generellt kein Gefühl für IT Sicherheit, geschweige denn welche Bedrohungen/Risiken es überhaupt gibt.

[lebernd]

Ja, es scheint ein Artikel zur psychologischen Stärkung der Community zu sein  ;D

Wobei ja gerade für das Zusammenspiel von opnsense/haproxy und nextcloud eine so schöne Anleitung bei https://schulnetzkonzept.de/ erschienen ist.

Es wäre interessant - was sagt euer Gefühl denn, wieviele nextcloud-Instanzen waren denn wirklich bisher Einfallstor für Netz-Einbrüche? Mein Gefühl würde sagen, da gibt es einfachere Ziele.

Grüße, Bernd

[Patrick M. Hausen]

Sorry, aber ich halte den Artikel für ausgemachten FUD.

Was bitte unterscheidet eine zuhause betriebene Nextcloud in irgendeiner Form von einer auf einem Root-Server bei Hetzner?
Natürlich hat man beide auf einem aktuellen Patchlevel zu halten. Natürlich braucht man aktualisierte Zertifikate. Läuft bei mir allerdings alles automatisch. Weshalb der Autor es nicht hinkriegt, z.B. Dehydrated und einen Reverse-Proxy so zu betreiben, dass die Zertifikate immer aktuell *sind* ... scheint wohl an einer untauglichen Plattform zu liegen.

Ich hab hier auf einem FreeNAS 6 FreeBSD Jails und 4 Linux VMs, insgesamt 7 Anwendungen, die aus dem Internet erreichbar sind, Rest nur per VPN bzw. eine davon ist der erwähnte Reverse-Proxy, der einfach alle SSL-Verbindungen terminiert und für einfacher gestricktes Zeug wie Monit auch noch die Authentifizierung übernimmt.

Wie gesagt, das ist doch überhaupt kein Unterschied, ob hier zuhause oder in einem RZ.

Das Problem ist eher mangelnde Erfahrung im Operating solcher Installationen. Wer 100 Server mit ein paar tausend Containern beruflich betreibt, hat es hier natürlich etwas leichter als jemand, der heilfroh ist, die Anwendung mit Stackoverflow gerade so ans Fliegen bekommen zu haben.

Grüße
Patrick

[JeGr]

Gerade kurz überflogen und musste ein wenig zustimmend nicken.

> Was bitte unterscheidet eine zuhause betriebene Nextcloud in irgendeiner Form von einer auf einem Root-Server bei Hetzner?

Du vergleichst Äpfel mit Birnen. Der Poster sagt nichts davon, dass er statt der Heiminstanz eine Instanz bei einem 08/15 selbstbau-Host von Hetzner empfiehlt. Sondern konkret, dass der typische Home-User der sich vllt. mal wegen der vielen Berichte über Datenkraken denkt, er tut sich was gutes und stellt das Ding zu Hause hin das völlig falsch einschätzt.

> Natürlich hat man beide auf einem aktuellen Patchlevel zu halten. Natürlich braucht man aktualisierte Zertifikate. Läuft bei mir allerdings alles automatisch.

Das ist toll bei dir, bei ihm klappte es nicht und wir sehen das bei NextCloud und bei LE immer wieder mal gerne, dass - z.B. wenn die NC woanders Huckepack mit drauf läuft, die Integration eben nicht so brilliant ist, dass alles geht. Und der Aufwand, das SO hinzubekommen, DASS alles sauber und fluffig läuft der liegt meist über dem, den der Homeuser den das ansprechen soll hat. Und jetzt?

> Weshalb der Autor es nicht hinkriegt, z.B. Dehydrated und einen Reverse-Proxy so zu betreiben, dass die Zertifikate immer aktuell *sind* ... scheint wohl an einer untauglichen Plattform zu liegen.

Es läuft auf seinem OMV Server und warum das nicht läuft wird beschrieben, es hakt eben. Das ist ein Erfahrungsbericht nicht mehr. Das ist kein "Sicherheitsberater empfiehlt: schalten sie sofort NC zu Hause ab! Punkt 5 wird auch sie überzeugen!" Artikel :) Aber es beschreibt wie ich sage genau den Case des "informierteren" aber eben "nur IT affinen" Homeusers. Und nicht dem, der sich heftig in NC und IT eingelesen hat, verschiedene alternative ACME Clients aus dem FF beherrscht und nebenbei noch nen HAproxy als Reverse reinwirft um das alles hinzubekommen. Nope, um den gehts nicht :)

Und der zweite große Punkt ist (zumindest für mich aber auch viele Kollegen): bei aller Liebe zur IT will man auch mal leben. Wir sind 12-16h teils im Einsatz am Rechner. Da will man heim kommen und einfach mal Dienste nutzen können und nicht ständig welche bauen, warten, konfigurieren, installieren und verbessern müssen. Und ja OS sowie Software Updates, Firewall updaten, Bug/Exploitlisten abonnieren damit man halbwegs up2date ist, Fehlersuche wenn mal wieder was nicht läuft, auto update debuggen was wieder mal schief gegangen ist weil ein minor corner-case eben doch nicht rund lief. Das kommt alles dazu. Und ganz ganz viele User die eigentlich mehr Sicherheit und Privatsphäre wollen - und das ist gut so! - schießen sich damit eher ein Eigentor, weil zusätzlich auch noch die Kostenpolizei mit reinspielt. Muss billig sein. Muss irgendwo mit drauf laufen. Oder - was oft passiert - dann machen wir das halt selbst auf nem 2,50€ Hetzner Server. Wie das ausgeht, haben Kollegen und ich auch schon oft genug ausbaden dürfen.

Deshalb: Der Artikel ist nicht praxisfern! Im Gegenteil.

Zudem: was ich beim drüberfliegen noch lese: Nextcloud/ownCloud bewirbt(!) ja gerade das Feature mit dem Filesharing via App, Software etc. WIE DROPBOX. Und das klappt per App. Niemand, der die *Cloud als Alternative zu Dropbox, Google Drive o.ä. einsetzt will sich erst mit VPNs rumschlagen, dass sein Filesync geht. Gerade wenn auf den gesyncten Dateien auch noch gearbeitet wird - z.B. Mobil - will man da nicht erst: VPN an, warten bis gesynct ist, nochmal genau schauen, App starten, File einlesen, bearbeiten, speichern, syncen abwarten, VPN beenden.
Als jemand der viel auch mobil arbeiten muss: Sorry, das ist kein Workflow, das ist ne Krankheit ;) Und gerade wenn man nicht gerade nen Androiden hat zum Rooten und das gescripted hat (ja habe ich und so läufts auch brauchbar) guckt in die Röhre. Auf iOS schauts da sehr mager aus.

Ganz ehrlich wenn ich primär ne *Cloud für Files nutzen würde, wäre VPN NICHT der Anwendungsfall, den ich suchen würde, sondern der Sync. Hab ich bei mir anders gelöst (SyncThing & Co) aber wenn man sich für FileExchange ne Cloud hinstellt, dann ist VPN - klar ist das sicherer - aber nicht der Workflow den man haben will. Sondern der AutoSync und sofortige up/download. Und dann bist du wieder dabei genau das ordentlich abzusichern oder andere Krücken zu basteln.

Zerreißt mich nicht ;) bin frisch ausm Urlaub aber das Thema fand ich grad echt gut zur Diskussion :D

Grüße
\jens

[fabian]

Ich betreibe meine Nextcloud öffentlich erreichbar hinter einem nginx Load Balancer und Webserver in einem Container. Ich sehe hier nur ein Problem und das ist der Nutzer, der das einfach mal installiert und dann nicht mehr beachtet. Der nginx wäre zwar so konfiguriert, dass er die acme Challenge abgreifen würde und damit HTTP-01 könnte, aber da ich inzwischen mit nem Wildcard - Zertifikat arbeite und mein Provider das nicht kann muss ich die manuell eintragen. Der Rest wie Dienste neu durchstarten etc. geht alles mit zwei shell skripten automatisch.

[hopper]

Wenn etwas auf mehreren Hosts gescripted werden soll, dann schaut Euch mal ansible an.