Skip to content
View in the app

A better way to browse. Learn more.

Unraid

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

My Servers Plugin Angriffsrisiko aufgrund Portfreigabe Internet?

Featured Replies

Guten Morgen,

da ich auch immer wieder gerne mit Unraid spiele, habe ich nun das My Servers Plugin installiert und eingerichtet.

Soweit funktioniert alles. Bis jetzt war mein (Grund) Server aus dem Internet nicht erreichtbar. Docker wie Plex, Nextcloud, Bitwarden etc über Nginx Proxy Manager per verschiedener DNS jedoch schon.

Für das Plugin muss man ja den Port 443 auf den Unraid weiterleiten, um das Plugin voll ausreizen zu können. Ich habe nun in meinem Router eine Portweiterleitung von 4433 auf 443 (Unraid) eingestellt und es funktioniert soweit.

Wenn jemand meine WAN IP und den Port kennt, kommt er also bis zur Anmeldemaske von Unraid aus dem Internet. Der User ist auch klar "root".

Als einziger Schutz dient somit im Moment ein gutes Passwort. Finde ich ein wenig mager und evtl gefährlich. Wie sieht ihr das?

 

Danke für evtl Anregungen

 

Grüße aus Bayern

  • Community Expert
On 8/22/2021 at 11:19 AM, Rockikone said:

Als einziger Schutz dient somit im Moment ein gutes Passwort. Finde ich ein wenig mager und evtl gefährlich. Wie sieht ihr das?

Natürlich sollte man niemals eine root-fähige GUI über das Internet verfügbar machen. Meiner Ansicht nach gehört der Remote Access bei MyServers komplett abgeschafft. Unraid hatte bereits in der Vergangenheit eine Sicherheitslücke in der GUI und wer glaubt, dass das die letzte Lücke war, ist naiv. Es gibt auch seit Jahren nach wie vor den Bug, dass der Webserver abschmiert, wenn man auf einem PC die GUI offen lässt. Hatte ich erst die Tage wieder. Bestimmt lustig, wenn ein Angreifer den Grund dafür findet und weltweit Unraid Server blockiert.

 

Als langjähriger Web-Entwickler und nach Sichtung des GUI-Quelltextes, kann ich dir auch sagen, dass kein Hoster dieser Welt so etwas ins Internet stellen würde (Shell Scripte, PHP mit aktivem exec, vollständiger Root-Zugang, etc.).

 

Weiterhin gibt Limetech die folgenden Tipps:

  1. man soll ein komplexes Passwort nutzen
  2. man soll den öffentlichen Port "zufällig" wählen
  3. nicht mehr Ports als notwendig freischalten

 

Dazu kommt:

  1. die MyServer Domain ist zufällig

 

In der IT-Sicherheit nennt man sowas Security through Obscurity und das hat mit Sicherheit rein gar nichts zu tun. Schon gar nicht, wenn wie hier alle MyServer Domains und öffentlichen IPs zentral von unraid.net verwaltet werden. Die Sicherheit endet also sofort, wenn jemand den unraid.net  Server von Limetech hackt. Wenn der Angreifer dann noch so clever ist und alle aus dem Forum abmeldet, um sie zur wiederholten Eingabe ihres Passworts zu zwingen (um doppelt verwendete Passwörter anzutesten) oder vielleicht einfach ein Phishing-Attacke über die MyServer Domain startet, um den Server-Zugang direkt zu erhalten, dann wird es richtig lustig. Dann hilft übrigens auch kein 2FA im Forum, denn für den Login auf dem Server braucht es das nicht. Eine ähnlich gelagerte Attacke gab es bereits bei Ubiquiti.

 

Zuletzt sei auch angemerkt, dass es gar nichts bringt, dass die MyServer Domain zufällig ist, da durch die Port-Freigabe im Router, natürlich auch alle Zugriffe auf die öffentliche IP-Adresse des Internetanschlusses an den Unraid-Server weitergeleitet werden. Und da draußen sind tausende Bots unterwegs, die den ganzen Tag nach offenen Ports suchen, um mögliche Angriffsziele zu ermitteln. Die Tage haben Forscher zB 3,6 Millionen öffentliche erreichbare MySQL Server gefunden, wovon nicht einer öffentlich erreichbar sein sollte, weil man Datenbanken immer nur lokal nutzen sollte.

 

Fazit:

Wer unterwegs auf seine Unraid GUI zugreifen möchte, nutzt dafür bitte einen VPN und wer Backups von seinem Stick in einer Cloud haben möchte, der "baut" sich dafür bitte eine entsprechende Lösung.

16 minutes ago, mgutt said:

Meiner Ansicht nach gehört der Remote Access bei MyServers komplett abgeschafft.

 

This!

 

  • Author

@mgutt

 

Danke für deine ausführliche Erläuterung. Im ganzen bestätigst du mir meine Meinung bzgl Sicherheit und dass man die Unraid Anmelde Gui nicht ins Netz stellen sollte. Ich habe das Plugin jetzt wieder deinstalliert. Ich komme ja jederzeit per Wireguard darauf. Der einzige Benefit ist die automatische Flash BackUP Sicherung.

Ohne kann ich auch gut leben 🙂

 

Grüße aus Bayern

  • Community Expert

Schön das es dazu einen Fred gibt :) ... Ich hatte mir die gleichen Fragen nämlich auch gestellt. Auch bezüglich der Sicherheit wenn die Konfigurationen meines Server hier auf den Limetech Servern liegen... Passt nicht zu dem was ich aktuell abarbeite... So wenig wie möglich an Daten ins Netz zu stellen und langsam einige Clouds und Services nicht mehr zu nutzen, die ich selber "hosten" kann. 

 

Ich sichere den Unraid stick über das CA Backup / Restore Appdata Plugin. Dann per rsync rüber auf die Synology. Klappt super.

Andere Frage ohne alles im Forum darüber durchgelesen zu haben: den Namen Root lässt sich nicht ändern? Also einen SuperUser / Admin einrichten mit anderen Namen, und den Root deaktivieren funktioniert nicht, oder?

 

Liebe Grüße 

  • Author

@MiniKahn

Richtig. Der Superuser zum Verwalten des Systems und Anmeldung in der Gui ist der User Root. Leider lässt sich dieser nicht ändern. Du kannst zwar andere User erstellen, hier geht es aber um die NAS Funktionalität bzgl Freigaben z.B. Samba und der Zugriff auf diese Shares.

Mit Root müssen wir wohl leben ;-)

 

Grüße

27 minutes ago, Rockikone said:

Mit Root müssen wir wohl leben ;-)

2FA bei der unRAID Anmeldung ist schon geplant nur so am Rande erwähnt...

  • 11 months later...
On 8/26/2021 at 7:58 PM, ich777 said:

2FA bei der unRAID Anmeldung ist schon geplant nur so am Rande erwähnt...

Dann freuen wir uns doch darüber, wenn es in irgendeiner Version dann kommt.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

Account

Navigation

Search

Search

Configure browser push notifications

Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.