Docker Container über https absichern, aber ohne Remote Access?


YoHoNoMo

Recommended Posts

Es geht mir darum, die Frontends der Docker Container (ausschließlich) im lokalen Netzwerk über https erreichbar zu machen – oder vielleicht sogar Vaultwarden lokal zu hosten. Dafür brauche ich natürlich ein oder mehrere entsprechende SSL-Zertifikate und das habe ich mir wohl fälschlich zu einfach vorgestellt, als ich dachte, dass das mit dem SSL-Zertifikat für Unraid gelöst sein würde. Das habe ich über Settings --> MA --> Provision erfolgreich eingerichtet und kann Unraid nun über #####.unraid.net per https im lokalen Netz erreichen. Für die Docker Container funktioniert das aber wohl nicht so.

 

Ich habe daraufhin Google und YouTube bemüht und bin auf jede Menge Guides gestoßen, u.a. zu nginx, Let'sEncrypt, Authelia etc. Aber allen Guides ist gemein, dass es um Remote Access geht, den ich aus Sicherheitsgründen gar nicht will (und auch nicht einrichten kann, weil mein Anschluss keine öffentlich erreichbare IP-Adresse bereitstellt).

 

Sinnvoll wäre eine Verschlüsselung doch aber trotzdem, oder unterliege ich einem Denkfehler, wenn ich davon ausgehe, dass MitM-Angriffe denkbar sind? Auf meinem RaspberryPi OMV "Server" hatte ich keine kritischen Services, aber wenn ich jetzt Dinge wie Syncthing, Vaultwarden oder Ähnliches aufsetzen sollte, wollte ich es schon so sicher wie möglich gestalten.

 

TLDR:

Ist SSL für Docker Container möglich und sinnvoll, auch ganz ohne Remote Access und öffentlich erreichbare IP? Eigene Domains sind vorhanden.

 

Herzlichen Dank für die Aufmerksamkeit und evtl. erforderliche Nachsicht mit Noob-Denkfehlern 😁

 

 

Edited by YoHoNoMo
eigene Domain vorhanden
Link to comment
10 minutes ago, jj1987 said:

Siehe auch dieser Thread, ähnliche Ausgangslage:

Danke, das sieht hilfreich aus. Da wühle ich mich mal durch.

 

Das erste Thema (von @mgutt ) hatte ich auch gefunden, aber das war zu knapp für mich, um es nachzuvollziehen.

 

13 minutes ago, jj1987 said:

Also komplett ohne Portfreigabe wird schwierig. Mindestens zum erneuern des SSL-Zertifikats muss man einmal das INet "reinlassen"

 

Für 50 Euro könnte ich bei O² wohl eine öffentliche IPv4 Adresse eingerichtet bekommen. Aber eigentlich will ich das ja gar nicht. 😅

Link to comment
3 hours ago, YoHoNoMo said:

Aber eigentlich will ich das ja gar nicht.

 

wenn du gar keinen externen Zugang willst macht ein lokales SSL setup nicht wirklich Sinn ... nicht falsch verstehen, aber da steht der Aufwand ja in keiner Relation weil was soll das bringen ? deine lokalen Dienste wären normal immer noch alle lokal per http zu erreichen usw usw ... wenn du da wirklich Angriffe erwartest ;)

 

das Setup wie beschrieben um lokal alles per https zu erreichen ist nett wenn NAT Hairpinning nicht so funktionieren wie gewünscht, aber der SSL Weg macht Sinn wenn NUR SSL Traffic möglich ist und lokal wird das schon ein Akt alles so einzurichten dass dies so nicht geht ...

 

4 hours ago, YoHoNoMo said:

Sinnvoll wäre eine Verschlüsselung doch aber trotzdem, oder unterliege ich einem Denkfehler, wenn ich davon ausgehe, dass MitM-Angriffe denkbar sind? Auf meinem RaspberryPi OMV "Server" hatte ich keine kritischen Services, aber wenn ich jetzt Dinge wie Syncthing, Vaultwarden oder Ähnliches aufsetzen sollte, wollte ich es schon so sicher wie möglich gestalten.

 

Grundsätzlich ist die Idee ok, aber nur lokal meiner Meinung nach sinnfrei ;)

 

und abschließend, die "Sicherheitslücke" sitzt in der Regel ~ 60 cm vor dem Bildschirm ;) nicht persönlich oder nur auf das Thema gemeint ;) nur als allgemeiner Hinweis.

Link to comment
8 minutes ago, alturismo said:

wenn du gar keinen externen Zugang willst macht ein lokales SSL setup nicht wirklich Sinn ... nicht falsch verstehen, aber da steht der Aufwand ja in keiner Relation weil was soll das bringen ? deine lokalen Dienste wären normal immer noch alle lokal per http zu erreichen usw usw ... wenn du da wirklich Angriffe erwartest

 

Naja, erwarten natürlich nicht. 😄 Mein Gedanke war eher, keine Scheunentore offen zu lassen. Und auf den Trichter, dass https notwendig ist, kam ich wie angedeutet durch Vaultwarden, was ich ohne nicht nutzen kann.

 

Ich habe inzwischen eine (so denke ich) passende Anleitung gefunden: https://github.com/dani-garcia/vaultwarden/wiki/Running-a-private-vaultwarden-instance-with-Let's-Encrypt-certs

 

19 minutes ago, alturismo said:

und abschließend, die "Sicherheitslücke" sitzt in der Regel ~ 60 cm vor dem Bildschirm ;) nicht persönlich oder nur auf das Thema gemeint ;) nur als allgemeiner Hinweis.

 

Deswegen möchte ich ja auf jeden Remote Access verzichten und nur lokal erreichbar sein. Und im Idealfall eben lokal mit SSL-Zertifikaten. 😉

 

 

 

  • Like 1
Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.