SvensenDE Posted September 2, 2023 Share Posted September 2, 2023 Moin moin also mein Wechsel von Synology zu Unraid hat gut geklappt alles was ich auf der Synology am laufen hatte hab ich auf Unraid Server zum laufen bekommen. Jetzt hatte ich bisschen geschaut wegen Sicherheit das man Backups machen sollte ist mir bewusst Ich bin da auf crowdsec gestoßen und wollte mal fragen ob das jemand schon zum laufen gebracht und ob jemand vllt tipp hat was man da beachten muss?' Quote Link to comment
Ford Prefect Posted September 2, 2023 Share Posted September 2, 2023 28 minutes ago, SvensenDE said: Ich bin da auf crowdsec gestoßen und wollte mal fragen ob das jemand schon zum laufen gebracht und ob jemand vllt tipp hat was man da beachten muss?' crowdsec kannte ich bislang nicht. Die Frage wäre, was Du glaubst, welche Szenarien auf Deine Installation/Umgebung zutreffen und ob Du die richtige Infrastruktur hast, ob crowdsec "seine Arbeit machen zu lassen". Wenn ich mir die Architektur anschaue: https://www.crowdsec.net/product/crowdsec-security-engine ...geht alles mit dem Sammeln von Logs los. Diese werden analysiert und dann evtl. - für "betroffene/relevante" IPs - Regeln in der Firewall aktiv (der bouncer) .... ...klingt ganz nett, aber hey...das geht bestimmt nicht mit ner Fritzbox Für den Heimanwender, hinter einem NAT, ist davon nicht allzu viel interessant....anders dann, wenn die Gefahr "von Innen" kommt, sprich viele Server mit vielen Diensten und noch mehr User, evtl. mit mobilen Geräten, die sich im internen Netz - in vielen VLANs - tummeln. ...hast Du sowas am Start und die passende Firewall, wie zB ne OpenSense? Ansonsten kaum umsetzbar oder zumindest Kanonen auf Spatzen. ...my 2 cents, nach meiner ersten Einschätzung...wie gesagt, kannte ich bislang nicht. Quote Link to comment
SvensenDE Posted September 2, 2023 Author Share Posted September 2, 2023 5 hours ago, Ford Prefect said: ...hast Du sowas am Start und die passende Firewall, wie zB ne OpenSense? Ansonsten kaum umsetzbar oder zumindest Kanonen auf Spatzen. ...my 2 cents, nach meiner ersten Einschätzung...wie gesagt, kannte ich bislang nicht. Ok danke für dein Feedback Ok vllt fragen an die Unraid erfahrenden hier wie versucht ihr euren Unraid sicherer zu machen? Aktuell habe ich nur Wordpress & Teamspeak drauf laufen mit NPM und Ports 30033, 9987, 10011, 80, 443 Ich weiß das kein 100% schutz gibt aber ich würde es schon sehr gerne versuchen Angreifern das schwerer zu machen Vielleicht gibt ja schon mal sowas wie bei Synology das Geotag bestimmte Länder verbieten kann Unraid zu erreichen. Quote Link to comment
Ford Prefect Posted September 2, 2023 Share Posted September 2, 2023 1 hour ago, SvensenDE said: Ok vllt fragen an die Unraid erfahrenden hier wie versucht ihr euren Unraid sicherer zu machen? Achso, nur unraid? Ich halte nix davon unraid ins I-Net zu stellen und dann eben "nur" unraid sicher zu machen. Daher auch mein Hinweis auf die lokale Firewall im Netz, was ja eben nicht unraid ist. Die crowdsec Komponenten für nginx scheinen ja in den Apps vorhanden zu sein. Aber evtl. schaust Du Dir mal als erstes das gute alte fail2ban an... da gibt es doch auch die Möglichkeit zum GeoIP-Lookup & -Blocking, denke ich. Quote Link to comment
alturismo Posted September 3, 2023 Share Posted September 3, 2023 8 hours ago, SvensenDE said: Aktuell habe ich nur Wordpress & Teamspeak drauf laufen mit NPM und Ports 30033, 9987, 10011, 80, 443 du musst auch etwas differenzieren ... 80, 443 wird dein NPM sein, dahinter setzt man dann normal http Dienste ... ich bin jetzt swag Nutzer und da geht unter anderem "geo blocking out of the box", dafür aber mehr Konfigurationsaufwand da es keine webui gibt am Ende läuft ja nginx dahinter ... hier ein Beispiel Thema geo und NPM dann wären da noch die 2fa Ansätze, auch hierzu wirst du allerlei Anleitungen finden ... jetzt zu deinen offenen Ports, da du Teamspeak sicherlich nicht durch NPM routest sondern da die Ports direkt weiterleitest ... würden da solche Mechanismen in NPM auch nicht greifen, das nur als Info, sprich, die müssten dann separat abgesichert werden oder du nutzt die stream Funktion in nginx, auch hierzu mal lesen ob dies seitens NPM unterstützt ist und wenn ja, wie ... dann könntest du da sicherlich auch zumindest geo blocking integrieren ... für die NICHT http Dienste auf anderen Ports. Quote Link to comment
SvensenDE Posted September 3, 2023 Author Share Posted September 3, 2023 11 hours ago, Ford Prefect said: Ich halte nix davon unraid ins I-Net zu stellen Ich würde schätzen das bestimmt über 70% Unraid ins Netz stellen grade um sachen zu teilen oder selbst mal von außerhalb drauf zu kommen. Und das man nicht 100% Sicher ist sollten jeden klar sein man macht es nur schwerer 4 hours ago, alturismo said: ich bin jetzt swag Nutzer und da geht unter anderem "geo blocking out of the box", dafür aber mehr Konfigurationsaufwand da es keine webui gibt Davon hab ich auch schon gelesen.. und ja ich bin ehrlich das keine webui bei vielen sachen gibt hat mich bis dato auch immer abgeschreckt was Linux betrifft. Aber leider fährt Synology was ihre Hardware betrifft ganz komische schiene.. was mich zum wechsel gebracht hat. Hast du vllt gutes Video oder Anleitung die man für Thema SWAG folgen kann? 4 hours ago, alturismo said: dann wären da noch die 2fa Ansätze, auch hierzu wirst du allerlei Anleitungen finden ... Jap das läuft auch schon Interessant für mich war ja die Crowdsec nur @fFord Prefect meint ja dafür braucht man Router Bin was Thema Crowdsec noch nicht ganz so sicher da mein Englisch nicht das beste ist 97% alles auf Englisch ist was Thema Crowdsec und Unraid betrifft Aber bis dato kann ich sagen das sich gelohnt hat zu Unraid zu wechseln das jeder anfang schwer ist ja normal ging mir bei Synology vor 15 Jahren nicht anders Quote Link to comment
Ford Prefect Posted September 3, 2023 Share Posted September 3, 2023 14 minutes ago, SvensenDE said: Ich würde schätzen das bestimmt über 70% Unraid ins Netz stellen grade um sachen zu teilen oder selbst mal von außerhalb drauf zu kommen. Du hast mich da nur halb zitiert. Wenn Du eine Verbindung von Aussen zulässt, musst Du alles sichern, nicht nur unraid oder einzelne Services da drauf - siehe den Hinweis von @alturismo zum Thema nginx und teamspeak. Daher sollte das an einer zentralen Stelle sein und das ist eben nicht unraid, sondern Deine Firewall. 17 minutes ago, SvensenDE said: Interessant für mich war ja die Crowdsec nur @fFord Prefect meint ja dafür braucht man Router crowdsec hat genau den Ansatz, zB mit dem "Bouncer" an zentraler Stelle (Firewall) einzugreifen. Ohne jetzt drauf geschaut zu haben, gehe ich davon aus, dass man zB eine OPNSense braucht. ... ich würde zumindest croudsec nicht in den IPTables des unraid Servers "wurschtln" lassen. Das wäre zu speziell, kann Wechelwirkungen hben und wenn Du dann Hilfe suchst, kennt sich niemand aus...hier oder in der croudsec community....aber ist nur meine eigene Vermutung/Analyse. Ich biete keine public Services für "jedermann" an. Für die Familie ud Zugroff von Aussen habe ich einen Router mit Wireguard auf einem VPS (zu dem sich mein lokaler Router ebenfalls - je WAN - mit einem Wireguard Tunnel verbindet) als VPN. In meinem Router regelt die Firewall, wer auf welche Netz (nutze intern VLANs) und welche Services, inkl. Unraid darf. Quote Link to comment
DataCollector Posted September 3, 2023 Share Posted September 3, 2023 (edited) 2 hours ago, SvensenDE said: Ich würde schätzen das bestimmt über 70% Unraid ins Netz stellen grade um sachen zu teilen oder selbst mal von außerhalb drauf zu kommen. Und das man nicht 100% Sicher ist sollten jeden klar sein man macht es nur schwerer Aber nicht nur durch unraid selber (oder ein oaar Apps darauf) gesichert. Edited September 3, 2023 by DataCollector Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.