DMZ für Cloudserver mit OpenWRT

Eigene Cloudserver, die über die heimische Leitung ins Internet gehängt werden, sind Dank Raspberry Pi, Banana Pi & Co. gerade schwer in Mode. Systeme, die im Internet erreichbar sind, bieten eine gewisse Angriffsfläche. Eine Grundabsicherung per Firewall ist hier natürlich ein Muss. Unter Linux eignet sich hier iptables, um sowohl den IPv4 als auch IPv6 Datenverkehr zu kontrollieren. Der Einsatz einer Statefull Firewall mit iptables ist hier beschrieben: Klick
Was passiert jedoch, wenn der Cloudserver doch kompromittiert wird? Da das System in aller Regel im eigenen Netz hängt und nur Ports von außen auf das System geöffnet wurden, ist es für einen Angreifer ein Leichtes, sich Zugriff auf weitere Ressourcen im Netzwerk zu verschaffen. Abhilfe schafft hier eine DMZ (Demilitarisierte Zone). Eine DMZ trennt einen gewissen Bereich vom eigenen Netzwerk. Zugriffe vom eigenen Netz in die DMZ sind erlaubt. Zugriffe von der DMZ in das eigene Netz werden im Optimalfall komplett unterbunden. Eine detaillierte Beschreibung zum Thema DMZ gibt es bei Wikipedia: Klick Wer einen Router mit OpenWRT betreibt, kann sich eine DMZ mit einem dedizierten VLAN selbst konfigurieren. Die Basis dieser Anleitung basiert auf dem entsprechenden OpenWRT Wiki Artikel: Klick Es gibt jedoch ein paar wichtige Einstellungen, die beim Einsatz eines Cloudservers nicht fehlen dürfen. Generell sind folgende Aktionen erforderlich:

„DMZ für Cloudserver mit OpenWRT“ weiterlesen

Seafile Upgrade durchführen

Seafile ist eine OpenSource „File Sync & Share“ Software, ähnlich wie der kommerzielle Dienst Dropbox. Der Vorteil ist, dass Seafile selbst gehostet werden kann und somit die Kontrolle der eigenen Daten jeweils in eigener Hand bleibt. Anleitungen, wie Seafile auf dem Raspberry Pi installiert werden kann, gibt es im Internet genügend. Dieser Post beschreibt das Vorgehen für ein Seafile Upgrade. Hierbei werden sowohl Major- als auch Minor Updates berücksichtig.

„Seafile Upgrade durchführen“ weiterlesen

MySQL Installation mit mysql_secure_installation absichern

Im Internet finden sich viele Anleitungen, wie unter Linux ein MySQL Datenbank Server zu installieren ist. Gerne wird MySQL auf Einplatinen Computern wie dem Raspberry Pi installiert, um dann zum Beispiel in den eigenen vier Wänden eine OwnCloud oder WordPress Installation zu hosten. Dezentralisierung von Diensten und Daten ist generell eine feine Sache. Allerdings sollte man auch bedenken, dass das System im Internet erreichbar ist und der Betreiber des Systems auch die Verantwortung darüber trägt. Eine Datenbank im Internet bietet immer eine Angriffsfläche, die – soweit es möglich ist – minimiert werden sollte. Dazu gehören eine ordentliche Konfiguration, starke Passwörter sowie regelmässige Updates. Für eine erste Grundkonfiguration liefert MySQL den Befehl „mysql_secure_installation„, welcher leider in den wenigsten Anleitungen erwähnt wird.

„MySQL Installation mit mysql_secure_installation absichern“ weiterlesen