NEWS
Proxmox: Webserver - Sicherheitsbedenken?
-
Hi,
ich hatte überlegt, über Proxmox eine VM anzulegen, die dann als Webserver dient.
Zugriff ausschließlich privates Umfeld, also mit Benutzer/Passwort. Kein unautorisierter Zugriff geplant.Details zum System: Proxmox läuft auf einer Zotac ZBox, und da dann: ioBroker, piHole, TvHeadend, Fileserver, etc.
Ist denn das Risiko eingrenzbar, oder eine Schnapsidee (nach dem Motto "wie kannst du nur?") im Hinblick dessen, was da noch so auf der Maschine läuft?
Wäre eine separate Raspberry besser? Oder besser gar nicht?Danke für Eure Meinungen.
-
Hi,
ich hatte überlegt, über Proxmox eine VM anzulegen, die dann als Webserver dient.
Zugriff ausschließlich privates Umfeld, also mit Benutzer/Passwort. Kein unautorisierter Zugriff geplant.Details zum System: Proxmox läuft auf einer Zotac ZBox, und da dann: ioBroker, piHole, TvHeadend, Fileserver, etc.
Ist denn das Risiko eingrenzbar, oder eine Schnapsidee (nach dem Motto "wie kannst du nur?") im Hinblick dessen, was da noch so auf der Maschine läuft?
Wäre eine separate Raspberry besser? Oder besser gar nicht?Danke für Eure Meinungen.
@Mic Kann man machen. Allerdings schaffst du dir dadurch natürlich eine Sicherheitslücke. Du musst Ports öffnen - damit ist man schon im Netz. Und überlege mal welche Möglichkeiten ein Angreifer hätte wenn er Zugriff auf das Backend deines Webservers bekommt. Du kannst diesen zumindest in ein VLAN stecken. Besser noch wäre überhaupt eine eigene öffentliche IP für den Server und dann auch einen eigenen Rechner.
Auf der anderen Seite: wer hätte Interesse daran dich zu hacken? Den Skriptkiddies kannst du es relativ einfach zu schwer machen und "Profis" werden kaum Interesse an deinem privaten Server zeigen.
-
@Mic Kann man machen. Allerdings schaffst du dir dadurch natürlich eine Sicherheitslücke. Du musst Ports öffnen - damit ist man schon im Netz. Und überlege mal welche Möglichkeiten ein Angreifer hätte wenn er Zugriff auf das Backend deines Webservers bekommt. Du kannst diesen zumindest in ein VLAN stecken. Besser noch wäre überhaupt eine eigene öffentliche IP für den Server und dann auch einen eigenen Rechner.
Auf der anderen Seite: wer hätte Interesse daran dich zu hacken? Den Skriptkiddies kannst du es relativ einfach zu schwer machen und "Profis" werden kaum Interesse an deinem privaten Server zeigen.
-
mir persönlich gefällt port knocking ganz gut. hab es aber selbst noch nie umgesetzt.
https://www.admin-magazin.de/Das-Heft/2010/06/Remote-einloggen-mit-Port-KnockingDas reduziert das Risiko auf eine bestimmte Zeit, in der man zugreifen möchte und ist von außen nicht sichtbar.
-
Es geht sicher nicht um die Gefahr gezielter Angriffe, sondern eher um die IP/Port-Scanner, die dich zufällig finden. Früher hatte ich die HM und ioBroker auch via Ports geöffnet, heute nutze ich ausschließlich eine VPN Verbindung. Und die lässt sich praktisch auf jedem Endgerät konfigurieren (ok, nicht im Internet-Cafe). Nächster großer Vorteil der VPN-Verbindung: Du surfst dann auch ausserhalb deines Heimbereichs sicher, da auch alle Browseraktionen dann über die VPN Verbindung und damit über deinen Homezugang laufen.
Noch ein Vorteil: Du musst nicht n Ports öffnen, sondern hast sofort Zugang zu allen Nodes in deinem Netzwerk.Uhula - Leise und Weise
Ex: ioBroker on Gigabyte NUC Proxmox -
Es geht sicher nicht um die Gefahr gezielter Angriffe, sondern eher um die IP/Port-Scanner, die dich zufällig finden. Früher hatte ich die HM und ioBroker auch via Ports geöffnet, heute nutze ich ausschließlich eine VPN Verbindung. Und die lässt sich praktisch auf jedem Endgerät konfigurieren (ok, nicht im Internet-Cafe). Nächster großer Vorteil der VPN-Verbindung: Du surfst dann auch ausserhalb deines Heimbereichs sicher, da auch alle Browseraktionen dann über die VPN Verbindung und damit über deinen Homezugang laufen.
Noch ein Vorteil: Du musst nicht n Ports öffnen, sondern hast sofort Zugang zu allen Nodes in deinem Netzwerk.@Uhula Ich verwende auch openVPN und das funktioniert perfekt. Vor allem ist so auch mein Handy unterwegs werbefrei (dank Pi hole).
Es gibt aber auch Anwendungsbereiche wo ein VPN unpraktisch wenn nicht sogar unmöglich ist. Soll z.B. ein größerer Personenkreis auf Daten zugreifen können, dann ist ein Webdienst viel praktikabler. Den kann man selber bereitstellen indem man z.B. einen Proxmox-Container mit Apache einrichtet und dort seinen Dienst laufen lässt der dann natürlich per Portweiterleitung erreichbar sein soll. Oder man mietet einen Server bzw. einen Webhost. Ich mache beides. ;-) Seit über zehn Jahren bin ich bei all-inkl eingemietet und sehr zufrieden. Aber für Testzwecke habe ich auch auf dem NUC eine Seite laufen.
Vor den Scannern muss man auch keine Angst haben, die melden ja nur, dass Port xx offen ist. Wenn das System dahinter abgesichert ist, besteht noch keine Gefahr vor Scriptkiddies. Und vor Profis sind auch Institutionen nicht sicher die wissen wie es geht. Doch warum sollten sich Profis für eine private Seite interessieren? Natürlich besteht ein Sicherheitsrisiko, aber man muss abschätzen wie realistisch es ist.
-
Also grundsätzlich sehe ich da kein Problem eine VM als Webserver von außen erreichbar zu machen, das ist ja auch der Sinn der Sache, wichtig wäre halt ein ReverseProxy dazwischen der intern alles routet zum richtigen Dienst/VM. Und vor allem nur den Port 443 freigeben, Port 80 wird in der Regel für automatische Verlängernung eines SSL Zertifikats genutzt. Bei mir laufen mehrere Webserver als VM auf Proxmox die über einen ReverseProxy von außen erreichbar sind und SSL Zertifikate nutzen.
Als ReverseProxy kann man sehr gut auch den von Synology verwenden wenn man ein NAS von denen sein eigen nennt.
Alle anderen wichtigen und sensiblen Dienste oder mein NAS sind von außen nicht erreichbar bzw. nur über VPN.
Support us
735
Online32.6k
Benutzer82.1k
Themen1.3m
Beiträge