Neuer Firefox-Syncserver (Rust) in Docker mit MariaDB-Datenbank
- Ersteller Adama
- Erstellt am
Hallo Adama,
Bücher und Hardware zum Thema gibt es bei Amazon: Neuer Firefox-Syncserver (Rust) in Docker mit MariaDB-Datenbank
Bücher und Hardware zum Thema gibt es bei Amazon: Neuer Firefox-Syncserver (Rust) in Docker mit MariaDB-Datenbank
@plang.pl und @Adama
Der Tip mit dem Reverse Proxy ist echt super! Setze ich direkt um.
Frage #1 --> Falls es natürlich eine native ssl-Unterstützung im Firefox SyncServer gäbe, wäre das wesentlich besser. Kennt Ihr da eine?
Frage #2 --> Reverse Proxy kann man auch mit Zugangskontrollen konfigurieren. Wie ich's verstehe, aber nur von festen IP-Adressen aus, richtig?
Zuletzt bearbeitet:
@Adama
Dir vielen Dank. Deine Hilfe war echt Gold wert !!!
Hat mir sehr geholfen das korrekt eingestellte vom Fehler zu unterscheiden und anzugehen !!!
Im Moment teste ich den Firefox SyncServer von lokal und entfernt und er funktioniert wie's aussieht zuverlässig. Dann werden das wohl meine drei Probleme und die Lösungen dazu sein ...
Hoffe, ich habe damit alle meine Lösungen gepostet. Vielleicht hilft es jemanden ...
Dir vielen Dank. Deine Hilfe war echt Gold wert !!!
Hat mir sehr geholfen das korrekt eingestellte vom Fehler zu unterscheiden und anzugehen !!!
Im Moment teste ich den Firefox SyncServer von lokal und entfernt und er funktioniert wie's aussieht zuverlässig. Dann werden das wohl meine drei Probleme und die Lösungen dazu sein ...
- In MariaDB 10 war die Funktion TCP/IP-Verbindung aktivieren ausgeschaltet
- Pfad in Firefox about:config darf abweichend vom Beschrieb hier nicht https:// sein, sondern http:// und nur ein Slsh nach Port ...
identity.sync.tokenserver.uri --> http://<IP-Adresse>:<Port>/1.0/sync/1.5/
- dritten Eintrag in Tokenserver-Datenbank anpassen und https:// durch http:// ersetzen ...
USE tokenserver_rs;
INSERT IGNORE INTO services (id, service, pattern) VALUES ('1', 'sync-1.5', '{node}/1.5/{uid}');
INSERT INTO nodes (id, service, node, available, current_load, capacity, downed, backoff) VALUES ('1', '1', ':http//MYDOMAIN.TLD:<port>', '1', '0', '5', '0', '0');
Ich habe bei den Einträgen festgestellt, dass man bei eine inkorrekte Zuordnung von https://<Doamin>:<Port> nur noch durch ein Löschen des Docker-Containers und löschen der Datenbank-Datensätze entfernen kann. Komischerweise hat das bei mir nicht funktioniert mit einfach Docker-Container stoppen und in der Datenbank die Datensätze unter Tokenserver_rs löschen, neu generieren und Einträge neu machen. Da musste ich wirklich den ganzen Firefox SyncServer runterschmeissen Datensätze der DAtenbank löschen und von Grund auf neu aufsetzen.
Hoffe, ich habe damit alle meine Lösungen gepostet. Vielleicht hilft es jemanden ...
Frage #1 --> Schade. Danke ...
Frage #2 --> Hm, Zugangskontrollen nur mit festen IP-Adressen ... Wie macht man das über's Intenet? Bedeutet das, dass man mit Kenntnis von einem fremden Hostnamen und Port sich theoretisch auf diesem fremden NAS einloggen und Lesezeichen etc. synchronisieren kann?
Frage #2 --> Hm, Zugangskontrollen nur mit festen IP-Adressen ... Wie macht man das über's Intenet? Bedeutet das, dass man mit Kenntnis von einem fremden Hostnamen und Port sich theoretisch auf diesem fremden NAS einloggen und Lesezeichen etc. synchronisieren kann?
Zuletzt bearbeitet von einem Moderator:
@plang.pl
Ja, das scheint mir auch so. Die Sicherheitslücke möchte ich dann auch nicht. Aber aus welchem Grund hast Du dann den Reverse Proxy laufen? Der einzige Grund, den ich dafür sehe, ist es doch eine unverschlüsselte Verbindung von Aussen nicht zuzulassen. Also kommt über's Internet eine verschlüsselte Anfrage, die am Reverse Proxy auf einen unverschlüsselte Adresse weitergeleitet wird.
Oder habe ich Deine Konfiguration falsch interpretiert?
Ja, das scheint mir auch so. Die Sicherheitslücke möchte ich dann auch nicht. Aber aus welchem Grund hast Du dann den Reverse Proxy laufen? Der einzige Grund, den ich dafür sehe, ist es doch eine unverschlüsselte Verbindung von Aussen nicht zuzulassen. Also kommt über's Internet eine verschlüsselte Anfrage, die am Reverse Proxy auf einen unverschlüsselte Adresse weitergeleitet wird.
Oder habe ich Deine Konfiguration falsch interpretiert?
- Mitglied seit
- 05. Mrz 2013
- Beiträge
- 2.002
- Punkte für Reaktionen
- 585
- Punkte
- 154
Das meiste ist ja schon beantwortet worden.
Und ja die Datenbank-Einträge meinte ich. Der Eintrag in der Datenbank muss der selbe sein, mit dem du den Sync-Server ansprechen willst, egal ob HTTP oder HTTPS.
Ich mache es wie @plang.pl extern und intern über einen Remote Proxy, nicht über die Syno sondern über einen Raspi.
- Mitglied seit
- 05. Mrz 2013
- Beiträge
- 2.002
- Punkte für Reaktionen
- 585
- Punkte
- 154
@Adama
Das ist so der Teil, den ich nicht verstehe bzw. wo meine Frage noch nicht beantwortet wäre. Vielleicht kannst Du mir das sagen ...
Du sagst, Du greifst von Extern zu. Das bedeutet verschlüsselter Datenzugriff übers Internet auf den Reverse Proxy, der das dann unverschlüsselt an den Firefox SyncServer weiterleitet. Damit ist der Dienst von Extern (Internet) für alle erreichbar. Da Firefox SyncServer keine Nutzerverwaltung bietet, kann man nicht explizit Sync-Nutzer anlegen/zulassen und alle anderen damit ausschliessen. Der Dienst ist auf dem nach aussen offen Port für jedermann erreichbar. Wer also einen Firefox-Account hat und meinen https://<Hostnamen>:<Port> kennt, kann sich mit dem Firefox SyncServer auf meinem NAS synchronisieren.
Habe ich das richtig verstanden? Und falls ja, wie gehst du mit dieser Sicherheitslücke um?
- Mitglied seit
- 05. Mrz 2013
- Beiträge
- 2.002
- Punkte für Reaktionen
- 585
- Punkte
- 154
Ohne ein Firefox-Konto kannst du auf den Syncserver nicht zugreifen. Erinnere dich an dieses Bild:
Unauthorized bekommst du, weil du nicht übers Firefox-Konto kommst. Also hat der Syncserver eine Benutzerverwaltung: Das Firefox-Konto.
Die Daten selbst sind in der Datenbank verschlüsselt:
Du kannst außerdem noch festlegen, wieviele Benutzer angelegt werden können. Das findet sich in dem einen Datenbank-Eintrag, den du ergänzen musst:
"INSERT INTO nodes (id, service, node, available, current_load, capacity, downed, backoff) VALUES ('1', '1', 'https://<your_server>:<port>', '1', '0', '5', '0', '0')"
D.h. maximal fünf User können angelegt werden, ist auch so im ersten Post beschrieben.
Außerdem betreibe ich meinen Reverse-Proxy nicht über einen Standard-Port wie 443 für SSL.
Also ich sehe keine Sicherheitslücke...
Unauthorized bekommst du, weil du nicht übers Firefox-Konto kommst. Also hat der Syncserver eine Benutzerverwaltung: Das Firefox-Konto.
Die Daten selbst sind in der Datenbank verschlüsselt:
Du kannst außerdem noch festlegen, wieviele Benutzer angelegt werden können. Das findet sich in dem einen Datenbank-Eintrag, den du ergänzen musst:
"INSERT INTO nodes (id, service, node, available, current_load, capacity, downed, backoff) VALUES ('1', '1', 'https://<your_server>:<port>', '1', '0', '5', '0', '0')"
D.h. maximal fünf User können angelegt werden, ist auch so im ersten Post beschrieben.
Außerdem betreibe ich meinen Reverse-Proxy nicht über einen Standard-Port wie 443 für SSL.
Also ich sehe keine Sicherheitslücke...
@Adama
Das sind viele gute Antworten. Perfekt. Will's genauso machen ...
Klar, habe Nutzer auf gewollte Anzahl limitiert (capacity = current_load)
Das sind viele gute Antworten. Perfekt. Will's genauso machen ...
Ja, das schon. Theoretisch geht es aber trotzdem. Man müsste einen Firefox-Account haben und meinen Hostnamen und Port kennen. Der Fall ist aber unwahrscheinlich ...
Das ist mir entgangen. Danke für den Hinweis ...
Das habe ich sicher 3x mal gelesen und konnte mich nicht mehr daran erinnern.
Klar, habe Nutzer auf gewollte Anzahl limitiert (capacity = current_load)
Standard-Ports sowieso nicht, habe auch nur Sonderports.
Eine kleine Sicherheits-Restlücke bleibt. Aber die ist kaum auffindbar und Eintretensfall unwahrscheinlich.
- Mitglied seit
- 28. Okt 2020
- Beiträge
- 14.500
- Punkte für Reaktionen
- 5.074
- Punkte
- 544
Zudem es ja nicht so gravierend wäre, wenn jemand einfach so dort Daten hinsynchronisiert. Und das wird wohl kaum jemand machen (warum auch). Um deine Daten abzugreifen, müsste er sich ja mit dem identischen Konto anmelden
Hoi Zusammen
Bei mir läuft der Firefox SyncServer jetzt wie gewünscht. Nicht zuletzt Dank Eurer Hilfe! Habe schon lange DSs von Synology und schon immer vom KnowHow des Forums profitiert. Habe aber noch nie aktiv teilgenommen. Frag' mich heute, warum eigentlich. Ist eine tolle Erfahrung und tolle Hilfe. Falls ich einen Teil meiner Lösung vergessen habe zu posten, bitte melden oder nachfragen. Bis zum nächsten Mal ...
Bei mir läuft der Firefox SyncServer jetzt wie gewünscht. Nicht zuletzt Dank Eurer Hilfe! Habe schon lange DSs von Synology und schon immer vom KnowHow des Forums profitiert. Habe aber noch nie aktiv teilgenommen. Frag' mich heute, warum eigentlich. Ist eine tolle Erfahrung und tolle Hilfe. Falls ich einen Teil meiner Lösung vergessen habe zu posten, bitte melden oder nachfragen. Bis zum nächsten Mal ...
- Mitglied seit
- 05. Mrz 2013
- Beiträge
- 2.002
- Punkte für Reaktionen
- 585
- Punkte
- 154
Du hast ja bestimmt beim Account auch 2FA aktiviert? Also noch eine Klippe, die es zu überwinden gäbe...
- Mitglied seit
- 05. Mrz 2013
- Beiträge
- 2.002
- Punkte für Reaktionen
- 585
- Punkte
- 154
Ich glaube, dann kann man sich schon recht sicher fühlen.
Ich hab übrigens auf meinem Reverse-Proxy auch noch Geo-Location eingerichtet und den Zugriff auf Adressen aus D eingeschränkt.
Das ist zwar auch keine 100%ige Sicherheit, aber immerhin eine weitere Klippe auf dem Weg.
Ich hab übrigens auf meinem Reverse-Proxy auch noch Geo-Location eingerichtet und den Zugriff auf Adressen aus D eingeschränkt.
Das ist zwar auch keine 100%ige Sicherheit, aber immerhin eine weitere Klippe auf dem Weg.
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
