Projekt: Eigene Cloud Zuhause

[Cinux]

Hallo alle miteinander,

ich bin auch dabei mir eine Eigene Cloud zu basteln. Doch diese wird wahrscheinlich etwas mehr umfassen, als nur Card-und Cal-Dav Sync. Jedoch habe ich mich auch eine Zeit lang damit versucht. Und verschiedene Werkzeuge getestet, verschiedene apps... etc.

Wichtig dabei war mir, dass die synchronisierten Daten überall gleich sind. Resultat: Es ist nicht möglich. Das liegt aber daran das ich Thunderbird mit dem Lightning Plugin verwendet habe und dieses für die Kontakte nur hart gecoded Kontaktinformationen zulässt. Jedoch ist ein perfekter sync zwischen Owncloud und Android möglich, was ja heutzutage auch schon ausreichend ist. Bei Apple habe ich das ganze nur begrenzt getestet. Da ich kein iPhone besitze sondern meine Freundin.

Hier ist auch einmal das Stichwort Baikal gefallen. Bei mir hat Baikal tadellos funktioniert und es ist auch eine Version 2 in Arbeit: https://github.com/fruux/Baikal2 Diese hat sogar ein Webinterface für Kontakte und Kalender. Jedoch habe ich das noch nicht getestet

Zu Zarafa kann ich nur sagen, dass es doch ganz schön overpowered ist für einfaches Card und Caldav. Ausserdem brauch man noch Z-Push...

Also wenn ich mal so weit bin mit meiner eigenen Cloud werde ich wahrscheinlich erst einmal owncloud mit Thunderbird und Android verwenden.
Für Android gibt es da DavDroid, welches unter F-Droid kostenlos erhältlich ist. Funktionierte soweit bei mir ganz gut.


Bezüglich dem Zugriff auf das Synology vom Internet aus. Eventuell kann man auch einen Proxy bzw. ne Firewall konfigurieren. So kann man eventuell verschiedene Angriffe abfangen damit diese nicht direkt das DS treffen. Wobei ich nicht wirklich daran glaube, dass da etwas passiert. Es sei den du gehst mit deiner späteren URL dann hausieren.

So und nun guten Nacht

Viele Grüße,
Cinux

 

[Tommes]

Ja, die c't die morgen rauskommt. S. 146ff

Hab den Artikel grade gelesen. Interessanter Trick, den ich aber noch nicht ausprobiert habe. Jedoch unterstützt Microsoft damit "offiziell" immer noch keine Cal- und CardDAV-Server und wie lange dieser Trick in Zukunft noch funktionieren wird, ist ungewiss. Von daher hätten wir unseren Aussagen wohl beide recht. Es geht zwar, wird offiziell jedoch nicht unterstützt.

- bei (Web)anwendungen von Drittanbietern fail2ban o.ä. nutzen.

Hast du denn fail2ban auf der DS am laufen. Ich hab hier mal gelesen, das sich fail2ban nur mit syslog-ng betreiben ließe und selbst dann noch Probleme mit den DSM-Protokollen sowie der DS-Firewall bestehen. Hab das aber ehrlich gesagt nie auf der DS probiert. Auf meinem RasPi läuft fail2ban dagegen hervorragend, sichert die Login-Masken von ownCloud und WordPress und blockt zuverlässig unerlaubte Zugriffe ab.

Hier ist auch einmal das Stichwort Baikal gefallen. Bei mir hat Baikal tadellos funktioniert und es ist auch eine Version 2 in Arbeit:

Um die Weiterentwicklung von Baikal ranken sich auch Mythen. Das Ur-Baikal steht immer noch bei Version 0.2.7 und scheind auch nicht wirklich weiter entwickelt zu werden. Baikal2 wurde eine Zeitlang von netgusto weiterentwickelt, ist aber auch irgendwie von der Bühne verschwunden und jetzt geht es mit fruux weiter. Schauen wir mal, wo die Reise noch hingehen wird.

Nichts desto trotz ist Baikal ein tolles System, keine Frage.

Tommes

 

[X5_492_Neo]

@Tommes nähnäh näh dich bloss nicht selbst fest! Ich hab die DSM beta auf das Backup Nas installiert, da macht es wenig da sie nur als Ziel fungiert für TIME BACKUP! weiter rumgespielt hab ich noch nicht da ich schon bisschen Schiss hab meine Kontakte zu verlieren! Wenn dsm mal final ist, versuch ich mich mal! Ich frage mich allerdings was es für einen Sinn macht die Kontakte im DSM ändern zu können, aber diese sonst nicht weiter verwendet werden können!

 

[Tommes]

Unter ownCloud hast du ja auch u.a. die Möglichkeit, deine Kontakte zu bearbeiten, ebenso bei Baikal2 als auch in deiner iCloud. Ob das Sinn macht oder nicht, kann ich dir nicht sagen, aber von einem reinen Cal- und CardDAV Server würde ich das erstmal nicht erwarten. Das Synology da jetzt nachzieht ist ja nicht verkehrt, brauchen tu ich das jedoch nicht, da ich meine Kontakte über meine iOS Boliden und über Windows-Client-Systeme (wie z.B. eM Client) verwalte, nicht aber über eine Web-Plattform. Aber so ist halt für jeden etwas dabei, was ja auch nicht verkehrt ist.

DSM 6 liegt bei mir übrigens auch auf der Backup-DS (DS114), aber das nur nebenbei bemerkt.

Tommes

 

[X5_492_Neo]

Ja klar kann man mit owncloud etc das Zeug bearbeiten! Stören tut mich daran nur, das ich eine extra App für brauche, soweit ich das weiß. Dahingehend finde ich ich es schon ganz cool das bei ios direkt in die Kontakte, bzw. ins System einzupflegen! Ich komm zum beispiel immer durcheinander weil dieses verf*ckte Whatsf*ck seine eigenen Kontakte hat und ich mit meinen eigenen immer wieder durcheinander komme! Das verwiehert mich total

 

[helmut72]

Ja klar kann man mit owncloud etc das Zeug bearbeiten! Stören tut mich daran nur, das ich eine extra App für brauche, soweit ich das weiß.

Wenn Du Dateien unbedingt mit der Owncloud iOS App synchronisieren möchtest. Geht aber auch jeder andere WebDAV Client unter iOS. Kalender, Aufgaben und Kontakte werden mit den iOS Apps synchronisiert, die Apple mitliefert. Mit denen kannst Du auch editieren.

 

[X5_492_Neo]

Oh, ok! So genau hab ich mir owncloud nicht angeschaut, war da immer etwas skeptisch irgendwie.

grad kurz eine Frage dazu, ich hab irgendwo einen Screenshot von owncloud gesehn der zeigte das es mittels QuickConnect funktionierte, stimmt das? Oder hab ich da wieder verwiehert? ( ühühühüüü)

 

[Basaltkopp]

Ja, die c't die morgen rauskommt. S. 146ff

@Basaltkopp

Ad-hoc fällt mir an einem Freitag Abend grob ein:

- DSM/Konfiguration nicht vom Internet aus zulassen check
- nur die wirklich genutzten TCP-Ports im Router zur DS freigeben, kein UPNP check
- in der Firewall gleich ganze Länder/Kontinente sperren, mit denen man nicht kommuniziert
- autom. Blockierung bei fehlgeschlagenen Logins aktivieren check 10 Logins innerhalb von 5min
- im Webserver nur die genutzten PHP-Module aktiveren
- bei (Web)anwendungen von Drittanbietern fail2ban o.ä. nutzen.
- bei Webanwendungen auf die .htaccess achten und anpassen
- erzeugte Konfigurationsdateien und Daten in Webanwendungen nicht dort speichern, die im Zugriffspfad des Webservers liegen
- alle Dienste ohne Verschlüsselung/SSL erst gar nicht aktiveren check
- aktiv nach Updates aller eingesetzten Produkte schauen und Security News lesen um informiert zu sein check
- oben genanntes in regelmässigen Abständen auf Funktion prüfen

Ganze Länder / Kontinente sperren kann ich ja in Summe nur 15. Was macht hier Sinn, denn Kontinente konnte ich nicht rauslesen.

Also ich lese auch hier klar die Empfehlung: Owncloud. Das zähle ich zur Kategorie Webanwendungen und läuft meine ich auch auf PHP. Ich würde jetzt hier in den PHP Einstellungen nur calendar auswählen. Richtig oder falsch?

.htaccess kA ob Owncloud das nutzt und ob es die Konfigurationsdatei im root speichert.


Hier bräuchte ich nochmal Abhilfe bevor ich loslege owncloud zu installieren

 

[amarena]

Hallo alle miteinander,

ich bin auch dabei mir eine Eigene Cloud zu basteln. Doch diese wird wahrscheinlich etwas mehr umfassen, als nur Card-und Cal-Dav Sync. Jedoch habe ich mich auch eine Zeit lang damit versucht. Und verschiedene Werkzeuge getestet, verschiedene apps... etc.

Wichtig dabei war mir, dass die synchronisierten Daten überall gleich sind. Resultat: Es ist nicht möglich. Das liegt aber daran das ich Thunderbird mit dem Lightning Plugin verwendet habe und dieses für die Kontakte nur hart gecoded Kontaktinformationen zulässt. Jedoch ist ein perfekter sync zwischen Owncloud und Android möglich, was ja heutzutage auch schon ausreichend ist. Bei Apple habe ich das ganze nur begrenzt getestet. Da ich kein iPhone besitze sondern meine Freundin.

Hier ist auch einmal das Stichwort Baikal gefallen. Bei mir hat Baikal tadellos funktioniert und es ist auch eine Version 2 in Arbeit: https://github.com/fruux/Baikal2 Diese hat sogar ein Webinterface für Kontakte und Kalender. Jedoch habe ich das noch nicht getestet

Zu Zarafa kann ich nur sagen, dass es doch ganz schön overpowered ist für einfaches Card und Caldav. Ausserdem brauch man noch Z-Push...

Also wenn ich mal so weit bin mit meiner eigenen Cloud werde ich wahrscheinlich erst einmal owncloud mit Thunderbird und Android verwenden.
Für Android gibt es da DavDroid, welches unter F-Droid kostenlos erhältlich ist. Funktionierte soweit bei mir ganz gut.


Bezüglich dem Zugriff auf das Synology vom Internet aus. Eventuell kann man auch einen Proxy bzw. ne Firewall konfigurieren. So kann man eventuell verschiedene Angriffe abfangen damit diese nicht direkt das DS treffen. Wobei ich nicht wirklich daran glaube, dass da etwas passiert. Es sei den du gehst mit deiner späteren URL dann hausieren.

So und nun guten Nacht

Viele Grüße,
Cinux

Ich finde deine Idee echt toll!

 

[Tommes]

@Basaltkopp & @amarena
Könntet ihr bitte das anhängen von Vollzitaten unterlassen. Danke!

@Basaltkopp
Hab hier mal eine Anleitung zu den GeoIP-Einstellungen erstellt *klick*

Tommes

 

[Basaltkopp]

Merci das hat mir echt geholfen

P.S. Ok werde es ab sofort befolgen

 

[helmut72]

Ganze Länder / Kontinente sperren kann ich ja in Summe nur 15. Was macht hier Sinn, denn Kontinente konnte ich nicht rauslesen.

Ich habs so gemacht: erst war mal alles offen und je nach Angriffshäufigkeit (Logs hab ich mir zumailen lassen) habe ich die Länder der IP Ranges (war ja meist einer nur mit untersch. Endungen) mittels whois rausgesucht und gesperrt. Aus 10+ fehlgeschlagenen Anmeldungen pro Tag sind es vielleicht 10 in der Woche.

Ich würde jetzt hier in den PHP Einstellungen nur calendar auswählen. Richtig oder falsch?

Wenn Du schon mehr als eine einzige Webanwendung installiert hast, wirst Du vermutlich festgestellt haben, dass die Webanwendung dann gerne meckert "mir fehlt x, mir fehlt y"!? Dann Häckchen setzen. Damit fährst eigentlich ganz gut, bevor Du Dir mit Anleitungen das System zerschiesst und ganz unnötig in der Shell rumdoktorst. Achja, Rechte in der Shell setzen nicht vergessen bei selbst installierten Webanwendungen! Hatte ich Freitag vergessen...

.htaccess kA ob Owncloud das nutzt und ob es die Konfigurationsdatei im root speichert.

Owncloud nutzt .htaccess. Hier hat die Owncloud-Seite und dort das Forum einiges mehr ans Infos. Pauschal funktioniert sie so wie sie ist.

Ich würde dann das Verzeichnis nicht /owncloud nennen wo Du es installierst. Standardnamen werden von Bots gerne abgegrast.

fail2ban nicht vergessen. Ich habs irgendwo auf der Syno ausgepackt, die Requirements gelesen, diese erfüllt und in der /etc/fail2ban an meine Logs angepasst!

Data-Directory woanders speichern:
https://www.google.de/webhp?complete=0&gws_rd=ssl#complete=0&q=owncloud+data+folder

Hier bräuchte ich nochmal Abhilfe bevor ich loslege owncloud zu installieren

Am Besten suchst Du mit einer Suchmaschine und fängst einfach mal an!? Dann bekommst schon etwas Erfahrung, bist tiefer in der Materie und hast nur Detailfragen. Eine Rundum-Sorglos Anleitung an dieser Stelle mit diesen unterschiedlichen Themen füllen ein halbes Buch...

 

[Tommes]

@helmut72
Ich hab dich das bereits im Beitrag #22 schon gefragt, aber noch keine Antwort darauf bekommen...

Hast du denn fail2ban auf der DS am laufen. Ich hab hier mal gelesen, das sich fail2ban nur mit syslog-ng betreiben ließe und selbst dann noch Probleme mit den DSM-Protokollen sowie der DS-Firewall bestehen. Hab das aber ehrlich gesagt nie auf der DS probiert. Auf meinem RasPi läuft fail2ban dagegen hervorragend, sichert die Login-Masken von ownCloud und WordPress und blockt zuverlässig unerlaubte Zugriffe ab.

Ich fänd es toll, wenn du mir hierzu ein paar tiefergehende Informationen geben könntest, da ich bisher immer nur gelesen habe, das das nicht so einfach ist bzw. nur mit Einschränkungen läuft. Daher habe ich es selber gleich sein gelassen.

Tommes

 

[helmut72]

Sorry, überlesen, war dieses WE im Stress.

Sooo "tief" sind die Informationen nicht. Ich frage halt die Log-Datei ab die Owncloud in data/owncloud.log erzeugt. Irgendwo finden sich auch in anderen Webanwendungen Logdateien zum abgreifen, einfach speziell danach googeln. Fail2ban sperrt bei mir mit iptables und erzeugt, unabhängig was Synology macht, eine eigene iptables-chain. Funktioniert einwandfrei.

Anbei ein ganz guter Thread zum Thema Owncloud mit fail2ban:
https://forum.owncloud.org/viewtopic.php?t=28678

Regex sollte man ein wenig verstehen und nach jedem DSM-Update prüfen, ob fail2ban wieder anläuft. Falls nicht: die Dateien wieder an Ort und Stelle kopieren /usr/bin;/usr/share;/etc.. Hab mir mit "DESTDIR=/ganz/wo/anders" (oder wie das in Python auch immer heißt) einen Paketordner gemacht und kopier das nach einem Update wieder ins System. Klingt jetzt alles furchtbar aufwändig, ist es aber nicht. Die Prüfung der wenigen eigenen Pakete nimmt nach einem DSM Update keine 5 Minuten in Anspruch.

 

[Tommes]

Dank dir. Ich hab übrigens den Thread wiedergefunden, wo ich Frogman mal das Gleiche gefragt hab *klick*
Deshalb habe ich bei dir auch nochmal nachgehakt.

Ich denke das ich das aber mal selber (irgendwann) mal probieren werde, das auf der DS ans laufen zu bekommen. Auf meinem RasPi läuft das ja sehr zuverlässig und übrigens natürlich mit der selben Regex Protokollüberwachung wie du verlinkt hast.

Tommes

 

[Basaltkopp]

@Basaltkopp
Hab hier mal eine Anleitung zu den GeoIP-Einstellungen erstellt *klick*

Tommes

Was muss ich zusätzlich einstellen, dass ich weiterhin per DynDNS darauf zugreifen kann? Aktuell scheint es nämlich zu blocken, nachdem ich diese Einstellungen vorgenommen habe.

 

[Tommes]

Welchen DDNS-Anbieter hast du denn und welche Länder hast du ausgesperrt bzw. zugelassen? Vielleicht verbindet dein DDNS-Anbieter über eine nicht freigeschaltete Länderkennung?

Tommes

 

[Basaltkopp]

All-Ink. Ist in meinem Hosting-Paket enthalten. Gemäß der Anleitung und auf meinen eigenen Wunsch hin habe ich alles bis auf die internen IP's und Deutschland zugeordnete IP's dicht gemacht.

 

[Tommes]

Hm... Aus der Ferne schwer zu sagen, wo da der Fehler liegt, vor allem bei so spärlichen Informationen. Welche Ports hast du z.B. in der Routerfirewall, welche in der DS-Firewall geöffnet? Testest du wirklich von extern oder aus deinem eigenen LAN heraus? Vielleicht hat auch die Automatische Blockierung zugeschlagen? Keine Ahnung....

Spiel mal ein wenig mit den Firewalleinstellungen rum um so das Problem lokalisieren zu können.

Tommes

 

[Basaltkopp]

Fehler gefunden Hatte in den beiden Regeln vergessen die drei von mir genutzten Ports zu öffnen.