Raspberry Pi2 und DS114 und Windows7 und Android

[Tommes]

Neben der Firewalleinrichtung gibt es aber noch eine Menge mehr an Sicherheitsvorkehrungen. SSL wäre mal zuerst genannt, damit du ownCloud nur noch über https:// erreichbar machst. Weiterhin solltest du dir mal fail2ban, GeoIP, Schutz vor DDoS-Attacken etc. anschauen, aber auch so nette Programme wie logwatch oder lynis, die dir bei der Aus- bzw. Bewertung deines Systems helfen. Leider kann ich dir in vielen Dingen nicht helfen, da bei mir alles auf den Apache Webserver gemünzt ist. Wie das unter Ngnix umzusetzen ist, kann ich dir leider nicht beantworten.

Aber du solltest auf jeden Fall etwas tun, falls dir deine Daten wichtig sind. Da wartet also noch ein ganze Stück Arbeit auf dich! Aber falls es dich tröstet... ich bin auch noch nicht am Ziel!

Tommes

 

[Venkman]

So jetzt raucht mir der Kopf.

Selfhost ist in der Fritzbox aktiviert.
xxx.selhost.eu

Wenn ich das im Browser eingebe bekomme ich keine Verbindung.

Wie komme ich damit auf den Raspi bzw. was muss ich da einstellen ?


Aber ich glaube ich muss jetzt erstmal pausieren, sonst sehe ich den Wald vor lauter Bäume nicht. Bin heute eh schon sehr weit gekommen.

Jetzt gehe ich mal raus ne runde Ingress zocken. Zuviel grünes Zeug hier

 

[Tommes]

Es reicht nicht einfach nur selfhost in der Fritzbox einzutragen, du musst auch die nötigen Ports zum Pi in der Fritzbox unter Internet/Freigaben/Portfreigaben einrichten. Je nachdem sollte zumindest Port 80 und 443 zum Pi weitergeleitet werden und Port 80 auch nur, falls du per http verbinden möchtest.

Ach Gott, wieder so ein Ingress Fan! Meine Kollegen haben nichts anderes mehr im Kopf als sich über Ingress zu unterhalten. Naja, wer sonst Probleme hat seine Umwelt zu erkunden... Bitte. Jedem das Seine

Tommes

 

[Venkman]

so ein Teil davon wäre auch ok.
Wenn ich im Browser https://xxx.selfhost.eu eingebe bin ich in der OC.
Über das Handy ausserhalb des eigenen Netzes klappt es noch nicht :-(
Muss ich nochmal nachschauen was da los ist.

Ingress ist doch ein netter Zeitvertreib, man kommt mal an die frische Luft und lernt ne Menge netter Leute kennen.
Sollte man nur nicht zur Ernst nehmen

 

[Tommes]

Wirf mal einen Blick in deine /var/www/owncloud/config/config.php und such mal nach dem Parameter (array) 'trusted_domains', ob dort neben deiner lokalen IP auch deine DDNS-Adresse eingetragen ist. Infos gibt es auch hier https://doc.owncloud.org/server/7.0/admin_manual/configuration/config_sample_php_parameters.html

Klar, Ingress ist schon witzig gemacht und macht auch bestimmt Spaß und man kommt mal raus. Jedoch ist das Spiel nicht meins und ums rauskommen kümmert sich hartnäckig mein kleiner Untermieter... auch Kind genannt *lach*

 

[Venkman]

So alles läuft
Ich hatte in der Portweiterleitung einen Fehler drin gehabt.
Kontakte, Kalender und Cloud sind jetzt auch von ausserhalb per Android Phone erreichbar.
Baikal kann ich jetzt in der DS in Rente schicken.

Als nächstes kommt erstmal die Firewall dran.
So wie ich mich kenne mache ich die so dicht, das ich auch nicht mehr rein komme

Die anderen erwähnten Programme werde ich mir auch anschauen.
Es liegen aber keine wichtigen Daten in der Owncloud.

 

[Tommes]

Ich fand dieses Tutorial recht brauchbar da es IPv4 sowie IPv6 Regeln einbinden kann (solltest du denn IPv6 auf deinem Pi aktiv haben)
http://blog.doenselmann.com/firewall-fuer-raspberry-pi-und-banana-pi/

Tommes

 

[Venkman]

Macht es Sinn den Port 22 von SSH auf was anderes um zu biegen ?
Also quasi weg von den Standard Ports.

 

[Venkman]

Eine Frage zur Firewall.
Wenn ich nur über https also Port 443 auf den Rspi zugreife, wird der Port 80 doch nicht gebraucht und kann dicht gemacht werden .

Liege ich damit richtig ?

 

[Venkman]

Schon wieder ich

Es geht um Fail2Ban
Der zeit (und das wird auch noch ne Weile so blieben) benutze nur ich den Raspi.
Von extern greife ich über selfhost auf den Raspi zu. Der kriegt doch dann nur eine interne IP von der FritzBox übermittelt oder liege ich da falsch ?
Wenn dem so wäre könnte ich doch einfach alle anderen IPs ausser meine eigene sperren und fertig.
Kann man das nicht auch bei der Firewall so einrichten ?

 

[Ameisentaetowierer]

Wenn du einen DDNS Dienst benutzt, macht es Sinn, keine Standardports (22, 80, 443, ...) zu benutzen.
Damit verhinderst du, dass du zufällig das Opfer einer bisher unbekannten bzw. brandneuen Sicherheitslücke wirst, die ein Angreifer einfach mal "bei der breiten Masse" antesten will.
Hast du hingegen eine bekannte Adresse/Domain, wird ein Angreifer alles mögliche probieren, um dein System zu knacken.

Wenn du Port 443 nutzt, brauchst du 80 nicht.

Wenn ein Zugriff von aussen (oder innen) erfolgt, sieht der Raspi die IP, von der die Anfrage tatsächlich kommt.
Ist fast wie bei der Post, du siehst den Absender, bekommst aber nicht wirklich mit, über welche Paketzentren der Brief gegangen ist.
Das siehst du dann z.B. auch in den Logs von Nginx/Apache, bzw. kannst du aktuell bestehende Verbindungen auch mit dem Kommando "netstat" sehen.

 

[Venkman]

Puhhh, hab jetzt soviel zu Firewall und Fail2Ban gelesen und noch nicht richtig verstanden :-(
Mir raucht der Kopf, für heute ist Ende.

Morgen gehts dann weiter.
Bin ja schon richtig Happy das OC läuft und das syncen von Kontakten und Kalendern

 

[Tommes]

Es hat ja auch keiner gesagt das es einfach ist. Aber wenn du erstmal aus dem Tal der Ahnungslosen ausgebrochen bist wirst du merken, das es eigentlich ganz einfach ist. Aber das ist wohl mit allem so!

Aber mit der Pi-Firewall verhält es sich imho genauso wie mit der DS-Firewall. So lange du hinter einem Router sitzt und von dort aus die Ports weiterleitest, machst du ja auch nichts anderes als die Router-Firewall zu konfigurieren.

Ich hab die Pi-Firewall halt in Verbindung mit fail2ban eingerichtet um u.a. den Apache und auch die Loginmaske von ownCloud zu sichern. Auch wollt ich über iptables noch GepIP steuern, was auf dem Pi jedoch nicht umsetzbar zu sein scheind.

Ob du also die Pi-Firewall und/oder fail2ban nutzen möchtest bzw. brauchst ist immer individuell zu betrachten. Anderseits gibt mir das ein weit aus sichereres Gefühl meinen Raspi auf's Internet loszulassen als komplett schutzlos.

Tommes

 

[Venkman]

Ich habe eine Kalender in Baikal denich jetzt gerne in die Owncloud auf dem Raspi kriegen möchte.
Ideal wäre ein export von Baikal in ein ics-File und dann der Import in OC.
Finde aber in Baikail keine export funktion und auch im Android Handy und a-calendar findeich sowas nicht :-(
Jemand ne Idee ?

 

[Tommes]

Nun ja, Wege gibt es da wohl viele. Ich habe meine Kalender und Kontakte über das Mail-Clientprogramm eM Client portiert. Dabei konnte ich sowohl die Daten in externen Dateien speichern als auch auf direktem Wege von Baikail nach ownCloud portieren, quasi per Copy & Paste. Dafür musst du natürlich beide Systeme (Baikal und ownCloud) erstmal im eM Client einbinden und auch noch eine kleine Änderung an ownCloud vornehmen, damit die Kontakte fehlerfrei synchronisiert werden (hier mal der passende Link zum Thema http://www.synology-forum.de/showth...d-8-erschienen&p=528423&viewfull=1#post528423)...

Aber wie gesagt, es gibt noch gaaaaaanz viele andere Wege dieses zu bewerkstelligen. Für mich war dieser halt am einfachsten, da ich bereits seit längerem mit dem eM Client arbeite.

Tommes

 

[Venkman]

Ich habe jetzt von Thunderbird exportiert als ics.
Habe dann OC gesagt importiere in neuen Kalender , Namen angegeben und nichts passiert. :-(

Dann gehe ich auf Kalender und sehe das er mir alle Termine in Persönlich gepackt hat , grrrr
Da sollten nur die Geburtstage aus den Kontakten rein. Wue kriege ich die anderen Termine da jetzt wieder schnell raus, das sind ein paar Hundert

In einen neuen oder schon angelegt Kalender kriege ich das nicht importiert

 

[Venkman]

Ich kriege den Perösnlichen Kalender nicht mit CalDavSync free verbunden :-(
Meine Vermutung ist die Url
https://xxxxxxx/remote.php/caldav/calendars/xxxxxx/persönlich

Ich glaube mit den %C3%B6 stimmt was nicht , auch wen OC mir die Url so angibt.

 

[Venkman]

So alles läuft.
Ich hatte mir den Link von OC Kalender als link per Mail aufs Smartphone geschickt und per Copy und Paste in CalDavSync eingefügt. Das wollte nicht klappen.
Dann das gleiche nochmal aber nicht als link sonder als reinen Text und damit hat es dann auf anhieb geklappt.

CalDavSync free gefällt mir aber nicht wirklich. Derzeit teste ich CalendarSync trial.
Das sieht schon wesentlich besser aus. Man kann in einem Rutsch alles Kalender auswählen und auch sagen wieweit in die Zukunft und Vergangenheit man syncen möchte.
So ist also der ganze Kram aus 2013 bis 201x raus aus dem Kalender.
Man kann die App mit allen Funktionen 2 Wochen testen. Dann kostet die um die 8€.
Aber wenn die weiter so gut läuft zahle ich das gerne. Letzte Aktualisierung der App war am 15.5.15
Wird also auch noch gepflegt.

 

[Tommes]

Dann bist du ja langsam am Ziel deiner Träume angekommen, oder? Jetzt noch ein wenig für Sicherheit sorgen und in ein- zwei Wochen wirst du garnicht mehr daran denken, das deine Cloud jetzt zu Hause steht. Wenn nämlich erstmal alles läuft... dann läufts

Tommes

 

[Venkman]

Naja so ganz noch nicht.
Die Sicherheit wird bestimmt noch ne herausforderung.
Eigentlich brauch ich nur einen Port für den Zugriff von extern. Eben mit meinem Android Phone.
Kann man das vielleicht sogar über ne MacAdresse erlauben ?
SSH von extern werde ich wohl auch nie brauchen, also auch dicht machen.

Von intern sollte dann aber alles aus dem eigenen Netz zugriff bekommen.

Wenn das dann auch läuft möchte ich noch einen Backup Job (rsync?) auf die DS machen oder soll ich das über die Cloudstation machen ?
Sind ja nur max. 64 GB auf der SD Card im Raspi.