Reverse Proxy im Docker oder ausserhalb vom NAS

[ebusynsyn]

Hallo

Zwei Applikationen die im Docker laufen, sollen von extern (ohne VPN) verfügbar sein. Aktuell ist der Synology Reverse Proxy eingerichtet. Läuft alles gut.

Das Problem ist, dass eine der beiden Apps keine 2FA anbietet. Um diesem Dilemma aus sicherheitsüberlegungen entgegen zu wirken wollte ich fail2ban im Docker einrichten. Das packe ich mangels Fachkenntnissen nicht.

Ein valable Alternative scheint mir der nginx Reverse Proxy zu sein. Dort gibt es soweit ich weiss, die Möglichkeit eine Sicherheitsebene einzurichten. Heisst: Nginx will ein Passwort, bevor er den Weg zur betreffenden App freigibt, die dann wiederum mit Username/Passwort geschützt ist.

Die Fragen sind:
- Macht die Alternative nginx die Installation sicherer?
- Ist es besser, den nginx separat - zum Beispiel auf einem Raspi - anstelle im selben Docker wo die eingangs erwähnten Apps liegen - zu installieren

 

[Ulfhednir]

Der Reverse Proxy von Synology ist auch "nur" ein Nginx. Entsprechend sollte man auch hier in der Theorie eine Basis-Authentifizierung integrieren können. Siehe auch: https://docs.nginx.com/nginx/admin-guide/security-controls/configuring-http-basic-authentication/

Du kriegst das Ganze bloß nicht über die GUI zu Laufen, sondern musst über die Shell arbeiten. Allerdings gibt es keine Gewähr, dass das funktioniert (weil Synology eventuell etwas beschnitten hat), bzw. ob es ein Update übersteht.

Entsprechend kann ich dir zwei Dinge über Docker empfehlen.

1.) nginx Proxy Manager, https://nginxproxymanager.com/
2.) SWAG - Secure Web Application Gateway (SWAG) mit Authelia,
https://www.linuxserver.io/blog/2020-08-26-setting-up-authelia
https://hub.docker.com/r/linuxserver/swag

Mit SWAG hast du die Eier legende Wollmilchsau. Nginx, Fail2Ban-Integration, Certbot für Lets Encrypt und mit Authelia ebenfalls 2FA-Integration.

- Macht die Alternative nginx die Installation sicherer?

Die Verwendung von einem Reverse Proxy ist aus meiner Sicht der gute Mittelweg zwischen Sicherheit und Komfort. Natürlich ist es noch sicherer, wenn man eine Authentifizierung verwendet.

- Ist es besser, den nginx separat - zum Beispiel auf einem Raspi - anstelle im selben Docker wo die eingangs erwähnten Apps liegen - zu installieren

Wenn dich die zusätzlichen Strom- und Anschaffungskosten nicht stören, installiere den Nginx auf einen Pi.
Ich betreibe SWAG allerdings auf meiner RS1221+.

 

[ebusynsyn]

@Ulfhednir​

Herzlichen Dank für diese meine Fragen beantwortende Rückmeldung und die darüber hinausgehenden Hinweise. SWAG kenne ich nicht, werde mich da mal hineinlesen.

Bezüglich der Anpassung des Synology Reverse Proxy via Shell meine ich mich zu erinnern, dass ich irgendwo mal gelesen habe, dass Synology da Einerseits die Hand drauf hält und Änderungen nicht zulässt und andererseits nach einem Update die Einstellungen überschrieben werden. Das kommt wohl nicht in Frage.

Anschaffungskosten für einen allfälligen Raps fallen nicht an - bzw. die betreffenden Kosten sind schon geleistet, da ein Raspi noch unbenutzt im Schrank liegt.

Beste Grüsse und Danke!

 

[haydibe]

Bezüglich der Anpassung des Synology Reverse Proxy via Shell meine ich mich zu erinnern, dass ich irgendwo mal gelesen habe, dass Synology da Einerseits die Hand drauf hält und Änderungen nicht zulässt und andererseits nach einem Update die Einstellungen überschrieben werden. Das kommt wohl nicht in Frage.

Siehe: https://www.synoforum.com/resources/synology-reverse-proxy-under-the-hood.135/

Da die DSM UI über den nginx läuft, würde ich (wenn überhaupt) nur fortgeschrittenen Benutzern empfehlen daran rumzuschrauben... und auch nur wenn SSH aktiv ist, damit man den nginx notfalls wieder reparieren kann, wenn mal etwas an der Konfiguration schief gelaufen sein sollte.