Owncloud über Internet

[Postactinoid]

Hallo,

ich habe kein richtiges Problem, sondern will mich nur erkundigen, ob meine Konfiguration Owncloud+DuckDNS so sicher ist, dass nicht jeder darauf zugreifen kann bzw. ob ich was vergessen habe.

Ich habe ein selbst-signiertes Zertifikat erstellt (mittels Openmediavault), welches Owncloud für eine SSL-Verbindung benutzen soll. In Owncloud habe ich als Administrator die "Erzwinge HTTPS" Funktion aktiviert. Über http komme ich nun nicht mehr auf die Owncloud Seite; weder extern noch intern (400 Bad Request The plain HTTP request was sent to HTTPS port).
Owncloud läuft auf dem Default Port 8443; in der FritzBox habe ich eine Portweiterleitung von (z.B.) 23456 auf 8443 eingetragen. Extern komme ich also nur noch mit "https://Externe_IP:23456" auf Owncloud. Ich habe auf DuckDNS.org (DDNS) noch meine IP eingetragen, wegen der dynamischen IP: https://name.duckdns.org:23456

Ist das denn so sicher oder habe ich etwas vergessen/kann ich was anders machen? Ich habe auch einige Male von einem VNC gelesen; sollte ich das auch benutzen, wenn ich aus fremdem Wlan Netzwerken (Uni oder Bibliothek) darauf zugreifen sollte (Bilbliothek eher weniger)?
Ich habe mich auch in fail2ban eingelesen: soll ich das auch konfigurieren? In dem gleichen Text stand, dass innerhalb einer halben Stunde jemand versuchte, sich mit falschen Anmeldedaten einzuloggen. Ich habe es nun seit mehreren Tagen am Laufen und konnte keine "Angriffe"/Loginversuche im Log von Owncloud verzeichnen. (Ich habe es selber mal absichtlich falsch eingegeben, um zu sehen, ob es angezeigt wird: Ja wurde angezeigt)

Vielen Dank im Voraus.

 

[d2boxSteve]

Also Sicherheit bringt nur SSL (https) und fail2ban. Das mit Dyndns und Portweiterleitung ist ja lediglich Funktion.

Passt soweit, achte regelmäßig auf Aktualisiereung des Webservers und von Owncloud, dann hast du alles getan was man als Privatmann machen sollte.

 

[masterrob]

Befindet sich der Datenordner innerhalb von "/var/www" ?

 

[KillerCow]

Sicherer geht immer, irgendwann wird es aber kompliziert und beeinträchtigt den Komfort.

Sofern du nur von deinen eigenen Geräten (Handy, Notebook, etc) von draussen auf die Owncloud willst, könntest du dem Webserver noch sagen, er soll nur Leute mit einem Clientzertifikat rein lassen. "Besucher" ohne ein gültiges Zertifikat kommen dann garnicht erst an die Owncloud ran.

 

[Postactinoid]

Owncloud ist die aktuellste 7er Stable Version, ich habe nicht auf 8 aktualisiert, da sie zu viele Bugs hat. Bei erscheinen von "fortgeschritteneren" Versionen, werde ich dies updaten. Der Webserver wird automatisch über Openmediavault geupdatet.

@masterrob: Nein, die Daten befinden sich auf der 2. Partition meiner SSD (/media/UUID/owncloud)

@KillerCow: wenn ich mich mit meiner Owncloud-Seite verbinde (beim 1. Mal), kriege ich doch die Nachricht, dass dieser Verbindung nicht getratut wird. Ich kann das Zertifikat aber herunterladen und eine Sicherheits-Ausnahmeregel erstellen. Dann würde ja eine 3. Person das Zertifikat haben und der Webserver würde Ihn durchlassen, da er das Zertifikat hat oder irre mich da?

 

[d2boxSteve]

Dann würd ich persönlich sagen: passt (mehr mach ich selber auch nicht).

 

[masterrob]

@masterrob: Nein, die Daten befinden sich auf der 2. Partition meiner SSD (/media/UUID/owncloud)

Sehr gut
Dann haste soweit alles richtig gemacht. Eine falsche Konfig innerhalb der .htaccess und jeglicher Inhalt ist via Direktlink abgreifbar - wenn die Daten innerhalb des www-Ordners bzw. der Owncloud-Installation liegen.

Generell immer einen übergeordneten Pfad von /var als Datenablage verwenden. Andere Partition ist sogar noch besser. Jedoch nicht innerhalb des OwnCloud-Installationspfads.

 

[Postactinoid]

Das komplette System befindet sich auf einer 7GB großen Partition, also auch Owncloud. Der Daten-Ordner (extra nochmal in der Config.php nachgeschaut ^^) befindet sich in /media/UUID/owncloud/ auf der 2. Partition.

Vielleicht ist meine Frage oben untergegangen: @KillerCow: wenn ich mich mit meiner Owncloud-Seite verbinde (beim 1. Mal), kriege ich doch die Nachricht, dass dieser Verbindung nicht getratut wird. Ich kann das Zertifikat aber herunterladen und eine Sicherheits-Ausnahmeregel erstellen. Dann würde ja eine 3. Person das Zertifikat haben und der Webserver würde Ihn durchlassen, da er das Zertifikat hat oder irre mich da?

 

[Helge01]

Zertifikate gibt es für verschiedene Aufgaben, z.B. Signieren, Verschlüsseln und Authentifizieren. Das was du meinst ist das Serverzertifikat. Das wird für das Verschlüsseln der Kommunikation zum Server verwendet. Da es sich um ein selbsigniertes Zertifikat handelt, kommt es zu dieser Meldung, da kein passendes Root-CA Zertifikat im Zertifikatsspeicher existiert. Es wird nur der öffentliche Schlüssel heruntergeladen. Mit diesem public key verschlüsselst du deine Nachricht und schickt diese an deinen Server. Dieser besitzt den private key um die Nachricht wieder zu entschlüsseln.
public key: ist eine öffentlicher Schlüssel, den kann/darf jeder besitzen
private key: ist der empfindliche Teil, den darf nur dein Server kennen

KillerCow bezieht sich aber auf ein Clientzertifikat. Dieses wird zur Authentifizierung an Stelle eines Benutzername/Passwort genutzt (man kann auch beides kombinieren).

 

[Postactinoid]

Ich habe kurz recherchiert und die meisten Seiten beschreiben nur, wie man eine SSL-Verbindung zum Webinterface von Openmediavault aufbaut. Ich muss mich dann mal später einlesen, da es bestimmt Konzentration erfordert ^^.

Nichtsdestrotrotz danke ich dir für die Hervorhebung der Unterschiede zwischen den Zertifikaten und die Erklärung der Keys (obwohl ich ein wenig wusste, was private und public sind: PGP grüßt)