Web Fileserver "Simpel-Cloud"

[ppilihp]

Hallo,

ich möchte mir - als relativer Linuxnewbie - einen gemieteten Rootserver - erstmal zum Experimentieren - als Webfileserver (= simpelste Cloud) einrichten.

Grund(!)erfahrungen mit Linux habe ich bereits bei der Einrichtung eines lokalen Samba-Fileservers gesammelt. Während ich im privaten Heimnetz die Kröte noch geschluckt habe, dass die Kommunikation zwischen Client und Server unverschlüsselt abläuft, ist dies übers Internet natürlich nicht mehr akzeptabel. Mir kommt es auf maximale Sicherheit an. Im Ergebnis wäre es mir am liebsten, wenn die Daten vom Server verschlüsselt gespeichert werden. Beim Heimserver war das relativ einfach zu lösen, indem für den Zugriff auf sicherheitsrelevante Verzeichnisse ein USB Schlüssel die LUKS Partition freigibt. Diese Option entfällt natürlich bei einem Server, auf den ich keinen physischen Zugriff habe.

Mir ist klar, dass ein langer steiniger Lernweg vor mir liegt. Mir würde es allerdings helfen, wenn ich mit ein paar Stichworten in die richtige Richtung gelenkt würde - dafür dieser Post:

1) Wie lässt sich eine serverseitige Verschlüsselung realisieren? Verschlüsselung des Dateisystems und Zugriff auf "remote-key" mittels Skript, welches per Website gestartet wird? Bessere Ideen?
2) Wäre die Verknüpfung eines OpenVPN-Tunnels mit einem Samba Fileserver eine probate Lösung, um einen sicheren Filetransfer zu gewährleisten? Bessere Ideen?
3) Wie sichert man den Server am besten gegen Wörterbuchattacken ab? Bisher habe ich lediglich den SSH-root login gesperrt.

Vielen Dank,

Philipp

EDIT: Hauptzugriffsszenario: Windows 8.1-Clients.

[IMars]

1) gegen was soll die Verschlüsselung schützen? Wenn du dem Anbieter nicht vertraut, hilft auch Verschlüsselung nicht, Stichwort evil maid attack. Ansonsten gibt es ecryptfs, encfs zur Verschlüsselung einzelner Ordner, oder aber eine ganze partition mit cryptsetup. Automatisch starten geht dann natürlich nicht und im betrieb ist eh alles entschlüsselt. Wenn den Server einer hackt stört die Verschlüsselung kein bisschen.
2) willst du wirklich Echtzeitsynchronisation? Reicht dein upload damit das Spaß macht? Vielleicht reicht ja auch ein rsync nach getaner Arbeit. Alternativen webdav über https, sftp, sshfs
3)fail2ban, login nur mit keys statt Passwort, kein root login, anderer nicht-standard SSH port (etwa 22122)
Viel Erfolg,
IMars

[The Hit-Man]

@IMars hacken heißt das nicht

an sonsten alle ports dicht machen und nur per ssh-tunnel...

[ppilihp]

Ich werde mich bezüglich der serverseitigen Verschlüsselung mit den von dir genannten Stichworten mal schlau machen. Im Notfall schiebe ich für die wichtigsten Daten TrueCrypt Container auf den Server. Ansonsten hast du natürlich Recht, eine Echtzeitübertragung ist bei meiner Anbindung wohl nur begrenzt sinnvoll. Außerdem habe ich gerade festgestellt, dass mit WinSCP ja bereits ein sehr einfacher Weg vorhanden ist, Dateien mittels SSH-Tunnel von einem Win-Client auf den Server zu verschieben. Das ist mir beinahe schon zu einfach, nicht das ich mich wieder vor der Auseinandersetzung mit VPN drücke

Danke jedenfalls schon mal für die Antworten. Ich werde jetzt ein bisschen mit dem Server experimentieren und wenn die Fragen konkreter werden, wende ich mich wieder an euch.