Darauf zielte die Frage, denke ich. Um dich schützen zu können, musst eine Vorstellung der Angriffe bzw. der Angreifer haben.Zelda hat geschrieben:Jeder darf mich gerne paranoid oder ähnliches nennen, aber ich tendiere immer dazu alles so sicher wie nur möglich zu machen. Ich weiß selbst dass es 100%ige Sicherheit nie geben wird, aber solange man die Möglichkeiten hat es potenziellen Angreifen so schwierig wie möglich zu machen dann sollte man sie schon nutzen wie ich finde.Lord_Carlos hat geschrieben:03.01.2018 13:38:34Interessant waere vielleicht noch vor wem du dich schuetzten willst.
Dienste in VMs isolieren?
-
jph
- Beiträge: 1089
- Registriert: 06.12.2015 15:06:07
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Münsterland
Re: Dienste in VMs isolieren?
-
Lord_Carlos
- Beiträge: 5578
- Registriert: 30.04.2006 17:58:52
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Dänemark
Re: Dienste in VMs isolieren?
Und je nach Angriffserwartung verteilt man seine Ressourcen.
Dadurch kann man dann besser Entscheiden, oder wir dir Helfen, wie man sich entsprechend Schuetzt.
Dadurch kann man dann besser Entscheiden, oder wir dir Helfen, wie man sich entsprechend Schuetzt.
Code: Alles auswählen
╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!
Re: Dienste in VMs isolieren?
Was das angeht bin ich nicht wirklich erfahren und wäre für irgendwelche Tipps und Vorschläge eurerseits sehr dankbar 
(Ich bin mir auch nicht sicher ob dieses Thema noch etwas mit dem Ursprungsthema zu tun hat. Falls nicht wäre ich auch über einer PN dankbar!)
(Ich bin mir auch nicht sicher ob dieses Thema noch etwas mit dem Ursprungsthema zu tun hat. Falls nicht wäre ich auch über einer PN dankbar!)
Mit freundlichen Grüßen
Zelda, Princess of Hyrule
Zelda, Princess of Hyrule
-
Lord_Carlos
- Beiträge: 5578
- Registriert: 30.04.2006 17:58:52
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Dänemark
Re: Dienste in VMs isolieren?
Ist es ein kleiner Privater server im Heimnetzwerk auf dem vielleicht ein paar Urlaubsbilder?
Ist es ein klein-firmen Rechner mit Daten die belegen das du Steuern hinterzogen hast?
Hast du Dokumente die belgen das Israel Atomwaffen in U-Booten vor der Kueste Irans in Stellung bringt?
Je nach Situation wuerde ich den Rechner verschieden absiegeln. Z.B. in der Ersten Situation sehe ich wenig Gefahr das es jemand explizit auf dich absieht. Hoechsten mal bekannt (gepatched) Exploits gegen Wordpress oder was auch immer auf deine Ports durchlaufen laesst.
Wenn du jetzt aber den Mossad erpressen willst wueder ich andere Geschuetzte auffahren.
Ich will dich jetzt nicht von VM etc. abhalten. Halte es nur in vielen privaten Situationen fuer Ressourcen "Verschwendung" (Einlesen ins Thema, Wartung) fuer Ressourcenverschwedung. Natuelich total in Ordnung wenn du die Zeit dafuer investieren willst. Docker habe ich mehr oder weniger auch nur im Einsatz weil ich es interessant finde.
Ist es ein klein-firmen Rechner mit Daten die belegen das du Steuern hinterzogen hast?
Hast du Dokumente die belgen das Israel Atomwaffen in U-Booten vor der Kueste Irans in Stellung bringt?
Je nach Situation wuerde ich den Rechner verschieden absiegeln. Z.B. in der Ersten Situation sehe ich wenig Gefahr das es jemand explizit auf dich absieht. Hoechsten mal bekannt (gepatched) Exploits gegen Wordpress oder was auch immer auf deine Ports durchlaufen laesst.
Wenn du jetzt aber den Mossad erpressen willst wueder ich andere Geschuetzte auffahren.
Ich will dich jetzt nicht von VM etc. abhalten. Halte es nur in vielen privaten Situationen fuer Ressourcen "Verschwendung" (Einlesen ins Thema, Wartung) fuer Ressourcenverschwedung. Natuelich total in Ordnung wenn du die Zeit dafuer investieren willst. Docker habe ich mehr oder weniger auch nur im Einsatz weil ich es interessant finde.
Code: Alles auswählen
╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!Re: Dienste in VMs isolieren?
Es handelt sich um einen privaten Server auf dem wesentlich mehr als nur Urlaubsbilder liegen.
Darf ich Fragen welche Sicherheitsstrategie du bevorzugen bzw. nutzen würdest?
Alles zu isolieren bringt zwar keine 100%ige Sicherheit, aber ich weiß auch nicht inwiefern sich das auf die Performance auswirkt. Vielleicht ist es auch mehr "Scheinsicherheit" als wirkliche Sicherheit. In anderen Worten: Vielleicht wirkt es auch nur wie ein Placebo und ist nicht wirklich viel sicherer.
Die Grundsicherung wie z.B. SSH nur mit passwortgeschützen Private Keys zu nutzen gehört natürlich zu meiner "Standardinstallation".
Darf ich Fragen welche Sicherheitsstrategie du bevorzugen bzw. nutzen würdest?
Alles zu isolieren bringt zwar keine 100%ige Sicherheit, aber ich weiß auch nicht inwiefern sich das auf die Performance auswirkt. Vielleicht ist es auch mehr "Scheinsicherheit" als wirkliche Sicherheit. In anderen Worten: Vielleicht wirkt es auch nur wie ein Placebo und ist nicht wirklich viel sicherer.
Die Grundsicherung wie z.B. SSH nur mit passwortgeschützen Private Keys zu nutzen gehört natürlich zu meiner "Standardinstallation".
Mit freundlichen Grüßen
Zelda, Princess of Hyrule
Zelda, Princess of Hyrule
Re: Dienste in VMs isolieren?
Zelda hat geschrieben:28.12.2017 12:22:49Ein eigener Mailserver soll nicht betrieben werden, es soll eben nur ein kleiner Webserver und eine Datenbank installiert werden, eventuell noch andere kleinere Dienste die nicht wirklich lebenswichtig sind und mehr oder weniger kleinere Spielereien sind.
Wie wäre es denn, wenn du einfach mal konkret auflistest, was du auf deinem Server neben einem Webserver, einer Datenbank und Spielereien wirklich so einsetzt, dann ist es leichter dir Tipps bzgl. der Sicherheit zu geben.Zelda hat geschrieben:03.01.2018 16:15:52Es handelt sich um einen privaten Server auf dem wesentlich mehr als nur Urlaubsbilder liegen.
Wir haben beispielsweise immer eine komplette Web-Applikation (Webserver + PHP + Datenbank + msmtp) in einen lxc-container gepackt, so haben wir die max. Flexibilität innerhalb des Containers was Webserver- / PHP-Einstellungen und Versionen / Datenbank-Parameter angeht.
Ein anderes Beispiel - unsere Samba-Fileserver laufen auch jeweils in einem eigenen LXC-Container.
-
Lord_Carlos
- Beiträge: 5578
- Registriert: 30.04.2006 17:58:52
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Dänemark
Re: Dienste in VMs isolieren?
Uff, gute Frage.Zelda hat geschrieben:03.01.2018 16:15:52Darf ich Fragen welche Sicherheitsstrategie du bevorzugen bzw. nutzen würdest?
Ich wollte dich eigentlich nur zum nachdenken anregen wer/was dich potentiel angreifen wuerde.
Ich persoehnlich wuerde es nur in einer WM oder ein oder mehrere Docker container machen.
Code: Alles auswählen
╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!-
jph
- Beiträge: 1089
- Registriert: 06.12.2015 15:06:07
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Münsterland
Re: Dienste in VMs isolieren?
Ich gebe zwei Anregungen, über die du m.E. vor der technischen Umsetzung nachdenken solltest:Zelda hat geschrieben:03.01.2018 16:15:52Es handelt sich um einen privaten Server auf dem wesentlich mehr als nur Urlaubsbilder liegen.
- Gib nur die Dienste nach außen frei, die du regelmäßig von unterwegs brauchst. Das verkleinert die Angriffsfläche.
- Überlege dir, welche Daten du regelmäßig von unterwegs brauchst, und mache nur diese verfügbar. Das begrenzt den möglichen Schaden.