Ich möchte eine Debian / Ubuntu-Box mit geringem Stromverbrauch verwenden, um ein persönliches Wiki (nämlich Instiki) darauf einzurichten. Die Informationen, die ich darin speichern möchte, sind offensichtlich sehr vertraulich. Jeder außer mir, der darauf zugreift, wäre eine Katastrophe. Und meine Netzwerkadministrations- und Sicherheitsfähigkeiten sind ziemlich schwach. Hohe Anforderungen, geringe Fähigkeiten; keine gute kombination.
Ich weiß, dass ich durch das Einrichten einer Listening-App und das Öffnen eines Ports nach außen einer gewissen Gefahr ausgesetzt bin. Aber wie kann ich diese Gefahr minimieren?
- Ich verstehe, dass der Zugriff auf die Außenwelt standardmäßig nicht möglich ist, solange er hinter meinem Router mit integrierter Firewall ausgeführt wird. richtig?
- Und wenn ich explizit einen Port für die Maschine öffne (einen "Virtual Server" -Eintrag in der Konfiguration meines Routers einrichte), bin ich im Grunde genommen der Stärke meiner Kombination aus Benutzername und Passwort ausgeliefert, nach der theoretisch jedes Skript sucht, das ein Kiddie sucht offene Ports könnten durch rohe Gewalt erraten werden.
Gibt es einen praktischen Mittelweg zwischen der Deaktivierung des Zugriffs von außen und der Verwendung einer Kombination aus Port, Benutzername und Passwort? Ich könnte damit leben, nur zu Hause auf mein Wiki zuzugreifen, aber das wäre eine Unannehmlichkeit.
Was sind meine anderen Möglichkeiten? SSH-Tunneling? Schlüsselpaar-Authentifizierung? Bitte beraten. Ich würde mich besonders über weitere Ratschläge zum Aufbau eines Tunnels oder VPN über SSH freuen.
Antworten:
Hier ist der Ansatz, den ich nehmen würde:
Schritt 1 (lokale Sicherheit)
Schritt 2 (Zugangsbeschränkungen)
quelle
Ich würde die HTTP-Authentifizierung über HTTPS durchführen und jeglichen HTTP-Verkehr an HTTPS umleiten. Beschränken Sie den Zugriff auf bestimmte IP-Adressen oder Netzwerke, wenn Sie nicht von überall Zugriff benötigen. Sie könnten ein HTTPS-Client-Zertifikat verwenden, aber dieses Zertifikat muss auf jedem Computer installiert sein, auf den Sie zugreifen müssen. Sie könnten eine Art USB-Gerät zum Speichern verwenden, aber Sie müssen sicherstellen, dass es entfernt wurde, nachdem Sie fertig sind. Abhängig von Ihrer Paranoia sind Sie möglicherweise nicht in der Lage, einem Computer zu vertrauen, den Sie nicht unter Ihrer Kontrolle haben, und selbst dann, wie sicher sind sie?
Es gibt nur so viel Mühe, die Sie tun können, um Zugang zu erlangen, und nur dann, wenn jemand, der Ihr Display über die Schulter liest, Ihre Sicherheit ruiniert. Die Leute neigen dazu, sowohl den Wert der Informationen als auch die Wahrscheinlichkeit eines Remoteangriffs zu überschätzen und die nichttechnischen Methoden für den Ausfall der Sicherheit zu unterschätzen.
quelle
Wenn ich die Kontrolle über die Off-Network-Browser habe, mit denen ich zu Hause auf Ressourcen zugreifen werde, verwende ich die X.509-Client-Zertifikatauthentifizierung über SSL. Selbst wenn jemand meinen Benutzernamen und mein Passwort hatte, wird der Webserver sich weigern, mit ihm zu sprechen, da er nicht über mein Client-Zertifikat verfügt.
Dies ist etwas schwieriger einzurichten, und wenn Sie einen dünnen Webserver verwenden, der in einige Wiki-Produkte integriert ist, ist dies möglicherweise nicht möglich. Ich benutze nginx als Webserver und mein Wiki (WikkaWiki) läuft auf php-fastcgi.
Das Problem ist, dass Sie möglicherweise mehrere Sites haben, auf die Sie zugreifen müssen. Aufgrund der Funktionsweise von SSL können Sie nicht mehrere virtuelle Hosts auf derselben IP- und Portkombination haben. Sie können dies beheben, indem Sie die Websites unter einem Host zusammenfassen und für jeden Host ein Unterverzeichnis ( https://my.domain.com/wiki , https://my.domain.com/blog ) oder separate Domänennamen verwenden verschiedene Ports.
In letzterem Fall können Probleme beim Senden von Datenverkehr aus Unternehmensnetzwerken an beliebige Ports auftreten, auf denen SSL ausgeführt wird (sie blockieren den gesamten bis auf den bekannten Datenverkehr, um zu verhindern, dass Benutzer mithilfe von SSH Tunnel in ihr Netzwerk öffnen.)
quelle