Ghostboard pixel

Nextcloud/Owncloud richtig absichern , Ein paar Tipps

Immer mehr muss man schauen im heutigen WWW das man seine Daten im wahrsten Sinnes des Wortes zusammenhält. Ein Schritt in die richtige Richtung ist die Verwendung einer Cloud wo Datenschutz ganz hoch geschrieben wird. Hier nenne ich bewusst Owncloud und sein Fork Nextcloud.
Dies gilt aber nur wenn man die Installatin ständig pflegt. Nicht umsonst hat vor kurzem der BSI gewarnt und gesagt das es zwingend ist immer die neusten Updates zu installieren. Was viele anscheinend nicht machen.
BSI-Präsident Arne Schönbohm sagte dazu: Cloud-Betreiber sind für die Sicherheit ihrer Cloud verantwortlich und sollten mit dieser Verantwortung sorgsam umgehen. Der Betrieb von Clouds mit veralteten Software-Versionen, für die bereits seit langer Zeit Updates der Hersteller bereitstehen, ist fahrlässig und macht es Kriminellen viel zu leicht, sensible Daten zu stehlen oder Geschäftsprozesse zu beeinflussen. Empfehlungen des BSI für mehr Cloud-Sicherheit sind verfügbar, als nationale Cyber-Sicherheitsbehörde stehen wir Cloud-Anwendern gern mit Rat und Tat zur Seite.“
Nextcloud selber hat einen Scanner online gestellt wo jeder seine eigene Cloud auf Mängel überprüfen kann.
Auf der Seite ist auch eine Statistik einzusehen, da wird die Problematik noch einmal deutlich. Gerade einmal knapp die Hälfte der Nextcloud und Owncloud Installationen sind auf der sicheren Seite. Der Rest hat veraltete Installationen und Plugins, aktuell sind es um die 55000 Installationen!
An dieser Stelle mal ein paar Tipps wie man seine Installation absichern kann.

  1.  Wenn eine neue Version von Owncloud/Nextcloud verfügbar ist, wird dies im System angezeigt. Diese sollte dann zwingend installiert werden. Dies geht automatisch über den Update Button.
  2. Macht regelmäßig Updates der Plugins. Nutzt keine Plugins die nicht mehr weiter entwickelt werden.
  3. Sichert euren Server ab, setzt den Root-User ausser Kraft und nutzt einen alternativen User mit sudo Rechten. Am besten auch noch den Standart SSH Port ändern.
    Editiert dazu die Datei /etc/ssh/sshd_config und ändert dort den Port zu einem eurer Wahl. Dann mit service ssh restart die Änderungen umsetzen.
    Um den Rootuserlogin zu deaktivieren editiert die /etc/ssh/sshd_config und ändert den Eintrag PermitRootLogin von yes auf no. (unbedingt vorher einen neuen User anlegen!)
    Danach SSH neu starten, mit dem neuen User anmelden und mit su zu root wechseln.   Noch mehr Tipps unter: www.thomas-krenn.com
  1.  Setzt bei der Cloud-Installation die 2 Faktor Authentifizierung ein. Wie das geht hatte ich selbst mal beschrieben.
  2. Verwendet Passwörter mit mehr als 6 Zeichen, ruhig mit Sonderzeichen, Buchstaben und Zahlen.
  3. Nutzt Fail2Ban. (IP-Blocker)

Quelle: heise.de, BSI Bund