Filehosting, anonym, live, gängige Protokolle

[Arno Niemer]

Hallo,

ich möchte die letzte genutzte Datenkrake bei Gelegenheit auch noch hinter mir lassen. Bin bereits recht weit. Bei den benötigten Diensten fehlt mit da vor allem noch ein gemeinsamer Storage für meine Keypass-DB.

Das ist ein einzelnes, winziges File, hart verschlüsselt und zusätzlich zur langen Passphrase durch ein lokal auf den Clients liegendes Keyfile geschützt.

Clients wären Gnome mit Secrets oder KeepassXC, aktuell ein iPhone mit KeePassium, später dann eher AOSP mit FOSS-Apps. Vielleicht auch mal eine WinVM mit KeepassXC.

Aktuell liegt die DB auf iCloud Drive. Macht das iPhone natürlich nativ, die AppleID soll aber zusammen mit dem iPhone weg. Für die Desktops sollte WebDAV möglich sein, da hab‘ ich aber nur uraltes Material dazu gefunden.

Zusätzlich steht Proton Drive zur Verfügung. Dafür gibt‘s wohl eine Android-App, die man auch ohne Google bekommt. Für Desktop und iPhone leider nur eine Website. Das nutze ich aktuell für ein Backup nach dem IBM-Prinzip.

Die Desktops sollten WebDAV und SMB OOTB können. Auf dem iPhone habe ich bisher leiderv nur SMB hinbekommen. Unter AOSP findet sich schon etwas oder es gibt zur Not WebDAV-Sync per DavX5.

Leider wollen mir fast alle Hoster auf dem iPhone ihre Spyware-Apps aufdrängen, die meist sogar an die Kontakte wollen. Bei den Daten anderer Leute hört für mich der Spaß aber endgültig auf.

Benötigt wird nur minimaler Platz, Änderungen sollten aber in Sekunden oder Minuten auf anderen Clients verfügbar sein. Bei reinem Backup-Storage wäre ich da wohl falsch.

Zugriffsschutz gegen fremde Lesezugriffe ist theoretisch verzichtbar. Löschen oder Schreiben wäre aber zumindest ärgerlich. Darum auch ungerne Sharing-Dienste, die DMCA-Requests automatisiert umsetzen.

TIA
Arno

 

[Der Lord]

Nen kleiner Webspace reicht hierfür doch locker aus. Webdav können doch mittlerweile alle Clients.

Bei mir läuft genau dafür ein kleiner webdav Server Zuhause auf einem NUC (Raspberry oder so ginge natürlich auch) und ist von außen nur via VPN erreichbar. Bin damit sehr zufrieden.

 

[|Moppel|]

Oder du verteilst es lokal von Gerät zu Gerät mit syncthing.
Dann muss man gar nichts hosten.

Benutze es für meine Android und Linux. Klappt gut.

 

[Arno Niemer]

Nen kleiner Webspace reicht hierfür doch locker aus.

Wer stellt den noch anonym zur Verfügung?

Webdav können doch mittlerweile alle Clients.

iOS anyone? Soll ja aber eh weg und bis dahin kann auch iCloud bleiben. Hätte es aber gerne vorher wenigstens probiert.

Zuhause

Leider keine Option. Alternativen sind Mobilfunk von O2 und vielleicht irgendwann mal DG. Falls das halbe Dorf vorbestellt. Beides ohne Chance auf öffentliche IPv4.

Bei O2 bekomme nach Jahren mittlerweile eine IPv6, die ich aber von außen nicht erreiche.

auf einem NUC (Raspberry oder so ginge natürlich auch)

Raspi2 wäre sogar noch ungenutzt da. Mit nginX ist auch etwas Erfahrung vorhanden, wenn auch als Reverse Proxy. Bekäme ich von den Fähigkeiten her hin.

Gruß und Dank
Arno

 

[Dante2000]

Wie wäre es denn, eine der "bekannten" Cloud-Anbieter (bsp. iCloud) zu verwenden und darin einen Datencontainer mit Cryptomator zu erstellen? Cryptomator ist Open Source und wird auch auf Security Seiten öfters empfohlen. Inbesondere wenn man Daten in der Cloud "sicher" lagern möchte.

 

[Arno Niemer]

Ab auf Github und gut is. XD

Nette Idee, wäre aber leider meinem Ziel nicht gerecht. Mein MS-Account ist schon seit Ende letzten Jahres entsorgt. War die vorletzte Datenkrake.

Gruß und Dank
Arno

 

[gaym0r]

Weil du vom NSA-Skandal scheinbar nix gelernt hast...

Muss mir trotzdem einer erklären, warum deshalb die Datenbank nicht einfach in der iCloud liegen kann. Sie ist ja verschlüsselt. Und wenn man als Endgerät eh ein iPhone hat... ¯\(ツ)/¯

Ich werf mal einfach Syncthing in den Raum.

 

[thrawnx]

Wie wäre es denn, eine der "bekannten" Cloud-Anbieter (bsp. iCloud) zu verwenden und darin einen Datencontainer mit Cryptomator zu erstellen?

Naja, das ist nix anderes als mit Vera-/Truecrypt einen Container zu erstellen und den dann hoch zu laden. Ist ein zusätzliches Layer an Encryption, aber unnötig, wenn er ein gescheites Passwort hat. Dann kann sein eigentlicher Password Container auch frei zugänglich im Netz sein, ohne je geknackt zu werden.

 

[IBISXI]

Das ist ein einzelnes, winziges File, hart verschlüsselt und zusätzlich zur langen Passphrase durch ein lokal auf den Clients liegendes Keyfile geschützt.

Das ist ausreichend.
Da hätte ich keine Sorge es auf der Icloud zu lassen.

Generell könntest Du Dir eine Nextcloud hosten lassen.
Hetzner Storage Share evtl.... 1TB selbstverwaltete Cloud für weniger als 5€ im Monat.

 

[Arno Niemer]

Oder du verteilst es lokal von Gerät zu Gerät mit syncthing.

Lokale Lösungen sind grundsätzlich mein Ding. Soll in diesem Fall aber auch unterwegs gehen.

Gruß
Arno

 

[thrawnx]

Nette Idee, wäre aber leider meinem Ziel nicht gerecht. Mein MS-Account ist schon seit Ende letzten Jahres entsorgt. War die vorletzte Datenkrake.

Gruß und Dank
Arno

Falls du Zuhause nicht betreiben kannst aufgrund des ISP, gäbe es die Möglichkeit den Anschluss auf Business umzustellen und dort dann eine IPv4 zu bekommen. Oder selbst einen kleinen Server irgendwo mieten und dann dort hosten.

 

[IBISXI]

Es geht nicht nur um Sicherheit, sondern auch um Privatsphäre.

Wenn Du damit leben kannst, dein ganzes Leben in den USA in der Cloud gespeichert zu haben, gut.
(Nachrichten, Fotos, Dokumente, Kontakte, Aufenthaltsorte........)

Das muss aber nicht für alle gelten.

 

[Arno Niemer]

Ist ein zusätzliches Layer an Encryption, aber unnötig, wenn er ein gescheites Passwort hat.

Habe eine gescheite Passphrase* und ein zusätzliches Keyfile. Passwort wäre mir zu unsicher.

Gruẞ
Arno

*) Technisch ist das ein extrem langes aber wenig komplexes Passwort. Vorteil ist, daß ein Mensch sich einen vollständigen Satz ohne ersetzte Zeichen einfacher eindeutig merken kann. Bei tendenziell höherem Informationsgehalt durch die schiere Länge.

 

[Mac_Leod]

So wie @Der Lord schon schrieben hat, habe ich es bei mir ähnlich gelöst, nur als SMB share extra für Keepass.
Lokal für alle Clients verfügbar und seit kurzem auch per WG VPN von außen.

1. stellt dir einen Pi deiner Wahl hin
2. mehr als samba brauchst du nicht und bei Bedarf noch Wire Guard drauf
   1. dafür dann einer der 100 Anleitungen für DynDNS Spaß + WG hernehmen
3. läuft ohne viel gefrickel echt gut und man braucht dafür sehr wenig Vorwissen für die Umsetzung
4. Ich spiel da noch etwas mit VLANs rum, ist aber überhaupt nicht nötig

Hier wurde nach einer technischen Lösung gefragt, haltet den Ball doch bitte mal flach

 

[Arno Niemer]

Es geht nicht nur um Sicherheit, sondern auch um Privatsphäre.

Genau. Seit letztem Jahr führe ich z.B ganz real einen Kampf, daß meine nicht ganz trivialen Gesundheitsdaten nicht zur öffentlichen Bespaßung von Studierenden im Web landen. Eine Klinik hat das gerade trotz zweier Widerspüche aus dem vergangenen Jahr zum dritten Mal versucht. In .de übrigens.

Gruß
Arno

 

[Der Lord]

wenn du zuhause nur per Mobilfunk angebunden bist, wird Selfhosting natürlich dank CGNAT & Co schwierig.
wenn du bei der Cloud selbst auch (weitestgehend) anonym bleiben möchtest, wäre ggf so etwas wie https://uberspace.de/ noch denkbar. hier müsstest du auch den eigenen Server nicht komplett selbst warten und hast dennoch viele Möglichkeiten.

 

[Arno Niemer]

mehr als samba brauchst du nicht

Geht das mit aktuellen Systemen tatsächlich noch ohne Kerberos? Steckt mein Informationsstand zu tief in der Enterprise-Welt mit AD?

Mit Kerberos und Samba, wo offiziell nur das tote Heimdall unterstützt, frickle ich lieber nicht mehr. Habe mal experimentell eine AD gebaut und bin in die Probleme mit MIT voll reingelaufen. Da kümmert sich seit bei Samba seit Jahren keine Sau. </rant>

Mir persönlich würde nginx für WebDAV wohl einfacher fallen. Grundsätzlich traue ich mir aber beides zu.

Gruß
Arno

 

[petepow]

Generell könntest Du Dir eine Nextcloud hosten lassen.
Hetzner Storage Share evtl.... 1TB selbstverwaltete Cloud für weniger als 5€ im Monat.

Würde ich auch sagen, günstig und hätte auch noch nichts schlechtes über Hetzner gelesen, habe selbst dort auch eine Nextcloud. Aber ich glaube Anonym ist es auch nicht, weil man ziemlich sicher zumindest den Namen angeben musste. Würde aber viele Dienste unterstützen

Würde sagen, einenen kleine Kompromiss wird man immer eingehen müssen, wenn man sich Online bewegt. Selbst wenn man alles selbst Zuhause hosted, kann es auch passieren dass der ISP selbst gehackt wird und Daten(name usw.) vll nicht verschlüsselt hat (T-Mobile Austria gab es vor ein paar Jahren da mal etwas).
Das soll keine Kritik sein

 

[Arno Niemer]

Weil er (und ich) denken, dass man eine einzige verschlüsselte Datei in einem Cloud-Speicher von Apple oder Microsoft speichern kann, haben wir nichts zu verbergen?

Speichern des Inhalts ist da in meinen Augen nicht das Problem.

Die Zugriffe ergeben eben ein Bewegungsprofil. Wem ich die Möglichkeit dazu gebe, suche ich mir gerne selbst aus, und bin da auch kompromissbereit.

1. Kandidat wäre der Mobilfunkanbieter. Der kriegt das über die Funktechnik eh genauer hin. Der bietet aber wohl nicht nicht einmal Mail.

2. Wahl wäre der Mailhoster. Der bekommt meine Zugriffe eh für die Mail zu sehen. Zusätzliche Infos ergeben Filezugriffe prinzipiell auch nicht. Der unterstützt leider nur Android und Webbrowser.
Staatliche Akteure sind übrigens nicht meine Sorge. Sollen sie die Daten inkl. Mail und Bewegungsdaten doch auf Richterbeschluß bekommen. Wenn mir damit erfolgreich etwas angehängt wird, hat der Staat halt meine Pflegekosten an der Backe.

Gruß
Arno

 

[foo_1337]

Muss es denn Keepass sein oder wäre auch ein self-hosted Bitwarden (vaultwarden) eine Option?
https://github.com/dani-garcia/vaultwarden

2. wäre der Mailhoster. Der bekommt meine Zugriffe eh für die Mail zu sehen.

Dann kannst du bei der Gelegenheit auch Mail direkt mit angehen und selbst machen
https://mailcow.email/