h00bi
Fleet Admiral
- Registriert
- Aug. 2006
- Beiträge
- 21.285
Das kann man natürlich auch deutlich anders sehen, aber ich bin derzeit kein Freund von SSH Zugang per Key Pairs. Ein private key, auf deinem System abgelegt ist nichts anderes als ein ultra-langes Passwort in einer Textdatei.adjeui schrieb:VPN & SSH
Auf den Pi wird nur per SSH mittels pub/priv key pairs zugegriffen. Dabei hat jedes Endgerät mit dem auf den Pi zugegriffen wird natürlich ein eigenes Keypair.
VPN Verbindung wird ebenfalls per key pairs eingerichtet, OpenVPN ist derzeit der Plan.
Es gibt Malware die macht nichts anderes als auf dem Client nach solchen Keys zu suchen.
Da man aktuell noch keine private keys in Bitwarden verwalten kann, sind mir 60+ Zeichen lange Passwörter verschlüsselt gespeichert in Bitwarden deutlich lieber.
Wenn du die Keys verschlüsselt speichern kannst, dann ist das natürlich top.
adjeui schrieb:DMZ
Der Pi wird in einer DMZ liegen, je nachdem ob eine FritzBox das beherrscht wird diese entweder darüber oder in der Firewall eingerichtet, womit wir beim nächsten Punkt wären:
Firewall
Die Firewall ist selbstverständlich absolut essenziell. Hier werden standardmäßig natürlich alle Verbindungen gedroppt, vrs. bis auf TCP 443 (die weitergeleiteten Ports ändern sich natürlich mit den auf dem Pi laufenden Diensten).
Die Fritzbox kann keine DMZ.
Welche Firewalllösung schwebt dir denn vor?
Ich hoste zuhause nur das, was Zugriff auf mein Heimnetzwerk braucht. Ein Webserver braucht das nicht.
Der liegt in der Oracle Cloud auf einem kostenlosen Server, der in den Grundzügen gleich aufgebaut ist wie mein Home Server (debian12, docker, div. Container).
Die Sicherheit kommt dadurch, dass die von dir ausgewählten Docker Container einen fähigen und aktiven Maintainer haben. Du siehst ja bei Docker und auf github wie oft der Container aktualisiert wird. Dann musst du dich nur noch regelmaßig zum patchen durchringen.
Wenn du nur Port 443 auf einen nginx proxy manager öffnest und innerhalb der Container keinen groben Unsinn machst, ist die Nummer schonmal per se nicht unsicher.
EDIT:
weiterer Vorteil des sinnvollen Splits in local+cloud ist, dass sich die beiden gegeneinander verschlüsselt sichern können.