Dienste in VMs isolieren?

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
Benutzeravatar
jph
Beiträge: 1049
Registriert: 06.12.2015 15:06:07
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Greven/Westf.

Re: Dienste in VMs isolieren?

Beitrag von jph » 03.01.2018 14:30:17

Zelda hat geschrieben:
Lord_Carlos hat geschrieben: ↑ zum Beitrag ↑
03.01.2018 13:38:34
Interessant waere vielleicht noch vor wem du dich schuetzten willst.
Jeder darf mich gerne paranoid oder ähnliches nennen, aber ich tendiere immer dazu alles so sicher wie nur möglich zu machen. Ich weiß selbst dass es 100%ige Sicherheit nie geben wird, aber solange man die Möglichkeiten hat es potenziellen Angreifen so schwierig wie möglich zu machen dann sollte man sie schon nutzen wie ich finde.
Darauf zielte die Frage, denke ich. Um dich schützen zu können, musst eine Vorstellung der Angriffe bzw. der Angreifer haben.

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: Dienste in VMs isolieren?

Beitrag von Lord_Carlos » 03.01.2018 14:37:05

Und je nach Angriffserwartung verteilt man seine Ressourcen.

Dadurch kann man dann besser Entscheiden, oder wir dir Helfen, wie man sich entsprechend Schuetzt.

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

Benutzeravatar
Zelda
Beiträge: 17
Registriert: 28.12.2017 10:36:20

Re: Dienste in VMs isolieren?

Beitrag von Zelda » 03.01.2018 15:27:37

Was das angeht bin ich nicht wirklich erfahren und wäre für irgendwelche Tipps und Vorschläge eurerseits sehr dankbar :)

(Ich bin mir auch nicht sicher ob dieses Thema noch etwas mit dem Ursprungsthema zu tun hat. Falls nicht wäre ich auch über einer PN dankbar!)
Mit freundlichen Grüßen
Zelda, Princess of Hyrule

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: Dienste in VMs isolieren?

Beitrag von Lord_Carlos » 03.01.2018 15:55:14

Ist es ein kleiner Privater server im Heimnetzwerk auf dem vielleicht ein paar Urlaubsbilder?
Ist es ein klein-firmen Rechner mit Daten die belegen das du Steuern hinterzogen hast?
Hast du Dokumente die belgen das Israel Atomwaffen in U-Booten vor der Kueste Irans in Stellung bringt?

Je nach Situation wuerde ich den Rechner verschieden absiegeln. Z.B. in der Ersten Situation sehe ich wenig Gefahr das es jemand explizit auf dich absieht. Hoechsten mal bekannt (gepatched) Exploits gegen Wordpress oder was auch immer auf deine Ports durchlaufen laesst.

Wenn du jetzt aber den Mossad erpressen willst wueder ich andere Geschuetzte auffahren.
Ich will dich jetzt nicht von VM etc. abhalten. Halte es nur in vielen privaten Situationen fuer Ressourcen "Verschwendung" (Einlesen ins Thema, Wartung) fuer Ressourcenverschwedung. Natuelich total in Ordnung wenn du die Zeit dafuer investieren willst. Docker habe ich mehr oder weniger auch nur im Einsatz weil ich es interessant finde.

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

Benutzeravatar
Zelda
Beiträge: 17
Registriert: 28.12.2017 10:36:20

Re: Dienste in VMs isolieren?

Beitrag von Zelda » 03.01.2018 16:15:52

Es handelt sich um einen privaten Server auf dem wesentlich mehr als nur Urlaubsbilder liegen.

Darf ich Fragen welche Sicherheitsstrategie du bevorzugen bzw. nutzen würdest?
Alles zu isolieren bringt zwar keine 100%ige Sicherheit, aber ich weiß auch nicht inwiefern sich das auf die Performance auswirkt. Vielleicht ist es auch mehr "Scheinsicherheit" als wirkliche Sicherheit. In anderen Worten: Vielleicht wirkt es auch nur wie ein Placebo und ist nicht wirklich viel sicherer.

Die Grundsicherung wie z.B. SSH nur mit passwortgeschützen Private Keys zu nutzen gehört natürlich zu meiner "Standardinstallation".
Mit freundlichen Grüßen
Zelda, Princess of Hyrule

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: Dienste in VMs isolieren?

Beitrag von bluestar » 03.01.2018 16:57:43

Zelda hat geschrieben: ↑ zum Beitrag ↑
28.12.2017 12:22:49
Ein eigener Mailserver soll nicht betrieben werden, es soll eben nur ein kleiner Webserver und eine Datenbank installiert werden, eventuell noch andere kleinere Dienste die nicht wirklich lebenswichtig sind und mehr oder weniger kleinere Spielereien sind.
Zelda hat geschrieben: ↑ zum Beitrag ↑
03.01.2018 16:15:52
Es handelt sich um einen privaten Server auf dem wesentlich mehr als nur Urlaubsbilder liegen.
Wie wäre es denn, wenn du einfach mal konkret auflistest, was du auf deinem Server neben einem Webserver, einer Datenbank und Spielereien wirklich so einsetzt, dann ist es leichter dir Tipps bzgl. der Sicherheit zu geben.

Wir haben beispielsweise immer eine komplette Web-Applikation (Webserver + PHP + Datenbank + msmtp) in einen lxc-container gepackt, so haben wir die max. Flexibilität innerhalb des Containers was Webserver- / PHP-Einstellungen und Versionen / Datenbank-Parameter angeht.

Ein anderes Beispiel - unsere Samba-Fileserver laufen auch jeweils in einem eigenen LXC-Container.

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: Dienste in VMs isolieren?

Beitrag von Lord_Carlos » 03.01.2018 19:13:45

Zelda hat geschrieben: ↑ zum Beitrag ↑
03.01.2018 16:15:52
Darf ich Fragen welche Sicherheitsstrategie du bevorzugen bzw. nutzen würdest?
Uff, gute Frage.
Ich wollte dich eigentlich nur zum nachdenken anregen wer/was dich potentiel angreifen wuerde.

Ich persoehnlich wuerde es nur in einer WM oder ein oder mehrere Docker container machen.

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

Benutzeravatar
jph
Beiträge: 1049
Registriert: 06.12.2015 15:06:07
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Greven/Westf.

Re: Dienste in VMs isolieren?

Beitrag von jph » 04.01.2018 17:21:26

Zelda hat geschrieben: ↑ zum Beitrag ↑
03.01.2018 16:15:52
Es handelt sich um einen privaten Server auf dem wesentlich mehr als nur Urlaubsbilder liegen.
Ich gebe zwei Anregungen, über die du m.E. vor der technischen Umsetzung nachdenken solltest:
  • Gib nur die Dienste nach außen frei, die du regelmäßig von unterwegs brauchst. Das verkleinert die Angriffsfläche.
  • Überlege dir, welche Daten du regelmäßig von unterwegs brauchst, und mache nur diese verfügbar. Das begrenzt den möglichen Schaden.
Generell hilft es, über Dringlichkeit nachzudenken: alles, was bis zur Heimkehr warten kann, hat m.E. „draußen“ nichts zu suchen.

Antworten