Rechtliches für Server
Rechtliches für Server
Hallo Leute,
ich bin dabei, einige Dienste auf meinem Debian Server aufzusetzen (Samba, OpenVPN, Squid, Postfix, Dovecot...).
Weiß jemand, was ich da so rechtlich beachten muss? Und habt ihr Sicherheitstipps für mich?
Firewall läuft und der SSH Login ist mit dem Google Authenticator abgesichert, so der aktuelle Stand...
Vielen Dank schon mal im Voraus,
Thorin
ich bin dabei, einige Dienste auf meinem Debian Server aufzusetzen (Samba, OpenVPN, Squid, Postfix, Dovecot...).
Weiß jemand, was ich da so rechtlich beachten muss? Und habt ihr Sicherheitstipps für mich?
Firewall läuft und der SSH Login ist mit dem Google Authenticator abgesichert, so der aktuelle Stand...
Vielen Dank schon mal im Voraus,
Thorin
Re: Rechtliches für Server
das würde ich nicht machen - ist aber nur my 2 cent...SSH Login ist mit dem Google Authenticator
Alle Ports zu, die nicht benötigt werden.
fail2ban installieren...
Backups machen...
lokal oder extra Gerät?Firewall läuft
-- nichts bewegt Sie wie ein GNU --
Re: Rechtliches für Server
Leider sagst du nichts über den Anwendungszweck, den Standort des Servers, den/die Nutzer:innen/Kund:inenThorin007 hat geschrieben:05.01.2022 19:02:42ich bin dabei, einige Dienste auf meinem Debian Server aufzusetzen (Samba, OpenVPN, Squid, Postfix, Dovecot...).
Bei der Dienstauswahl kommst du zwangsläufig mit folgenden Rechtsthemen in Kontakt:
- BSI IT Grundschutz -> allg. Sicherheit/Updates, Backup, Zugriffsschutz, Protokolle
- Postgeheimnis -> Postfix/Dovecot
- DSGVO -> Postfix/Dovecot
- TKG -> OpenVPN/Squid
SSH sollte ausschließlich über Schlüssel laufen.
Re: Rechtliches für Server
Bitte?! Wenn Du's wirklich ernst meinst, lässt Du das.Thorin007 hat geschrieben:05.01.2022 19:02:42... SSH Login ist mit dem Google Authenticator abgesichert ...
Ansonsten gilt: Was Du privat machst, ist Dein Bier. Wenn Du etwas „nicht-privat irgendwie-öffentlich“ machen möchtest, wirst Du um die DSGVO nicht herumkommen.
Gruß
Gregor
Wenn man keine Probleme hat, kann man sich welche machen. ("Großes Lötauge", Medizinmann der M3-Hopi [und sog. Maker])
Re: Rechtliches für Server
Ich habe ein wenig den Eindruck, dass du das wegen des enthaltenen „Google“ geschrieben hast (korrigier mich, wenn ich falsch liege). Das ist aber nicht ganz so „dramatisch“, wie die Assoziation vielleicht vermuten lässt. Siehe libpam-google-authenticator (ja, ein freies Paket von Google direkt im Debian-Repo) und z.B. Google Authenticator – Google Play Store.
Manchmal bekannt als Just (another) Terminal Hacker.
Re: Rechtliches für Server
Wenn ich derlei Sachen mache, dann grundsätzlich mit so wenig „Mitspielern“ (Programme, Dienste ...) wie möglich. Ganz egal, um wen oder was es sich dabei handelt. Wer so etwas macht, ist in meinen Augen ein Amateur.JTH hat geschrieben:05.01.2022 23:38:42Ich habe ein wenig den Eindruck, dass du das wegen des enthaltenen „Google“ geschrieben hast (korrigier mich, wenn ich falsch liege). Das ist aber nicht ganz so „dramatisch“, wie die Assoziation vielleicht vermuten lässt. Siehe libpam-google-authenticator (ja, ein freies Paket von Google direkt im Debian-Repo) und z.B. Google Authenticator – Google Play Store.
Aber ich bin halt auch alt, gell.
Gruß
Gregor
Wenn man keine Probleme hat, kann man sich welche machen. ("Großes Lötauge", Medizinmann der M3-Hopi [und sog. Maker])
Re: Rechtliches für Server
Vor allem geht es um ssh, das mit wichtigste Werkzeug zum Administrieren, da hat für meine Begriffe google nichts zu suchen, sry.
-- nichts bewegt Sie wie ein GNU --
Re: Rechtliches für Server
Mal andersrum gefragt: Verstehst du, was das Paket bereitstellt und was der Vorteil durch dessen Einsatz sein könnte?
Re: Rechtliches für Server
Es ist egal, „wie rum“ Du fragst. Ich muss das Paket in keiner Weise kennen. Außer SSH und meinem Internet-Provider kommt nichts und Niemand zwischen mich und einen entfernten Rechner. Jeder weitere Blödsinn ist Stümperei.
Gruß
Gregor
Wenn man keine Probleme hat, kann man sich welche machen. ("Großes Lötauge", Medizinmann der M3-Hopi [und sog. Maker])
Re: Rechtliches für Server
Du solltest es besser verstehen oder besser nichts dazu sagen.GregorS hat geschrieben:06.01.2022 00:46:18Es ist egal, „wie rum“ Du fragst. Ich muss das Paket in keiner Weise kennen.
TOTP ist weder Blödsinn, noch Stümperei!GregorS hat geschrieben:06.01.2022 00:46:18Außer SSH und meinem Internet-Provider kommt nichts und Niemand zwischen mich und einen entfernten Rechner. Jeder weitere Blödsinn ist Stümperei.
Re: Rechtliches für Server
Wusst ich's doch, dass sich einer outen würde
Gruß
Gregor
Wenn man keine Probleme hat, kann man sich welche machen. ("Großes Lötauge", Medizinmann der M3-Hopi [und sog. Maker])
- TRex
- Moderator
- Beiträge: 8071
- Registriert: 23.11.2006 12:23:54
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: KA
Re: Rechtliches für Server
Einer findet moderne Security toll. Einer stört sich daran, dass es Google ist. Fertig?
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Re: Rechtliches für Server
Nochmal: Es geht nicht um Google. Das macht's nur noch schlimmer.TRex hat geschrieben:06.01.2022 01:19:22Einer findet moderne Security toll. Einer stört sich daran, dass es Google ist. Fertig?
Optimal ist etwas erst dann, wenn man nichts mehr weglassen kann.
Gruß
Gregor
PS. Mit „Fertig?“ hast Du aber recht. Man kann das mit Sicherheit und Komfort (was auch immer das sei) unterschiedlich sehen.
Wenn man keine Probleme hat, kann man sich welche machen. ("Großes Lötauge", Medizinmann der M3-Hopi [und sog. Maker])
Re: Rechtliches für Server
Wie schon geschrieben wurde, hängt’s davon ab, was du damit machst. Wenn’s was Öffentliches werden soll, am besten noch mit über 1k Usern, wäre eine Beratung bei einem spezialisierten Fachmann unbedingt anzuraten – kostet halt erstmal etwas, aber unterm Strich weniger, als eine Abmahnung von einem Wettbewerber, oder so.
OT:
Ich ärgere mich auch immer, wenn ich den Key zum Einloggen nicht einfach weglassen kann⸮GregorS hat geschrieben:06.01.2022 01:31:43Optimal ist etwas erst dann, wenn man nichts mehr weglassen kann.
Ernsthaft: du solltest tatsächlich mal schauen, worum es überhaupt geht. „Google“ kommt da nur im Namen vor, weil die halt die Entwicklung koordinieren – wie übrigens von vielen Sachen, die man nicht mehr sinnvoll weglassen möchte. Vielleicht möchtest du ja mal einen Blick darauf werfen: https://github.com/google/google-authenticator-libpam
Oder sollte dich tatsächlich der zweite Faktor stören? Das ist „state of teh art“, wie man so schön sagt. Die Zeit ist nicht stehengeblieben. Hattest du dich damals, als Passwörter plötzlich an vielen Stellen aus mehr als acht ASCII-Zeichen bestehen mussten, auch so drüber beschwert?
Re: Rechtliches für Server
Okay, Dankeschön schonmal für die Tipps.
Da das ja offensichtlich der größte Streitpunkt was, löse ich an dieser Stelle mal auf:
Google Authenticator kann ich weglassen und einen SSH Key erstellen. Ich dachte, so wäre es sicherer. Aber man kann sich ja auch irren...
Hier sind nochmal etwas mehr Infos zu dem Projekt an sich:
Der Server soll nur für mich und meine Familie die Dienste stellen, also max 20User.
Es geht mir hauptsächlich darum, ob ich damit rechtlich Probleme bekommen kann, Da gehen die Meinungen nämlich stark auseinander.
Das andere währe halt noch Sicherheit und Datenverschlüsselung auf der Festplatte (mit LUKS?), das ist aber erstmal nebensächlich.
Ich bin halt auch kein ausgebildeter Informatiker oder Jurist, ich interessiere mich nur für den Bereich IT und habe zum Thema Server 2 Fachbücher von Rheinwerk reingezogen, @1000 Seiten
Da das ja offensichtlich der größte Streitpunkt was, löse ich an dieser Stelle mal auf:
Google Authenticator kann ich weglassen und einen SSH Key erstellen. Ich dachte, so wäre es sicherer. Aber man kann sich ja auch irren...
Hier sind nochmal etwas mehr Infos zu dem Projekt an sich:
Der Server soll nur für mich und meine Familie die Dienste stellen, also max 20User.
Es geht mir hauptsächlich darum, ob ich damit rechtlich Probleme bekommen kann, Da gehen die Meinungen nämlich stark auseinander.
Das andere währe halt noch Sicherheit und Datenverschlüsselung auf der Festplatte (mit LUKS?), das ist aber erstmal nebensächlich.
Ich bin halt auch kein ausgebildeter Informatiker oder Jurist, ich interessiere mich nur für den Bereich IT und habe zum Thema Server 2 Fachbücher von Rheinwerk reingezogen, @1000 Seiten
Re: Rechtliches für Server
Wo schaut ihr denn so für Sec Tips?
Ich schaue immer bei IONOS und dem
THOMAS-KRENN Wiki.
Die haben ja beide eigene Server...
Ich schaue immer bei IONOS und dem
THOMAS-KRENN Wiki.
Die haben ja beide eigene Server...
Re: Rechtliches für Server
Zur Sache "SSH-Keys only": Das kann schnell ein Problem werden, wenn zB die Partition auf der der Schlüssel ist nicht gemounted wird. Auf einem Server mit NFS Home hatten wir mal das Problem komplett ausgesperrt gewesen zu sein, weil natürlich root der Zugriff verweigert wurde und alle Benuzter unter /home den key hatten...
Also man sollte sich auch über solche Konstellationen Gedanken machen und wie man sie im Worst-Case umgehen kann. Manchmal hilft dann nur eine Serielle Konsole o.ä.
Grundsätzlich ist es immer Ratsam sich bei allen Dingen die man einbaut zu fragen "wie kann das schief gehen und was mache ich dann?" zB 2FA: Was passiert wenn mein Handy schrott ist, etc.
Also man sollte sich auch über solche Konstellationen Gedanken machen und wie man sie im Worst-Case umgehen kann. Manchmal hilft dann nur eine Serielle Konsole o.ä.
Grundsätzlich ist es immer Ratsam sich bei allen Dingen die man einbaut zu fragen "wie kann das schief gehen und was mache ich dann?" zB 2FA: Was passiert wenn mein Handy schrott ist, etc.
Re: Rechtliches für Server
Ich weiß gar nicht, was alle hier im Forum gegen Google Authenticator bzw. TOTP haben.Firewall läuft und der SSH Login ist mit dem Google Authenticator abgesichert, so der aktuelle Stand...
Ich glaube hier haben einige die Funktion gar nicht verstanden.
Aber dann wahrscheinlich lieber nur einfache Passwörter nehmen
Natürlich ist es sinnvoll z. B. SSH-Keys zu verwenden.
Das ist auch so lange gut, wie man sowieso immer die gleichen Clientsysteme nimmt.
Auch kann man natürlich den privaten SSH-Key mitnehmen (inkl. Passphrase).
Wenn man aber mal spontan von irgendwo SSH benötigt, ist TOTP wirklich gut.
Und da stellt der Google Authenticator keinerlei Sicherheitsrisiko dar.
Aber man kann natürlich auch andere TOTP-Clients nehmen. Sogar aus reiner Hardware.
Hier mal TOTP für Nextcloud: https://www.youtube.com/watch?v=fI9b1fXsS6A
Das erklärt es ein wenig, wenn es auch Nextcloud ist.
Re: Rechtliches für Server
Da hab ich schon eine alternative laufen:
Einen Teamwiever Host. Mein Account hat auch ein gutes Passwort und ist mit 2FA gesichert.
Einen Teamwiever Host. Mein Account hat auch ein gutes Passwort und ist mit 2FA gesichert.
Re: Rechtliches für Server
Da muss ich dir absolut zustimmen.uname hat geschrieben:07.01.2022 09:05:39Ich weiß gar nicht, was alle hier im Forum gegen Google Authenticator bzw. TOTP haben.
Ich glaube hier haben einige die Funktion gar nicht verstanden.
SSH-Keys lassen sich ganz bequem in Form von Crypto-Sticks (z.B. Nitrokey) mitnehmen, da kann auch niemand den privaten Schlüssel einfach kopieren.uname hat geschrieben:07.01.2022 09:05:39Natürlich ist es sinnvoll z. B. SSH-Keys zu verwenden.
Das ist auch so lange gut, wie man sowieso immer die gleichen Clientsysteme nimmt.
Auch kann man natürlich den privaten SSH-Key mitnehmen (inkl. Passphrase).
Re: Rechtliches für Server
Danke für den Link
Wegen der Nextcloud habe ich mir auch schon Gedanken gemacht, bin dann aber bei dem rechtlichen Punkt hängen geblieben...
Aktuell läuft nur Plex und ein Samba Server. Beides ohne Fernzugriff.
Wegen der Nextcloud habe ich mir auch schon Gedanken gemacht, bin dann aber bei dem rechtlichen Punkt hängen geblieben...
Aktuell läuft nur Plex und ein Samba Server. Beides ohne Fernzugriff.
Re: Rechtliches für Server
Ja das mag sein. Trotzdem kann TOTP machmal sinnvoll sein, wenn man z. B. eine fremde Hardware (PC) oder mobile Hardware (Smartphone) verwendet, wo man z. B. den Stick oder auch eine Datei nicht direkt verwenden kann. Dann kann man sich ganz normal über putty.exe (!!!) am Server anmelden und gibt das TOTP - Einmalpasswort ein und gut ist es.bluestar hat geschrieben:SSH-Keys lassen sich ganz bequem in Form von Crypto-Sticks (z.B. Nitrokey) mitnehmen, da kann auch niemand den privaten Schlüssel einfach kopieren.
Ich nutze privat meine eigene Nextcloud. Auch gibt es viele gute Managed Nextcloud - Hoster direkt in Deutschland.Thorin007 hat geschrieben:Wegen der Nextcloud habe ich mir auch schon Gedanken gemacht,
Man muss ja nicht alles selbst machen. Vor allen für Dritte würde ich ungern wichtige Daten verwalten.
Aber man kann ja auch von außen nur die Nextcloud zugängig machen und über Lets Encrypt absichern.
Zuletzt geändert von uname am 07.01.2022 09:16:01, insgesamt 1-mal geändert.
Re: Rechtliches für Server
Samba würde ich gar nicht mehr verwenden, da bist du mit Nextcloud deutlich moderner/vielseitiger aufgestellt.Thorin007 hat geschrieben:07.01.2022 09:12:10Wegen der Nextcloud habe ich mir auch schon Gedanken gemacht, bin dann aber bei dem rechtlichen Punkt hängen geblieben...
Aktuell läuft nur Plex und ein Samba Server. Beides ohne Fernzugriff.
Re: Rechtliches für Server
Das würde ich so nicht sagen. Es macht schon oft Sinn normale Netzwerklaufwerke zu verwenden.bluestar hat geschrieben:Samba würde ich gar nicht mehr verwenden, da bist du mit Nextcloud deutlich moderner/vielseitiger aufgestellt.
Man kann aber problemlos Nextcloud mit CIFS/SMB verbinden:
https://docs.nextcloud.com/server/lates ... e/smb.html
Re: Rechtliches für Server
Die kann man doch bestimmt auch erstmal nur Netzintern aufstellen? Wenn man den Port im Router sperrt oder beim Setup den externen Zugriff deaktiviert?bluestar hat geschrieben:07.01.2022 09:15:06Samba würde ich gar nicht mehr verwenden, da bist du mit Nextcloud deutlich moderner/vielseitiger aufgestellt.Thorin007 hat geschrieben:07.01.2022 09:12:10Wegen der Nextcloud habe ich mir auch schon Gedanken gemacht, bin dann aber bei dem rechtlichen Punkt hängen geblieben...
Aktuell läuft nur Plex und ein Samba Server. Beides ohne Fernzugriff.