Rechtliches für Server

[Thorin007]

Hallo Leute,

ich bin dabei, einige Dienste auf meinem Debian Server aufzusetzen (Samba, OpenVPN, Squid, Postfix, Dovecot...).
Weiß jemand, was ich da so rechtlich beachten muss? Und habt ihr Sicherheitstipps für mich?
Firewall läuft und der SSH Login ist mit dem Google Authenticator abgesichert, so der aktuelle Stand...

Vielen Dank schon mal im Voraus,
Thorin

[debilian]

SSH Login ist mit dem Google Authenticator

das würde ich nicht machen - ist aber nur my 2 cent...

Alle Ports zu, die nicht benötigt werden.
fail2ban installieren...
Backups machen...

Firewall läuft

lokal oder extra Gerät?

[bluestar]

ich bin dabei, einige Dienste auf meinem Debian Server aufzusetzen (Samba, OpenVPN, Squid, Postfix, Dovecot...).

Leider sagst du nichts über den Anwendungszweck, den Standort des Servers, den/die Nutzer:innen/Kund:inen

Weiß jemand, was ich da so rechtlich beachten muss?

Bei der Dienstauswahl kommst du zwangsläufig mit folgenden Rechtsthemen in Kontakt:

• BSI IT Grundschutz -> allg. Sicherheit/Updates, Backup, Zugriffsschutz, Protokolle
• Postgeheimnis -> Postfix/Dovecot
• DSGVO -> Postfix/Dovecot
• TKG -> OpenVPN/Squid

Und habt ihr Sicherheitstipps für mich?

SSH sollte ausschließlich über Schlüssel laufen.

[GregorS]

... SSH Login ist mit dem Google Authenticator abgesichert ...

Bitte?! Wenn Du's wirklich ernst meinst, lässt Du das.

Ansonsten gilt: Was Du privat machst, ist Dein Bier. Wenn Du etwas „nicht-privat irgendwie-öffentlich“ machen möchtest, wirst Du um die DSGVO nicht herumkommen.

Gruß

Gregor

[JTH]

... SSH Login ist mit dem Google Authenticator abgesichert ...

Bitte?! Wenn Du's wirklich ernst meinst, lässt Du das.

Ich habe ein wenig den Eindruck, dass du das wegen des enthaltenen „Google“ geschrieben hast (korrigier mich, wenn ich falsch liege). Das ist aber nicht ganz so „dramatisch“, wie die Assoziation vielleicht vermuten lässt. Siehe libpam-google-authenticator (ja, ein freies Paket von Google direkt im Debian-Repo) und z.B. Google Authenticator – Google Play Store.

[GregorS]

... SSH Login ist mit dem Google Authenticator abgesichert ...

Bitte?! Wenn Du's wirklich ernst meinst, lässt Du das.

Ich habe ein wenig den Eindruck, dass du das wegen des enthaltenen „Google“ geschrieben hast (korrigier mich, wenn ich falsch liege). Das ist aber nicht ganz so „dramatisch“, wie die Assoziation vielleicht vermuten lässt. Siehe libpam-google-authenticator (ja, ein freies Paket von Google direkt im Debian-Repo) und z.B. Google Authenticator – Google Play Store.

Wenn ich derlei Sachen mache, dann grundsätzlich mit so wenig „Mitspielern“ (Programme, Dienste ...) wie möglich. Ganz egal, um wen oder was es sich dabei handelt. Wer so etwas macht, ist in meinen Augen ein Amateur.

Aber ich bin halt auch alt, gell.

Gruß

Gregor

[debilian]

Vor allem geht es um ssh, das mit wichtigste Werkzeug zum Administrieren, da hat für meine Begriffe google nichts zu suchen, sry.

[Tintom]

Wer so etwas macht, ist in meinen Augen ein Amateur.

Mal andersrum gefragt: Verstehst du, was das Paket bereitstellt und was der Vorteil durch dessen Einsatz sein könnte?

[GregorS]

Wer so etwas macht, ist in meinen Augen ein Amateur.

Mal andersrum gefragt: Verstehst du, was das Paket bereitstellt und was der Vorteil durch dessen Einsatz sein könnte?

Es ist egal, „wie rum“ Du fragst. Ich muss das Paket in keiner Weise kennen. Außer SSH und meinem Internet-Provider kommt nichts und Niemand zwischen mich und einen entfernten Rechner. Jeder weitere Blödsinn ist Stümperei.

Gruß

Gregor

[bluestar]

Es ist egal, „wie rum“ Du fragst. Ich muss das Paket in keiner Weise kennen.

Du solltest es besser verstehen oder besser nichts dazu sagen.

Außer SSH und meinem Internet-Provider kommt nichts und Niemand zwischen mich und einen entfernten Rechner. Jeder weitere Blödsinn ist Stümperei.

TOTP ist weder Blödsinn, noch Stümperei!

[GregorS]

TOTP ist weder Blödsinn, noch Stümperei!

Wusst ich's doch, dass sich einer outen würde

Gruß

Gregor

[TRex]

Einer findet moderne Security toll. Einer stört sich daran, dass es Google ist. Fertig?

[GregorS]

Einer findet moderne Security toll. Einer stört sich daran, dass es Google ist. Fertig?

Nochmal: Es geht nicht um Google. Das macht's nur noch schlimmer.

Optimal ist etwas erst dann, wenn man nichts mehr weglassen kann.

Gruß

Gregor

PS. Mit „Fertig?“ hast Du aber recht. Man kann das mit Sicherheit und Komfort (was auch immer das sei) unterschiedlich sehen.

[DeletedUserReAsG]

Weiß jemand, was ich da so rechtlich beachten muss?

Wie schon geschrieben wurde, hängt’s davon ab, was du damit machst. Wenn’s was Öffentliches werden soll, am besten noch mit über 1k Usern, wäre eine Beratung bei einem spezialisierten Fachmann unbedingt anzuraten – kostet halt erstmal etwas, aber unterm Strich weniger, als eine Abmahnung von einem Wettbewerber, oder so.

OT:

Optimal ist etwas erst dann, wenn man nichts mehr weglassen kann.

Ich ärgere mich auch immer, wenn ich den Key zum Einloggen nicht einfach weglassen kann⸮

Ernsthaft: du solltest tatsächlich mal schauen, worum es überhaupt geht. „Google“ kommt da nur im Namen vor, weil die halt die Entwicklung koordinieren – wie übrigens von vielen Sachen, die man nicht mehr sinnvoll weglassen möchte. Vielleicht möchtest du ja mal einen Blick darauf werfen: https://github.com/google/google-authenticator-libpam

Oder sollte dich tatsächlich der zweite Faktor stören? Das ist „state of teh art“, wie man so schön sagt. Die Zeit ist nicht stehengeblieben. Hattest du dich damals, als Passwörter plötzlich an vielen Stellen aus mehr als acht ASCII-Zeichen bestehen mussten, auch so drüber beschwert?

[Thorin007]

Okay, Dankeschön schonmal für die Tipps.
Da das ja offensichtlich der größte Streitpunkt was, löse ich an dieser Stelle mal auf:
Google Authenticator kann ich weglassen und einen SSH Key erstellen. Ich dachte, so wäre es sicherer. Aber man kann sich ja auch irren...

Hier sind nochmal etwas mehr Infos zu dem Projekt an sich:
Der Server soll nur für mich und meine Familie die Dienste stellen, also max 20User.


Es geht mir hauptsächlich darum, ob ich damit rechtlich Probleme bekommen kann, Da gehen die Meinungen nämlich stark auseinander.
Das andere währe halt noch Sicherheit und Datenverschlüsselung auf der Festplatte (mit LUKS?), das ist aber erstmal nebensächlich.

Ich bin halt auch kein ausgebildeter Informatiker oder Jurist, ich interessiere mich nur für den Bereich IT und habe zum Thema Server 2 Fachbücher von Rheinwerk reingezogen, @1000 Seiten

[Thorin007]

Wo schaut ihr denn so für Sec Tips?

Ich schaue immer bei IONOS und dem
THOMAS-KRENN Wiki.
Die haben ja beide eigene Server...

[reox]

Zur Sache "SSH-Keys only": Das kann schnell ein Problem werden, wenn zB die Partition auf der der Schlüssel ist nicht gemounted wird. Auf einem Server mit NFS Home hatten wir mal das Problem komplett ausgesperrt gewesen zu sein, weil natürlich root der Zugriff verweigert wurde und alle Benuzter unter /home den key hatten...
Also man sollte sich auch über solche Konstellationen Gedanken machen und wie man sie im Worst-Case umgehen kann. Manchmal hilft dann nur eine Serielle Konsole o.ä.
Grundsätzlich ist es immer Ratsam sich bei allen Dingen die man einbaut zu fragen "wie kann das schief gehen und was mache ich dann?" zB 2FA: Was passiert wenn mein Handy schrott ist, etc.

[uname]

Firewall läuft und der SSH Login ist mit dem Google Authenticator abgesichert, so der aktuelle Stand...

Ich weiß gar nicht, was alle hier im Forum gegen Google Authenticator bzw. TOTP haben.
Ich glaube hier haben einige die Funktion gar nicht verstanden.
Aber dann wahrscheinlich lieber nur einfache Passwörter nehmen

Natürlich ist es sinnvoll z. B. SSH-Keys zu verwenden.
Das ist auch so lange gut, wie man sowieso immer die gleichen Clientsysteme nimmt.
Auch kann man natürlich den privaten SSH-Key mitnehmen (inkl. Passphrase).

Wenn man aber mal spontan von irgendwo SSH benötigt, ist TOTP wirklich gut.
Und da stellt der Google Authenticator keinerlei Sicherheitsrisiko dar.
Aber man kann natürlich auch andere TOTP-Clients nehmen. Sogar aus reiner Hardware.

Hier mal TOTP für Nextcloud: https://www.youtube.com/watch?v=fI9b1fXsS6A

Das erklärt es ein wenig, wenn es auch Nextcloud ist.

[Thorin007]

Da hab ich schon eine alternative laufen:
Einen Teamwiever Host. Mein Account hat auch ein gutes Passwort und ist mit 2FA gesichert.

[bluestar]

Ich weiß gar nicht, was alle hier im Forum gegen Google Authenticator bzw. TOTP haben.
Ich glaube hier haben einige die Funktion gar nicht verstanden.

Da muss ich dir absolut zustimmen.

Natürlich ist es sinnvoll z. B. SSH-Keys zu verwenden.
Das ist auch so lange gut, wie man sowieso immer die gleichen Clientsysteme nimmt.
Auch kann man natürlich den privaten SSH-Key mitnehmen (inkl. Passphrase).

SSH-Keys lassen sich ganz bequem in Form von Crypto-Sticks (z.B. Nitrokey) mitnehmen, da kann auch niemand den privaten Schlüssel einfach kopieren.

[Thorin007]

Danke für den Link
Wegen der Nextcloud habe ich mir auch schon Gedanken gemacht, bin dann aber bei dem rechtlichen Punkt hängen geblieben...
Aktuell läuft nur Plex und ein Samba Server. Beides ohne Fernzugriff.

[uname]

SSH-Keys lassen sich ganz bequem in Form von Crypto-Sticks (z.B. Nitrokey) mitnehmen, da kann auch niemand den privaten Schlüssel einfach kopieren.

Ja das mag sein. Trotzdem kann TOTP machmal sinnvoll sein, wenn man z. B. eine fremde Hardware (PC) oder mobile Hardware (Smartphone) verwendet, wo man z. B. den Stick oder auch eine Datei nicht direkt verwenden kann. Dann kann man sich ganz normal über putty.exe (!!!) am Server anmelden und gibt das TOTP - Einmalpasswort ein und gut ist es.

Wegen der Nextcloud habe ich mir auch schon Gedanken gemacht,

Ich nutze privat meine eigene Nextcloud. Auch gibt es viele gute Managed Nextcloud - Hoster direkt in Deutschland.
Man muss ja nicht alles selbst machen. Vor allen für Dritte würde ich ungern wichtige Daten verwalten.
Aber man kann ja auch von außen nur die Nextcloud zugängig machen und über Lets Encrypt absichern.

[bluestar]

Wegen der Nextcloud habe ich mir auch schon Gedanken gemacht, bin dann aber bei dem rechtlichen Punkt hängen geblieben...
Aktuell läuft nur Plex und ein Samba Server. Beides ohne Fernzugriff.

Samba würde ich gar nicht mehr verwenden, da bist du mit Nextcloud deutlich moderner/vielseitiger aufgestellt.

[uname]

Samba würde ich gar nicht mehr verwenden, da bist du mit Nextcloud deutlich moderner/vielseitiger aufgestellt.

Das würde ich so nicht sagen. Es macht schon oft Sinn normale Netzwerklaufwerke zu verwenden.
Man kann aber problemlos Nextcloud mit CIFS/SMB verbinden:
https://docs.nextcloud.com/server/lates ... e/smb.html

[Thorin007]

Wegen der Nextcloud habe ich mir auch schon Gedanken gemacht, bin dann aber bei dem rechtlichen Punkt hängen geblieben...
Aktuell läuft nur Plex und ein Samba Server. Beides ohne Fernzugriff.

Samba würde ich gar nicht mehr verwenden, da bist du mit Nextcloud deutlich moderner/vielseitiger aufgestellt.

Die kann man doch bestimmt auch erstmal nur Netzintern aufstellen? Wenn man den Port im Router sperrt oder beim Setup den externen Zugriff deaktiviert?