Nextcloud Absichern (Verschlüsseln von Ordnern)

    Hallo zusammen.


    Ich würde gerne meinen Server weiter absichern, und als nächstes hätte ich gerne die Daten der Nextcloud (docker container) auf der SSD verschlüsselt.

    Hat jemand schon Erfahrungen damit?


    Welche Technologien gibt es (hätte jetzt ecryptfs auf dem Docker-Ordner angewendet? Frisst die Verschlüsselung viel Performance? Gibt es andere Lösungen?

    Ich würde ungern den ganzen Server verschlüsseln, da das eingeben des Schlüssels für jeden Reboot ein (für mich) unnötiges Risiko darstellt. Deswegen sieht die Verschlüsselung einzelner Ordner deutlich besser aus. Aber erhöht das die Sicherheit überhaupt auf einem V-Server? Oder hat der Admin des Hypervisors dann eh immer Möglichkeiten, auf die Daten zuzugreifen?


    Gruß,

    Dirk

    Bei der server-side encryption liegt der Schlüssel mit in der NC-Instanz. Die Anwendungsfälle sind in oben verlinktem Dokument auch erklärt. Einzelne Ordner verschlüsseln hört sich nach der E2E-Verschlüsselung von NC an. Die Erfahrungen damit sind aber eher durchwachsen, siehe Appstore und Github dazu. Alternativ bietet sich so etwas wie Cryptomator an.

    Ich frage mich halt, ob die Verschlüsselung überhaupt Sinn ergibt. Wird die NC-Instanz kompromitiert, so kann man wahrscheinlich eh auf die entschlüsselten Dateien zugreifen. Wenn die Polizei, warum auch immer, den Server beschlagnahmt, sorgen die schon dafür, dass der Server nicht heruntergefahren wird, also bleibt auch die Partition erstmal entschlüsselt... Sprich würde die Verschlüsselung überhaupt irgendwo helfen, oder ist sie nur eine Leistungsbremse?

    Zitat von xplod

    Ich frage mich halt, ob die Verschlüsselung überhaupt Sinn ergibt. Wird die NC-Instanz kompromitiert, so kann man wahrscheinlich eh auf die entschlüsselten Dateien zugreifen. Wenn die Polizei, warum auch immer, den Server beschlagnahmt, sorgen die schon dafür, dass der Server nicht heruntergefahren wird, also bleibt auch die Partition erstmal entschlüsselt... Sprich würde die Verschlüsselung überhaupt irgendwo helfen, oder ist sie nur eine Leistungsbremse?

    Die E2E würde da helfen - da die Daten nur lokal entschlüsselt werdem.

    Dadurch funktioniert aber für jene weder der Versions verlaif noch das WEB Gui im allgemeinen.

    Die Web-GUI wäre schon recht wichtig, da ich das Teilen doch häufig nutze...


    Aber wenn ich richtig überlege, ist der einzige Anwendungsfall, wo verschlüsselung etwas bringt, der, dass der Hoster nach einem HW-Defekt die SSD nicht verschrottet wird, sondern wieder den Weg in den Markt findet. Dann wären die privaten Daten offen dort, wo ich sie nicht haben will...


    Somit wäre wahrscheinlich die Verschlüsselung des Docker-Root-Ordners die beste (und einfachste) Option... Leider kann ich nicht direkt abschätzen, wie gefährlich es wäre, wenn der Festplatteninhalt meines Servers direkt zugänglich wäre. Mit dem Erzeugen neuer Schlüssel und PWs sollte man das System ja wieder ausreichend absichern können...

    Zitat von tab

    Alles, was nicht bereits sicher(!) verschlüsselt auf den Server übertragen wird, ist prinzipiell unsicher. Es ist nur eine Frage des Aufwands.

    Ich wage zu bezweifeln, dass ein normalsterblicher User ein sicheres aber trotzdem benutzbares System aufsetzen kann. Mir geht es eher darum, die Hürden für einen Angriff so hoch zu legen, dass es lohnendere Ziele gibt wie mich...


    Ich denke, ich werde ein ecryptfs Verzeichnis auf dem lokalen Laufwerk anlegen, und den Schlüssel dafür im gemounten Storage Space ablegen. Damit liegen dann die Daten zumindest verschlüsselt auf der Platte, und sollten bei einem Übergabe an Dritte unkritisch sein...