"Pen-Test"-Service bzw. Security-Scanner für Vaultwarden?

  • Hallo zusammen,


    da ich für meinen kleinen VPS nano G11s nicht mehr wirklich eine Verwendung hatte, hab ich mich heute mal drangesetzt, um ein Vaultwarden drauf zu installieren. Bevor ich dies aber mit sensiblen Daten füttere, würde mich interessieren, ob es eine Art seriösen Security-Scanner o.ä. gibt, ähnlich wie beim Wordpress, der Schwachstellen abklopft. Meiner Meinung nach habe ich alles bedacht ... ein Debian 12 up2date, ssh als user per Zertifikat, Login per Passwort disabled, https läuft, fail2ban ist installiert. SSH-Port ist noch auf 22 - den zu ändern, hält sicher niemanden davon ab, es herauszufinden.


    Das Ganze abzuriegeln und nur per VPN erreichbar zu machen, klappt leider nicht wie gewünscht. Für mich wäre es kein Problem, aber Frau sowie Schwiegereltern sollen auch drauf zugreifen und da ist jeder Fingertipp zum Aufbau einer VPN zu "mühsam". Habs lange mit einem anderen Self-Hosting probiert - vergebens.


    Daher die Idee mit dem Pen-Test etc., wenns sowas gäbe :rolleyes:


    Viele Grüße

    Andreas

  • Einen "Dienst" in dem Sinne kenne ich nicht - aber die Freundin eines Arbeitskollegen Java-Entwicklers und Linux Brotback-Bastlers ist professionelle Pentesterin.
    Deine Angaben zur Absicherung hören sich aber schon sehr gut an und durch so Tool-Sammlungen wie Mozilla Observatory (Mozilla Observatory) oder Hardenize, etc. hier im Folgenden Link aufgelistet hast Du schon durch?
    Online-Scanner: Tools für Sicherheit und Datenschutz ⋆ Kuketz IT-Security Blog (kuketz-blog.de)

    WH8000 SE 🥚 20 | WH1000 SE OST22 | WH1000 SE OST23 | WH1000 SE OST24 | WH 🥚🧶🥛🐖 | 🦆 VPS 200 🇺🇦🕊️

    Thanks 1 Like 1
  • ... ssh komplett abschalte ...

    Mmmh ... da kann ich grad leider nicht ganz folgen ... wie schaltest Du ssh wieder aktiv, wenn Wartungsarbeiten anstehen? Wobei dies für mich vermutlich keine Option wäre, da ich nahezu tgl. per ssh auf meinen Servern unterwegs bin. Entweder, um Logs zu lesen oder Konfigurationen anzupassen etc. - das wäre vermutlich ein ständiges De-/Aktivieren des Dienstes.

  • Das Ganze abzuriegeln und nur per VPN erreichbar zu machen, klappt leider nicht wie gewünscht. Für mich wäre es kein Problem, aber Frau sowie Schwiegereltern sollen auch drauf zugreifen und da ist jeder Fingertipp zum Aufbau einer VPN zu "mühsam".

    Man kann alternativ/zusätzlich noch über GeoBlock von IP-Adressen nachdenken und so z.B. nur Land des Wohnorts und (aktuelles/zukünftige) Urlaubsland den Zugriff erlauben, man braucht ja nicht die ganze Welt. ;)


    Beispie:

  • Man kann alternativ/zusätzlich noch über GeoBlock von IP-Adressen nachdenken und so z.B. nur Land des Wohnorts und (aktuelles/zukünftige) Urlaubsland den Zugriff erlauben, man braucht ja nicht die ganze Welt. ;)

    Neben Geoblocking ist auch besonders Port knocking geeignet, um einen Serverdienst abzusichern. Übersetzt heißt das man "klopft" auf einem anderen Port am Server an, um dann den eigentlichen Dienst also z.B. SSH freizuschalten. Der eigentliche Dienst SSH sieht für den Rest der Welt geschlossen aus und nur der eigentliche Besitzer kennt den Port an dem vorher angeklopft werden muss.

    Erfahrungen mit kockd einem Daemon für Port knocking sind z.B. hier in dem Beitrag erfasst.

    WH8000 SE 🥚 20 | WH1000 SE OST22 | WH1000 SE OST23 | WH1000 SE OST24 | WH 🥚🧶🥛🐖 | 🦆 VPS 200 🇺🇦🕊️

    Like 2