Posts by mlohr

    Coole Idee, werde es vielleicht heute Abend mal ausprobieren!


    Was mich da ein bisschen dran erinnert, ist das Spiel "Chronicles of Crime" - ne Kombination zwischen App und Brettspiel. Wenn man da mal ein paar Ideen spielen lässt, kommt man schnell auf eine Kombination der Ansätze... ;) Wenn ich nur unendlich viel Zeit hätte...

    Danke für dein Feedback!


    Wenn ich etwas finde, was mich von der Software her zufriedenstellt, ist ein größerer VPS auch nicht wirklich ein Problem (muss ich mir halt ein neues Projekt ausdenken für den 200er, aber das ist sicherlich lösbar). 389 Directory Server habe ich noch nie gehört, wie ordnet der sich zwischen FreeIPA und einfach blankem OpenLDAP ein?


    Die einfachste Lösung, die mir spontan einfällt (und denke mal auch auf einem 200er laufen würde) wäre OpenLDAP und irgendwas, was mir auf Basis des LDAPs dann die Web-Authentication zur Verfügung stellt - oder sehe ich das falsch?

    Moin,


    bevor ich die eigentliche Frage stelle, möchte ich, um Diskussionen vorzubeugen, die Frage "warum machst du das" beantworten mit: "Weils geht".


    Mein "Problem": Ich habe aktuell eine ungenutzte, kleine VPS200 Instanz, Nextcloud, Wordpress, DokuWiki auf Netcup-Webspace, ein NAS zu Hause, irgendwo läuft noch HomeAssistant auf nem PI etc. Meine Frau verdreht inzwischen schon die Augen, wenn ich eines der Dinge beim Spielen wieder zerschossen habe, neu aufsetzen muss, oder einfach was unglaublich Geniales und Tolles ausprobieren möchte und dann die Thematik "gib mal hier dein Passwort für den neuen Account ein" kommt. Immer öfter komme ich zu dem Gedanken: Da gibts doch Lösungen für - zentrale Authentifizierung!


    Also ist meine momentane Überlegung, mal auszuprobieren, auf dem kleinen VPS "irgendeine" Lösung für zentrales User-Management zum Laufen zu bringen (freue mich jetzt schon, wenn ich meine Frau dann den letzten (versprochen!! :D) neuen Account dort einrichten darf). Nun war ich aber bei solch einer zentralisierten Lösung bisher nur normalsterblicher Nutzer (in großen Konzernen). Wenn man sich ein bisschen informiert stolpert man über FreeIPA, Keycloak, LDAP, OpenID, SAML, OAuth - eine Menge Begriffe (verschiedenster Kategorien).


    Meine Learnings so weit:


    Requirements:

    • Single Source of Truth für Benutzer und Gruppen
    • LDAP (da mein NAS (Synology) nur über LDAP wirklich fremd-Authentifizierung zulässt)
    • (optional, nice to have) User Self Management


    Gefährliches Halbwissen: (denkt euch in jedem Satz ein "meines Wissens nach")

    • LDAP Authentifikation erfordert die Eingabe von Benutzername+Passwort immer in der jeweiligen App. Viel cooler wär doch so ein Single-Sign-On-Ding, wo ich auf eine Webseite weitergeleitet werden, dort Benutzername und Passwort eingebe, bestätige, dass der Service (z. B. Nextcloud) auf meine Daten zugreifen darf, dann werde ich wieder zurückgeschickt und bin eingelogged. Ich glaube dass das irgendwie mit den Begriffen SAML/OAuth/OpenID zusammenhängt, mir ist aber der Unterschied (trotz Google) noch nicht wirklich klar.
    • FreeIPA bringt User/Group-Management mit eingebautem LDAP Server. Sowas wie SAML/OAuth/OpenID aber nicht. Gibt es nicht irgendwas von Ratiopharm, was mir Web-based-Geschichten anbietet und dabei auf LDAP zurückgreift? Klingt auch ein bisschen größer als das, was ich brauche (brauche ich eine Art Active Directory mit Host Registration und DNS? Eigentlich nicht...)
    • Keycloak bietet SAML/OAuth/OpenID, aber kein LDAP. Ich könnte aber wahlweise zu/mit FreeIPA oder OpenLDAP synchronisieren, dann hätte ich aber zwei "Points of Truth". Weiß noch nicht ob ich das für eine gute Idee halten soll. Kingt außerdem so, als ob ich mit Kanonen auf Spatzen schieße.
    • OpenLDAP + Irgendeine Bridge LDAP<->SAML/Oauth/OpenID, schon wie in Kombination mit FreeIPA beschrieben. Dann wäre es simpel, ich weiß wo die Daten liegen, hätte aber trotzdem irgendwie alle Protokolle abgedeckt.

    Hat da jemand Erfahrungen/Software-Empfehlungen/sonstige Ideen? Wäre über ein paar Gedanken zu dem Thema sehr dankbar.


    Viele Grüße
    Matthias

    Nur eine Beobachtung, keine Ahnung ob das jemandem weiterhilft: Offensichtlich wird beim Download kein Content-Length Header mitgeschickt. Damit ist das Ende der TCP-Verbindung eben ein erfolgreicher Download, da der Browser nicht wissen kann, ob noch ein paar Bytes fehlen. Das wiederum lässt dadrauf schließen: Irgendwas, serverseitig, beendet die TCP-Verbindung.

    Moin,


    wenn man sich ein paar VPS, ein VLAN, und ne Failover-IP schnappt müsste man doch in der Lage sein, ein Nahezu-HA-Kubernetes-Cluster aufzubauen. Das größte Problem, was ich hier sehe, ist das automatische Umschalten der Failover-IP. Es gibt ja durchaus Lösungen mit keepalived etc., mehr der Kubernetes-Style wäre allerdings ein sog. Cloud-Controller, der innerhalb des Clusters läuft und die IP per API umschaltet.


    Bisher habe ich meine Kubernetes-Cluster bei G**, A** und H****** Blech/Cloud betrieben, überlege aber nun, wie man das mit Netcup umsetzen könnte. Gibt es dazu Ideen/Erfahrungen/Meinungen/Empfehlungen etc.?


    Viele Grüße
    Matthias

    Wäre eine nextcloud auf einem Raspberry Pi mit DynDNS sicherer?

    Eigentlich ja nicht, oder? Außer das netcup keinen Zugriff mehr hätte. Aber die Jungs pflegen dafür ja die Server und das müsste ich dann selber machen.

    Nochmal die ganze Diskussion: Gegen was willst du sicherer werden beim Raspberry Pi? Ausfallsicherheit: Wahrscheinlich ist da Netcup besser. Physikalischer Zugriff auf die Daten? Möglicherweise zu Hause, wenn deine Safe-Wand dick genug ist.


    Aber nochmal: Es gibt keine absolute Sicherheit und keinen absoluten Sicherheitsbegriff. Von daher sind die Fragen "Ist x sicherer als y?" immer Blödsinn. Die Frage muss immer lauten "Ist x im Bezug auf z sicherer als y?". Von daher, wenn du eine fundierte Antwort willst: Bitte stell ganz klar, worauf du das beziehst (dürfen auch gerne mehrere Aspekte sein). Dann gibts auch weniger Meta-Antworten als tatsächlicher Einschätzungen, die dir weiterhelfen könnten.

    Mein nextcloud ist auf dem aktuellsten Stand und erhält vom nextcloud scan ein A+ (scan.nextcloud.com). Hinzu läuft ein lets encrypt mit der Bewertung A+ (https://www.ssllabs.com/ssltest/) und 2Factor sowie server-side-encryption ist aktiv.


    Sollte die Nextcloud dann so sicher wie Google Drive sein?

    Vielleicht dazu noch ein sehr einfaches Beispiel: Diese netten Bewertungen, verschlüsseltem Speicher, bewaffnetem Wachschutz vorm Gebäude - ja, fühlt sich sicher an. Jetzt hast du nen Freund, der das total cool findet, dem gibst du einen Zugang - und weil du ihm vertraust auch direkt Admin-Zugriff. Er nimmt ein schwaches Passwort... da nützt dir die ganze tolle "Sicherheit" nichts.

    Ich glaube "Sicherheit" ist ein sehr breiter Begriff. Wie schon die Vor-Poster geantwortet haben: Welche Sicherheit willst du erreichen? Sicherheit wofür/wogegen?


    Sicherheit ...

    • ... dass Google dich analysiert (Datenschutzeinstellungen in den USA würde ich eher als frommen wunsch, weniger als Garantie sehen) -> Netcup.
    • ... dass die Daten bei einem lokalen PC-Crash nicht verschwinden -> Google genausogut wie Netcup
    • ... gegen das Risiko, dass du einen Netcup-Mitarbeiter kennst, der dir schaden will -> Google
    • ... dass ein unfähiger Hacker an die Daten kommt -> Beide gleich gut
    • ... dass ein fähiger Hacker an die Daten kommt -> Beide (vermutlich) gleich schlecht (am Besten klappt immernoch Social Engineering, da wärest du dann das Sicherheitsproblem)
    • ...

    Ich schließe mich dem einmal an damit es eine Stimme mehr gibt.

    1. Sammelrechnung bitte bitte bitte
    2. 0€ Rechnungen bitte nicht mehr versenden :)

    Schönen Mittwoch euch

    Genau das!!!


    Außer, dass heute Dienstag ist.

    Vielen Dank!


    Hat jemand vielleicht ein Working Example für einen File Upload? Bei mir gibt der Befehl cgi.FieldStorage() immer ein FieldStorage(None, None, []) zurück, egal was ich an Dateien so hinschicke...

    Anscheinend nicht. Vielleicht den Support mal darauf hinweisen, dass verschiedene Kunden das durchaus reproduzieren können? Vielleicht reproduziert der Support einfach anders als die Kunden. Nur glaube ich nicht, dass inzwischen dann mehrere Leute zu blöd sind, die Dinge herunterzuladen - ich alleine vielleicht ja noch, aber ich bin ja nicht mehr alleine. Zumindest fühle ich mich so besser :D

    Moin,


    danke für den Link.


    Soweit ich das richtig verstehe beschreibt das ja genau das, was ich eigentlich zu vermeiden versuche: Man muss (laut dieser Seite) erst ne neue Routing-Tabelle anlegen, der das Gateway hinzufügen und dann die entsprechende ip rule erzeugen. Das wären drei Schritte und ich brauch ne Menge Routing-Tabellen. Ich weiß nicht, ob pfSense das genauso macht und einfach besonders gut versteckt oder ob die ne andere Methode haben. Falls dem so ist, wüsste ich gerne, welche Methode das ist.


    Viele Grüße
    Matthias

    Moin zusammen,


    mal ein eine Frage für die Netzwerkler hier.


    Nehmen wir mal an, ich hätte nen Server der als Router fungieren soll mit OpenVPN und möchte "Source Based Routing" bauen. Beispiel: Daten, die von 10.1.0.1 kommen sollen über 10.2.0.1 als Gateway verschickt werden. Kommen die Daten von 10.1.0.2, sollen sie über 10.2.0.2 verschickt werden - usw.


    Mit pfSense ist das furchtbar einfach (läuft bereits): Man legt das Gateway an und erzeugt dann ne Firewall-Regel, in der man das Gateway - auf Basis des Absenders - neu setzt.


    Jetzt überlege ich, ob es eine Möglichkeit gibt, das mit einem z. B. Ubuntu hinzubekommen. Eine Lösung (nicht ausprobiert, aber ich glaube sie könnte gehen) ist: neue Routing-Tabelle anlegen, mit ip rule alle Pakete mit einer bestimmten Absender-IP auf diese Routing-Tabelle packen und der eben als default-Gateway das Gateway verpacken. Soweit, so gut.

    Gibts da noch was von Raptiopharm, sowas, was sich mehr nach "ich lege nur eine einzelne Regel an" anfühlt? Bei iptables scheint es das nicht zu geben, jetzt habe ich gelesen da gibts noch nftables, aber noch nie mit gearbeitet. Es wäre meines Erachtens gut, wenn dieses "ich lege x Routing-Tabellen an" nicht Bestandteil der Lösung sei müsste.


    Mögen die Spiele beginnen.


    Viele Grüße
    Matthias

    Es gibt doch extra ein Unterforum für "Kunden stellen sich/ihr Projekt" vor... :D Und wenn dort ein Thread darüber wäre, könnte man den sicherlich hier gut verlinken.