Absicherung HA & Co

rev.antun · 31. August 2024 um 14:33

Wie Sichert ihr den HA Server, oder anders gesagt den Proxmox ab?

Bekomme gelegentlich den Hinweis das von einer Externen IP ein zugriff versucht wurde, in der Config hab ich eh alles deaktiviert

http:
  use_x_forwarded_for: true
  trusted_proxies:
    - 172.30.33.0/24
  ip_ban_enabled: true
  login_attempts_threshold: 3

Login attempt or request with invalid authentication from vmi2060434.contaboserver.net (62.72.46.45).

Osorkon · 31. August 2024 um 16:50

Ein starkes Passwort das regelmässig erneuert wird und 2FA ist das mindeste.

Wenn Du Dienste extern zugänglich machst wäre Threat Prevention aus meiner Sicht ebenfalls Pflicht!
Fail2ban oder aktueller CrowdSec wäre zu empfehlen.
Manche Router bringen Threat Prevention bereits mit.

Gruß
Osorkon

rev.antun · 31. August 2024 um 17:38

Danke für die Infos!

2FA das ist ja eh das mindeste, und PW Änderung regelmässig

Extern nur via Cloudflare auf HA. Hab auf einem Rechner einen “Honigtopf” am laufen, und da noch einen PI4 mit Pi-Hole aber Crowdsec und Threat Prevention kannte ich bisher noch nicht, lässt sich jedoch auf dem Debian ja relativ einfach installieren. Da muss ich mich noch einlesen.

Bis jetzt noch keinen “Einbruch” auf den Rechnern gehabt, nur die Versuche und Portscanns.

Da ich sowieso so ziemlich die ganze HA & co neu aufsetzte werde ich auch gleich die vorgelagerten Rechner entsprechend bestücken.

Für weitere Infos/Tipps Dankbar!

Osorkon · 31. August 2024 um 17:49

Wenn Du Cloudflare Tunnel am Start hast, dürfte ja kein einziger Port offen sein.

Gruß
Osorkon

totow · 31. August 2024 um 18:03

Du könntest über Cloudflare den Zugriff noch einschränken.

LG

mkonline · 31. August 2024 um 18:05

Keinen Zugriff von extern

totow · 31. August 2024 um 18:06

Nichtmal ein VPN?

LG

mkonline · 31. August 2024 um 18:10

Nope, wüsste nicht wirklich einen Anwendungsfall.

ciddi89 · 31. August 2024 um 18:59

Bin auf allen Geräten dauerhaft per VPN verbunden wenn ich nicht im Heim Netzwerk bin. Die Links die ich per Nginx Proxy Manager erstellt habe sind auch nur über die Internen bzw. der externen eigenen ipv4 erreichbar. Für die wenigen Ports die ich öffnen musste für NPM (80, 443) Habe ich das volle Program was Unifi an Intrusion Detection and Prevention anbietet wenn ich mir die Logs angucke macht es einen guten Job.
Ansonsten noch auf jeden LXC und VM Fail2Ban. Auch wenn es alles nur per VPN Erreichbar ist Sicher ist sicher auch wenn es nicht nötig ist.

tarag · 31. August 2024 um 21:09

VPN only. Habe eine dauerhafte Verbindung via WireGuard und ansonsten keine offenen Ports.

Was nicht erreichbar ist, kann keine Schwachstellen haben.

rev.antun · 19. September 2024 um 19:21

Danke schon mal für die Tipps, werde mal Schritt für Schritt weiter das System Dicht machen.

Soweit ich das feststellen konnte kommen die nicht über Cloudflare, sondern direkt. Da hab ich noch wo eine Lücke

tarag · 19. September 2024 um 21:57

Das würde ja bedeuten, dass Du Port Forwarding aktiviert haben musst. Und in dem Fall kannst Du Dir den Cloudflare Umweg auch sparen.

Unterm Strich wird heute alles automatisiert ausgetestet, was über das Internet direkt erreichbar ist. So lange die Zugänge sicher sind, ist dies auch kein nennenswertes Problem.