Hallo Zusammen,
ich zermartere mir seit einigen Tagen den Kopf, vielleicht habt ihr ja eine sinnvolle Idee.
Ich habe hier zu Hause ein ganz klassisches Heimnetz. Fritzbox und dahinter einige (viele) Geräte.
Jetzt würde ich gerne eine Nextcloud Instanz hosten (Nutzer: 2 aus dem Haushalt). Ich möchte die Lösung aber gerne sicher gestallten und nicht Tür und Tor zu meinem Netzwerk öffnen.
Folgende Überlegungen dazu:
- Ich setze einen Docker Container (Docker Host für "interne" Anwendungen ist schon vorhanden) mit Nextcloud auf. Dafür muss ich aber mit der Firewall (UFW, Lubuntu LTS) des Hosts noch ein paar "Klimmzüge" machen. Oder: Brauche ich auf dem Host überhaupt eine Firewall, wenn ich nur den Port zum Container weiterleite? Kommt ein "Angreifer" aus dem Container überhaupt "raus"?
- Ich nehme einen separaten PC für die Nextcloud Instanz und mache den relativ stark "dicht". Eigentlich würde ich gerne die MySQL DB aus einem anderen Docker wiederverwenden, aber wird es damit unsicherer? Ich muss ja eine Verbindung zu Docker ermöglichen. Wäre es sicherer, wenn ich alles auf einem separaten PC einrichte (inkl. Datenbank)?
- Wie steht es um die Sicherheit von anderen Clients im Lan? Wie groß ist das Risiko, dass ein Angreifer vom Server auf einen normalen Windows PC zugreift?
- Kann ich ggf. die Portfreischaltung in der Fritzbox nur auf einen bestimmten Lan-Port mappen? Kann man per Fritzbox ein weiters Subnetz (nicht das Gastnetz) eröffnen, um den Server vom "Rest" des Netzwerks zu trennen (das das mit einem zweiten Router geht, ist mir klar).
Danke und viele Grüße
Itchy2