Как обезопасить OwnCloud?

Я не грамотный, когда дело доходит до серверов, но мне нравится идея иметь собственное облачное хранилище по соображениям конфиденциальности. OwnCloud нацеливается (хотя бы чуть-чуть) на "DIY-home-user", так что, похоже, стоит попробовать. Через несколько часов мне удалось получить работающий сервер OwnCloud, доступный из Интернета.

Теперь, когда каждый может получить к нему доступ из любого места, я, вероятно, должен начать думать о безопасности. Не то, чтобы на этом сервере были очень конфиденциальные данные или есть конкретная угроза. Но я бы хотел охватить наиболее очевидные уязвимости, потому что это в домашней сети. Пока что я отсканировал его с помощью nmap и nikto. Полученный результат, кажется, как ожидалось.

Существуют ли другие важные меры, которые я могу предпринять для обеспечения достойного уровня безопасности?

Моя настройка

  • ОС: Raspberry Pi 2 с Raspbian
  • Сервер: Nginx и собственный сгенерированный 2048-битный SSL-сертификат
  • БД: MySQL
  • Облачное программное обеспечение: OwnCloud 8
Источник

1 ответ

В целом, запуск собственного облачного решения с открытым исходным кодом будет гораздо менее безопасным, чем любая стандартная услуга. Подумайте об этом таким образом, что в этих компаниях целые команды людей посвящены только защите своего продукта, и они все еще делают ошибки...

Тем не менее, если вы просто хотите сделать все возможное при глотании риска, вот несколько советов, которые помогут вам в лучшем положении:

  1. Запустите свой собственный облачный ящик в DMZ, а не непосредственно в своей домашней сети. Он по-прежнему будет доступен как для Интернета, так и для локальной сети, но когда он будет загружен, ваша домашняя сеть не будет скомпрометирована.
  2. Используйте сложные пароли или (лучше) аутентификацию на основе ключей для каждой учетной записи и КАЖДОГО сервиса (MySQL - огромный вектор атаки).
  3. Измените все программные / сервисные порты на нестандартные и настройте программное обеспечение соответствующим образом.
  4. Если возможно, используйте iptables для блокировки соединений везде, кроме доверенных IP-адресов. Это частично устраняет доступность из любого места облачного решения, но значительно повышает безопасность.
  5. Установите решения для мониторинга журналов и файлов, такие как fail2ban, rkhunter, OSSEC, чтобы вы знали, когда / если ваш ящик будет загружен.
  6. Зашифруйте все ваши данные.
Источник
Другие вопросы по тегам