Hallo zusammen, Ich habe mir in den Kopf gesetzt, dass ich gerne eine Website auf einem raspberrypi bei mir Zuhause selbst hosten möchte.

Sie sollte aus dem Internet (auch von anderen Personen) erreichbar sein, und sowohl einige Daten des raspberrypi anzeigen, als es auch erlauben, bestimmte Aktionen (also shell Skripts) auszuführen (natürlich hinter einem login). Mir ist bewusst, dass ich eine Domain bei einem DNS Provider Mieten muss.

Sicherheitstechnisch klingt die Idee aber durchaus bedenklich. Lade ich auf kurz oder lang Angreifer ein, die sich darüber Zugang verschaffen wollen. Auch diverser Web Crawler und ähnlich bots, die vielleicht etwas aufdringlich sind und mein Heimnetz mit Anfragen überhäufen würde mir als Problem einfallen.

Wie problematisch könnte das ganze also werden, hat vielleicht jemand schon Erfahrungen, oder kann Empfehlungen geben, oder sollte ich das als Laie lieber komplett lassen bleiben?

Ich freue mich über Anregungen aller Art :)

  • juergen@feddit.orgDeutsch
    1·
    2 days ago

    Ich würde sagen, es ist schon bisschen gefährlich:

    • gerade shell scripte sind nicht so easy wirklich sicher zu bauen, besonders für menschen die sich nicht sehr sehr gut damit auskennen. eine andere sprache wäre da sicherer.
    • wenn das nicht absolut trivial ist (gerade wenn es iwelceh input daten gibt), dann seh ich da schon angriffspotential.
    • ich vermute aber eher, dass es unwahrscheinlich ist dass ein hacker sich exakt deine maschine spezifisch anguckt, aber du wirst sehr wohl mit automatisierten angriffen zu tun haben.
    • ein prinzip der IT sicherheit ist defense in depth, d.h. quasi verschiedene schichten die trotzdem noch schützen wenn eine andere schicht kaputt ist. z.B. wenn du in deiner firewall irgendwo etwas falsch gemacht hast und alles von deinem gerät offen ist, dann kann eine ungepatchte sicherheitslücke da für ärger sorgen.
    • und wenn ein hacker sich da einmal eingenistet hat, dann könnte das teil von einem botnet werden und das ist auch nicht so gut. Oder deinen router angreifen, weil z.B. der “nach innen” zumindest das webinterface offen hat und insofern bisschen mehr angreifbar ist als von außen.
    • tendenziell würd ich aber sagen dass ein raspberry pi weniger kritisch ist als ein cloud server, der falsch eingerichtet ist. also weil wenn der gehackt werden würde, dann würden da leute vermutlich mit einem email server spam mails versenden, schätze ich. -> bekommst du ärger.

    würde mich ansonsten @[email protected] anschließen: wenn du sehr sehr gute backup-gewohnheiten hast (z.B. auf einer externen festplatte, die immer durchwechselt, wo du trotzdem noch eine kopie hast selbst wenn dein netzwerk mit cryptotrojanern voll ist) und generell bereit bist dich tiefer mit ordentlicher IT sicherheit zu beschäftigen, dann find ich das okay.

    Persönliches beispiel: ich hab mal vor langer zeit einen server bei openbsd.amsterdam gehabt. Ich war sehr kritisch und es lief nur SSH + eine webseite, login nur per ssh key, per firewall alles andere abgeschaltet. Den openbsd menschen vertrau ich in der hinsicht mehr als z.B. debian, dass die standard installation fürs internet geeignet ist und ich beim einrichten nichts übersehe. Ich hab mich aber auch viel mit deren sicherheitsprinzipien (pledge, unveil, und bspw privilege separation https://sha256.net/privsep.html beschäftigt. vieles davon macht debian nicht so gut.)

    Gruselig finde ich die vorstellung, wenn dein netz gehackt ist und du das nicht merkst und dann dein lokales DNS subtil umgestellt ist und der angreifer auch iwie z.B. zugang zu deinem email bekommt. Sich gegen gute Angreifer zu verteidigen ist schwer, deswegen ist es immer schlau die angriffsfläche zu reduzieren.