Nginx absichern

… ich hänge mich hier mal dran. Es gibt zwar schon einen anderes Thema hier, wo Ähnliches diskutiert wird. Wobei ich eigentlich fast denke das Nginx und die Firewall mit IPS/DPS das möglich sinnvollste liefern dürften.

Am liebsten wäre mir natürlich eine lokale Sync-Lösung von Bitwarden in den Apps, ich brauche keinen permanenten Online-Abgleich unterwegs, lokaler Abgleich würde mir vollkommen reichen, geht bloß eben nicht wegen des Zertifikats.

Ich bin gespannt.

Alle Maßnahmen, welche sich lt. BSI-Grundschutzkatalog für Webapplikationen mit (privat) vertretbarem Aufwand umsetzten lassen, sollte man auch übernehmen.

Da wir das dienstlich selbst gerade machen kann ich gern später unsere Maßnahmen mitteilen.

Fail2ban ist ne feiner Sache und IDS/IPS sollte man angeschaltet haben. Dann ist man eigentlich schon sehr gut dabei.

Zitat von hYtas

IPS ist eh auf Max eingeschaltet, Fail2ban muss ich mir bei Zeiten mal genauer anschauen.

Guter Plan, ist soweit auch nicht weiter kompliziert. Für ein Tutorial fehlt mir da aber auch zuviel wissen bzw ist es zu lange her das ich es eingerichtet habe.

Zitat von jkasten

Fail2ban ist ne feiner Sache und IDS/IPS sollte man angeschaltet haben. Dann ist man eigentlich schon sehr gut dabei.

Was für eine Regel willst Du denn an Fail2Ban definieren, um zu entscheiden, ob das OK ist? Du müsstest in den nginx-Logs etwas finden, worauf Du filtern kannst, um dann z.B. eine IP zu sperren.

Was ich meine ist z.B., dass im Fehlerfall von außen nicht zu erkennen ist, um was für einen Server in welcher Version es sich handelt. Darüber hinaus gibt es noch mehr Parameter, die zu einer Härtung passen.

Es gibt eine Meldung in den Logs von Bitwarden die man nutzen kann, den NGINX selber hat man ja nicht im Netz. Bei mir filtert er die fehlgeschlagene Anmeldung am Bitwarden (falsches Passwort oder Benutzername) und nach dem dritten versuch blockt Fail2ban die IP.

Ich such dir das mal raus wie ich das eingerichtet habe, wenn ich die Anleitung noch finde....

Zitat von hYtas

Genau das habe ich vor, damit blockiert man bruteforce.

Das "schützt" aber nicht den nginx.

Zitat von razor

Das "schützt" aber nicht den nginx.

Der wiederum auch gar nicht im Netz hängt und entsprechend keine Möglichkeit des Logins bereitstellt den man Hacken könnte. Aber es gibt auch die Möglichkeit fail2ban direkt auf dem proxy zu installieren und damit dann auch mehrere Dienste zu schützen. Eine ganz gute Anleitung ist diese hier: https://www.schreiner.pro/?p=147

Zitat von hYtas

Alles schützen wäre da glaube ich schon sinnvoller.

Vorher mache ich einen Snapshot, sonst darf ich alles noch mal machen

Musste ich schon, da ich das Passwort vergessen hatte …

Hehe ja, ich liebe Snapshots. Auch auf der Arbeit.

Hallo Zusammen,

hatte das Setup schon letztens einmal in einem Post gesetzt.

Man kann NGinx (oder Traefik) mit einer 2FA Anmeldung versehen

z.b. Authelia

Hier kann man dann alle Weiterleitungen über ein einheitliches 2FA absichern, ob man dahinter noch eine Anmeldung braucht hängt z.b von unterschiedlichen Nutzern ab.

Dieses Login kann man dann mit Fail2BAN oder CrowdSec gegen BrutForce Angriffe zentral schützen, so muss man nicht jeden einzelnen Server einzeln absichern

Auch ne feine Sache, allerdings will ich nicht überall doppelte Logins haben und habe deswegen nur fail2ban. Bitwarden zb bietet ja selber 2FA an und lässt sich mit Fail2ban abfragen.

Ich hab mich nun noch mal damit auseinandergesetzt und mir auf dem Proxmox LXC Container für NGINX und Vaultwarden installiert. Auf dem NGINX noch zusätzlich Fail2ban inkl Mailversand. Ich guck mal ob ich die Tage Zeit finde das alles mal als Anleitung zu schreiben.

Man was ein gebastel, die Anleitungen im Netz sind auch alle echt mist für Mailversand konfiguration. Habs nun aber am laufen und guck mal was da noch geht.