Blog auf QNAP 451A?

  • Selbst wenn das NAS techisch wie sicherheitstechnisch auf dem notwendigen Stand für solche Aufgaben wäre, würde ich keinen öffentlich erreichbaren Webdienst darauf betreiben, so lange ich als Admin nicht die nötige Qualifikation habe und genau weiß, was ich da tue.

  • OK. Ich dachte, QNAP hätte das alles im Griff.

    Also lieber einen öffentlichen Anbieter nehmen?

    Welchen könntet ihr für einen Urlaubsblog empfehlen? (Texte, Fotos, kleine Videos)

  • OK. Ich dachte, QNAP hätte das alles im Griff.

    Für die Sicherheit des eigenen Netzes und der darin befindlichen Daten ist immer erstmal der Admin zuständig - in deinem Fall bist das du selbst und nicht QNAP, Microsoft, Apple oder andere.

  • OK. Ich dachte, QNAP hätte das alles im Griff.

    Irgendetwas funktioniert ja immer mal nicht und dann sucht man per Suchmaschine nach dem Problem und findet Lösungen, Workarounds etc. wie »Lösche in der Konfigurationsdatei sowieso die Zeile x…« oder »Ersetze ’true’ durch ’false’ oder ’on’ durch ’off’ « und schon funktioniert alles, aber der unbedarfte Admin setzt damit das komplette Sicherheitskonzept außer Betrieb. Da kann ja dann QNAP nichts dafür.

    Oder irgendwelche Sicherheitseinstellungen Erlaubnisse/Verbote/Filter, die über IPs funktionieren, kann QNAP ja nicht konfigurieren, wenn die ganze IP-Vergabe zu Hause individuell gemacht wird, bzw. geht das mit der Portfreigabe im Router oder einer Firewall vor dem NAS ja schon los. Da hat QNAP ja auch nichts mit zu tun.

  • Für die Sicherheit des eigenen Netzes und der darin befindlichen Daten ist immer erstmal der Admin zuständig -

    Grundsätzlich kann man dem zustimmen, nur ist man bei Verwendung der QNAP Konfiguration auf genau deren Setup festgelegt. Man kann ja offiziell gar keine Sicherheitspatches einspielen. Insofern hängt man selbst am Sicherheitslevel, den QNAP so anbietet. Und der ist einfach meist nicht ausreichend für eine Verwendung als Internet-Hosting Plattform. Nur schreibt QNAP natürlich nicht groß außen drauf: "Nur zur Verwendung im internen Netz". Was m.E. angebracht wäre...


    Deswegen mein Verweis auf eine VM: da kann man zumindest die aktuellsten Apache, PHP oder was auch immer Komponenten verwenden. Allerdings muss man auch da wissen was man tut. Und das Zeug aktuell halten. Leider heutzutage ein nicht unerheblicher Aufwand. Aber zumindest wäre dann meist nur die VM kompromitiert.

  • Aus dem Kopf fällt mir bspw. PHP5.6 ein (war auch mal in der Diskussion ). Das ist ja jetzt offiziell aus dem Support gefallen. Zwar erst genau JETZT aber mal schauen, wann offiziell auf PHP 7.2 umgeswitcht wird. M.E. wurden aber auch andere Sicherheitspatches erst rel. spät eingepflegt. Der wesentliche Punkt ist für mich aber ein anderer:


    • man ist grundsätzlich auf Gedeih und Verderb an die Aktualisierung der QTS internen Komponenten durch QNAP gebunden. Das ist schonmal schlecht bei Lücken, die automatisiert ausnutzbar sind.
    • wenn eine Aktualisierung erfolgt, dann gleich die komplette FW. Mit allen Risiken und Nebenwirkungen, die wir hier kennen.
    • Wenn man direkt auf dem NAS hostet ( also als VirtualHost ) infiziert man sich schlimmstenfalls gleich das ganze NAS. Und nicht nur eine VM, die man notfalls schnell ausknipsen kann
    • Man sollte einfach nicht den Eindruck erwecken, dass man mal eben schnell das NAS als Webserver verwenden kann. Das ist einfach saugefährlich. Zumal die reichlichen Posts hier a'la "Wie kriege ich XY zum laufen" zeigen, dass man vieles auch zurechtfrickeln muss. Mit ungewissen Auswirkungen auf die Sicherheit.
    • und wenn man diese Mühen hinter sich gebracht hat fasst man erfahrungsgemäß das Konstrukt möglichst wenig an, damit nichts kaputtgeht. Was dann i.d.R. auch wichtige Sicherheitspatches umfasst.

    Ich finde einfach, man sollte gerade für das öffentliche Hosten nicht diese Vorgehensweise empfehlen. Es schon so riskant genug mit Wordpress etc. Und QNAP bietet ( zumindest nach einer kürzlichen Suche ) keine speziele "Best Practice" etc. Seite oder eine Komponentenliste mit den Versionsdaten. Jedenfalls konnte ich auf die Schnelle da nichts relevantes finden. Ich verlange von QNAP auch keinen "hardened" Webserver, dafür hab ich das nicht gekauft. Aber man sollte den Leuten eben auch klipp und klar sagen, dafür sind die Dinger eigentlich nicht gedacht. Es kann sich ja mal jeder selbst fragen, warum der Malware Remover immer wichtiger wird und öfters zur Sprache kommt...


    Wenn man sowas macht, sollte man zumindest seine wirklich wichtigen Daten auf einem separaten System haben. Oder eben wenigstens das ganze per VM isolieren.

  • Mir ging es tatsächlich um Handfeste Beispiele um den User schlemiel29 aufzuzeigen, was alles nicht i.O. ist. Allgemeines wie es ist alles schlecht zählt da für mich in der Diskussion nicht. Ob php 7.2 drauf läuft kann ich aktuell nicht prüfen du vielleicht dr_mike ?


    Davon ganz ab, würde ich lieber 2-3 € im Monat für einen Hoster ausgeben, als eine weitere Haustür ins Haus zu setzen und dann zu hoffen, dass niemand jemals einen Schlüssel findet ;)

  • Mir ging es tatsächlich um Handfeste Beispiele um den User schlemiel29 aufzuzeigen, was alles nicht i.O. ist.

    Die muss man sich glaub ich ziemlich mühselig zusammenklauben. PHP5.6 war ja bis jetzt auch noch nicht offiziell "tot". Aber die anderen Punkte, die ich ansprach, sind mir eben viel wichtiger. Und deswegen würde ich eine solche Vorgehensweise einfach nicht unterstützen, gerade wenn jemand auch noch schreibt, dass er eigentlich keine Ahnung vom Webhosting hat. Damit generiert man nur fleißig "Hilfe, mein NAS wurde gehackt" Threads...deswegen schütte ich lieber gelegentlich mal fleißig Wasser in den Wein, damit einfach nicht ohne Not der Eindruck ensteht, man würde sich da eine solide Lösung für irgendwas kreieren.


    Aber es sollte m.E. eben auch direkt von QNAP davon abgeraten werden, weil das die Sicherheit des Gesamtsystems völlig unkalkulierbar vermindert. QNAP wirbt ja nicht damit, aber sie warnen auch nicht wirklich vor so einem Einsatz.


    Allgemeines wie es ist alles schlecht zählt da für mich in der Diskussion nicht.


    Das finde ich schon, weil es eben sozusagen ein grundsätzliches "Failure by design" ist. Zumindest für diesen Anwendungszweck.

  • QNAP wirbt schon damit und das ist mit Sicherheit auch ein Verkaufsargument. Schließlich wäre es blöd wenn alle damit werben und QNAP es nicht tut.


    Externer Inhalt www.youtube.com
    Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.
    Durch die Aktivierung der externen Inhalte erklären Sie sich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt.

  • QNAP wirbt schon damit und das ist mit Sicherheit auch ein Verkaufsargument.


    Hmm, kannte ich noch nicht. Aber auf der deutschen Seite wird glaube ich nicht (mehr) damit geworben ( aus gutem Grund...). Zumindest sind die Seiten, die ich gefunden habe schon ziemlich alt auf der deutschen QNAP Seite...


    Aber im Grundsatz sind wir uns doch einig, dass das auf diese Art und Weise eine ziemlich dumme Idee ist, oder ?

  • Ich sehe in einem NAS + Webserver (egal welcher Hersteller) eigentlich sowas wie das XAMPP Projekt. Ein Webserver für den Heimanwender, wobei auf der XAMPP-Seite explizit darauf hingewiesen wird, dass es sich um eine Entwicklungsumgebung für die lokale Verwendung handelt und nicht für die öffentliche Bereitstellung von Diensten. Jedenfalls benutze ich mein NAS genau so.


    Aber um nochmal beim User anzufangen. Man liest ja oft in Foren, dass jemand seine Seite auf dem NAS öffentlich zugänglich machen will und fragt, wie das mit einer eigenen Domain geht und es scheitert schon am reinen Verständnis für Portfreigaben oder virtuelle Hosts. Da weiß man dann schon, dass dieser User, egal mit welchem technischen Equipment in der Hinterhand, keinen Webserver betreiben sollte.

  • Das war meine Idee: Einmal eine Tüte fertig-konfektionierte Software: QNAP NAS + QNAP-Setup für Wordpress. Keine Besonderheiten, nur Standardnutzung, nämlich den Inhalt des Blogs zu verändern, von mir und meinen Freunden. Und Updates spiele ich alle ein. Solange QNAP die Löcher schließt, würde ich davon profitieren.


    Die Idee mit der VM ist super, nur auf QNAP habe ich das auch noch nie gemacht. Wäre 'ne neue Baustelle.


    Und ja, die Entscheidung für QNAP war auch, dass man solche Dinge darauf auch gleich machen kann. Es gibt ja so viele Tutorials und Videos, wo das gezeigt wird. Allerdings, wenn ich es nachvollziehen will, erscheinen die mir viel zu Wischi-Waschi, da viele Aspekte nicht behandelt oder gar gezeigt werden. Vielleicht haben die Autoren es auch nie selbst zum Laufen bekommen. (BTW: Auf dem QNAP-Kanal gab's vor Kurzem so ein Tutorial, das mir neuen Mut gab, das mal umzusetzen).


    Hatte mir sogar extra dafür eine separate TS231 zugelegt, damit da keine anderen persönlichen Daten drauf wären.


    dr_mike: Den Bug würde ich sogar noch akzeptieren :) , wenn ich das Hochladen von Dateien ausser mir untersagen kann. Aber es gibt bestimmt noch mehr. Anscheinend aber dann bei allen WordPress-Installationen.


    BTW: Vor Jahren hatte ich die Wiki-Funktion des AppleServers dafür benutzt (Ja, ich nutze einen Mac! :) ). War einfach, schnell, simpel und funktionierte. Nur hat Apple leider die Funktion ersatzlos gestrichen!

  • Die Idee mit der VM ist super, nur auf QNAP habe ich das auch noch nie gemacht. Wäre 'ne neue Baustelle.

    Also ich nutze dazu www.turnkeylinux.org . Das läuft out-of-the-box und hat zumindest eine Sicherheitsarchitektur bzw. ist so konfiguriert, dass die meisten Sicherheitsupdates regelmäßig automatisch eingespielt werden sollten. Zumindest für den Linux Kern, bei den Apps muss man eh selbst schauen. Da gibt es eine Reihe vorkonfigurierter Apps, die man einfach auch in die Virtualization Station importieren kann. Allerdings muss man aufpassen, dass das Tastaturlayout zunächst immer US Englisch ist. Da kann man sich in der Konsole mit dem Passwort schonmal ungewollt aussperren, wenn man das nicht bedenkt. Aber wenn man später den Browser zum konfigurieren nutzt ist das kein Problem mehr.


    Ist aus meiner Sicht erheblich einfacher als sich mit den Macken des eingebauten Webservers herumzuärgern, wo man dann eben nicht einfach ein Modul nachinstallieren kann. Es ändert aber auch nichts an der Tatsache, dass man man beim öffentlichen Hosten und bei Verwendung einer weitverbreiteten Plattform automatisch ein gutes Ziel abgibt. Was immer recht gut hilft: per BasicAuth einfach einen simplen Passwortschutz vorschalten, Passwort/Nutzer kann simpel bleiben. Aber die Exploit-Bots scheitern dann recht schnell, weil sie nicht direkt an eine Schwachstelle der Webapplikation herankommen.

  • Ha, das ist ja schön sehr bizzar! QNAP soll bitte out of the box alles können und dann bitte für dreijährige konfigurierbar sein... Sicherheitslücken in WordPress sind hingegen egal. :/