Beiträge von eol25

Ich möchte nicht meinen, dass eine Firewall alles ist, was man braucht und man sich danach zurücklehnen kann. Ich selbst wäge meine Überlegungen sehr wohl ab und überlege, in welchem Verhältnis ich mich bewege. Es geht vor allem nicht zu sagen....die App ist es. Es ist ein Baustein und ich kann mich eben an Threads auch hier im Forum erinnern, wo negativ berichtet wird, QNAP hätte ja nicht mal eine eigene Firewall Lösung. Man wird nie einen Normal-User und den professionellen Einsatz unter einen Hut bringen können.
Für mich ist der Weg jedoch entscheidend. Microsoft hat Windows und office auch nicht an einen Abend in der Garage auf den Tisch geschmissen und eine allumfassende Lösung hingelegt. Mir ist kein System und kein Hersteller bekannt, welcher selbst von sich behaupten könnte, er hätte eine sichere Lösung. Von daher unterstütze ich sehr gerne jede Möglichkeit, ein Mehrgewinn an Sicherheit zu bekommen, den ich durch die Firewall selbst als Laie erkennen kann.

Soviel zu den grundsätzlichen Fragen, die ich mittlerweile auch wirklich leid bin, da dieses "Geheule" bei jedem sicherheitsrelevanten Thema von Anfang bis Ende durchgerührt wird. Mich veranlassen gerade solche Unterhaltungen momentan wirklich dazu, mich von dem Forum abzumelden, denn ich habe nicht das Verständnis und vor allem auch nicht die Lust 14 Seiten Geschwafel zu lesen, das sich mit dem Thema gar nicht befasst, worum es eigentlich gehen soll. Das muss ich leider auch als Kritik an den Betreiber des Forums hier anbringen, denn dadurch wird für mich das Forum anattraktiv. Ein gepflegtes Forum wäre da viel besser, denn da wären die 14 Seiten schon weggekürzt worden und man befasst sich mit dem Thema, welches angesprochen wird und zwar genau darauf, gern mal mit einen Blick nach links und rechts aber sonst geht es genau um das ...wie hier... die Firewall... QuFirewall. Schade, dass ich hier schon als User Aufgaben eines Forenmoderators übernehmen muss, weil von dem kaum etwas mitzubekommen ist. Für mich wäre momentan leider sogar die Information mehr wert, ob das Rot so schön aussieht oder eine andere Farbe ansprechender wäre als andere Beiträge hier.

Ich finde Beiträge wie den Blog von Mavalok2 sehr gut und hilfreich. Ich möchte mich daher nicht inhaltlich gegen die Ausführungen hier auflehnen, aber ich möchte als Forennutzer nicht immer 14 Seiten alle möglichen Themen lese, bevor ich mir ein Bild zu dem Thema machen kann, um das es eigentlich gehen soll. (ich nenne solche Beiträge übrigens Spam). Die Beiträge zu der Firewall sind hier verschwindend gering und um die soll es eigentlich gehen. das richtige Smilie wird hier leider nicht angeboten, denn mich "K...." es wirklich mittlerweile an. Nur um das hier abzukürzen für andere... grundsätzliche Sicherheitsstrategien können in dem Blogeintrag von Mavalok nachgelesen werde und leider auch in unzähligen anderen Beiträgen. Es wäre jedoch schön, wenn wir uns hier weiter um die QuFirewall unterhalten und dessen Funktion und Schwächen.

Bei mir funktiniert sie im Basisschutz bisher sehr gut. Sie macht genau das, was sie soll und ich habe auch einen Mehrwert an Sicherheit für mich erkennen können. So kann ich zb. aus dem Ausland nicht mehr auf den Myqnapcloud-Dienst zugreifen und konnte auch andere Dienste damit blockieren. DIe Docker jedoch funtionieren weiterhin so, wie sie sollen. Ich kann also die Nextcloud weiterhin voll umpfänglich nutzen. Was ich sehr schön finde...

Die virtuellen Netzwerke kann ich jeweils einzeln in der Firewall einstellen und das über Ports etc. was eine normale Firewall bieten muss und kann auch über die Reihenfolge der Regeln die Sicherheit beeinflussen.

So kann wirklich ein Laie die Firewall genauso nutzen, wie jemand, der spezielle Anforderungen für sein Szenario benötigt. Dort muss ich QNAP wirklich ein Daumen nach oben geben, da bisher die Konfiguration eines QNAP ja doch sehr umfänglich, dafür aber auch sehr fein möglich ist, wo gerade Einsteiger bisher Probleme bekamen.

Für mich ist das ein sehr guter Weg, eben nicht nur Profis zu bedienen, der hier zu bemerken ist.

Und noch etwas an die Leute, wie meinen Vorredner. Ein System kann sich nur verbessern, wenn man es nutzt, wenn man die Schwachstellen aber auch Stärken aufzeigt und diese dann bearbeitet werden. Man kann es jedoch nicht verbessern, wenn man es von Grund auf einfach nur oberflächlich kritisiert. Und wenn viele meinen, QNAP würde sowas hier ja gar nicht berücksichtigen.... die sitzen nicht in Deutschland und warten auf die 5 User hier, die ihre persönlichen Eindrücke in der Firma und deren Strategien verewigt sehen wollen. Verbesserungen können jedenfalls zumindest aus meiner Sicht nicht aus den Beiträgen wie die meines Vorredners erzeugt werden.

An die Leute kann ich nur empfehlen... Lasst euer Auto stehen. Ihr könnt die Zündung anmachen aber fahrt um Gottes Willen nicht los. Ihr könntent damit gegen einen Baum fahren. Das ist wirklich nicht gut. Das ist wirklich vollkommen unausgereift.

Also ich selbst teste auch gerade QUFirewall und ich selbst finde das Ganze sehr gut. Für mich ist alles, was die Sicherheit erhöhen kann bei einem solchen NAS sehr gut. Ich habe hier in dem Forum in anderen Threads gelesen, das QNAP ja selbst keine eigene Firewall anbiete, das das ja blöd sei usw. Das ganze ist in einem Beta-Status. Es funktioniert sehr gut und vor allem sollte es normale Nutzer zuerst bedienen. Profis können sich gerne anderer spezifischer Systeme bedienen.

Was ich schlecht finde... geblockte Pakete werden nicht näher beschrieben. Das würde ich sehr gerne selbst detailierter aufgelistet bekommen auch aus dem Aspekt heraus, die Regeln evtl. schnell und unkompliziert anpassen zu können.

Was ich mir sehr gut vorstellen könnte, wäre noch eine Einbindung in dem Kontrollcenter. Ich würde es sehr schade finden, wenn der Thread hier wieder zu Grundsatzdiskussionen führt.

Das NAS wird nicht nur an Profis verkauft. So sollte jeder Anwender auf einfachste Art und Weise eine gewisse Möglichkeit erhalten, sein NAS richtig zu nutzen.

Ich glaube, das vergessen hier einige, wenn ich mir manche Beiträge anschaue. Es geht hier auch nicht darum, ob eine Firewall auf dem NAS sch... ist oder der Zugriff nur per VPN besser ist.

Ich selbst nutze das NAS so, wie es beschrieben und beworben wird. Ich selbst versuche auch, die Sicherheit so gut wie möglich aufrecht zu halten und da kommt mir diese Funktion sehr zu Gute.

Also die Leute im cybercrime arbeiten arbeitsteilig...wo hast du das denn bitte aufgeschnappt? Also zum einen.... russische Hacker, die von deren Staat vielleicht subventioniert werden, tun sich garantiert nicht mit amerikanischen Hackern zusammen. Auch Chinesen haben ganz andere Interessen, sodass schon die Zielstellungen solcher Hacker überall unterschiedlich sind. Also an so einer Aussage glaubt ihr hoffentlich nicht wirklich.

Mir wären eigentlich Erfahrungsberichte anderer hilfreich gewesen. die ähnliche oder andere Beobachtungen gerade machen.

Sagt mal, kommt es mir nur so vor oder ist es wirklich ruhiger geworden mit den Versuchen, auf das NAS nicht berechtigter weise zuzugreifen? Ich bekomme zumindest kaum noch Meldungen diesbezüglich?

Ja genau das meine ich. Nur das muss ja dann auch für Nginx auch drinnen stehen... also quasi

proxy:
    build: ./proxy
    restart: always
    container_name: nginx-proxy
    ports:
      - 443:443
      - 80:80
    #environment:
    #  - VIRTUAL_PROTO=https
    #  - VIRTUAL_PORT=443 
    labels:
      com.github.jrcs.letsencrypt_nginx_proxy_companion.nginx_proxy: "true"
    volumes:
      - certs:/etc/nginx/certs:ro
      - vhost.d:/etc/nginx/vhost.d
      - html:/usr/share/nginx/html
      - conf.d:/etc/nginx/conf.d
      - ./nginx/log:/var/log/nginx
      #- ./nginx/config/nginx.conf:/etc/nginx/nginx.conf:ro
      #- ./nginx/php_optimization.conf:/etc/nginx/php_optimization.conf
      - /var/run/docker.sock:/tmp/docker.sock:ro

Genau das ist der entscheidende Teil dabei, denn dort wird eben auch die Begrenzung mit eingepflegt.

Die Einträge mit

build:

müssen dort eingetragen sein gefolgt von dem Link auf den Ordner also z.B:

./web

Wenn das so nicht angegeben ist, werden die Dateien natürlich nicht berücksichtigt.

Ansonsten schau einmal bei Google unter Nextcloud Ulpoad limit. Dort wird das nochmals beschrieben auch auf den Bezug mit nginx. Meiner Meinung nach muss das dort jedenfalls angegangen werden.

Wichtig ist ja auch, dass im docker-compose darauf verwiesen wird, diese Dateien mit einzubinden in die Installation, das ist auch alles korrekt dort?

Wenn du das nach der Anleitung durchführst mit der Installation, sollte das Verzeichnis wo das docker-compose liegt auch einen ordner proxy enthalten? hast du daran gedacht? Dieser sollte 2 Dateien beinhalten:

dockerfile

uploadsize.conf

Diese Dateien sollen zumindest laut Anleitung genau dafür da sein, dass du nicht nur 2 MB uploaden kannst. Zumindest wird das hier in der Anleitung beschrieben. Wenn nicht, schau dir die Anleitung noch einmal an und gehe genau danach vor. Dann muss auch auf diese Dateien bzw. den Ordner in dem docker-compose hingewiesen werden.

Sollte das noch nicht gehen, ist das nicht mehr so einfach zu lösen. in der config.php kann dazu ein Verweis stehen bzw in nginx funktioniert dann etwas nicht. Nur da kann ich dir dann nicht mehr so weiterhelfen

Also ich hatte mal ein ähnliches Problem. Bei mir war es allerdings nur ein einfacher Eintrag in der config.php, glaube ich. Die Versionsnummern werden aber auch noch in anderen Dateien eingetragen. Allein schon in der version.php im hauptverzeichnis der nextcloud app. Du hast aber sowieso das Problem, dass du bei einem Upgrade nie die Major-Versionen überspringen solltest. Die Schritte wären entsprechend von 17 auf 18 zu gehen, dann von 18 zu 19 und dann erst 19 zu 20. Versuche mal einfach die Versionsnummern erst einmal zu ändern in den Dateien allerdings dann zurück zu der 17er Versionsnummer. Und dann das ganze schritt für schritt upgraden?

Deshalb wird das upgrade fehlgeschlagen sein. Ich hoffe, du hast ein Backup, mit welchem du da arbeiten kannst. Du solltest ansonsten einmal nach Manuellem Upgrade von Nextcloud googeln. evtl. kommst du dort weiter? Wie das allerdings dann innerhalb eines Dockers funktioniert, ist dann noch eine ganz andere Frage,

Grüße Jan

Hallo zurück.

Also bei mir hat sich das bewahrheitet. Es kommt darauf an, wie die Volumes in dem Docker-Compose angelegt werden. In dem anderen Thread vermuteten damals schon die anderen, dass es ein Problem mit den Berechtigungen gibt vom System aus. Seitdem ich die Volumes jetzt dem Thread entsprechend eingepflegt habe, funktioniert auch die Aktualisierung des Zertifikats. Ob du da nun aber um eine Neuinstallation irgendwie herum kommst, kann ich dir nicht sagen. Die Datei habe ich angehangen. Allerdings habe ich persönliche Informationen natürlich entfernt. Ich hoffe, es hilft dir weiter.

Liebe Grüße Jan

Ich hatte in einem anderen Thread mal gelesen, dass es mit den Volumes zu tun hat, die in der docker-compose hinterlegt sind. So wie in der Anleitung scheint es da Probleme mit den Zugriffsrechten auf die Volumes zu haben. Das habe ich geändert und teste es gerade. am 30. September weiß ich, ob es so funktioniert

Snapshots machst du auch nicht von den Daten oder? Sonst könntest du bei älteren Versionen schauen, ob du diese wiederherstellen könntest?

Und dann ist die Frage, ob du eben an dem Tag um 03:07 dort online warst oder ob das jemand anderes war. Zum einen wurde dort angegeben, dass Benachrichtigungen an eine bestimmte Mailadresse geschickt werden sollen und zum anderen wurde dort ja auch der SQL-Server installiert. Wenn du das nicht warst, könnte dort eine Datenbank eingerichtet worden sein, wo die Daten evtl. verschlüsselt wurden. Die Frage kannst du aber auch nur selbst beantworten, ob du aktiv dort etwas vorgenommen hast denn nichtmal eine Stunde später wurden die Daten halt bearbeitet.

Eine Frage nach Motiven kann dir nur jemand erklären, der im Falle eines Virus diesen steuert. Das kann alles sein, von Erpressung bishin zu einfach mal schauen, ob die Programmierung funktioniert, so wie der das will aus Spaß.

Ich kann dir erst Ende September antworten, wenn ich verlässlich weiß, ob sich das Zertifikat bei mir automatisch verlängert.

Übrigens.... falls hier mal irgendjemand coturn mit dieser Anleitung zum Laufen gebracht hat. Ich wäre riesig dankbar für eine Hilfe, denn bei mir will es auf biegen und brechen nicht laufen.

Also ich nutze selbst auch die Docker-Version. Eine Idee von mir wäre jedoch folgende. In der Nextcloud gibt es eine app namens "occ web" damit soll man occ befehle innerhalb des browsers aufrufen können. Jedoch weiß ich nicht, ob die Berechtigungen dabei reichen? Du kannst ja dort einmal schauen und eine Rückmeldung geben, ob das klappt.

Ich habe das ganze hier ja mitgelesen, aber ich bin ehrlich gesagt zwiegespalten. Zum einen... Die QNAP selbst gibts ja nicht als Werbegeschenk von der Firma. Man bezahlt dort nicht unbedingt wenig Geld für das Gerät. Sollen das alles nur die Hardware-Kosten darstellen? Da bin ich ganz sicher anderer Meinung. Jetzt kommen wir zu der Software. Würde diese nicht gepflegt werden, würde sich das in den Absatzzahlen der Geräte wiederspiegeln. Wer kauft sich dann noch so ein Gerät. QNAP hat also auch ein gewisses Eigeninteresse, die Software zu pflegen, denn oft hört sich das so an, als würden die Entwickler das nur aus Gutmütigkeit zu den Kunden machen. Nun kann man ja gerne dieses Abo-Modell nutzen und zumindest die Kosten teilweise wieder herein holen. Nur dann gibt es ja das EOL einer QNAP. Ich würde dieses Abo-Modell vollkommen unterstützen, wenn die älteren Modelle davon auch weiter profitieren. Das entspräche auch dem Grundsatz einer umweltbewussten Strategie. Jedoch die Kunden dazu zu nötigen, nach x Jahren eh das Gerät abzutreten, wenn diese auf Sicherheit im Internet wert legen, unterstützt in meinen Augen dieses Abo-Modell in keiner Weise. Ich bezahle gerne für ein Abo, wenn mein Gerät 10 Jahre alt ist und ich dadurch dem Hersteller vertrauen kann, dass dieser die Sicherheit auch weiter pflegt. Ein Abo auch einzelner Funktionen macht für mich erst dann Sinn, wenn ich auch langfristig dadurch die Nutzung dieser in seinem vollen Funktionsumfang gewährleistet sehe. Wenn ich z.B. das Abo für 10 Jahre abschließe, die grundlegenden Funktionen jedoch durch das EOL des Gerätes in der Zwischenzeit nicht mehr sichergestellt werden, macht für mich dieses Marketing-Modell keinen Sinn mehr.

Hallo, mich würde interessieren, wie dein pihole nach einem Neustart der QNAP funktioniert. Bei mir war es bisher so, dass dann der Container nicht mehr lief, es sei denn ich bearbeite meine resolv.conf sehr unschön und binde sie als Volume ein. Von daher bin ich jederzeit gerne auf der Suche nach einer eleganteren Lösung. Deines wäre auch nicht wirklich eine Lösung, wenn es nach dem Neustart nicht funktioniert

Du musst die Volumes natürlich entsprechend anpassen auch in der docker-compose. also die Pfade müssen verfügbar usw.

Hast du mal versucht, die Ordnerstruktur ohne dem nginx-... zu erstellen? ich habe extra einen ordner nginx erstellt und darin dann certs, conf.d usw. ich bin mir nicht sicher, aber es könnte sein, dass ich anfangs auch solche probleme hatte.

Weiterhin musst du bei letscrypt aufpassen... ich teste da gerade einen tipp aus einem anderen Beitrag hier aus. Problem bei mir war aktuell, dass das Zertifikat nicht erneuert wird. Ich habe gelesen, dass die volumes anders eingebunden werden müssen, weil es da wohl irgendein problem bei qnap gibt

letsencrypt-companion:
image: jrcs/letsencrypt-nginx-proxy-companion
container_name: nextcloud-letsencrypt
restart: always
volumes:
- certs:/etc/nginx/certs
- vhost.d:/etc/nginx/vhost.d
- html:/usr/share/nginx/html
- /var/run/docker.sock:/var/run/docker.sock:ro
depends_on:
- proxy

volumes:
certs:
vhost.d:
html:
conf.d: