Nextcloud Container absichern

fireb

Active Member
Mar 3, 2017
3
0
41
32
Hallo,

ich verwende Proxmox schon einige Jahre und habe bisher nur verschiedene LXC- Container für meine Haussteuerung (ioBroker/InfluxDB/Grafana) und PiHole als DNS- Server darauf laufen gehabt.

Jetzt bin ich am überlegen einen weiteren Container mit Debian und einer Nextcloud Installation darauf laufen zu lassen. Diesen würde ich in meiner Sophos Firewall in ein DMZ hängen und über das Internet erreichbar machen.

An der Umsetzung selbst sollte es nicht scheitern, allerdings habe ich bezüglich der Sicherheit noch meine bedenken. Man kann ja den Container selbst auf "Unprivilegiert" stellen. Würde diese Einstellung ausreichen oder gibt es noch weitere Dinge die zu beachten sind?

Alternativ könnte ich die Nextcloud noch auf einem eigenen Server installieren, allerdings möchte ich das eher vermeiden, da ich mir die Stromkosten dafür dann sparen würde.

Liebe Grüße
fireb
 
Privilegierten LXC würde ich nie für etwas nutzen was vom Internet aus erreichbar ist.
Unprivilegierter LXC würde gehen, aber eine VM wäre halt schon sicherer wegen besserer Isolation. Nextcloud braucht ja eh nicht ganz wenig RAM (bei mir weden 3-4 GB RAM benötigt wegen all dem caching (opcache, redis, mysql caching etc, linux page files) und dann halt noch die ganzen plugins (das office plugin braucht z. b. glaube einen knappen GB an RAM). Da machen die zusätzlichen 200MB RAM oder so, welche ein LXC wegen dem fehlenden Kernel einsparen würde, den Kohl auch nicht mehr fett.
 
unpriviligiert geht, aber dann funktionier kein smb, nfs.
sicherheit kannst du auch durch deine FW weiter erhöhen, Zugriff nur aus bestimmten Ländern zulassen, firehol blocklisten usw.
Am "besten" ist wohl eine echte VM, aber braucht auch die meisten Ressourcen
 
Würde auch dazu raten, eine VM zu nutzen. LXC ist für interne Sachen ok, aber gerade bei Dingen wie Web/Cloud/Mail dann lieber auf Nummer sicher und eine (isolierte) VM. Betreibe selbst auch einige Nextcloud-VMs auf Basis von Debian an verschiedenen Standorten, alles klassische VMs. 2FA, fail2ban, etc. würde ich zu den anderen genannten Schutzmaßnahmen noch empfehlen.
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!