Ist es sicherer Nextcloud in einer Virtual Machine oder Docker zu installieren?

[wired2051]

Ich weiss, ich bin hier nur bedingt richtig aber ich bin echt verunsichert/ratlos und für Meinungen dankbar: ist es besser/sicherer Nextcloud in einer Virtual Machine (Gast: Ubuntu Linux) zu installieren?

Seit Jahren nutze ich ownCloud auf einer DS209 um meine Kalender und Adressbücher zwischen Linux PC und Laptop sowie Android Telefon zu synchronisieren (CalDAV und CardDAV). Dazu habe ich im Router (nicht in der DS) Dynamic DNS mit noip.com (nicht mit Synologys QuickConnect) und Portweiterleitungen eingerichtet. Nun habe ich eine DS420+ mit DSM 7 und will mit Nextcloud gleiches tun, nur wie? Grundsätzlich könnte ich auf die Synchronisation von Kalendern und Adressbüchern über Internet verzichten aber da ich auch unterwegs Mails empfangen und senden können möchte (Synology Mail Server und Mail Station will ich auch installieren), werde ich Dynamic DNS dennoch brauchen - kann ich dann auch auf die Virtualisierung von Nextcloud verzichten?

Ehrlich gesagt habe ich von Visualisierung wenig Ahnung. Ich nutze bis jetzt VirtualBox nur, um mit dem PC alte Windows 98 Software zu nutzen. Funktioniert der Virtual Machine Manager von Synology ähnlich?

Oder sollte ich Docker nutzen? Davon habe ich noch gar keine Ahnung.

Hinweise, wie ich die Sicherheit verbessern kann ohne offline zu gehen, sind mir immer willkommen!

 

[luddi]

Seit Jahren nutze ich ownCloud auf einer DS209

In welcher Form ist denn ownCloud installiert?
Welches Sicherheitsrisiko siehst du wenn man die Nextcloud als Instanz auf dem Synology Web Server betreibt?
Welchen Vorteil versprichst du dir die Nextcloud Instanz über docker laufen zu lassen?

 

[abrocksi]

Da sehe ich als langjähriger Nextcloud Fan gar kein Risiko. Beide Varianten (nativ als Webservice oder virtualisiert im Docker) haben ihre Vor- und Nachteile in Bezug suf Performance oder Wartbarkeit. Aber das Thema Sicherheit ist bei beiden Betriebsmodellen gleichwertig.

cheers,
abrocksi

 

[mamema]

Aber das Thema Sicherheit ist bei beiden Betriebsmodellen gleichwertig.

Yein.
Wenn man via docker build local immer auf neueste OS Releasestände aktualisiert, dann eher Ja.
Wenn man aber ein fertiges Image aus dem Docker Hunb nimmt, dann ist man abhängig davon, dass der Ersteller die OS Aktualisierung zeitnah vornimmt. Dann eher Nein
Bei einer VM hat man diesen Vorgang 100% selbst in der Hand

 

[Adama]

Wobei man jetzt im Speziellen bei Nextcloud sagen kann, dass das Docker-Image auch sehr schnell nachgezogen wird.

Also bei meinen Erfahrungen nach sogar innerhalb eines Tages...

 

[wired2051]

In welcher Form ist denn ownCloud installiert?

Bisher auf der DS209: Webstation, HTTPS-Dienste und MySQL aktiviert. Dann setup-owncloud.php hochgeladen und installiert.

Welches Sicherheitsrisiko siehst du wenn man die Nextcloud als Instanz auf dem Synology Web Server betreibt?
Welchen Vorteil versprichst du dir die Nextcloud Instanz über docker laufen zu lassen?

Ich frage hier, weil ich selber wenig Ahnung habe.

Aber von aussen erreichbar sein ist doch immer ein Risiko. Daher frage ich mich, ob ich Nextcloud durch Virtualisierung schützen kann. Von Docker habe ich keine Ahnung.

@abrocksi @mamema @Adama Danke für Eure Einschätzungen.

Ein Docker ist also in etwa wie eine Virtualisierung einer vorinstallierter Software? Klingt für mich nach der einfacheren Lösung. Ist sie auch performanter im Alltag? Und wie Ist es mit den Updates von Nextcloud im Docker-Image?

Dynamic DNS seht Ihr nicht als vermeidbares Risiko an?

Könnt Ihr mir eine (deutschsprachige) Anleitung für die Installation eines Nextcloud-Dockers unter DSM 7 empfehlen? Bei dem Thema Docker bin ich Dummy.

 

[Sisphosloughs]

Interessant! Ich stehe gerade vor der selben Frage.
M.E. gehen sollte bei Betrachtung des Sicherheitsaspekts auch das OS von Synology einzubeziehen. In der Hinsicht bin ich etwas hellhörig über die Veröffentlichung einer OpenSSL-Lücke von QNAP und Synology bei Heise geworden. Der Artikel ist vom 01.09. Stand heute (17.09.) gibt es nur einen Patch für die VPN- Software von Synology. Das kommt mir etwas zu langsam vor. Natürlich kann es auch Sicherheitslücken bei der Virtualisierungssoftware geben. Aber nach allem was ich so lese, ist eine VM stärker vom Host isoliert, als ein Container (siehe z.B. hier). D.h. dass der Weg für den Angreifer wenigstens etwas länger ist.

Darum tendiere ich zu einer VM. Aktuell denke ich darüber nach, Docker in der VM einzurichten, damit die Migration beim Releasewechsel des Betriebsystems etwas geschmeidiger geht. Mir ist aber auch klar, dass das gegenüber einer reinen Dockerlösung auf dem NAS-OS mehr Ressourcen in Anspruch nimmt.

 

[mamema]

nunja, das Openssl Problem ist das übliche Problem von Synology und QNAP Paketen. Wer diese einsetzt, akzeptiert das er/sie veraltete Releases einsetzt. Deswegen eben VM und Docker. Muss keine VM sein. Auch via Docker geht Openssl. Da das Docker Paket ja ebenfalls hinterherhinkt, schliesst sich da der Kreis. Denke ist aber beim VMM (KVM) auch nicht besser.

 

[Sisphosloughs]

@mamema ich stecke noch nicht so tief in der Synology-Welt drinnen. Verstehe ich es richtig, dass der sicherste Weg ist, Apps auf der Synology am besten gar nichts ins Intern zu hängen? Weder per VM noch Docker? Und wenn dann nur per VPN (aber nicht dem Synology-VPN).
Oder gibt es einen Weg, besser gewartete Pakete auf die Synology zu bringen?

 

[mamema]

Was ich meinte ist: Die nativen Pakete hängen IMMER hinter dem aktuellen Releasestand hinterher. D.h. wenn Du via Docker oder VM via Eigeninitiative für aktuellere Releasestände sorgst, bist Du definitiv sicherer unterwegs. Es bleibt das Restrisiko, dass Du auf gewisse Synology Pakete angewiesen bleibst. VMM z.B.

 

[Sisphosloughs]

@mamema Danke, das habe ich gedacht/befürchtet! Ich denke, wenn schon Zugriff aus dem Internet, dann per VPN (nicht über das Synology-VPN).

 

[mamema]

@mamema Danke, das habe ich gedacht/befürchtet! Ich denke, wenn schon Zugriff aus dem Internet, dann per VPN (nicht über das Synology-VPN).

VPN sollte nicht auf der Synology laufen, weil die Synology nicht direkt im Internet hängen sollte. Es sollte eine Firewall vor der Syno stehen auf der sollte VPN laufen.
Jetzt habe ich in zwei Zeilen vier mal sollte. Sollte damit genügend klar sein.

 

[Sisphosloughs]

@mamema: So habe ich es auch gerade eingerichtet und mich von der Idee eines Nextcloud auf dem NAS verabschiedet.

Zurück zum Thema: "Sicher" -- und das Wort kam ja im Thread vor. Ich habe gerade von einem Bekannten erfahren, dass er sich wohl über die Portfreigabe der Synology einen Verschlüsselungstrojaner gefangen hat, der sich sogar auf seinem Ubuntu-Notebook breit gemacht hat. Wahrscheinlich ist da eine Nextcloud über Docker oder VM besser, aber auch das ist mir persönlich zu heiß. Letztendlich muss das aber jeder für sich bewerten. Hängt auch davon ab, was man mit den Daten machen will, wie durchdacht die Backup-Strategie ist, usw...

 

[whitbread]

Mein (durch diverses Leid erfahrener) Kenntnis- bzw. Meinungsstand: Nativ in die VM und als Host keine NAS nutzen (Daten können da natürlich liegen), also VBox, Proxmox, o.ä. nutzen.
Kurzes Warum: Synology hat es nicht hinbekommen, die Virtualisierung sicher, stabil und performant umzusetzen; jegliche Intel-Modelle sind daher aus Gründen der Virtualisierung obsolet und das gesparte Geld geht in passende Virtualisierungs-HW.

 

[Sisphosloughs]

Mein (durch diverses Leid erfahrener) Kenntnis- bzw. Meinungsstand: Nativ in die VM und als Host keine NAS nutzen (Daten können da natürlich liegen), also VBox, Proxmox, o.ä. nutzen.
Kurzes Warum: Synology hat es nicht hinbekommen, die Virtualisierung sicher, stabil und performant umzusetzen; jegliche Intel-Modelle sind daher aus Gründen der Virtualisierung obsolet und das gesparte Geld geht in passende Virtualisierungs-HW.

Ich weiß nicht wie es dem TO geht, aber ich sehe das auch so.

@whitbread Was würdest Du als VM-Hardware für Heimuser empfehlen, die z.B. via Nexcloud neben Links für Dateifreigaben auch Kalender, Aufgaben und Kontakte über das Internet bereitstellen möchten? In meinem Fall geht es neben Nexcloud auch um Photos, die ich Familie, Freunden und gelegentlich auch Kunden bereitstellen will. Reicht ein Rasperry Pi oder sollte es eher ein Nuc sein?

 

[CoffeeJunk]

Hmm,

wie wäre es mit Virtual DSM? Diese dann in ein eigenes Netzwerk verfrachten?

In der Virtuellen DSM alles betreiben was von außen erreichbar sein soll....

Oder gibt es da bedenken?

 

[whitbread]

Ich habe Virtualisierung mit der NAS kpl. abgeschrieben. Die bezahlbahren Synos, die das können, reichen nicht und die anderen sind einfach zu teuer. Ausserdem habe ich leidvoll erfahren müssen, dass die Stabilität mit Virtualisierung auf der NAS brutal leidet, vor allem in Kombination mit VLANs. Wer schon eine Intel-NAS sein Eigen nennt, ist da ein wenig gekniffen; wer neu anschafft spart die Differenz und kauft sich was Passendes für die Virtualisierung.
Damit sind wir dann beim Thema Hardware - Ich vermute ich mit Ratschlägen nicht unbedingt der Beste. Ich persönlich bin kein Fan von Raspis, habe daher noch nie einen gehabt. Ich vermute, Du wirst mit einem Mini-PC à la Nuc (gibt da auch Alternativen) glücklicher. Bei mir steht ein Esprimo e720 mit 16GB und i3-Prozessor, denke aber über 32GB nach, da der RAM bei mir bereits ausgelastet ist. Bei mir laufen dort aktuell Sophos UTM, ioBroker, PiHole, Offloader und 2xSynology. Den Stromverbrauch hatte ich zunächst nicht im Fokus; ich wollte nach diversen Problemen erstmal Ruhe und das Ziel habe ich vollends erreicht.