this post was submitted on 19 Mar 2025
20 points (100.0% liked)

de_EDV

696 readers
40 users here now

Ableger von c/de_EDV auf feddit.org, welches wiederum ein Ableger von r/de_EDV auf feddit.de ist.

News, Diskussionen und Hilfestellung zu Hard- und Software

Diese Community dient als Anlaufstelle für alle IT-Interessierten, egal ob Profi oder blutiger Anfänger. Stellt eure Fragen und tauscht euch aus!

Ich würde das auf Anfrage jetzt erst mal hier eröffnen und schauen was sich tut.

founded 8 months ago
MODERATORS
Fennek@feddit.org
marv99@feddit.org
20
Website selbst hosten: Wie dumm ist die Idee? (feddit.org)
submitted 1 day ago by Petenkoffer@feddit.org to c/de_edv@feddit.org
10 comments fedilink hide all child comments
 

Hallo zusammen, Ich habe mir in den Kopf gesetzt, dass ich gerne eine Website auf einem raspberrypi bei mir Zuhause selbst hosten möchte.

Sie sollte aus dem Internet (auch von anderen Personen) erreichbar sein, und sowohl einige Daten des raspberrypi anzeigen, als es auch erlauben, bestimmte Aktionen (also shell Skripts) auszuführen (natürlich hinter einem login). Mir ist bewusst, dass ich eine Domain bei einem DNS Provider Mieten muss.

Sicherheitstechnisch klingt die Idee aber durchaus bedenklich. Lade ich auf kurz oder lang Angreifer ein, die sich darüber Zugang verschaffen wollen. Auch diverser Web Crawler und ähnlich bots, die vielleicht etwas aufdringlich sind und mein Heimnetz mit Anfragen überhäufen würde mir als Problem einfallen.

Wie problematisch könnte das ganze also werden, hat vielleicht jemand schon Erfahrungen, oder kann Empfehlungen geben, oder sollte ich das als Laie lieber komplett lassen bleiben?

Ich freue mich über Anregungen aller Art :)

top 10 comments
sorted by: hot top controversial new old
[–] kossa@feddit.org 7 points 10 hours ago* (last edited 10 hours ago)

Geil. Mach einfach. Probier rum! Lass dir nicht sagen, du musst 100% wissen, was du tust, das musst du nicht!

Wo sollen denn sonst die Menschen herkommen, die an einem wieder dezentraleren Internet arbeiten, die sich auskennen? Irgendwelche Firmen hängen ihre Datenbanken frei ins Internet, das ist das Werk von "Profis". Da ist es auch nicht schlimm, wenn von einem Haushalt das Heimnetzwerk übernommen wird, wenn dadurch jemand etwas lernt.

Was dir bewusst sein muss, sind die Risiken: im Zweifel übernimmt jemand dein ganzes Netzwerk. Wenn du alleine bist: okay, dann musste halt alle Geräte plattmachen (alles ist potentiell kompromittiert). Ist Arbeit, danach bist du schlauer und kannst weiter rumprobieren. Wenn andere Menschen in deinem Haushalt an dem Netzwerk hängen: sag ihnen mindestens vorher, dass das bevorstehen könnte. Haben diese Menschen oder Du sensible Daten auf ihren Geräten? Backups! Offline! Und dann ran an den Speck, als ich das erste Mal eine Website von nem Computer zuhause aufrufen konnte, war ich mächtig stolz, geiles Gefühl. Seitdem habe ich over 9000 mal alles neu aufgesetzt, aber jetzt betreibe ich ein Homelab mit richtig vielen Diensten und alle Menschen, die es nutzen sind glücklich und zufrieden, ich habe richtig viel über Netzwerksicherheit etc. gelernt, alles supi.

Edit: davon abgesehen: ein random Raspi, auf dem ein Webserver läuft...der hat jetzt auch echt nicht so viel Angriffsoberfläche. Für den Anfang stelle v.a. sicher, dass nur Ports 80 und 443 am Raspi erreichbar sind und dann ist das jetzt auch nicht crazy unsicher oder so ¯\_(ツ)_/¯

[–] dwt@feddit.org 2 points 11 hours ago (1 children)

Du sagst, du möchtest mit Shell Scripten in deiner Webseite arbeiten. Das mag ein Sprachfehler sein, wäre so aber wirklich eine schlechte Idee und deutet noch mehr darauf hin das du dich nicht genug auskennst um abzuschätzen wann etwas unsicher ist.

Grundsätzlich geht so etwas natürlich, DynDNS, LetsEncrypt und BasicAuth kann gut genug sein. Muss man aber auch erst mal einrichten.

[–] Petenkoffer@feddit.org 2 points 8 hours ago

Gemeint habe ich .sh Datein, mit der Terminologie kenne ich mich tatsächlich nicht aus. Selbstverständlich soll es nicht möglich sein eigene Befehle auszuführen, sondern lediglich vorgefertigte Skript zu aktivieren, die dann beispielsweise ein Programm auf dem raspberrypi starten.

[–] aaaaaaaaargh@feddit.org 1 points 16 hours ago

Ich würde das so machen, dass meine Seite irgendwo im Netz steht und der Raspi von dieser bei Bedarf Anfragen verarbeitet und Daten zurückgibt. So hast du zwei Fliegen mit einer Klappe geschlagen. Zum einen hast du Anwendungs- und Datenschicht schön voneinander getrennt, zum anderen schaffst du dir dadurch die Möglichkeit, Anfragen bei zu hohem oder schadhaftem Aufkommen zu filtern.

[–] WhereAngelsFearToFly@feddit.org 10 points 1 day ago* (last edited 1 day ago) (1 children)

Wenn du dir nicht 100%ig sicher bist, wie man einen Linux-Server und das Netzwerk absichert, würde ich dir davon abraten.

Ich würde dann die Website extern hosten und mit dem RasPi die Daten regelmäßig hochladen lassen, und die Website kann sie dann verteilen. Kommt natürlich darauf an, was du genau vorhast. Die Sache mit den Shell-Skripts würde ich (vielleicht) ähnlich lösen. Der RasPi kann sich ja die Anweisungen von externen Website holen und dann ausführen. Vielleicht verbunden mit einer Art Queue-System. Aber auch hier würde ich keine freien Shell-Anweisungen erlauben, sondern nur das Triggern von vordefinierten Skripten, die auf dem RasPi liegen.

Aber die ganze Welt zu dir ins Heimnetz zu lassen ist kein zu unterschätzender Task in puncto Sicherheit und Administrationsaufwand.

[–] Petenkoffer@feddit.org 3 points 12 hours ago (1 children)

Danke dir (und natürlich allen anderen denen ich nicht einzeln antworte). Ich werde mich dann wohl an den Rat und mein Gefühl halten, dass das ganze doch etwas über meiner Gehaltsklasse gewesen wäre. Interessant ist, dass es aktuell mehr oder weniger bereits so aufgebaut ist (als discord bot, von dem ich mich trennen möchte), auf die Idee, das Prinzip beizubehalten bin ich aber nicht selbst gekommen.

[–] WhereAngelsFearToFly@feddit.org 1 points 8 hours ago

Sehr gern, viel Erfolg bei deinem Projekt. 🙂

[–] DmMacniel@feddit.org 6 points 1 day ago* (last edited 1 day ago) (1 children)

Mhm eigentlich bräuchtest du keine Domain bei einem Registrar registrieren wenn dir eine IP reiche.

Wenn du aber eine Internetadresse haben willst, brauchst ist ein dyndns service der auf einem router läuft der dann, sobald dein Netzwerk mit dem Internet verbunden ist, die IP in dem DNS Eintrag anpassen kann und dein Netzwerk hinter einer statischen Domäne erreichbar ist. (fritz!os unterstützt das von zu hause aus)

Du müsstest dann dein Netzwerk absichern, sodass nur deine Beere erreichbar ist, das machste via Portforwarding. Also das ist erst mal rudimentär, mehr kenn ich mich da nicht aus.

ich selbst habe auf meiner Firtz!Box ein Wireguard eingerichtet, sodass ich via VPN Tunnel von überall auf mein Heimnetzwerk, und damit auf mein Jellyfin Streaming Server, zugreifen kann :)

[–] aaaaaaaaargh@feddit.org 3 points 16 hours ago

Kleine Ergänzung: mit IPV6 braucht es kein dynamisches DNS mehr, da die Adressen statisch sind. Allerdings ist der Dienst dann eben auch nur über V6 erreichbar.

[–] Smash@lemmy.self-hosted.site 3 points 1 day ago

Pack den RPI am besten in ein eigenes Netzwerk (DMZ). Die Sicherheit hängt dann maßgeblich von deinem Webfrontend ab, du solltest eine sichere Authentisierung nutzen (etwa mit MFA oder Zertifikat). Ansonsten noch das übliche, immer sofort die neusten updates installieren und hardening wie strike firewall Regeln, geo restriction und fail2ban nutzen.