this post was submitted on 19 Mar 2025

21 points (95.7% liked)

de_EDV

696 readers

27 users here now

Ableger von c/de_EDV auf feddit.org, welches wiederum ein Ableger von r/de_EDV auf feddit.de ist.

News, Diskussionen und Hilfestellung zu Hard- und Software

Diese Community dient als Anlaufstelle für alle IT-Interessierten, egal ob Profi oder blutiger Anfänger. Stellt eure Fragen und tauscht euch aus!

Ich würde das auf Anfrage jetzt erst mal hier eröffnen und schauen was sich tut.

founded 8 months ago

MODERATORS

Fennek@feddit.org

marv99@feddit.org

Website selbst hosten: Wie dumm ist die Idee? (feddit.org)

submitted 1 day ago by Petenkoffer@feddit.org to c/de_edv@feddit.org

16 comments fedilink hide all child comments

Hallo zusammen, Ich habe mir in den Kopf gesetzt, dass ich gerne eine Website auf einem raspberrypi bei mir Zuhause selbst hosten möchte.

Sie sollte aus dem Internet (auch von anderen Personen) erreichbar sein, und sowohl einige Daten des raspberrypi anzeigen, als es auch erlauben, bestimmte Aktionen (also shell Skripts) auszuführen (natürlich hinter einem login). Mir ist bewusst, dass ich eine Domain bei einem DNS Provider Mieten muss.

Sicherheitstechnisch klingt die Idee aber durchaus bedenklich. Lade ich auf kurz oder lang Angreifer ein, die sich darüber Zugang verschaffen wollen. Auch diverser Web Crawler und ähnlich bots, die vielleicht etwas aufdringlich sind und mein Heimnetz mit Anfragen überhäufen würde mir als Problem einfallen.

Wie problematisch könnte das ganze also werden, hat vielleicht jemand schon Erfahrungen, oder kann Empfehlungen geben, oder sollte ich das als Laie lieber komplett lassen bleiben?

Ich freue mich über Anregungen aller Art :)

top 16 comments

sorted by: hot top controversial new old

[–] luzl@feddit.org 2 points 2 hours ago* (last edited 2 hours ago) (1 children)

Hey, wie andere schon geschrieben haben ist ein Raspi jetzt nichr allzu kritisch in Sachen Angriffsfläche. Würde mich auch dafür aussprechen das einfach auszuprobieren. Was ich aus eigener Erfahrung noch sagen will: viele Internetanschlüsse haben keine eigene ipv4 Adresse (bzw. Nur mit anderen Leuten geteilt). Also stell dich darauf ein, dass es vermutlich nur via ipv6 erreichbar ist. Nicht aus jedem Netz kann man v6 Adressen bereits erreichen, vorallem vieöe VPN Anbieter sind noch v4 only - solche User konmen also eventuell nicht auf deinen Raspi.

[–] primeapple@feddit.org 1 points 2 hours ago

Cloudflare Tunnels könnten vielleicht helfen: https://developers.cloudflare.com/cloudflare-one/connections/connect-networks/

[–] AverageAlman@feddit.org 1 points 3 hours ago

Muss der denn bei dir Zuhause stehen? Du kannst dir bei diversen Anbietern einen Server für 5€ mieten.

Klar bist du dann nicht so autark unterwegs, kannst dich aber schonmal mit allem vertraut machen ohne gleich ein Risiko für dein Netzwerk einzugehen. Und wenn du dann irgendwann doch keine Lust mehr auf die Cloud hast, kannst du deine Konfigurationen ja immer noch auf einen pi kopieren.

[–] kossa@feddit.org 8 points 1 day ago* (last edited 1 day ago) (1 children)

Geil. Mach einfach. Probier rum! Lass dir nicht sagen, du musst 100% wissen, was du tust, das musst du nicht!

Wo sollen denn sonst die Menschen herkommen, die an einem wieder dezentraleren Internet arbeiten, die sich auskennen? Irgendwelche Firmen hängen ihre Datenbanken frei ins Internet, das ist das Werk von "Profis". Da ist es auch nicht schlimm, wenn von einem Haushalt das Heimnetzwerk übernommen wird, wenn dadurch jemand etwas lernt.

Was dir bewusst sein muss, sind die Risiken: im Zweifel übernimmt jemand dein ganzes Netzwerk. Wenn du alleine bist: okay, dann musste halt alle Geräte plattmachen (alles ist potentiell kompromittiert). Ist Arbeit, danach bist du schlauer und kannst weiter rumprobieren. Wenn andere Menschen in deinem Haushalt an dem Netzwerk hängen: sag ihnen mindestens vorher, dass das bevorstehen könnte. Haben diese Menschen oder Du sensible Daten auf ihren Geräten? Backups! Offline! Und dann ran an den Speck, als ich das erste Mal eine Website von nem Computer zuhause aufrufen konnte, war ich mächtig stolz, geiles Gefühl. Seitdem habe ich over 9000 mal alles neu aufgesetzt, aber jetzt betreibe ich ein Homelab mit richtig vielen Diensten und alle Menschen, die es nutzen sind glücklich und zufrieden, ich habe richtig viel über Netzwerksicherheit etc. gelernt, alles supi.

Edit: davon abgesehen: ein random Raspi, auf dem ein Webserver läuft...der hat jetzt auch echt nicht so viel Angriffsoberfläche. Für den Anfang stelle v.a. sicher, dass nur Ports 80 und 443 am Raspi erreichbar sind und dann ist das jetzt auch nicht crazy unsicher oder so ¯\_(ツ)_/¯

[–] primeapple@feddit.org 1 points 2 hours ago

Ich mag den Kommentar.

[–] dwt@feddit.org 2 points 1 day ago (1 children)

Du sagst, du möchtest mit Shell Scripten in deiner Webseite arbeiten. Das mag ein Sprachfehler sein, wäre so aber wirklich eine schlechte Idee und deutet noch mehr darauf hin das du dich nicht genug auskennst um abzuschätzen wann etwas unsicher ist.

Grundsätzlich geht so etwas natürlich, DynDNS, LetsEncrypt und BasicAuth kann gut genug sein. Muss man aber auch erst mal einrichten.

[–] Petenkoffer@feddit.org 2 points 1 day ago (1 children)

Gemeint habe ich .sh Datein, mit der Terminologie kenne ich mich tatsächlich nicht aus. Selbstverständlich soll es nicht möglich sein eigene Befehle auszuführen, sondern lediglich vorgefertigte Skript zu aktivieren, die dann beispielsweise ein Programm auf dem raspberrypi starten.

[–] dwt@feddit.org 1 points 6 hours ago (1 children)

Ich würde dir von Shell Skripten abraten. Der Mechanismus basiert auf datenübergabe durch umgebungsvariablen und ist einer der am schwersten sicher zu kriegenden.

Lern lieber etwas Python und mach es mit flask, da findest du viel mehr gute Beispiele.

[–] dwt@feddit.org 1 points 6 hours ago

Insbesondere für solche ersten Experimente sollte der Server dann aber nichts sonst tun und vom Rest des Netzes isoliert sein, damit du dir nicht so die Finger verbrennst, wenn es mit Sicherheit schief geht.

Alternativ: eine virtuelle Maschine bei hetzen kostet 1-2 € pro Monat ind da klemmt hetzner dir im Zweifel die Maschine ab wenn jemand anfängt da massiv Spam drüber zu versenden.

[–] WhereAngelsFearToFly@feddit.org 10 points 1 day ago* (last edited 1 day ago) (1 children)

Wenn du dir nicht 100%ig sicher bist, wie man einen Linux-Server und das Netzwerk absichert, würde ich dir davon abraten.

Ich würde dann die Website extern hosten und mit dem RasPi die Daten regelmäßig hochladen lassen, und die Website kann sie dann verteilen. Kommt natürlich darauf an, was du genau vorhast. Die Sache mit den Shell-Skripts würde ich (vielleicht) ähnlich lösen. Der RasPi kann sich ja die Anweisungen von externen Website holen und dann ausführen. Vielleicht verbunden mit einer Art Queue-System. Aber auch hier würde ich keine freien Shell-Anweisungen erlauben, sondern nur das Triggern von vordefinierten Skripten, die auf dem RasPi liegen.

Aber die ganze Welt zu dir ins Heimnetz zu lassen ist kein zu unterschätzender Task in puncto Sicherheit und Administrationsaufwand.

[–] Petenkoffer@feddit.org 3 points 1 day ago (1 children)

Danke dir (und natürlich allen anderen denen ich nicht einzeln antworte). Ich werde mich dann wohl an den Rat und mein Gefühl halten, dass das ganze doch etwas über meiner Gehaltsklasse gewesen wäre. Interessant ist, dass es aktuell mehr oder weniger bereits so aufgebaut ist (als discord bot, von dem ich mich trennen möchte), auf die Idee, das Prinzip beizubehalten bin ich aber nicht selbst gekommen.

[–] WhereAngelsFearToFly@feddit.org 1 points 1 day ago

Sehr gern, viel Erfolg bei deinem Projekt. 🙂

[–] DmMacniel@feddit.org 6 points 1 day ago* (last edited 1 day ago) (1 children)

Mhm eigentlich bräuchtest du keine Domain bei einem Registrar registrieren wenn dir eine IP reiche.

Wenn du aber eine Internetadresse haben willst, brauchst ist ein dyndns service der auf einem router läuft der dann, sobald dein Netzwerk mit dem Internet verbunden ist, die IP in dem DNS Eintrag anpassen kann und dein Netzwerk hinter einer statischen Domäne erreichbar ist. (fritz!os unterstützt das von zu hause aus)

Du müsstest dann dein Netzwerk absichern, sodass nur deine Beere erreichbar ist, das machste via Portforwarding. Also das ist erst mal rudimentär, mehr kenn ich mich da nicht aus.

ich selbst habe auf meiner Firtz!Box ein Wireguard eingerichtet, sodass ich via VPN Tunnel von überall auf mein Heimnetzwerk, und damit auf mein Jellyfin Streaming Server, zugreifen kann :)

[–] aaaaaaaaargh@feddit.org 3 points 1 day ago

Kleine Ergänzung: mit IPV6 braucht es kein dynamisches DNS mehr, da die Adressen statisch sind. Allerdings ist der Dienst dann eben auch nur über V6 erreichbar.

[–] aaaaaaaaargh@feddit.org 1 points 1 day ago

Ich würde das so machen, dass meine Seite irgendwo im Netz steht und der Raspi von dieser bei Bedarf Anfragen verarbeitet und Daten zurückgibt. So hast du zwei Fliegen mit einer Klappe geschlagen. Zum einen hast du Anwendungs- und Datenschicht schön voneinander getrennt, zum anderen schaffst du dir dadurch die Möglichkeit, Anfragen bei zu hohem oder schadhaftem Aufkommen zu filtern.

[–] Smash@lemmy.self-hosted.site 3 points 1 day ago

Pack den RPI am besten in ein eigenes Netzwerk (DMZ). Die Sicherheit hängt dann maßgeblich von deinem Webfrontend ab, du solltest eine sichere Authentisierung nutzen (etwa mit MFA oder Zertifikat). Ansonsten noch das übliche, immer sofort die neusten updates installieren und hardening wie strike firewall Regeln, geo restriction und fail2ban nutzen.