Zelf webserver thuis hosten

Virtualiseren en dichttimmeren, of een RPi.

Je router heeft idd zelf al een firewall en het is niet onlogisch dat die niet uit te schakelen valt

Ik weet niet wat je plannen/eisen voor de webserver zijn, maar een RPi zal bv. PHP etc. niet zo best trekken. Ik ben om die reden op m'n BBB overgestapt naar Pelican, wat gewoon HTML produceert (dus statisch).

Je hebt ook dynamisch DNS (bv. Namecheap) nodig als geen vast IP hebt trouwens.

[ Voor 7% gewijzigd door Borromini op 18-08-2016 10:46 ]

dawauz schreef op donderdag 18 augustus 2016 @ 10:51:
ik wil dan ook iets ertussen dat bijv na 2 mislukte inlogpogingen het ip word verbannen etc, geen idee met wat voor iets ik dit het beste kan doen hoor.

Wat heb je voor NAS? Synology heeft in elk geval ook een ingebakken firewall mogelijkheid, en daar kan je ook het aantal login attempts limiteren.

Ik heb een van mijn websites ook gewoon op mijn Synology draaien (ook Joomla). Maar aangezien die qua bezoekers ook niet zo spannend is en lokaal georienteerd, heb ik in mijn firewall enkel ip's uit NL en BE toegestaan. En na 3 login pogingen volgt er een ip block.

Overigens wel lichtelijk offtopic

dawauz schreef op donderdag 18 augustus 2016 @ 10:51:
Momenteel heb ik een verouderde joomla site draaien, en het is niet heel erg als die eens plat ligt voor die paar bezoekers die ik krijg. Ik wil de site opnieuw bouwen met de laatste software etc, misschien zelfs wel een wordpress achtige site o.i.d.

Een firewall beschermt je over het algemeen niet tegen applicatie fouten. Oude versies van dit soort applicaties zijn zeer gevaarlijk. Deze zou ik niet zomaar op je NAS gaan draaien, waar je "data" op hebt staan.
Ik zou het niet eens op mijn Interne netwerk willen hebben, tenzij je dit geheel afschermt van elkaar met een firewall er tussen.

Waarom zou je deze niet bij een hoster willen hosten? Wat is daar de achterliggende gedachte?

dawauz schreef op donderdag 18 augustus 2016 @ 11:23:
excuus ervoor.
Maar mijn NAS is een eigenbouw met OMV erop, werkt overigens echt super, en snel. Zit een firewall mogelijkheid in, ik zal eens bestuderen icm webserver erop etc.

Ook OMV heeft een uitgebreide firewall die gebaseerd is op iptables.

Zelf laat ik namelijk alleen een aantal IP's toe uit NL en BE op de NAS. De rest van de wereld zit dicht. Daarnaast kan je nog de fail2ban applicatie draaien. 3x verkeerd inloggen bv en je wordt geblocked.

Draai al jaren probleemloos een eigen webserver gebruik zelf ClearOS. Moet zeggen nog nooit last gehad van veranderende ip adres. Als je software up to date is zou ik mij niet al te veel zorgen maken.

Vergeet niet, dat Ziggo een "semi vast" IP adres geeft. In mijn geval is hij al meer dan 2 jaar cast, maar in feite op papier is het "dynamisch".....

dawauz schreef op donderdag 18 augustus 2016 @ 18:46:
Nu betaal ik best wat geld voor iets wat ik nauwelijks gebruik.

Hoe kan ik dit het beste scheiden, ik kan op mijn router wel iets van een dmz server instellen maar of dat dan weer wenselijk is?

DMZ instellen op je router moet je zeker niet instellen. Dat is vragen om grote problemen.
En een webhosting kost je een paar eurotjes per maand, vraag je jezelf af, of je het daarvoor zelf wilt doen.

VLANs als je router dat toelaat (maar de officiële firmware doet zoiets meestal niet). Daarmee kan je je netwerk afschermen.

Wat ik tot voor kort deed op mijn Beaglebone Black was:
- alleen poort 80 naar buiten bereikbaar, geforward in de router
- alle verkeer vanuit de BBB naar het interne netwerk blokkeren in de firewall van de router (buiten het verkeer dat vanuit het LAN naar de BBB werd geïnitieerd)
- firewall van de BBB zelf laat ook geen uitgaand verkeer toe buiten poort 80
- indien je website niet teveel vereist (bv. CGI scripts of communicatie met een mailserver op hetzelfde systeem) kan je ook een chroot opzetten voor extra veiligheid.

Dat vereist wel wat denk- en timmerwerk. Ik weet ook niet wat de firewall van je router toelaat.

Ik kan thuis hosten alleen maar af raden. Straks is iemand missed op je blog, besluit ie om een zooi internet pakketten naar jou domein (aka thuis) te sturen. Ligt je verbinding eruit, fijn.

Plus dat wanneer je het bij een 3de partij legt hun verantwoordelijk zijn voor beveiliging tot laag 4. Daarmee voorkom je zoveel BS wanneer het gaat om mogelijke inbraken. Zeker met je NAS thuis, daarmee wil je geen groot risico lopen door er een webservertje naast te draaien.

Persoonlijk vindt ik dat hier wel heel erg zwart wit gedacht wordt, thuis hosten hoeft geen probleem te zijn besef je alleen wel wat je doet, en wat de risico's zijn. En even voor de duidelijkheid als je bijvoorbeeld een fotosite host lopen de kosten hard op als je ook nog redelijk resolutie wilt bieden en veel foto's hebt.

Borromini schreef op donderdag 18 augustus 2016 @ 19:24:
VLANs als je router dat toelaat (maar de officiële firmware doet zoiets meestal niet). Daarmee kan je je netwerk afschermen.

Met een VLAN kun je niet je netwerk afschermen.

Neem gewoon een VPSje bij een partij zoals TransIP. Een VPS bij TransIP is vaak goedkoper dan thuis hosten, omdat het gewoon veel ergernissen scheelt.

Als je perse thuis wilt hosten: Bij Microsoft Azure kun je een maand lang voor US$ 100 triallen. Dan kun je daar je testomgeving opbouwen en dat migreren naar lokaal. Eventueel kun je zelfs na die maand Hyper-V Replica instellen, zodat je een handmatige failover hebt als je thuisomgeving brak gaat (je betaalt pas voor de VM als je hem up brengt).

[ Voor 28% gewijzigd door Trommelrem op 19-08-2016 12:47 ]

Frogmen schreef op vrijdag 19 augustus 2016 @ 12:30:
[...]
En even voor de duidelijkheid als je bijvoorbeeld een fotosite host lopen de kosten hard op als je ook nog redelijk resolutie wilt bieden en veel foto's hebt.

Welke kosten? In Nederland heb je geen datalimiet zoals in bijv. België hoor. De providers werken wel met een FUP, dus de kans is groot dat je een brief krijgt van je provider als je extreem veel verkeer gaat lopen verstoken.

Of bedoel je dat je veel geld kwijt bent aan opslagruimte, in de zin van HDD's ?

ThinkPadd schreef op vrijdag 19 augustus 2016 @ 12:52:
[...]

Welke kosten? In Nederland heb je geen datalimiet zoals in bijv. België hoor. De providers werken wel met een FUP, dus de kans is groot dat je een brief krijgt van je provider als je extreem veel verkeer gaat lopen verstoken.

Of bedoel je dat je veel geld kwijt bent aan opslagruimte, in de zin van HDD's ?

Ik vermoed dat dat gaat over hosten bij een provider (en dus opslagcapaciteit en bandbreedte verstookt).

Nooit thuishosten, zeker niet met een brakke Joomla installatie.
Neem gewoon een VPS of shared als je niet wilt experimenteren.

Heb je al gedacht aan je upload, je apparaten die je echt moet dicht timmeren, voorwaarde bij provider (Afsluiten bij 'misbruik', ook al komt dit niet door jou), rPi die niet erg krachtig is, energie, backups, monitoring, hardware .. neeh, ik zal het nooit doen.

Een VPS + domein heb je al voor een paar euro bij TransIP en je kunt deze (op het domein na) maandelijks opzeggen.

[ Voor 10% gewijzigd door HollowGamer op 19-08-2016 20:53 ]

HollowGamer schreef op vrijdag 19 augustus 2016 @ 20:52:
Nooit thuishosten, zeker niet met een brakke Joomla installatie.

Volgens mij is dit lichtelijk overdreven
Wat ik begrijp is dat het om een site gaat met enkele bezoekers.
Lijkt me een leuk hobby projectje.
Doe het wel op een afgezonderde VM of losse machine.

[ Voor 7% gewijzigd door fm77 op 19-08-2016 22:13 ]

En een vps is gratis of vormt geen risico? Ok is anders maar toch, ik host al jaren zonder problemen zelf alleen denk niet dat je er bent met even een ubuntu server met apache want daar heb je nog veel aan te doen. Maar er zijn uitstekende linux distros die goed in elkaar zitten en standaard dicht getimmerd zitten en prima door een hobbiest te onderhouden. En laten we ophouden met denken dat iedere website de zelfde risico's heeft als die van een bank. Ja theoretisch misschien wel maar weeg moeite en rendement voor de aanval wel af. Het forum van de lokale bridge club hoeft echt niet zo bang te zijn voor een ddos attack als een die van de PVV bijvoorbeeld.

Rolfie schreef op donderdag 18 augustus 2016 @ 12:20:
[...]


Een firewall beschermt je over het algemeen niet tegen applicatie fouten. Oude versies van dit soort applicaties zijn zeer gevaarlijk. Deze zou ik niet zomaar op je NAS gaan draaien, waar je "data" op hebt staan.
Ik zou het niet eens op mijn Interne netwerk willen hebben, tenzij je dit geheel afschermt van elkaar met een firewall er tussen.

Waarom zou je deze niet bij een hoster willen hosten? Wat is daar de achterliggende gedachte?

Dit. Een Firewall is geen bescherming tegen lekkende software.
Dat is iets wat mensen zich niet zo erg realiseren, lijkt het. Je kan state-of-the-art apparatuur neerzetten met allerhande hippe beschermende software. Maar als de applicatie die juist bereikbaar moet zijn een lek bevat, dan is dat een gat direct van buiten naar binnen toe.

Dat gezegd hebbende begrijp ik best dat je zelf iets wil hosten. Al was het maar voor de lol, vermaak, kennis en ervaring.

Eitherway, er wordt al aangedragen dat virtualiseren een goed plan is.
Dan kan je zowel je NAS als webserver op één machine draaien maar ze zijn niet via software aan elkaar verbonden. Stel dat de webapplicatie op de webserver een lek bevat, dan komen ze wel in het OS van die virtuele machine, maar niet in het OS van de tweede virtuele machine (waar de NAS in zit).
Dat is veiliger omdat men dan via een omweg naar de NAS toe moet, en de software van de NAS ook een lek moet hebben voordat je erbij kan. (of je moet beschikken over wachtwoorden e.d.)
Zelfde voor de PC's in je LAN.

Ik zou zeker eens kijken naar virtualisatie (Xen, VMWare ESX, KVM, Unraid, etc) en daar in je spullen in apparte virtuele machines gaan zetten.
En dan zou ik voor de webserver eens gaan kijken naar een OS wat verhoogde veiligheid bied. B.v. CentOS of Fedora. Die zijn voorzien van SELinux (Security Enhanced Linux).
Even kortgezegd is dat een layer bovenop de normale rechtenstructuur van Linux. Verschil is dat het op basis van context werkt. User X mag b.v. logbestanden lezen en werken met PHP bestanden als hij als gebruiker is aangemeld via de terminal. Echter, als je diezelfde User X een PHP script laat draaien als Daemon (in Windows termen een 'Service'), dan mag hij alleen aan de PHP scripts komen die aan hem zijn toebedeeld, en niet aan de logbestanden. De combinatie van User + Daemon + PHP betekent dat er extra beperkingen opgelegd worden die niet gelden voor de combinatie User + Terminal + PHP.
En ja, het kan best wel een bitch zijn om te doorgronden. Het bied wel de mogelijkheid om dingen in te perken. Stel dat er ergens een SQL injectie kan plaatsvinden in je website, dan kan hij daarmee niet veel veel verder komen dan het verkloten van de web applicatie zelf en de daarbij behorende database. Andere web applicaties (die uiteraard onder een andere User moeten draaien in dat geval) blijven buiten schot en ook de hume-directory van de huidige user kan de aanvaller niet bij komen.
Uiteraard vereist het ook dat je de rest van je software zo inricht dat applicaties zijn gescheiden in apparte users (sowieso een best practice onder Linux) en dat vereist dus wel wat meer werk. Plus, de ene applicatie is makkelijker daar voor in te richten dan de andere.

Frogmen schreef op zaterdag 20 augustus 2016 @ 12:33:
En een vps is gratis of vormt geen risico? Ok is anders maar toch, ik host al jaren zonder problemen zelf alleen denk niet dat je er bent met even een ubuntu server met apache want daar heb je nog veel aan te doen. Maar er zijn uitstekende linux distros die goed in elkaar zitten en standaard dicht getimmerd zitten en prima door een hobbiest te onderhouden. En laten we ophouden met denken dat iedere website de zelfde risico's heeft als die van een bank. Ja theoretisch misschien wel maar weeg moeite en rendement voor de aanval wel af. Het forum van de lokale bridge club hoeft echt niet zo bang te zijn voor een ddos attack als een die van de PVV bijvoorbeeld.

Helemaal waar. Het is een risico-analyse die je moet doen.
Qua informatie van meerdere mensen is er vermoedelijk niet veel te halen.
Waar jouw thuisservertje wel interessant voor kan zijn, is voor het misbruiken in een botnet. Maar daar gaat een hacker echt geen grote moeite voor doen. Als jouw server vatbaar is voor een bekende bug, dan zal daar allicht naar gekeken worden en er 5 minuutjes in gestoken worden om hem te pakken te krijgen.
Lukt dat niet, dan zijn ze al weer weg.
Kortom, zorg dat je software bijtijds is geupdate en zorg dat je de configuratie verder goed geregeld hebt. Voor een thuismachine is dat het belangrijkste.

[ Voor 18% gewijzigd door McKaamos op 20-08-2016 13:11 ]

Rolfie schreef op donderdag 18 augustus 2016 @ 19:11:
[...]


DMZ instellen op je router moet je zeker niet instellen. Dat is vragen om grote problemen.
En een webhosting kost je een paar eurotjes per maand, vraag je jezelf af, of je het daarvoor zelf wilt doen.

Leg ook even uit waarom dan ipv van dit soort meningen geven. En hij geeft toch aan dat hij vrij veel geld kwijt is? Die paar euro per maand zal wel, maar geef dan ook een voorbeeld waar dat precies kan.

pennywiser schreef op zaterdag 20 augustus 2016 @ 13:00:
[...]

Leg ook even uit waarom dan ipv van dit soort meningen geven. En hij geeft toch aan dat hij vrij veel geld kwijt is? Die paar euro per maand zal wel, maar geef dan ook een voorbeeld waar dat precies kan.

Algemeen bekend dat een DMZ een draconische maatregel is
Maar veel mensen weten inderdaad niet wat het is en doet, en waarom het een draconische maatregel is.

Wat DMZ doet, is dat alle traffic die van buiten aangeboden en waarvoor geen eindbestemming bekend is, naar 1 standaard bestemming toe sturen.
In essentie zet je de poort wagenwijd open naar 1 machine.
Nu is dat voor een webserver natuurlijk absoluut niet nodig. Je wil alleen dat de webservice (HTTP/HTTPS, poort 80 en/of 443) van buiten te bereiken is.
SSH, MySQL en wat je verder nog meer via TCP bereikbaar hebt op de server, is voor de buitenwereld absoluut niet van belang.
Stel dat je een zwak wachtwoord hebt ingesteld, toestaat dat er met root wordt ingelogd, geen filtering hebt op het aantal incorrecte inlogpogingen, etc etc. Dan is zo'n SSH service een prachtig punt om aan te vallen.

Kortom, je legt extra punten bloot die aangevallen kunnen worden. Dat is simpelweg iets wat je niet wil. Alleen wat noodzakelijk is maak je bereikbaar en zet een muur voor alles waar de buitenwereld niets mee te maken heeft.
Of eigenlijk andersom. Je zet een muur neer en prikt alleen een gaatje er in waar dat nodig is.

[ Voor 3% gewijzigd door McKaamos op 20-08-2016 13:13 ]

DMZ wil je alleen gebruiken als je alle verkeer naar een andere firewall wil leiden maar dan nog moet je je afvragen of gewoon een tweede firewall niet altijd beter is.

McKaamos schreef op zaterdag 20 augustus 2016 @ 13:07:
[...]

Algemeen bekend dat een DMZ een draconische maatregel is
Maar veel mensen weten inderdaad niet wat het is en doet, en waarom het een draconische maatregel is.

Ook al is het een wat oude reactie, er wordt een totaal verkeerd beeld van DMZ gegeven, wat echt even goed gezet moet worden.

Een DMZ is absoluut geen draconische maatregel. Het basis principe van een DMZ is dat je een dubbele firewall opzet. Om van internet naar je webserver te gaan moet je door een firewall. Om vervolgens van je webserver bij je interne netwerk te komen moet je nogmaals door een firewall. Het is daarbij prima mogelijk om alleen van buiten naar je webserver bv poort 80 open te zetten. Al het andere verkeer kan je gewoon blokken. Mocht het iemand lukken om op je webserver terecht te komen, dan moet hij nogmaals door een firewall heen om op je lokale net te komen. Levert dus juist een prima extra verdedigingslaag op voor je thuis oplossing zonder al te veel gedoe. Een DMZ kan je namelijk meestal in 1 firewall opzetten. Ik doe dit zelf voor mijn werk met cisco apparatuur, maar ik heb ook huis-tuin-en-keuken firewalls gezien die deze opties bieden

Een simpele html site op bv een up-to-date Apache moet wel kunnen. Heb ik ook al jaren thuis. Hoe ingewikkelder je het optuigt, hoe meer kans op een kwetsbaarheid. Er wordt driftig naar gescand.

Wat DMZ betreft, @Anoniem: 1265994 heeft gelijk dat de opzet hierboven de ideale setup is. In de consumenten praktijk is DMZ op je router meestal alle poorten open naar een bepaald device, en dat is niet wenselijk.

Nu we toch lekker oude topics aan het oprakelen zijn: tenzij je nog aan netwerkzones doet en fysieke hardware is het concept van DMZ en zelf een server aan internet hangen een beetje verleden tijd. Cloudflare kost niks voor basic CDN en filtering, en met virtuele systemen heb je niet een 'zone' (of meerdere zones) maar een 'firewall' per host (security groups) die op het virtuele netwerk draait.