Banana Pi für WordPress? Apache/SSL, PortForwarding sowie allgemeine Sicherheit
#1 _meckyrockt_
geschrieben 27. April 2015 - 14:57
innerhalb der letzten Jahre bin ich nach einer kleinen Odyssee durch verschiedene kostenfreie Blogdienste dazu übergegangen, WordPress selbstständig innerhalb eines eingekauften Hostingangebotes zu verwalten. Obwohl diese mittlerweile recht günstig (meist mit einer ganzen Schubkarre Features inklusive) zu bekommen sind, läppert sich der Spaß im Laufe der Zeit eben doch. Aus dem Grund wechselte ich vor knappen vier Jahren zu 'WordPress.com'. Dort ist mir kürzlich etwas unwohl geworden, als ich feststellen musste, dass die sich für eine Portierung überaus fürstlich entlohnen lassen würden.
Einen Pi möchte ich eigentlich schon eine ganze Weile haben: Einerseits zum Vorwegsurfen und Downloaden, damit sich der Windowsdesktop nicht immer gleich die Pest holt, andererseits interessiert mich aber z.B. auch OwnCloud (selbstverständlich mit einem externen Standort des Pi) ziemlich, da ich immer ein nervöses Zucken im linken Augenwinkel zu entwickeln pflege, während ich die GmaiDrive-AGBs durchgehe.^^
Mithilfe entsprechender Tutorials erscheint eine Einrichtung des Pi als Webserver zumindest relativ übersichtlich. 'no-ip' stellt wohl direkt ein Programm zur IP-Übermittlung für Linuxsysteme zur Verfügung, so dass sich eine kostenfreie URL realisieren ließe.
Was die technische Umsetzung anbelangt, kapiere ich folgendes nicht:
- Damit ich, bei einem externen Standort des Pi, ein verschlüsseltes Backend/Adminbereich realisieren kann, müsste der eingesetzte Router über PortForwarding mit https verfügen, oder?
- Solange der Pi in meiner Hütte untergebracht ist, könnte ich mir Apache eigentlich vollständig sparen, da sich (1.) WordPress einfach aktualisieren lässt, indem ich die entsprechenden Dateien lokal überspiele (z.B. via Remotedesktop) und ich (2.) das Backend/Adminbereich einfach über die lokale IP erreichen kann, richtig?
Im Allgemeinen besitze allerdings keine Vorstellung davon, ob das regelmäßige übermitteln der eigenen IP (oder sonstige für die Umsetzung erforderliche Maßnahmen) unter dem Aspekt der Sicherheit nicht dem Anbringen einer roten Zielscheibe an der Haustür gleichkommen würde. Falls da jemand ein paar Sätze drüber verlieren oder einige Links in meine Richtung werfen könnte...
Vielen Dank für eure Hilfe!
Anzeige
#2
geschrieben 27. April 2015 - 15:36
Du installierst dir auf dem *PI (sei es ein Rahpsberry, Banana oder was auch immer) einen LAMP (Linux Apache MySQL PHP) Stack und kannst losstarten. Da hast du mal einen Webserver, MySQL Server und PHP am laufen, das reicht für Wordpress.
Als nächstes würde ich das ganze mal im Netzwerk intern testen, sprich du gehst interne IP Adresse.
Für den externen Zugriff musst du dir dann die Ports auf deinem Router freigeben. Im Prinzip brauchst du da nur den Port 80.
Da du vermutlich in Deutschland bist und vermutlich einen DSL Anschluss hast hast du vermutlich eine Dynamische IP Adresse. Dass die Webseite dann immer über einen Hostnamen erreichbar ist (z.b. eine eigene domain oder einen gratis Hostnamen von no-ip.org) installierst du dir no-ip. Wenn du einen Kabelanschluss hast, ist das nicht zwingend notwendig, da Kabelanschlüsse in der Regel pseudo-fixe IP Adressen haben.
So. Wordpress kannst du jetzt einfach in den webordner von Apache ziehen und installieren.
Was du allerdings beachten solltest:
OwnCloud ist schnell aufgesetzt, emails selbst würde ich dir empfehlen nicht selbst zu hosten, das macht nur probleme.
Wenn du das ganze doch lieber nicht selbst machen willst und stattdessen ein paar Euro (sind wirklich nur ein paar ) investieren willst kann ich dir gerne ein Angebot zukommen lassen.
#3
geschrieben 27. April 2015 - 19:00
#4 _meckyrockt_
geschrieben 27. April 2015 - 21:10
Neben dem Umstand, dass ich das unglaublich gerne können möchte, durchlaufe ich gerade eine freiheitsliebende open-source, kostenlos-Phase, in welcher ich finanzielle Mittel immer gern für Hardwareanschaffungen reserviere.
Die durchschnittlichen Hostingkosten scheinen sich heute wie damals (in der universell einzig bedeutsamen Währung) auf umgerechnet ca. zwei Döner pro Monat zu belaufen.^^ Nach bereits ca. 14 Monaten sind das ungefähr zwei Pis, einer für daheim und ein gecloudter extern.
Meine Daten nicht in fremde Hände geben zu müssen wäre für mich darüber hinaus langfristig extremst beruhigend.
Zitat (Ludacris: 27. April 2015 - 15:36)
Bekomme ich auf diese Weise SSL angekurbelt, ohne, dass mein Router https-Weiterleitung kann?
Zitat (RalphS: 27. April 2015 - 19:00)
Ist das unter Umständen wirklich schon problematisch? Es gibt jetzt keine 100 Anfragen pro Minute zu stemmen. Im Schnitt lassen sich diese, auf einen Tag gerechnet, an ein bis zwei Händen abzählen... ist also eigentlich sogar unwahrscheinlich, dass mal mehr als eine gleichzeitig beantwortet werden müsste...
#5
geschrieben 27. April 2015 - 21:22
Zitat (meckyrockt: 27. April 2015 - 21:10)
Neben dem Umstand, dass ich das unglaublich gerne können möchte, durchlaufe ich gerade eine freiheitsliebende open-source, kostenlos-Phase, in welcher ich finanzielle Mittel immer gern für Hardwareanschaffungen reserviere.
...gerne können möchte... Da heißt es erstmal ne Menge lernen. Vor allem im Open-Source-Bereich. Und zu allererst solltest du daran denken, dass ein Server im Internetz nicht "set and forget" ist. Absichern, logs prüfen, reagieren. Gibt ne Menge Idioten da draußen, die gerne Maschinen kapern, die einfach so nach nem Tutorial aufgesetzt und dann vernachlässigt werden.
Zitat
Zitat
Wasn das für ein Router, der Port 443 nicht weiterschubsen kann?
Zitat
Lasttechnisch sollte das vorerst passen, der Pi2 kann schon was. Notfalls muss das ganze später auf ein potenteres Blech umziehen.
Unix won't hold your hand. You wanna shoot your foot, Unix reliably delivers the shot.
True Cloudstorage
#6
geschrieben 27. April 2015 - 22:03
Im Prinzip rennt das ganze wie ein stink normaler Linux Server. Ports musst du halt in deinem Router angeben.
#7 _meckyrockt_
geschrieben 28. April 2015 - 19:08
Zitat (Sturmovik: 27. April 2015 - 21:22)
Okay. Möglicherweise habe ich die sicherheitsspezifischen Kräfte dieser sagenumwogenden unixbasierten Betriebssysteme in einem Anflug spontaner glorifizierung missverstanden: Bei genauerer Überlegung kann ich nachvollziehen, dass aufsetzen und booten eventuell unzureichend sein könnte.^^ Das ist aber gut zu wissen: In dem Fall werde ich vielleicht davon absehen, einen OwnCloud-Pi bei Leuten unterzubringen, die Rechner für veraltete Facebook-Anzeigegeräte halten, die auf dem Retro-Designer-Schreibtisch unnötig viel Platz wegnehmen.
Zitat (Sturmovik: 27. April 2015 - 21:22)
Es ist weiß und besitzt einen blauen O2-Sticker (glaub' es handelt sich um Astoria). Besonders im Dunkeln kann es hübsch farbig blinken... Das offensichtliche Ziel des Produktdesigns kann eigentlich nur darin bestanden haben, die AVM-Verkaufszahlen zu steigern. Beruhigend zu sehen, dass noch sozial orientierte Unternehmen existieren.^^
Unter 'Port Forwarding' - 'IPv4' sind neben 'Benutzerdefiniert' (?) folgenden Angebote ausfindig zu machen:
FTP, HTTP, SSH, Telnet, MS Remote
Glaub' fast, ich würde es eventuell sogar auf einen Versuch ankommen lassen... vorausgesetzt es lässt sich ein Pi-Gehäuse finden, welches nicht nur aus (vor allem oberseitigen) Löchern besteht.^^ Bei einer Betriebssystemgröße von 4GB müsste ich mit allem ab 8GB SD-Karte ausgezeichnet auskommen, nehme ich an?
#8
geschrieben 28. April 2015 - 19:51
Zitat (meckyrockt: 28. April 2015 - 19:08)
Sicherheit ist im Prinzip unabhängig vom Betriebssystem (auch wenn mir jetzt ein gewisser dreibuchstabiger Forenuser gewaltig widersprechen wird), nur sind die Angriffsvektoren andere. Eines haben Server aber immer gemeinsam: Sie bieten Dienste an, und warten auf bestimmten Ports auf Anfragen. Über diese Öffnungen finden auch die Angriffe statt. Ziel sollte sein, die Angriffsfläche möglichst klein zu halten, aber wie oben schon gesagt, das ist nicht alles. Ein passender Exploit im Webserver und die Büchse ist offen. Daher: härten, aktuell halten, logs lesen, patchen, weiterhärten. Je weniger die Büchse kann, desto weniger kann schiefgehen.
[klugscheiß]Und was Unixbasierte Betriebssysteme angeht: Da wirds auf ein BSD-Derivat hinauslaufen oder ne Lizenz für ein "echtes" unixoides System (für $richtigviel$ Döner). Denn: Linux ist nicht Unixbasiert, auch wenn es mitsamt dem ganzen GNU-Universum weitestgehend POSIX-compliant ist.
[/klukshice]
Zitat
FTP, HTTP, SSH, Telnet, MS Remote
Zitat
Beim Banana kann ich nix zu sagen, aber für ein Raspbian reicht das dicke.
Dieser Beitrag wurde von Sturmovik bearbeitet: 28. April 2015 - 19:53
Unix won't hold your hand. You wanna shoot your foot, Unix reliably delivers the shot.
True Cloudstorage
#9 _meckyrockt_
geschrieben 30. April 2015 - 18:24
Zitat (Sturmovik: 28. April 2015 - 19:51)
Ausgezeichnet. Das habe ich mir mal aufgeschrieben und den Zettel in die Brieftasche gesteckt... mit dem festen Ziel, es in drei bis fünf Jahren nachvollziehen zu können. Da hab' ich was, worauf ich mich freuen kann.^^ Raspbian und (vor allem) Lubuntu erschienen mir jetzt als naheliegende Testkandidaten.
PortForwarding wurde kurzfristig aufgeschoben, da die körperliche Unversehrtheit des Routers einer temporären Gefährdung ausgesetzt war.^^
Derzeit puzzel ich fröhlich im Onlinewarenkorb...
Sich mit den Geschwindigkeiten von SDHCXYZ-Karten auseinanderzusetzen ist irgendwie ein unterschätztes Freizeitvergnügen.^^
Sollte ich das Teil wie beabsichtigt zum Laufen bringen würde mich dann z.B. in der Tat sehr interessieren, welche Logs sich zur regelmäßigen Lektüre empfehlen, etc. pp.
Vielen Dank für die Hinweise.
Mittlerweile sind Schokolade sowie Kaffee in ausreichenden Mengen eingelagert. Der Helm aus Alufolie ist auch nicht schlecht geworden und die Nummer der Telefonseelsorge griffbereit zu haben kann prinzipiell nie schaden. Attacke.^^
#10
geschrieben 30. April 2015 - 18:33
Ansonsten, wie ja schon geschrieben. Möglichst wenig Dienste draufhauen und nur das freigeben, was absolut notwendig ist. Soweit es geht, kein FTP.
#11
geschrieben 30. April 2015 - 18:38
SSH bitte mit nem ordentlichen Schlüsselpaar dichtmachen und Rootlogin per SSH verbieten. (is ne Hürde mehr für potentielle Angreifer), oder gleich auf bestimmte Quell-IP-Adressen beschränken.
Deswegen würd ich auch von *buntu abraten, da kommt einfach zuviel Schrott mit. Meine Kisten basieren mehrstenteils auf Debian in Minimalinstallation minus einiges was ich nicht brauche.
Unix won't hold your hand. You wanna shoot your foot, Unix reliably delivers the shot.
True Cloudstorage
#12 _meckyrockt_
geschrieben 07. Juni 2015 - 00:20
Zitat (Sturmovik: 30. April 2015 - 18:38)
Vielen Dank für die Empfehlung, nach Ubuntu und Linux Mint werd' ich mir nun Debian anschauen. Die 'Produktbeschreibung' sagt mir bereits sehr zu. Eine Desktopumgebung während der Installation auswählen zu können gefällt mir deutlich besser als die Lösungen der Konkurrenz.
Zitat (Sturmovik: 30. April 2015 - 18:38)
SSH bitte mit nem ordentlichen Schlüsselpaar dichtmachen und Rootlogin per SSH verbieten. (is ne Hürde mehr für potentielle Angreifer), oder gleich auf bestimmte Quell-IP-Adressen beschränken.
Hatte geplant, mit PuTTY vom Desktop aus auf den Pi zuzugreifen, daher klingt das mit der Quell-IP nicht schlecht, mal schauen, ob ich da was zu finde.
Lubuntu habe ich entsprechend verworfen. Raspbian für den BPi ist jetzt auch nicht gerade aktuell... dazu werden dem OS als portierte Lösung eventuelle leistungsspezifische Defizite nachgesagt. Denke, ich werd' Bananian ausprobieren.
Auf den Windowsdesktops virtualisiere ich (mithilfe von Oracles VirtualBox) momentan Linux nicht nur zu Testzwecken. Jeweils eine VM soll künftig via IP-Sperre im Router als einziges System ins Internet dürfen, während den Hosts aus Sicherheitsgründen Sendepause eingeräumt werden soll. Die dürfen dann alle acht Wochen oder so Updates laden.
Mit einer Umstellung des Netzwerkadapters der VM auf 'Bridged Adapter', besitzt nun jede VM eine eigene IP.
Dazu habe ich geschwind eine Frage, welche mir vll. bei meinen bisherigen Verständnisproblemen der Portweiterleitung helfen könnte:
Wie bei der Portweiterleitung unterscheidet mein Router (Astoria XYZ) auch bei den IP-Sperren zwischen IPv4 und IPv6 (was sich mir wirklich nicht erschließen will). Als IP-Filteroption hab' ich unter IPv4 alle Protokolle ausgewählt, Quell-IP-Typ auf 'Einzeln' gesetzt, bei Quell-IP-Adresse die IP des zu sperrenden Rechners eingegeben und bei Ziel-IP-Typ wieder 'Alle' eingestellt. Browser sowie Windowsupdate des beabsichtigten Rechner bekommen nun, wie gewünscht, keine Verbindung mehr, während alle anderen Systeme fröhlich weitersurfen.
Meiner Meinung nach müsste das den Rechner vollständig offline genommen haben. Irgendwie kann ich mir nicht vorstellen, dass es ernsthaft nötig sein soll, für das selbe System jetzt die IPv6 rauszusuchen um damit den anderen Reiter namens 'IPv6' zu füttern... oder?
Gibt es eine Möglichkeit in Linux und Windows mit Sicherheit zu kontrollieren, dass das System vollständig offline ist (vll. irgendetwas anpingen oder so)?
Vielen Dank für eure Hilfe.