Run your own f*cking infrastructure

Wolfgang Jung (post@wolfgang-jung.net)

Geschichte / DARPA

  • Dezentral
  • Autarke Systeme
  • Keine SPoFs
  • atombombensicher

Webseiten aka HTML

  • verwenden mittlerweile viele JS Libraries
  • Hipster-Alarm
  • ...Immer die neueste Library
  • ...Sicherheit und so
  • Da gibt es doch was fertiges

Webseiten aka HTML

https://twitter.com/the_jsf/status/494922194351181824

Webseiten 2

  • Unsere Webseite ist so langsam
  • CDN soll helfen
  • ...Verfügbarkeit und so
  • ...Geschwindigkeit und so

Webseiten 2a

https://duo.com/blog/malicious-hackers-take-over-media-sites-via-content-delivery-providers

Webseiten 2b

  • 1 eigener Server = 99% Verfügbarkeit
  • + 9 externe Server (jeweils 99% Verfügbarkeit)
  • = 90% Verfügbarkeit

Webseiten 2c

  • CDN auf eigener Domain und https
  • CloudFlare muss Private Key besitzen
  • Zertifikat wird sich evtl. mit anderen geteilt:
  • SSL kostet nichts mehr

Webseiten 2d

  • Geschwindigkeit?
  • Keine dynamischen Inhalte!
  • Wenn dynamisch, dann via AJAX
  • nginx mit SSL: 90.000 reqs/s
    https://www.nginx.com/blog/nginx-ssl-performance/
    https://tools.pingdom.com/#!/ek5Jz2/https://wolfgang-jung.net/cv/

Webseiten 2e

  • Aber Apache!
  • Die Zeiten sind vorbei.
    https://www.rootusers.com/linux-web-server-performance-benchmark-2016-results/

Webseiten 3

  • Eigener Server
  • Aber dann werde ich gehackt, oder?
  • Größerer Provider, lohnenswerteres Ziel!
  • Server verwalten ist so aufwendig?
  • Daher automatisieren (unattended-upgrades)!
  • ...günstiges Hosting

Webseiten 3

https://www.reddit.com/r/webhosting/comments/80i54b/just_discovered_my_web_hosting_provider_is/

Werbung

  • „Aber ich möchte damit Geld verdienen”
  • ...Tust Du aber eh nicht
  • Ad-Blocking gehört zur digitalen Selbsverteidigung
  • Bei den Aufrufzahlen im privaten Bereich: irrelevant
  • Nach EU-DSGVO eh fragwürdig
  • Haftung durch den Seitenbetreiber?

Werbung

https://www.zdnet.com/article/hackers-now-mining-cryptocurrency-by-invading-ad-networks/

Email 1

  • Trotz aller Mängel ist Email immer noch unverzichtbar
  • „Wer Deine Email kontrolliert, ist von Dir nicht zu unterscheiden”
    • Passwort-Reset bei Amazon, Google, Facebook, iCloud

Email 2

  • Emailadresse als URI
  • Sollte längere Zeit gleich bleiben
  • Vielleicht lebenslang?
    https://web.archive.org/web/20030220140441/http://www.epost.de:80/

Email 2

https://web.archive.org/web/20060112083025/http://www.epost.de:80/

Email 3

  • Dann lass uns die Mail bei jemand Großes hosten
  • ...Google wird schon nicht pleite gehen

Email 3

https://www.reddit.com/r/tifu/comments/8kvias/tifu_by_getting_google_to_ban_our_entire_company/

Email 4

  • Aber dann ist die wenigstens sicher...

Email 4

https://www.theguardian.com/technology/2017/jun/26/google-will-stop-scanning-content-of-personal-emails

Email 5

  • Ok, google hat „Don't be evil” gestrichen, verstanden
  • Dann halt Microsoft
  • Die werden doch nicht in die Dokumente schauen...

Email 5

https://www.heise.de/newsticker/meldung/Porno-und-Hassfilter-Microsoft-verbannt-anstoessige-Sprache-aus-Online-Diensten-4006462.html

Email 6

  • Aber einen eigenen Mailserver?
  • Dann lande ich doch auf den Spamlisten!
  • Well...

Email 6

https://techcommunity.microsoft.com/t5/Exchange/Office-365-Exchange-Online-server-blacklisted/td-p/31743

Cloud 1

  • Dokumentenaustausch
  • git versteht ja keiner
  • Microsoft mag kein git
  • git mag kein Microsoft
  • Da gibt es doch was von DropBox...

Cloud 1

https://www.cultofmac.com/299454/dropbox-bug-leaves-users-with-missing-files/

Cloud 2

  • Dann wenigstens die Rechner
  • Keine Wartung der Hardware mehr!
  • Keine Sicherheitslücken mehr!
  • Da gibt es doch was von Intel...

Cloud 2

8. Januar 2018 veröffentlicht, seit Juni 2017 den Betroffenen bekannt

Cloud 3

  • Aber wenigstens werden die Fehler dann schnell behoben
  • Da muss ich mich doch nicht drum kümmern
  • Da gibt es doch was von der Telekom...

Cloud 3

via Email

Cloud 4

  • High-Availability!
  • Resilience!
  • Well...

Cloud 4

uint8_t ? RLY?

Cloud 5

  • „Bei uns funktionierte es aber”
  • Debugging ist kaum möglich
  • nicht konfigurierbare Timeouts im LoadBalancer...
    Hardcodierter Timeout nach 50s

Geschichte / DARPA

  • Dezentral: Immer mehr Seiten, die auf apis.google.com oder fonts.googleapis.com verweisen
  • Autarke System: Buildprozesse, die von github abhängig sind (npm: is-number)
  • Keine SPoFs: Multiple CDNs, die letztlich die Ausfallwahrscheinlichkeit erhöhen
  • Atombombensicher: Well...

Auswege

  • Verteilen (im Sinne von dezentralisieren)
  • Dienste selbst bereitstellen
  • Minimum:
    • Mail
    • Webspace
  • Optional:
    • git
    • webdav
    • DNS

Aber wie?

Webspace

  • VServer kostet monatlich 2,99 €
  • Domain beantragen, IP eintragen, Debian installieren
  • auto-update aktivieren, fail2ban!
  • nginx installieren
  • lets encrypt
  • Seiten via hugo offline rendern
  • oder mysql/wordpress installieren
  • fertig

Email

  • VServer oder gemietetes/eigenes Blech (CoLocation ab 39,00 €/Monat)
  • Eigenes Blech: Disk-Encryption funktioniert dann
    • Bonus: Meltdown interessiert nicht, da nur eigene Prozesse
  • Reverse-Lookup zwingend notwendig!
  • postfix/dovecot/opendkim etc.
  • oder via docker:
    docker pull tvial/docker-mailserver:latest

git

Webdav/storage

DNS

  • Eigene Infrastruktur aufbauen oder DNS hosten lassen
  • Mindestens zwei Domains, unterschiedliche IPv4 Netze
  • DNS Provider sollte DNSSEC unterstützen, z.B. inwx.de
  • bind9, powerdns, knot-dns.cz. Alle DNS-Features möglich
  • oder knotdns via docker:
    docker pull cznic/knot

IoT-Bridge

  • Lokaler Raspberry funktioniert auch ohne Internet
    https://twitter.com/andrewx192/status/846134369584492544?lang=de
  • Kosten: 32€, SD-Card fliegt immer rum 0€, altes USB-Ladegerät 0€
  • Raspberry kann noch andere Dinge übernehmen: Streaming, RF-Control, IR-Control, ...

Social Media

  • „Aber ich möchte doch wissen, was so gerade passiert”
  • RSS Reader!
  • Bloggen, RSS Feed bereitstellen

DSGVO!!11elf

  • „Ich will aber keine 20 Mio € zahlen!”
  • Selber hosten → Keine Übermittlung an Dritte
  • Keinen Scheiß von extern einbinden
  • „Aber die Server-Logs”
  • Berechtigtes Interesse nach § 6 (1) f für fail2ban etc. danach Löschen oder Maskieren.

DSGVO!!11drölf

  • „Aber die Emails!”
  • Senden einer Email gilt als konkludentes Handeln für die Erfassung der Absenderinformation.
  • https://ditze.net/datenschutzerklaerung/

Passworte

  • Passwortmanager ist wichtig!
  • KeePass, Enpass, pass
  • 2FA ist für die zentralen Dienste wichtig
  • TOTP (Google Authenticator) oder U2F
  • Das Passwort ist kein zweiter Faktor zum Benutzername
  • Passwörter bei Fremden in die Cloud zu legen, nun ja

Passworte

https://www.pcworld.com/article/3185731/security/lastpass-is-scrambling-to-fix-another-serious-vulnerability.html#tk.rss_all

Fragen?