Tech. Frage Storagebox Hetzner

[david191186]

Hallo Team.
Ich habe einen Hetzner Server mit SSHFS an meine Storagebox verbunden. Funktioniert einwandfrei. Ich betreibe damit eine PHP Cloud, ähnlich wie Nextcloud.
Um die Storagebox zu verbinden muss ich immer ein Passwort mitsenden, um diese zu mounten.

Jetzt zur Frage:
Kann Hetzner in die Storagebox rein schauen, wenn sie das wollten? Also rein technisch gesehen. Sie haben ja das Passwort nicht. Falls doch, muss ich in bestimmten Bereichen eine Verschlüsslung mit ein programmieren.

 

[Deleted member 3190]

Kann Hetzner in die Storagebox rein schauen, wenn sie das wollten?

Natürlich - Denen gehört das System, auf dem du deine Daten speicherst. Die haben da Vollzugriff.

Sie haben ja das Passwort nicht.

lol - brauchen sie auch nicht.

 

[Thunderbyte]

Mit https://rclone.org/ mount könnte man bei solchen und anderen Konstellationen einen "lokalen" Mount des entfernten Services herbeiführen und dabei auch noch transparent verschlüsseln. Allerdings leidet darunter die Zugriffszeit mitunter, bis RClone da in die Pötte kommt, kann das bei einer Webanwendung vermutlich schon mal Timeouts hervorrufen.

Die beste Variante ist immer lokaler Storage, solchen kannst Du ja bei Hetzner auch nachträglich und individuell ordern: https://docs.hetzner.com/de/robot/dedicated-server/general-information/root-server-hardware/#platten

 

[david191186]

Wenn ich so darüber nachdenke: Dateien welche Geheim sein sollten, einfach mit zip oder gpg verschlüsseln. Und danach erst das .zip hochladen in die Cloud. Alles andere finde ich overkill, zumindest mit PHP. Aber ich schau mal, vielen dank erstmal.

 

[Thunderbyte]

Kann man machen, ist halt unpraktisch.

 

[GwenDragon]

Jede Person, die dein Passwort oder physikalisch Zugriff auf die Festplatten hat, kann die Daten zugreifen.
Wenn du das nicht willst, verschlüssele solche Dateien und speichere die dann auf den Remote-Speicher.
Wie viele Giga-/Tera-Byte musst du denn verschlüsseln?

 

[d4f]

Um etwas Erklärung rund um das "nein" zu bringen; prinzipiell trennt man:
- "data at rest encryption": Also dass die Daten auf dem Speichersystem nur verschlüsselt vorliegen
- "data in motion encryption": Also dass die Dateien während dem Tramsport vom/zum Speichersystem verschlüsselt sind
- "client side encryption": Also dass die Daten vor dem Transport durch den Client verschlüsselt werden

Generell sind Netzwerk-Dateisysteme *in der Basis* komplett unverschlüsselt (FC-SCSI, ISCSI, NFS, ...) oder nur im Transit verschlüsselt (SMB, SSHFS, ...). Das Prinzip bleibt dabei immer dass derjenige wo die Daten oder Volumen interpretieren soll, sie auch verstehen muss. Wenn man also diese Verwaltungsaufgabe an den Client gibt wird die Bandbreite und Ressourcenbelastung prinzipbedingt für diesen steigen, die Sicherheit aber auch da das Storage nur Datenmüll sieht.

Nebenbei gesagt ist client-side encryption der Tod von Kompressions- und Deduplikationsalgorithmen auf dem Storage. Da die üblichen Cloud-Anbieter die so gewonnenen Vorteile aber generell eh nicht an den Kunden weiterreichen, kann das dir egal sein.

Jede Person, die dein Passwort oder physikalisch Zugriff auf die Festplatten hat, kann die Daten zugreifen.

Auch wenn es etwas vom aktuellen Thema vorbei geht - bei SSD ist genereller Stand dass ein HDD-Passwort die Daten effektiv vor gängigen Angriffsmethoden schützt. Vernünftige SSD sind aufgrund wear-leveling eh AES256-verschlüsselt und der Encryption-Key wird vom Controller generiert und im internen NVRAM gespeichert - und auf Benutzerwunsch getauscht. Man erkennt diese Funktion generell daran dass die SSD einen "Secure Erase" Modus beherrschen welcher binnen Sekunden fertig ist. Nicht-staatliche Aktoren sind generell nicht in der Lage decapping+dumping von SSD-Controller "mal so" durch zu führen.

TLDR: Mit Datenspeicher ist es wie mit Emails. Der Anbieter sieht generell alles ausser du schützt dich davor

 

[johnthesecond]

> Um die Storagebox zu verbinden muss ich immer ein Passwort mitsenden, um diese zu mounten.

Nein, das ist nicht notwendig, du kannst SSH keypair authentication nutzen mit port 23. Das ist etwas komisch bei Hetzner. Hier steht ganz exakt und copy-pastebar beschrieben, wie man das macht.

> Kann Hetzner in die Storagebox rein schauen, wenn sie das wollten? Also rein technisch gesehen. Sie haben ja das Passwort nicht. Falls doch, muss ich in bestimmten Bereichen eine Verschlüsslung mit ein programmieren.

Selbstverständlich kann der Cloud provider alles sehen, was du da speicherst. Wenn das Nextcloud selbst auf einem Hetzner Cloud Server oder Root server läuft, dann kannst du dir die Verschlüsselung sparen, ausser du schiebst nur ohnehin schon verschlüsselte Daten in das Nextcloud.

Wenn dich das nervt würde ich empfehlen das Nextcloud auf einem Raspberry Pi 5 mit einer externen Festplatte oder mit dem Raspi 5 SSD adapter zu installieren und auf das ganze von aussen via dyndns zuzugreifen. Nicht vergessen das ganze über ein VPN zu tunneln oder zumindest ein self signed SSL certificate zu verwenden.

 

[GwenDragon]

Sicher kann jeder Hoster in ein Storage schauen, wenn du Daten nicht verschlüsselst, es ist deine Verantwortung, die datenschutzkonform zu halten.

 

[david191186]

Nein, das ist nicht notwendig, du kannst SSH keypair authentication nutzen mit port 23. Das ist etwas komisch bei Hetzner. Hier steht ganz exakt und copy-pastebar beschrieben, wie man das macht.

Wow, da wurde mein alter Thread vor einem Jahr wieder hochgeholt Ja, trotzdem danke für dein Beitrag. Die Verbindung über SSH ist mir schon bekannt auf die Storagebox.

 

[nexus]

Wow, da wurde mein alter Thread vor einem Jahr wieder hochgeholt

Thread Hijacking gibt es hier manchmal.
Meist sind es Leute (wie hier), die nicht auf das Datum des letzten Postings schauen, bevor sie selber posten.
Ab und an sind auch mal Trolle unterwegs oder Spammer, die einfach Werbelinks in Uralt Threads platzieren wollen.

 

[syntaxys]

Nun, gelegentlich wird man ja zur Problemlösung auch in alten Threads fündig und generell geht es ja darum, daß man sein Wissen und Erfahrungen teilt:

Ich hatte eine Weile meine sensiblen Daten in einem verschlüsselten Container in der Hetzner StorageBox liegen. Dazu hatte ich die StorageBox permanent per Samba gemounted und den Container fann in einem weiteren Verzeichnis eingehängt. Das hat grundsätzlich funktioniert, die Performance war aber ein bissl trödelig – obwohl die Verbindung innerhalb der Infrastruktur von Hetzner stattgefunden hat. Für Backups des Mailstores im Hintergrundprozess war's aber ok. Für das Konzept hatte ich auf cryptsetup gesetzt, es gibt aber sicher noch andere Tools.

Ansonsten kann ich Nextcloud für den Produktiveinsatz empfehlen, das ist schon sehr ausgereift und hat schon alles an Bord:
https://docs.nextcloud.com/server/19/user_manual/files/encrypting_files.html
Ich habe meine StorageBox auch direkt in meine Nextcloud-Instanz eingebunden, um Daten dort auszulagern. Funktioniert prima!

Noch eine Anmerkung zur Sicherheit der Daten im Rechenzentrum:
Grundsätzlich sollte man sensible Daten in einer verschlüsselten Partition lagern. Jeder Admin im Rechenzentrum hat i. d. R. auf alle unverschlüsselten Daten Zugriff. Wobei die genug anderes zu tun haben, als nachzugucken was Gretchen auf der Platte hat.

 

[d4f]

Noch eine Anmerkung zur Sicherheit der Daten im Rechenzentrum:
Grundsätzlich sollte man sensible Daten in einer verschlüsselten Partition lagern.

Der Nachteil von at-rest encryption ist leider dass der Schlüssel dazu irgendwo liegen muss. Es gibt natürlich dazu von Hardware-Security-Modules (HSM) über Secure Enclaves/SGX + TPM bis client-seitige Lösungen wie Luks+Clevis diverse Implementierungen aber im klassischsten Fall eines normalen Servers bei einem Stangenhoster wird die Lösung dann sein: über (v)KVM manuell bei jedem Boot eintippen.