Es ist mal wieder DID!
Ich mache heute kein Projekt, habe aber diesen Monat Immich aufgesetzt. Das ist eine Google Fotos-ähnliche selbstgehostete Fotoapp und ich muss sagen: Ich bin begeistert. Hat gut funktioniert, die Einrichtung war schnell, der Updateprozess ist einfach und das Programm macht einen wahnsinnig professionellen Eindruck. Es mappt dir deine Fotos auf eine Karte, macht sogar eine Verschlagwortung und Gesichtserkennung auf lokaler Basis und ist wirklich eine hervorragende Alternative. Kann ich euch nur empfehlen.
Hast du deine nextcloud aus dem internet zugänglich, oder nur per reverse proxy/lan only? Ich überleg noch die beste lösung. Wahrscheinlich fail2ban und traefik, nach aktuellem nachforschungsstand
Nutze sie erstmal nur local.
Fail2ban gegen brute-forcing und traefik gegen DoS? Nextcloud hat ja eingebauten Schutz gegen brute-forcing, also solange die Passwörter einigermaßen was taugen sollte da nichts passieren (idealerweise halt lange Passwörter mit Passwortmanager). Gegen DDoS hab ich momentan nichts auf meiner Instanz, hab aber in den vielen Jahren die sie läuft bisher nichts bemerkt.
PS: Fail2Ban hab ich bei SSH im Einsatz, weil da kommt sogar ein gewisser Traffic zusammen mit den ganzen Bots, selbst wenn man ausschließlich pubkey authentication aktiviert.
Traefik als reverse proxy/tunnel innerhalb des netzwerks, also dass traffic vom incoming port ausschließlich zur entsprechenden VM/service geroutet wird.
Also selbst wenn öffentlich, dann nur mit Reverse Proxy. Aber ich hab genau die Lösung die dir vorschwebt und das funktioniert bisher gut. Kannst, wenn du ein wildcard certificate hast, auch interne Dienste darüber leiten damit du die per sub.domain.xx aus deinem internen Netzwerk aufrufen kannst.