wie steht es eigentlich mit der Sicherheit bei dem Emby Server?

    Hallo zusammen,

    vielleicht ist Frage ein bisschen dumm, aber mich würde interessieren wie es um die Sicherheit vor Angriffen um den Emby Server bestellt ist.
    Folgendes Szenario:
    da ich morgen ins Krankenhaus muss und ich nicht vor habe, an Langeweile zu sterben, habe ich kurzer Hand meinen Embyserver von außen erreichbar gemacht, Die Fritzbox bietet ja einen, zumindest nach meinem Wissen, recht stabilen, hausgeinen DYNDNS Dienst an mit MYfritz und somit war das kein Problem. Also kurzer einen Port aufgemacht, getestet und funktioniert. Da mein Nachbar auch ab und an mal einen Film gucken möchte, muss ich leider auf VPN verzichten, da er noch unbedarfter ist, als ich - bzw. ich nutze einen VPN Tunnel von unterwegs, er aber halt nicht.
    So, jetzt habe ich nur ein wenig Bedenken was die Angreifbarkeit des Embyservers angeht in diesem Szenario und auch die Tatsache, dass man ja theoretisch die privaten Inhalte öffentlich zugänglich macht. Oder sind meine Benken an dieser Stelle unnötig? Die Benutzer in Emby sind natürlich mit Passwörtern versehen, nur falls die Frage auf kommen sollte.

    Danke schon einmal im Voraus :)

    Ich habe es genauso gelöst.
    Du könntest aber "zur Sicherheit" auch auf https wechseln und ein eigenes Zertifikat hinterlegen und nur diesen Port von aussen ereichbar machen.
    Für mich selber war es nicht nötig weil ich das Abschnüffelsicherheit von Videos keine Bedeutung beimesse.
    Solange der Emby Server keine Lücke aufweist ist das ganze auch relativ sicher. Es kommt halt drauf an wie sehr du Emby vertraust.
    Als weitere Sicherheit ist der einzige Benutzer mit Adminrechten von aussen auch nicht erreichbar.
    Alle Remote Nutzer haben auch keine Lösch-Rechte.

    --------------
    Guides nicht mehr verfügbar wegen Youtube unvermögen guten von schlechten Kodi Videos zu unterscheiden.

    Habs auch über letsencrypt gelöst und hab nen direkten externen Zugang über eine Subdomain meiner Domain eingerichtet. Ich hab in Emby noch eingestellt, das die angelegten Benutzer im Login Screen nicht sichtbar sind.

    Ist pro Benutzer einzustellen.

    Nvidia Shield TV Pro
    Server: Intel Core i5-11400 CPU @ Gigabyte H510M S2H V3 Intel H470 | 3x 8TB, 4x6TB, 2x1TB Cachepool | 2x16GB DDR4-3200 | unRAID 6.12.13 | Emby | Unifi | Teamspeak | Swag | DDclient | Heimdall | PiHole | Vaultwarden | RustDesk Server

    Zitat von Justray2k

    Ist pro Benutzer einzustellen.

    Deine Auswahl reicht so nicht.
    Wichtig ist diesen Haken hier zu entfernen:

    Adminzugänge die Löschen können (oder selber die Rechte dazu vergeben können) gehören unereichbar gemacht!

    --------------
    Guides nicht mehr verfügbar wegen Youtube unvermögen guten von schlechten Kodi Videos zu unterscheiden.

    Zitat von SkyBird1980

    Ich habe es genauso gelöst.

    okay,das beruhigt mich schon einmal :) Danke


    Zitat von SkyBird1980

    Als weitere Sicherheit ist der einzige Benutzer mit Adminrechten von aussen auch nicht erreichbar.

    Das war allerdings ein sehr guter Hinweis, den ich niht bedacht habe. Danke für den Tip. Habs direkt geändert und mir jetzt einen Extra Benutzer eingerichtet für unterwegs. Der Admin bleibt jetzt lokal.

    Noch eine Frage:
    Kann man eigentlich irgendwie vorgeben dass ein Benutzer sein Passwort ändern muss? Ich finde da in den Einstellungen nichts, meine aber, so etwas mal irgendwo gesehen zu haben, ich mag mich aber irren

    Logisch @SkyBird1980 das darf natürlich auch nicht fehlen.

    Nvidia Shield TV Pro
    Server: Intel Core i5-11400 CPU @ Gigabyte H510M S2H V3 Intel H470 | 3x 8TB, 4x6TB, 2x1TB Cachepool | 2x16GB DDR4-3200 | unRAID 6.12.13 | Emby | Unifi | Teamspeak | Swag | DDclient | Heimdall | PiHole | Vaultwarden | RustDesk Server

    Zitat von darkside40

    Muss ich mir auch noch mal überlegen.
    Möchte gerne meine Schwiegereltern an den Emby anbinden.

    Problem ist nur das es für LE etc. kein Wireguard gibt und ich kein OPenVPN mehr haben möchte (hat damit btw sowieso nicht hingehauen).
    Von daher wird mir wohl nichts anderes übrigebleiben als das so zu machen und meinen Emby vorher wecken zu lassen.

    Du weckst dein Server auch per wol oder?
    Darf ich mal fragen wie du das wecken extern machst,weil ich auch noch eine geeignete Lösung suche ...

    Zitat von darkside40

    Ich hab dauerhaft nen NUC bei mir mit nginx laufen, den ich auch für das VPN usw. verwende.
    Wenn ich mich auf den einlogge (ist mit TLS und BasicAuth gesichert) dann wird der Server geweckt.
    Ich lass dafür die Log Datei von nginx überwachen.

    Wie es genau läuft habt ich hier beschrieben: https://blog.sengotta.net/nas-bei-zugrif…-wecken-lassen/

    vielen Dank
    Für VPN nutze ich über meine Pfsense.
    Hm... OK das mit dem nuc ist schon eine gute Idee...

    Was mir gerade noch eingefallen ist...
    Die Pfsense kann kann ja Geräte im Netzwerk durch Magic Packet wecken!
    Dann dürfte es normal kein Problem sein den Emby Server von außerhalb über VPN zu wecken!
    Denke aber das Openvpn zuviel Leistung fressen wird...
    Werde ich am Wochenende mal testen!

    Ist halt immer die Frage wem du es zur verfügung stellen möchtest.
    Ich habe das so gelöst weil dann auch meine Eltern auf meinen unRaid zugreifen können, einfach nur darüber das Sie die Website auf dem nginx ansurfen.
    Bei OpenVPN kannst du z.B. auch kommandos ausführen lassen (z.B. das wol Kommando) wenn sich jemand verbindet.

    Wenn du bei OpenVPN zweifel hast dann schau dir mal Wireguard an. Super Projekt, leider aber z.B. noch keine Unterstützung durch Libreelec.

    Naja
    Mir geht es nur darum meiner Schwester oder mir außerhalb meines Netzwerkes Zugriff auf Emby zu gewähren!
    Meine Schwester hat z.b. einen Raspberry Pi 3 an ihren TV mit libreelec darauf!
    Ich denke halt wenn ich dort Openvpn laufen lasse mit der Leistung ziemlich knapp wird!
    Hast du da mit einen Raspberry Pi 3 Erfahrung?

    Ich kram das hier noch mal raus.
    Da Wireguard zwar inzwischen in LE drin ist aber immer noch nicht richtig funktioniert wollte ich den Emby jetzt für die Schwiegereltern freigeben.

    Nutzt einer von euch dafür nen nginx als Reverse Proxy und könnte mal seine config posten?

    Ich geh mal davon aus das es dann so ablauft das ich alle Nutzer mit nem Passwort versehen muss (war bis jetzt ja nicht nötig da intern) und dann halt die Einstellungen machen sollte das der Admin sich nicht per Remote anmelden kann und die User nicht auf dem Anmeldebildschirm auftauchen. Sind in den letzten Monaten noch irgendwelche magischen Einstellungen hinzugekommen?

    Magische Einstellung weiß ich grad nicht.
    Ich kann nur kurz eine Erfahrung beitragen: Hab den Emby Server für nen Freund (und seinen kleinen Sohn) freigegeben. 2 User wegen FSK Profilen.
    Wenn man die User "auf dem Anmeldebildschirm ausblendet" tauchen sie auch nicht im Anmelde/Auswahlmenü von z. B. FireTV oder Tablet auf.
    An sich ist das logisch, man muss es nur berücksichtigen. Denn der kleine Mann kann seinen Namen nicht schreiben. Und auch im sonstigen IT Alltag gibts genug Leute sich ihre Usernamen nicht merken können (ich zum Beispiel).

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden