Moja preporuka je samo da disclamer stavis na pocetak da nisi puno bio opterecen sa sigurnosti da su dolje u threadu neke preporuke, da nebi nekog slucajno haknilo pa da ne nosis na dusi :D

Inače iscrpan i detaljan i odlican guide.

A što se tiče komentara "Ko će mene haknut" nece niko ciljeno nego ce pustit skriptu koja roka IP-jeve, nac ce otvorene portove, cisto na random, i onda ide daljnje kopanje Script Kiddiesa, koji se nekad i probiju.

Da ti pravo kažem nemam pojma šta sam dobio, ovo piše za moj plan:

https://i.postimg.cc/T1FL6ydB/Image-004.png

https://i.postimg.cc/ZnxbfC9r/Image-005.png

U SSL se apsolutno ne razumijem, tek trebam počet to istraživati...
Koliko sam skužio, ako ovdje na drugoj slici stavim "Full", onda moram instalirati "self signed certificate" u RPI OS po ovim uputstvima ?

Ides ili na Full (strict) + Letsencrypt cert ili na Full + selfsigned cert po ovim uputama:


https://www.baeldung.com/openssl-self-signed-cert

pa ide na full strict
pogledaj screenshot dobio je cert ne treba letsencrypt

https://i.postimg.cc/yNSycvvr/Image-004.png

Isto sam morao otvoriti port 443 na routeru.

U Cloudflare sam stavio Full Strict.
Za sada sve radi. Idemo dalje.

Hehe, kada je Blaster krenuo u ljeto 2003. Windoze nisu imale Firewall ;) Sjećam se ko jučer jer sam tada trebao biti na Zrču a umjesto toga sam u potpuno pustom i usijanom Zagrebu zatvarao RPC u iptablesima prema Win mašinama i čekao patch da ga odmah aplajam.


Nakon toga je izašao SP2 za XP a s njime i Windows Firewall :)

Misliš za 24 minute? :D

još ovo

https://www.wpbeginner.com/wp-tutori...s-in-htaccess/

Riješeno i to :goood:

Kako nisu, pojele ti droge mozak na Zrču :)

Tvoj Asus je puno vise od kucnog rutera, stavi mu gore Merlin, ukljuci Skynet i Bog da te vidi!

Sada jos malo kreni u istrazivanje (reverse) proxyja da mozes hostati vise od jednog domenskog resursa pa nam pisi malo i o tome.

BTW, na stranu sto si zagrebao mozda 5% ukupne price, cestitke na trudu da kopas i ucis sam i onda to jos malo dodatno izdokumentiras! ;)

Najbolje da ima i consent form da netko ne kaze poslje da ga je silovao.

Ovo ću sljedeće probati.
Inače, šokiralo me da ovaj Asus, koliko god dobar bio, nema uopće VLAN mogućnost, čak niti u Merlinu.

Sad tek kao testiraju VLAN u beta firmwareu.

[GUIDE] Kako jeftino hostati website kod sebe doma na Raspberry Pi-ju
 

Da bar možda bi danas bio pametniji ali na kraju nisam niti jednom otišao :D U to vrijeme je tamo navodno još bilo ok.

Ma ono što je bilo prije SP2 nije se ni moglo nazvati firewallom. Kao što kažeš bio je tamo ali kao da nije.

koji je to Asus ?

Ovo me zainteresiralo.
U postavke firewalla sam uključio opciju "Inbound firewall rules". Googlajući o tome, to bi trebala biti pravila koja dopuštaju određenim IP adresama pristup određenom portu u routeru, a firewall blokira sve ostalo.

Sa tvog linka sam ubacio nekoliko Cloudflare IPjeva u svoje Inbound firewall rules. Da li to sada znači da jedino promet sa tih IP-jeva ima pristup mom 443 portu ?
Port forwarding mi je i dalje uključen i 443 otvoren.

Postavke:
https://i.postimg.cc/V0mqhZSx/Image-002.png

Nažalost VLAN mogućnost trenutno nemam, a i nije mi baš jasno, ako odvojim RPI u poseban VLAN, kako mu onda pristupim sa svog kompa koji je u drugom VLAN-u ? Zar nisu oni tada praktički na odvojenim LAN-ovima, samo ne fizički nego softverski ? Pretpostavljam da onda trebam opet neka čuda izvoditi poput Wireguard tunela između jednog i drugog :suicide:

Nisam 100% siguran da nasi Asusi mogu importati tu CF listu sa ukljucenim subnetima (CIDR)... Sama IP adresa x.x.x.0 nema nikakvu finkciju.
Kod mene na Merlinu je to malo drukčije, piše da mogu unijeti IP range adresa (IP/CIDR):
https://i.imgur.com/9ch8KXz.png

Probaj to na nacin da public IP tvog mobitela ubacis u listu pa probaj pristupiti sajtu kako si zamislio.

VLAN-ovima pristupas tako da definiras dozvole kroz firewall (ili ACL) medju mrezama. Jedan rule te dijeli od pristupa tvom hardveru. Neki firewallovi imaju politiku "deny all" (npr. Opnsense/pfsense) pa moras raditi dozvole i "rupe" te ga na taj nacin konfigurirati. Neki pak imaju politiku "allow all" kod kreiranja VLAN-ova (Omada) pa moras prvo sve blokirati, da bi napravio male rupe i dozvole.

Stariji Asusi su podrzavali nekih 3-4 predefinirana VLAN-a i to se uz malo kemijanja dalo iskonfigurirati sa switchem. Zbilja ne znam kakva je kasnije bila situacija, ne pratim vise. Ovo je bilo za stare rutere na 386-388 firmwareu:
https://www.snbforums.com/threads/ho...equired.85850/

Nedavno sam izasao iz Asus ekosustava, nisam ga nikako mogao jednostavno uklopiti u plan s VLAN-ovima. Previse driblanja, premalo vremena.

Šta se tiče ovih sigurnosnih postavki i savjeta, malo sam se pozabavio sa time i trenutno je ovo rezultat:

Implementirao:

1. HTTPS na Cloudflare
2. Geoblock na Cloudflare (Azija i Afrika)
3. Fail2Ban
4. "Omogucavanje SSH pristupa samo sa valjanim kljucem - nikako lozinkom i samo specificnom korisniku"
5. Restrikcija admin pristupu za Wordpress samo iz lokalne mreže, i samo sa mog PC-a
6. LetsEncrypt - SSL certifikat
7. modevasive za Apache
8. Lynis - baci me u depresiju kad ga pokrenem i vidim koliko crvenog ima unatoč svom trudu, ali neka stoji
9. Apparmor - dobio defaultno sa Debianom 12, ali nešto nije u redu s njim. Ne radi i nije učitao profile. Googlajući apparmor wiki, treba neke stvari dodati u /etc/default/grub ali ja uopće nemam taj file
10. SSH postavke i Kernel/Sysctl optimizacija od Tomeka
11. 2FA za sudo

Preskočio:

1. Suricatu - nepotrebno za moje potrebe
2. "Kad pristupas izvana lokalnoj instanci na internoj mrezi nikad nemoj defaultne portove koristiti - uvijek nesto tipa port 9443 ili slicno pa kroz router forwardaj interno na 443 na lokalnoj masini koja hosta sadrzaj" - ovo ne znam kako izvesti
3. psacct/sysstat kombinacija - dobre stvari, ali trenutno mi ne treba audit resursa, a još manje aktivnosti zaposlenika. sysstat možda naknadno instaliram.
4. rkhunter - mislim da je nepotrebno
5. Firewalld/ufw - ne vidim smisao kad je firewall od routera već aktivan ?
6. IDS/IPS - to mi router već ima u vidu nekog svog "AiProtection" modula

Jesam šta zaboravio?
Uskoro ide i guide kako sve to postaviti, budem editirao prvi post, nema druge.



Hmm, to imam i ja, ali spada pod IPv6 ?

https://i.ibb.co/TMKhMH7/Image-002.png

Znači ove gore IP-ove mogu komodno izbrisati jer ne služe ničemu ?

Ne znam je li to korištenje non-default portova primjenjivo na hostanje web sajtova, nisam nikada radio sa sajtovima. Ako hostaš neke servise onda to možeš složiti korištenjem external i internal porta - external port je onaj koji pišeš uz sajt (može biti bilo što), a internal je onaj port iza kojeg stoji taj servis na lokalnoj mreži. Internal port je opcionalan i ako nije naveden onda se podrazumijeva da je isti kao external port:

https://i.ibb.co/M972DYm/reregh.png


Osobno bih provjerio kako Asusov firewall točno radi i što propušta/dozvoljava. Možda propušta više nego što misliš :/ Guglajući nalazim info da je po defaultu "block all", osim ako si otvorio port ili otvorio uslugu tipa VPN server na ruteru.
UFW se ako se ne varam u par komandi može potpuno zatvoriti, i onda ga postupno otvaraš gdje trebaš. To je čak i oke, to radiš za jedan jedini uređaj kojem si otvorio port prema netu. Tada ti je malo manje bitan ruterov firewall. Nisam nikada previše doživljavao Asusov firewall pa ti neću reći dobar je/loš je :)

Asusov IDS/IPS bi uzeo sa zrnom soli. To je proprietary komad softvera o kojem se ne zna previše (closed-source).



Imaš pravo, meni je WAN na ruteru iskopčan (kao što rekoh, nema svrhu trenutno) pa kompletno fali IPv4 tablica, ludo. Da, IP-evi kao takvi nemaju smisla na način kako su upisani. U tablicu možeš unijeti single IP, ne range, a to nema baš previše smisla onda. Ali kažem ti, probaj upisati unutra tvoj public IP od moba pa se igraj, probaj blokirati samo tvoj mob pa vidi možeš li uopće pristupiti sajtu.

1. Kombinacija Suricate i psacct/sysstat ti sluzi za debuging ako ti neko provali pa da lakse uocis provalu i sto je radeno.
2. Lokalni Firewall mozes izostaviti i ovom slucaju no imaj na umu da ako ti netko probije router dajes mu sve na lokanoj mrezi na dlanu.
3. U slucaju provale i neovlastene instalacije malware-a rkhunter je jednostavan nacin da prepoznas i elminiras prijetnju (manje vjerojatan scenarij, po onome sto sam ja vidio najcesce se mijenjaju configovi za potrebe klinaca)
4. Port forwarding konfiguriras na routeru.
5. Airprotection je dovoljno dobar za ovu namjenu. Ako pusta logove za lokalnog admina nemas potrebe za drugim rijesenjem (vidi tocku 1).

Moras gledat na sigurnost kao slojeve luka :lol2: Kad je u pitanju sigurnost vise nije uvijek bolje ali nekoliko dobro implementirana rijesenja su uvijek dobra predispozicija da zadas vise muke klincima. Slazem se da ne treba pretjerivat - svatko treba za sebe odluciti nakon sto se informira (jedan od razloga zasto nikad nisam pisao tutorial za ove stvari). Pogotovo u danasnje vrijeme dosta ekipe shvaca sigurnost dosta labavo.

P.S.- kod Geoblockinga racunaj na to da ekipa masovno VPN-ove koristi (ili servere na razlicitim lokacijama ali ovi prvi ce vjerojatnije pokusat nesto nego ovi drugi u ovom slucaju).

Mene vise zanima sam site i kako ce to runat na tom home hostu. Ajd ga sheraj da ga testiramo. Kao sto sam napisao ja sam proucavao isto to ali odustao iz brojnih razloga, ali me jako zanima kak to izgleda i radi dok se napravi jer imam doma masine, prave masine koje runaju 24/7 pa je to bio razlog, da kad vec runaju 24/7 da ih iskoristim za hosting. Cak si mislim da sam se isto konzultirao ovdje na forumu i par kolega mi je stavilo bubu u uho gdje je problem.

ne daj link nikome ovdje

Pod testirao sam mislio cisto da vidimo jel brzina otvaranja dobra, jel ima gresaka ako se prebrzo surfa i tako. A i neznam cemu panika kada je postavio sve ove moguce i nemofguce zastite ko da hosta pentagon.

Nije :kafa:

Apparmor



pam_tally2



Je li bilo riječi o Advanced Intrusion Detection Environment (AIDE)? Provjerava integritet fileova, slično naredbi rpm -V na RedHat distribucijama.



I kad riješiš RPi, skužiš da je router slaba točka. :D Guglaj model routera exploit, vulnerability i slično pa krpaj...

Znam da kolega NEO ima i neke coinove buduci je dosta aktivan u Crypto podforumu, toplo mu preporucam da ti coinovi (i sve vezano za njih) nisu na istoj mrezi kao ovaj web pa makar stavio sve ove zastite spomenute u ovom topicu.

a možda baš koristi web sa čuva gore wallete

Ovo je fora thanks :chears:


P.S. postoji jos i ovo:


https://www.tripwire.com/


Zgodno ako ne koristis Puppet (sto nikad nebih doma upogonio). Pocetna konfiguracija ja malo "too much" al jednom kad postelas - milina.

Hvala, proučit ću, ali nisam pristaša komercijalnih alata na Linuxu. :D

Merlin i Skynet instalirani.
Fora je vidit da te najviše probiraju iz Singapura.

https://i.postimg.cc/vc7fW5Z1/Image-005.png



Dobijem:

https://i.postimg.cc/CLBC7qZn/Image-002.png


Instalirao.


Dobijem:

https://i.postimg.cc/BZyHjnhS/Image-004.png


Dobijem:

https://i.postimg.cc/D0srvV3d/Image-006.png


Dobijem:

https://i.postimg.cc/76J79vh8/Image-007.png



Ovo više nema za Debian 12.


Pa mislim da je sad prilično dobar za home router, pogotovo nakon Skyneta. Dosta robustan firewall, nema veze sa tvorničkim.


Ti kao kolega cryptaš bi trebao znati da coini nisu na "mreži kao ovaj web", već na blockchainu, a keyevi mogu biti na mreži (ako je netko dovoljno glup ih tamo držat, umjesto na hw walletu) ;)

Debian kao distribucija je dosta gola, ne znači da je to loše, ali u ovom slučaju moguće da nedostaje neki preduvjet u vidu nekog paketa ili dodatne konfiguracije. Vjerujem da ćeš naći problem. :)