Ovo ću sljedeće probati.
Inače, šokiralo me da ovaj Asus, koliko god dobar bio, nema uopće VLAN mogućnost, čak niti u Merlinu.

Sad tek kao testiraju VLAN u beta firmwareu.

[GUIDE] Kako jeftino hostati website kod sebe doma na Raspberry Pi-ju
 

Da bar možda bi danas bio pametniji ali na kraju nisam niti jednom otišao :D U to vrijeme je tamo navodno još bilo ok.

Ma ono što je bilo prije SP2 nije se ni moglo nazvati firewallom. Kao što kažeš bio je tamo ali kao da nije.

koji je to Asus ?

Ovo me zainteresiralo.
U postavke firewalla sam uključio opciju "Inbound firewall rules". Googlajući o tome, to bi trebala biti pravila koja dopuštaju određenim IP adresama pristup određenom portu u routeru, a firewall blokira sve ostalo.

Sa tvog linka sam ubacio nekoliko Cloudflare IPjeva u svoje Inbound firewall rules. Da li to sada znači da jedino promet sa tih IP-jeva ima pristup mom 443 portu ?
Port forwarding mi je i dalje uključen i 443 otvoren.

Postavke:
https://i.postimg.cc/V0mqhZSx/Image-002.png

Nažalost VLAN mogućnost trenutno nemam, a i nije mi baš jasno, ako odvojim RPI u poseban VLAN, kako mu onda pristupim sa svog kompa koji je u drugom VLAN-u ? Zar nisu oni tada praktički na odvojenim LAN-ovima, samo ne fizički nego softverski ? Pretpostavljam da onda trebam opet neka čuda izvoditi poput Wireguard tunela između jednog i drugog :suicide:

Nisam 100% siguran da nasi Asusi mogu importati tu CF listu sa ukljucenim subnetima (CIDR)... Sama IP adresa x.x.x.0 nema nikakvu finkciju.
Kod mene na Merlinu je to malo drukčije, piše da mogu unijeti IP range adresa (IP/CIDR):
https://i.imgur.com/9ch8KXz.png

Probaj to na nacin da public IP tvog mobitela ubacis u listu pa probaj pristupiti sajtu kako si zamislio.

VLAN-ovima pristupas tako da definiras dozvole kroz firewall (ili ACL) medju mrezama. Jedan rule te dijeli od pristupa tvom hardveru. Neki firewallovi imaju politiku "deny all" (npr. Opnsense/pfsense) pa moras raditi dozvole i "rupe" te ga na taj nacin konfigurirati. Neki pak imaju politiku "allow all" kod kreiranja VLAN-ova (Omada) pa moras prvo sve blokirati, da bi napravio male rupe i dozvole.

Stariji Asusi su podrzavali nekih 3-4 predefinirana VLAN-a i to se uz malo kemijanja dalo iskonfigurirati sa switchem. Zbilja ne znam kakva je kasnije bila situacija, ne pratim vise. Ovo je bilo za stare rutere na 386-388 firmwareu:
https://www.snbforums.com/threads/ho...equired.85850/

Nedavno sam izasao iz Asus ekosustava, nisam ga nikako mogao jednostavno uklopiti u plan s VLAN-ovima. Previse driblanja, premalo vremena.

Šta se tiče ovih sigurnosnih postavki i savjeta, malo sam se pozabavio sa time i trenutno je ovo rezultat:

Implementirao:

1. HTTPS na Cloudflare
2. Geoblock na Cloudflare (Azija i Afrika)
3. Fail2Ban
4. "Omogucavanje SSH pristupa samo sa valjanim kljucem - nikako lozinkom i samo specificnom korisniku"
5. Restrikcija admin pristupu za Wordpress samo iz lokalne mreže, i samo sa mog PC-a
6. LetsEncrypt - SSL certifikat
7. modevasive za Apache
8. Lynis - baci me u depresiju kad ga pokrenem i vidim koliko crvenog ima unatoč svom trudu, ali neka stoji
9. Apparmor - dobio defaultno sa Debianom 12, ali nešto nije u redu s njim. Ne radi i nije učitao profile. Googlajući apparmor wiki, treba neke stvari dodati u /etc/default/grub ali ja uopće nemam taj file
10. SSH postavke i Kernel/Sysctl optimizacija od Tomeka
11. 2FA za sudo

Preskočio:

1. Suricatu - nepotrebno za moje potrebe
2. "Kad pristupas izvana lokalnoj instanci na internoj mrezi nikad nemoj defaultne portove koristiti - uvijek nesto tipa port 9443 ili slicno pa kroz router forwardaj interno na 443 na lokalnoj masini koja hosta sadrzaj" - ovo ne znam kako izvesti
3. psacct/sysstat kombinacija - dobre stvari, ali trenutno mi ne treba audit resursa, a još manje aktivnosti zaposlenika. sysstat možda naknadno instaliram.
4. rkhunter - mislim da je nepotrebno
5. Firewalld/ufw - ne vidim smisao kad je firewall od routera već aktivan ?
6. IDS/IPS - to mi router već ima u vidu nekog svog "AiProtection" modula

Jesam šta zaboravio?
Uskoro ide i guide kako sve to postaviti, budem editirao prvi post, nema druge.



Hmm, to imam i ja, ali spada pod IPv6 ?

https://i.ibb.co/TMKhMH7/Image-002.png

Znači ove gore IP-ove mogu komodno izbrisati jer ne služe ničemu ?

Ne znam je li to korištenje non-default portova primjenjivo na hostanje web sajtova, nisam nikada radio sa sajtovima. Ako hostaš neke servise onda to možeš složiti korištenjem external i internal porta - external port je onaj koji pišeš uz sajt (može biti bilo što), a internal je onaj port iza kojeg stoji taj servis na lokalnoj mreži. Internal port je opcionalan i ako nije naveden onda se podrazumijeva da je isti kao external port:

https://i.ibb.co/M972DYm/reregh.png


Osobno bih provjerio kako Asusov firewall točno radi i što propušta/dozvoljava. Možda propušta više nego što misliš :/ Guglajući nalazim info da je po defaultu "block all", osim ako si otvorio port ili otvorio uslugu tipa VPN server na ruteru.
UFW se ako se ne varam u par komandi može potpuno zatvoriti, i onda ga postupno otvaraš gdje trebaš. To je čak i oke, to radiš za jedan jedini uređaj kojem si otvorio port prema netu. Tada ti je malo manje bitan ruterov firewall. Nisam nikada previše doživljavao Asusov firewall pa ti neću reći dobar je/loš je :)

Asusov IDS/IPS bi uzeo sa zrnom soli. To je proprietary komad softvera o kojem se ne zna previše (closed-source).



Imaš pravo, meni je WAN na ruteru iskopčan (kao što rekoh, nema svrhu trenutno) pa kompletno fali IPv4 tablica, ludo. Da, IP-evi kao takvi nemaju smisla na način kako su upisani. U tablicu možeš unijeti single IP, ne range, a to nema baš previše smisla onda. Ali kažem ti, probaj upisati unutra tvoj public IP od moba pa se igraj, probaj blokirati samo tvoj mob pa vidi možeš li uopće pristupiti sajtu.

1. Kombinacija Suricate i psacct/sysstat ti sluzi za debuging ako ti neko provali pa da lakse uocis provalu i sto je radeno.
2. Lokalni Firewall mozes izostaviti i ovom slucaju no imaj na umu da ako ti netko probije router dajes mu sve na lokanoj mrezi na dlanu.
3. U slucaju provale i neovlastene instalacije malware-a rkhunter je jednostavan nacin da prepoznas i elminiras prijetnju (manje vjerojatan scenarij, po onome sto sam ja vidio najcesce se mijenjaju configovi za potrebe klinaca)
4. Port forwarding konfiguriras na routeru.
5. Airprotection je dovoljno dobar za ovu namjenu. Ako pusta logove za lokalnog admina nemas potrebe za drugim rijesenjem (vidi tocku 1).

Moras gledat na sigurnost kao slojeve luka :lol2: Kad je u pitanju sigurnost vise nije uvijek bolje ali nekoliko dobro implementirana rijesenja su uvijek dobra predispozicija da zadas vise muke klincima. Slazem se da ne treba pretjerivat - svatko treba za sebe odluciti nakon sto se informira (jedan od razloga zasto nikad nisam pisao tutorial za ove stvari). Pogotovo u danasnje vrijeme dosta ekipe shvaca sigurnost dosta labavo.

P.S.- kod Geoblockinga racunaj na to da ekipa masovno VPN-ove koristi (ili servere na razlicitim lokacijama ali ovi prvi ce vjerojatnije pokusat nesto nego ovi drugi u ovom slucaju).

Mene vise zanima sam site i kako ce to runat na tom home hostu. Ajd ga sheraj da ga testiramo. Kao sto sam napisao ja sam proucavao isto to ali odustao iz brojnih razloga, ali me jako zanima kak to izgleda i radi dok se napravi jer imam doma masine, prave masine koje runaju 24/7 pa je to bio razlog, da kad vec runaju 24/7 da ih iskoristim za hosting. Cak si mislim da sam se isto konzultirao ovdje na forumu i par kolega mi je stavilo bubu u uho gdje je problem.

ne daj link nikome ovdje

Pod testirao sam mislio cisto da vidimo jel brzina otvaranja dobra, jel ima gresaka ako se prebrzo surfa i tako. A i neznam cemu panika kada je postavio sve ove moguce i nemofguce zastite ko da hosta pentagon.

Nije :kafa:

Apparmor



pam_tally2



Je li bilo riječi o Advanced Intrusion Detection Environment (AIDE)? Provjerava integritet fileova, slično naredbi rpm -V na RedHat distribucijama.



I kad riješiš RPi, skužiš da je router slaba točka. :D Guglaj model routera exploit, vulnerability i slično pa krpaj...

Znam da kolega NEO ima i neke coinove buduci je dosta aktivan u Crypto podforumu, toplo mu preporucam da ti coinovi (i sve vezano za njih) nisu na istoj mrezi kao ovaj web pa makar stavio sve ove zastite spomenute u ovom topicu.

a možda baš koristi web sa čuva gore wallete

Ovo je fora thanks :chears:


P.S. postoji jos i ovo:


https://www.tripwire.com/


Zgodno ako ne koristis Puppet (sto nikad nebih doma upogonio). Pocetna konfiguracija ja malo "too much" al jednom kad postelas - milina.

Hvala, proučit ću, ali nisam pristaša komercijalnih alata na Linuxu. :D

Merlin i Skynet instalirani.
Fora je vidit da te najviše probiraju iz Singapura.

https://i.postimg.cc/vc7fW5Z1/Image-005.png



Dobijem:

https://i.postimg.cc/CLBC7qZn/Image-002.png


Instalirao.


Dobijem:

https://i.postimg.cc/BZyHjnhS/Image-004.png


Dobijem:

https://i.postimg.cc/D0srvV3d/Image-006.png


Dobijem:

https://i.postimg.cc/76J79vh8/Image-007.png



Ovo više nema za Debian 12.


Pa mislim da je sad prilično dobar za home router, pogotovo nakon Skyneta. Dosta robustan firewall, nema veze sa tvorničkim.


Ti kao kolega cryptaš bi trebao znati da coini nisu na "mreži kao ovaj web", već na blockchainu, a keyevi mogu biti na mreži (ako je netko dovoljno glup ih tamo držat, umjesto na hw walletu) ;)

Debian kao distribucija je dosta gola, ne znači da je to loše, ali u ovom slučaju moguće da nedostaje neki preduvjet u vidu nekog paketa ili dodatne konfiguracije. Vjerujem da ćeš naći problem. :)

Ja nebi mirno spavao sa ovim nacinom hostanja weba i sheranjem interneta s uredjajima koji imaju bilo kakve veze s cryptom.

Cekaj, Neo, jos te nisu hakovali ?

Pokušavaju, ali implementirao sam najbolju zaštitu koju ni NSA ne može probiti.
Isključio sam RPI. :D
Šalu na stranu, u Skynetu vidim točno koje portove snifaju (80 predvodi) i odakle (USA trenutno).

Originalni post editiran, dodane sigurnosne postavke. Hvala svima ovdje koji su doprinijeli tome.

Nešto sam sjebo sa prijašnjom instalacijom eksperimentirajući, i uglavnom da ne duljim, završio sam sa ponovnom instalacijom svega iz početka :D
Sad sam došao do zadnjeg koraka, vađenje SSL certifikata.
Pratio iste upute koje sam i sam pisao u prvom postu i koje su radile prvi puta, ali sad više neće pa neće.

Dobijem ovo kada bi certbot trebao izdati certifikat:

https://i.postimg.cc/gJxrQB58/Image-002.png


Probao sam sva "rješenja" na internetu, ali nijedno ne pomaže.
Ovo šta certbot izbaci da je možda firewall problem, nije ni to, jer sam pogasio sve firewalle i pokušao ponovo, pa opet neće (također provjerio jesu li pogašeni).

Probao i mijenjati permissions za ovaj direktorij po nekim uputstvima s neta, ali ni to ne pomaže.

Nekoliko puta sam već do sada pokušavao razna rješenja, čak restore konfiguracije prije instalacije snapd-a i certbota, pa sve nanovo, ali nakon svakog 5. pokušaja me sustav banira na 1h.

Ja ne znam više šta napraviti, a pogotovo mi nije jasno kako je ista procedura prvi put savršeno uspjela, a sad neće. Ima tko ideju ?

jesi probao napraviti port forward porta 80 prema rpi ?

EDIT:
vjerojatno su te hakirali

Ruter rekt.

Za vise info sheraj logove, provjeri apache settings unutra su ti fileovi koje certbot kreira i koristi, vjerojatno je doslo do konfuzije buduci si prije imao settingse koji rade, a sad nanovo si napravio i imas koji ne rade. To moras uskladiti.

Jesi obrisao sve staro vezano za SSL? Ako nisi onda probaj u tom smjeru popravljat.

Ako nemas nista konstruktivno pridonjeti raspravi i problemu ne trollaj. Covjek se potrudio nesto konstruktivno napraviti i dokumentirat za ostale i usput uci a ti tako. :nono:

@Neo-ST > Cekiraj Logove.

P.S.- zbog ovakvih stvari vec u ovoj fazi je pametno koristiti snapshotove (LVM/BTRFS) i/ili radit backup rsnapshotom barem.

certbot ide do Debiana 10 i Testing, možda je RPI baziran na novijoj verziji pa neće proći


Znam da meni na D11 nije htio proći a na D12 nisam ni probao. Tak i tak VPS koji imam služi za učenje pa mi svejedno jel me haknu ili ne.

Da i na kraju te ne haknu, nego ako te i haknu haknu te na temelju gluposti a ne da je netko brutoforceao SU.

Slicno radim i ja, jedinu zastitu koju imam je SSH Key i to je vise nego dovoljno. Imao sam i ja slicne probleme s letsencrypt, pogotovo jer sam radio slicne stvari, dodavao domene u isti pa se sve posemerilo. No ovdje je moguce da ga sve ove silne zastite koje je postavio lockaju i jos pogotovo kada se radi o ruteru koji nije namjenjen u ove svrhe. bez logova je nemoguce bilo sto konkretnije reci.

p.s. 2 godine me nisu haknuli plus je moja domena lako dostupna pa ako i ima ovdje hakera mogu probati, plus nisam azurirao wordpress sto je daleko veci vulnerability nego bilo sto drugo. Slobodno haknete jer inak ide destroy na ovom serveru.

Ma za učenje si uzem VPS gdje ne moram kemijati s ruterom.
A i nisu nešto cijene za neki VPS od 1 cpu, 1 gb rama i 15-20 gb ssd-a

...no comment...:nono:

Za koji komentar? :fiju:

a ti nadi smisao za humor. i dalje stojim kod toga da nije forwardao port 80

Mozda mu je ostao upaljen proxy na cloudflareu.

Svaka cast za upute, medjutim, koliko sam brzinski pogledao - jel moguce da nitko nije spomenuo blazeni carrier grade nat (CGNAT)?
Ovisno o provideru, moguce da imate 10.x ili 100.x WAN adresu u ruteru i onda se mozete pozdraviti sa otvaranjem portova na ruteru buduci imate CGNAT (dupli nat, jedan kod providera, drugi na ruteru). Nista strasno, ili zivite s tim (prije ili kasnije kak se svi boje ipv6, zavrsiti cemo svi na cgnatu. ISP nije duzan dati javni ip, to je njihova "dobra volja" :D ) ili koristite recimo cloudflare tunel.

Cloudflare tuneli, su kul jer:
- rjesavaju ssl (nema natezanja s certbotom) - bukvalno mozete konfigurirati tunel tipa https://pero.com a doma ga vrtite na http:// i nikom nista kad CF radi terminaciju :D
- koriste ionako cloudflare CDN
- cak i uz javnu adresu, nikakve portove ne treba otvarati (plus za cgnat)
- niti nije potreban dyndns client, sve ide kroz tunel, samo se domena doda na CF
- sve se bazira na "tunel endpointu" kojeg dignete na svojoj mrezi, moze i na tom rpi ili bilo gdje da moze pristupiti recimo web serveru ili sto se zeli tunelirati

Mislim da je ovdje Chuck lijepo pokrio https://www.youtube.com/watch?v=ey4u7OUAF3c

Sto se glupog WP tice, obavezno gore staviti wordfence i odvojiti 5min za konf i pokretanje, te dodati minimum Disable XMLRPC plugin.

4 post

http://forum.pcekspert.com/showpost....35&postcount=4


nisu upute samo sugestija ali mislim da kolege kazu da ima nekih ogranicenja sto se tice bandwitha i slicno, mada ja nisam primjetio do sada :beer:

Nisam. Budem.

Čekirao sam logove ali ne kužim ih. Nema veze, ionako sam po treći put uspio sjebati kompletno sistem do te mjere da mi ga se ne da više pokušavati popraviti, pa krećem iznova ponovo

Da li ove tvoje metode funkcioniraju u slučaju kada uspiješ zeznit sustav toliko da se više ne može ni bootat?

Desila mi se glupost koja se dešava valjda u 1 promil slučajeva.
Nekidan krenuo iznova namjestit sustav, i sve lijepo podesio, aliase, sve one tvoje parametre, osigurao SSH, Apache server, itd.
Jedino nisam SSL namjestio.
Baš tada sam namjerno napravio kompletan disk clone tako da se mogu igrati sa raznim SSL opcijama.
Clone sam radio sa Macrium Reflect Free programom, i inače funkcionira odlično. Doslovno napravi clone cijelog diska u .img fajl i ako bilo šta zezneš, samo restoraš .img fajl nazad na disk i to je to.
I pogodi šta se meni desi...napravim .img fajl (kao više puta do sada), međutim na neki noname USB stick, i krenem čačkati taj SSL.
Čak podesim Origin certificate kojeg Cloudflare službeno jedino podržava (tada možeš uključit proxy da sve ide preko njih), međutim nešto sjebem sa Wordpressom i onako ljut odem u cd / i napravim sudo rm -rf * :D
Naravno ovaj pobriše šta je mogao. Nakon toga krenem restorat .img fajl da krenem iz početka sa SSL-om i.... image corrupt, cannot restore :hitthewal:
Izgleda da je bio neki zajeb u kreiranju imagea direktno na taj noname USB disk. Od sada ih radim direktno na desktopu :D
I tako, eto sada po treći put sve iznova...

Mislim da si u pravu, certbot se na Debianu 12 mora instalirati preko snapd.

Nema logova više, krećem iznova.
Inače sve ovo možda nije nužno potrebno, ali to radim jer mi je usput zanimljivo i zabavno ;)

Nije.
Btw. proxy radi ako instaliraš Origin Certificate kao SSL (ja uspio, ali sam kasnije nešto drugo sjebo. Piše gore).

E sad ste mi vas dvoje dali posla opet.
Sad idem googlati o tim tunelima.
Budem pogledao i wordfence.

Inače nisam iza CGNAT-a, poslao zahtjev SZK da mi ga isključe, tako da sada imam javnu IP adresu koja se rotira mislim svako 3 dana.

Ukratko - da. No ponekad nije tak jednostavno - ak zbilja do te mjere sve skrsis da vise nista ne sljaka - trebas bootat sa Live distre i dovest sustav opet u normalu. Za ova experimentiranja ti bi bolje bilo se igrat virtualkom a kad znas da nesto sljaka - primjeniti na prod sustav. Ovak si zadajes vise posla nego je potrebno. Moja preporuka bi ti bila u ovom slucaju koristenje BTRFS-a i kreiraj snapshot prije vecih izmjena - to je najjednostavnije za ovakva eksperimentiranja. BTRFS nebih preporucio za prod sustav al za ovakva cackanja je OK. Kaj se logova tice - trazi jednostavno greske u logovima , ponekad nije tak ocito kaj je problem ali ponekad je (znam ovo nije bas od pomoci ali nemogu generalizirati). Nemoj pokusavati sve odjednom upogoniti, reko sam ti idi korak po korak. Test u VM > radi? > rollout na prod. Ne radi > uzmi pauzu, razmisli , ponovi proces u VM-u.

@strikoo > pingvini se ne zajebavaju kad je sigurost u pitanju a drugo - cini se da zbog predugog boravka u DE preuzimam njemacki smisao za humor :chears:

piše u screenshot
ne mogu dohvatiti http://
moraš propustiti port 80 za http challenge. i za novi i za renew . eventualno da koristiš dns challenge

@tomek
sve 5

EDIT:

jedino sto zapravo ne kuzim sto ce ti LE . jer za tunel ti je dovoljan self signed cert, a "pravi" cert imas od cloudflare za svoju domenu.