Citiraj:
Autor strikoo
jesi probao napraviti port forward porta 80 prema rpi ?
|
Nisam. Budem.
Citiraj:
Autor tomek@vz
@Neo-ST > Cekiraj Logove.
P.S.- zbog ovakvih stvari vec u ovoj fazi je pametno koristiti snapshotove (LVM/BTRFS) i/ili radit backup rsnapshotom barem.
|
Čekirao sam logove ali ne kužim ih. Nema veze, ionako sam po treći put uspio sjebati kompletno sistem do te mjere da mi ga se ne da više pokušavati popraviti, pa krećem iznova ponovo
Da li ove tvoje metode funkcioniraju u slučaju kada uspiješ zeznit sustav toliko da se više ne može ni bootat?
Desila mi se glupost koja se dešava valjda u 1 promil slučajeva.
Nekidan krenuo iznova namjestit sustav, i sve lijepo podesio, aliase, sve one tvoje parametre, osigurao SSH, Apache server, itd.
Jedino nisam SSL namjestio.
Baš tada sam namjerno napravio kompletan disk clone tako da se mogu igrati sa raznim SSL opcijama.
Clone sam radio sa Macrium Reflect Free programom, i inače funkcionira odlično. Doslovno napravi clone cijelog diska u .img fajl i ako bilo šta zezneš, samo restoraš .img fajl nazad na disk i to je to.
I pogodi šta se meni desi...napravim .img fajl (kao više puta do sada), međutim na neki noname USB stick, i krenem čačkati taj SSL.
Čak podesim Origin certificate kojeg Cloudflare službeno jedino podržava (tada možeš uključit proxy da sve ide preko njih), međutim nešto sjebem sa Wordpressom i onako ljut odem u cd / i napravim sudo rm -rf *
Naravno ovaj pobriše šta je mogao. Nakon toga krenem restorat .img fajl da krenem iz početka sa SSL-om i.... image corrupt, cannot restore
Izgleda da je bio neki zajeb u kreiranju imagea direktno na taj noname USB disk. Od sada ih radim direktno na desktopu
I tako, eto sada po treći put sve iznova...
Citiraj:
Autor spiderhr
certbot ide do Debiana 10 i Testing, možda je RPI baziran na novijoj verziji pa neće proći
Znam da meni na D11 nije htio proći a na D12 nisam ni probao. Tak i tak VPS koji imam služi za učenje pa mi svejedno jel me haknu ili ne.
|
Mislim da si u pravu, certbot se na Debianu 12 mora instalirati preko snapd.
Citiraj:
Autor dada-as
Da i na kraju te ne haknu, nego ako te i haknu haknu te na temelju gluposti a ne da je netko brutoforceao SU.
Slicno radim i ja, jedinu zastitu koju imam je SSH Key i to je vise nego dovoljno. Imao sam i ja slicne probleme s letsencrypt, pogotovo jer sam radio slicne stvari, dodavao domene u isti pa se sve posemerilo. No ovdje je moguce da ga sve ove silne zastite koje je postavio lockaju i jos pogotovo kada se radi o ruteru koji nije namjenjen u ove svrhe. bez logova je nemoguce bilo sto konkretnije reci.
p.s. 2 godine me nisu haknuli plus je moja domena lako dostupna pa ako i ima ovdje hakera mogu probati, plus nisam azurirao wordpress sto je daleko veci vulnerability nego bilo sto drugo. Slobodno haknete jer inak ide destroy na ovom serveru.
|
Nema logova više, krećem iznova.
Inače sve ovo možda nije nužno potrebno, ali to radim jer mi je usput zanimljivo i zabavno
Citiraj:
Autor xlr
Mozda mu je ostao upaljen proxy na cloudflareu.
|
Nije.
Btw. proxy radi ako instaliraš Origin Certificate kao SSL (ja uspio, ali sam kasnije nešto drugo sjebo. Piše gore).
Citiraj:
Autor johnsmith
Svaka cast za upute, medjutim, koliko sam brzinski pogledao - jel moguce da nitko nije spomenuo blazeni carrier grade nat (CGNAT)?
Ovisno o provideru, moguce da imate 10.x ili 100.x WAN adresu u ruteru i onda se mozete pozdraviti sa otvaranjem portova na ruteru buduci imate CGNAT (dupli nat, jedan kod providera, drugi na ruteru). Nista strasno, ili zivite s tim (prije ili kasnije kak se svi boje ipv6, zavrsiti cemo svi na cgnatu. ISP nije duzan dati javni ip, to je njihova "dobra volja" ) ili koristite recimo cloudflare tunel.
Cloudflare tuneli, su kul jer:
- rjesavaju ssl (nema natezanja s certbotom) - bukvalno mozete konfigurirati tunel tipa https://pero.com a doma ga vrtite na http:// i nikom nista kad CF radi terminaciju
- koriste ionako cloudflare CDN
- cak i uz javnu adresu, nikakve portove ne treba otvarati (plus za cgnat)
- niti nije potreban dyndns client, sve ide kroz tunel, samo se domena doda na CF
- sve se bazira na "tunel endpointu" kojeg dignete na svojoj mrezi, moze i na tom rpi ili bilo gdje da moze pristupiti recimo web serveru ili sto se zeli tunelirati
Mislim da je ovdje Chuck lijepo pokrio https://www.youtube.com/watch?v=ey4u7OUAF3c
Sto se glupog WP tice, obavezno gore staviti wordfence i odvojiti 5min za konf i pokretanje, te dodati minimum Disable XMLRPC plugin. |
Citiraj:
Autor dbL
|
E sad ste mi vas dvoje dali posla opet.
Sad idem googlati o tim tunelima.
Budem pogledao i wordfence.
Inače nisam iza CGNAT-a, poslao zahtjev SZK da mi ga isključe, tako da sada imam javnu IP adresu koja se rotira mislim svako 3 dana.