Šta se tiče ovih sigurnosnih postavki i savjeta, malo sam se pozabavio sa time i trenutno je ovo rezultat:
Implementirao:
- HTTPS na Cloudflare
- Geoblock na Cloudflare (Azija i Afrika)
- Fail2Ban
- "Omogucavanje SSH pristupa samo sa valjanim kljucem - nikako lozinkom i samo specificnom korisniku"
- Restrikcija admin pristupu za Wordpress samo iz lokalne mreže, i samo sa mog PC-a
- LetsEncrypt - SSL certifikat
- modevasive za Apache
- Lynis - baci me u depresiju kad ga pokrenem i vidim koliko crvenog ima unatoč svom trudu, ali neka stoji
- Apparmor - dobio defaultno sa Debianom 12, ali nešto nije u redu s njim. Ne radi i nije učitao profile. Googlajući apparmor wiki, treba neke stvari dodati u /etc/default/grub ali ja uopće nemam taj file
- SSH postavke i Kernel/Sysctl optimizacija od Tomeka
- 2FA za sudo
Preskočio:
- Suricatu - nepotrebno za moje potrebe
- "Kad pristupas izvana lokalnoj instanci na internoj mrezi nikad nemoj defaultne portove koristiti - uvijek nesto tipa port 9443 ili slicno pa kroz router forwardaj interno na 443 na lokalnoj masini koja hosta sadrzaj" - ovo ne znam kako izvesti
- psacct/sysstat kombinacija - dobre stvari, ali trenutno mi ne treba audit resursa, a još manje aktivnosti zaposlenika. sysstat možda naknadno instaliram.
- rkhunter - mislim da je nepotrebno
- Firewalld/ufw - ne vidim smisao kad je firewall od routera već aktivan ?
- IDS/IPS - to mi router već ima u vidu nekog svog "AiProtection" modula
Jesam šta zaboravio?
Uskoro ide i guide kako sve to postaviti, budem editirao prvi post, nema druge.
Citiraj:
Autor xlr
Nisam 100% siguran da nasi Asusi mogu importati tu CF listu sa ukljucenim subnetima (CIDR)... Sama IP adresa x.x.x.0 nema nikakvu finkciju.
Kod mene na Merlinu je to malo drukčije, piše da mogu unijeti IP range adresa (IP/CIDR):
https://i.imgur.com/9ch8KXz.png
Probaj to na nacin da public IP tvog mobitela ubacis u listu pa probaj pristupiti sajtu kako si zamislio.
|
Hmm, to imam i ja, ali spada pod IPv6 ?
https://i.ibb.co/TMKhMH7/Image-002.png
Znači ove gore IP-ove mogu komodno izbrisati jer ne služe ničemu ?