[GUIDE] Kako jeftino hostati website kod sebe doma na Raspberry Pi-ju

[OuttaControl]

Moja preporuka je samo da disclamer stavis na pocetak da nisi puno bio opterecen sa sigurnosti da su dolje u threadu neke preporuke, da nebi nekog slucajno haknilo pa da ne nosis na dusi

Inače iscrpan i detaljan i odlican guide.

A što se tiče komentara "Ko će mene haknut" nece niko ciljeno nego ce pustit skriptu koja roka IP-jeve, nac ce otvorene portove, cisto na random, i onda ide daljnje kopanje Script Kiddiesa, koji se nekad i probiju.

[Neo-ST]

Citiraj:

Autor strikoo

i pustiš sve van preko https port 443, a 80 zatvori. osim ako si ssl cert dobio sa kupovinom domene?

Da ti pravo kažem nemam pojma šta sam dobio, ovo piše za moj plan:





U SSL se apsolutno ne razumijem, tek trebam počet to istraživati...
Koliko sam skužio, ako ovdje na drugoj slici stavim "Full", onda moram instalirati "self signed certificate" u RPI OS po ovim uputstvima ?

[tomek@vz]

Ides ili na Full (strict) + Letsencrypt cert ili na Full + selfsigned cert po ovim uputama:


https://www.baeldung.com/openssl-self-signed-cert

[strikoo]

pa ide na full strict
pogledaj screenshot dobio je cert ne treba letsencrypt

[Neo-ST]

Isto sam morao otvoriti port 443 na routeru.

U Cloudflare sam stavio Full Strict.
Za sada sve radi. Idemo dalje.

[medo]

Citiraj:

Autor kopija

Heh, ovo me podsjetilo na davne dane majkrosoftovog ponosa i slave kad je Windows XP firewall bio konfiguriran po defaultu ALLOW ALL na svim portovima, pa se desila nezgodancija.

Tog davnog ljeta 2003, sjetit ćete se možda ove poruke

Hehe, kada je Blaster krenuo u ljeto 2003. Windoze nisu imale Firewall Sjećam se ko jučer jer sam tada trebao biti na Zrču a umjesto toga sam u potpuno pustom i usijanom Zagrebu zatvarao RPC u iptablesima prema Win mašinama i čekao patch da ga odmah aplajam.


Nakon toga je izašao SP2 za XP a s njime i Windows Firewall

Citiraj:

Autor domy_os

Pusti neki device javno na net i gledaj logove, u roku 24 h ćeš imati pokušaje probijanja root accounta.

Misliš za 24 minute?

[strikoo]

još ovo

https://www.wpbeginner.com/wp-tutori...s-in-htaccess/

Citiraj:

Autor Neo-ST

Isto sam morao otvoriti port 443 na routeru.

U Cloudflare sam stavio Full Strict.
Za sada sve radi. Idemo dalje.

[Neo-ST]

Citiraj:

Autor strikoo

još ovo

https://www.wpbeginner.com/wp-tutori...s-in-htaccess/

Riješeno i to

[kopija]

Citiraj:

Autor medo

Hehe, kada je Blaster krenuo u ljeto 2003. Windoze nisu imale Firewall

Kako nisu, pojele ti droge mozak na Zrču

Citiraj:

When Windows XP was originally shipped in October 2001, it included a limited firewall called "Internet Connection Firewall". It was disabled by default due to concerns with backward compatibility, and the configuration screens were buried away in network configuration screens that many users never looked at. As a result, it was rarely used. In mid-2003, the Blaster worm attacked a large number of Windows machines, taking advantage of flaws in the RPC Windows service.^[1] Several months later, the Sasser worm did something similar. The ongoing prevalence of these worms through 2004 resulted in unpatched machines being infected within a matter of minutes.^[1] Because of these incidents, as well as other criticisms that Microsoft was not being active in protecting customers from threats, Microsoft decided to significantly improve both the functionality and the interface of Windows XP's built-in firewall, rebrand it as Windows Firewall,^[2] and switched it on by default since Windows XP SP2.

[Bubba]

Citiraj:

Autor Neo-ST

Moj kućni router (Asus) ima neku DoS protekciju, jel to čemu ili ?

Tvoj Asus je puno vise od kucnog rutera, stavi mu gore Merlin, ukljuci Skynet i Bog da te vidi!

Sada jos malo kreni u istrazivanje (reverse) proxyja da mozes hostati vise od jednog domenskog resursa pa nam pisi malo i o tome.

BTW, na stranu sto si zagrebao mozda 5% ukupne price, cestitke na trudu da kopas i ucis sam i onda to jos malo dodatno izdokumentiras!

Citiraj:

Autor OuttaControl

Moja preporuka je samo da disclamer stavis na pocetak da nisi puno bio opterecen sa sigurnosti da su dolje u threadu neke preporuke, da nebi nekog slucajno haknilo pa da ne nosis na dusi

Najbolje da ima i consent form da netko ne kaze poslje da ga je silovao.

[Neo-ST]

Citiraj:

Autor Bubba

Tvoj Asus je puno vise od kucnog rutera, stavi mu gore Merlin, ukljuci Skynet i Bog da te vidi!

Ovo ću sljedeće probati.
Inače, šokiralo me da ovaj Asus, koliko god dobar bio, nema uopće VLAN mogućnost, čak niti u Merlinu.

Sad tek kao testiraju VLAN u beta firmwareu.

[medo]

Citiraj:

Autor kopija

Kako nisu, pojele ti droge mozak na Zrču

Da bar možda bi danas bio pametniji ali na kraju nisam niti jednom otišao U to vrijeme je tamo navodno još bilo ok.

Ma ono što je bilo prije SP2 nije se ni moglo nazvati firewallom. Kao što kažeš bio je tamo ali kao da nije.

[strikoo]

Citiraj:

Autor Neo-ST

Ovo ću sljedeće probati.
Inače, šokiralo me da ovaj Asus, koliko god dobar bio, nema uopće VLAN mogućnost, čak niti u Merlinu.

Sad tek kao testiraju VLAN u beta firmwareu.

koji je to Asus ?

[Neo-ST]

Citiraj:

Autor strikoo

koji je to Asus ?

https://www.asus.com/networking-iot-.../rt-ax86u-pro/

[Neo-ST]

Citiraj:

Autor xlr

Ako zelis ici korak dalje i imas bolju opremu na svojoj strani (ruter, firewall) mozes potpuno blokirati sav internet promet prema tvom wan-u i portovima 80/443 osim cloudflare proxy adresa:
https://www.cloudflare.com/en-gb/ips/
Na taj nacin samo promet koji ide preko proxyja moze doci k tebi, a on je onda enkriptiran i prolazi kroz cf firewall i sve one bot fight featureove...

Ovo me zainteresiralo.
U postavke firewalla sam uključio opciju "Inbound firewall rules". Googlajući o tome, to bi trebala biti pravila koja dopuštaju određenim IP adresama pristup određenom portu u routeru, a firewall blokira sve ostalo.

Sa tvog linka sam ubacio nekoliko Cloudflare IPjeva u svoje Inbound firewall rules. Da li to sada znači da jedino promet sa tih IP-jeva ima pristup mom 443 portu ?
Port forwarding mi je i dalje uključen i 443 otvoren.

Postavke:

Citiraj:

Autor xlr

Jos malo naprednija metoda zastite je da hardver koji vrti tvoj sajt stavis u vlan/dmz i potpuno ga odvojis od svoje kucne mreze. Ako si dobro podesio svoj firewall i sto se smije a sto ne smije raditi izmedju vlan-ova, mozes se malo vise opustiti. Ovo trazi malo vise znanja/ucenja i hardver koji to moze isporuciti.

Nažalost VLAN mogućnost trenutno nemam, a i nije mi baš jasno, ako odvojim RPI u poseban VLAN, kako mu onda pristupim sa svog kompa koji je u drugom VLAN-u ? Zar nisu oni tada praktički na odvojenim LAN-ovima, samo ne fizički nego softverski ? Pretpostavljam da onda trebam opet neka čuda izvoditi poput Wireguard tunela između jednog i drugog

[xlr]

Nisam 100% siguran da nasi Asusi mogu importati tu CF listu sa ukljucenim subnetima (CIDR)... Sama IP adresa x.x.x.0 nema nikakvu finkciju.
Kod mene na Merlinu je to malo drukčije, piše da mogu unijeti IP range adresa (IP/CIDR):
https://i.imgur.com/9ch8KXz.png

Probaj to na nacin da public IP tvog mobitela ubacis u listu pa probaj pristupiti sajtu kako si zamislio.

VLAN-ovima pristupas tako da definiras dozvole kroz firewall (ili ACL) medju mrezama. Jedan rule te dijeli od pristupa tvom hardveru. Neki firewallovi imaju politiku "deny all" (npr. Opnsense/pfsense) pa moras raditi dozvole i "rupe" te ga na taj nacin konfigurirati. Neki pak imaju politiku "allow all" kod kreiranja VLAN-ova (Omada) pa moras prvo sve blokirati, da bi napravio male rupe i dozvole.

Stariji Asusi su podrzavali nekih 3-4 predefinirana VLAN-a i to se uz malo kemijanja dalo iskonfigurirati sa switchem. Zbilja ne znam kakva je kasnije bila situacija, ne pratim vise. Ovo je bilo za stare rutere na 386-388 firmwareu:
https://www.snbforums.com/threads/ho...equired.85850/

Nedavno sam izasao iz Asus ekosustava, nisam ga nikako mogao jednostavno uklopiti u plan s VLAN-ovima. Previse driblanja, premalo vremena.

[Neo-ST]

Šta se tiče ovih sigurnosnih postavki i savjeta, malo sam se pozabavio sa time i trenutno je ovo rezultat:

Implementirao:

1. HTTPS na Cloudflare
2. Geoblock na Cloudflare (Azija i Afrika)
3. Fail2Ban
4. "Omogucavanje SSH pristupa samo sa valjanim kljucem - nikako lozinkom i samo specificnom korisniku"
5. Restrikcija admin pristupu za Wordpress samo iz lokalne mreže, i samo sa mog PC-a
6. LetsEncrypt - SSL certifikat
7. modevasive za Apache
8. Lynis - baci me u depresiju kad ga pokrenem i vidim koliko crvenog ima unatoč svom trudu, ali neka stoji
9. Apparmor - dobio defaultno sa Debianom 12, ali nešto nije u redu s njim. Ne radi i nije učitao profile. Googlajući apparmor wiki, treba neke stvari dodati u /etc/default/grub ali ja uopće nemam taj file
10. SSH postavke i Kernel/Sysctl optimizacija od Tomeka
11. 2FA za sudo

Preskočio:

1. Suricatu - nepotrebno za moje potrebe
2. "Kad pristupas izvana lokalnoj instanci na internoj mrezi nikad nemoj defaultne portove koristiti - uvijek nesto tipa port 9443 ili slicno pa kroz router forwardaj interno na 443 na lokalnoj masini koja hosta sadrzaj" - ovo ne znam kako izvesti
3. psacct/sysstat kombinacija - dobre stvari, ali trenutno mi ne treba audit resursa, a još manje aktivnosti zaposlenika. sysstat možda naknadno instaliram.
4. rkhunter - mislim da je nepotrebno
5. Firewalld/ufw - ne vidim smisao kad je firewall od routera već aktivan ?
6. IDS/IPS - to mi router već ima u vidu nekog svog "AiProtection" modula

Jesam šta zaboravio?
Uskoro ide i guide kako sve to postaviti, budem editirao prvi post, nema druge.

Citiraj:

Autor xlr

Nisam 100% siguran da nasi Asusi mogu importati tu CF listu sa ukljucenim subnetima (CIDR)... Sama IP adresa x.x.x.0 nema nikakvu finkciju.
Kod mene na Merlinu je to malo drukčije, piše da mogu unijeti IP range adresa (IP/CIDR):
https://i.imgur.com/9ch8KXz.png

Probaj to na nacin da public IP tvog mobitela ubacis u listu pa probaj pristupiti sajtu kako si zamislio.

Hmm, to imam i ja, ali spada pod IPv6 ?

https://i.ibb.co/TMKhMH7/Image-002.png

Znači ove gore IP-ove mogu komodno izbrisati jer ne služe ničemu ?

[xlr]

Citiraj:

Autor Neo-ST

1. "Kad pristupas izvana lokalnoj instanci na internoj mrezi nikad nemoj defaultne portove koristiti - uvijek nesto tipa port 9443 ili slicno pa kroz router forwardaj interno na 443 na lokalnoj masini koja hosta sadrzaj" - ovo ne znam kako izvesti
2. Firewalld/ufw - ne vidim smisao kad je firewall od routera već aktivan ?
3. IDS/IPS - to mi router već ima u vidu nekog svog "AiProtection" modula

Ne znam je li to korištenje non-default portova primjenjivo na hostanje web sajtova, nisam nikada radio sa sajtovima. Ako hostaš neke servise onda to možeš složiti korištenjem external i internal porta - external port je onaj koji pišeš uz sajt (može biti bilo što), a internal je onaj port iza kojeg stoji taj servis na lokalnoj mreži. Internal port je opcionalan i ako nije naveden onda se podrazumijeva da je isti kao external port:

https://i.ibb.co/M972DYm/reregh.png


Osobno bih provjerio kako Asusov firewall točno radi i što propušta/dozvoljava. Možda propušta više nego što misliš :/ Guglajući nalazim info da je po defaultu "block all", osim ako si otvorio port ili otvorio uslugu tipa VPN server na ruteru.
UFW se ako se ne varam u par komandi može potpuno zatvoriti, i onda ga postupno otvaraš gdje trebaš. To je čak i oke, to radiš za jedan jedini uređaj kojem si otvorio port prema netu. Tada ti je malo manje bitan ruterov firewall. Nisam nikada previše doživljavao Asusov firewall pa ti neću reći dobar je/loš je

Asusov IDS/IPS bi uzeo sa zrnom soli. To je proprietary komad softvera o kojem se ne zna previše (closed-source).

Citiraj:

Autor Neo-ST

Hmm, to imam i ja, ali spada pod IPv6 ?

https://i.ibb.co/TMKhMH7/Image-002.png

Znači ove gore IP-ove mogu komodno izbrisati jer ne služe ničemu ?

Imaš pravo, meni je WAN na ruteru iskopčan (kao što rekoh, nema svrhu trenutno) pa kompletno fali IPv4 tablica, ludo. Da, IP-evi kao takvi nemaju smisla na način kako su upisani. U tablicu možeš unijeti single IP, ne range, a to nema baš previše smisla onda. Ali kažem ti, probaj upisati unutra tvoj public IP od moba pa se igraj, probaj blokirati samo tvoj mob pa vidi možeš li uopće pristupiti sajtu.

[tomek@vz]

Citiraj:

Autor Neo-ST

Preskočio:

1. Suricatu - nepotrebno za moje potrebe
2. "Kad pristupas izvana lokalnoj instanci na internoj mrezi nikad nemoj defaultne portove koristiti - uvijek nesto tipa port 9443 ili slicno pa kroz router forwardaj interno na 443 na lokalnoj masini koja hosta sadrzaj" - ovo ne znam kako izvesti
3. psacct/sysstat kombinacija - dobre stvari, ali trenutno mi ne treba audit resursa, a još manje aktivnosti zaposlenika. sysstat možda naknadno instaliram.
4. rkhunter - mislim da je nepotrebno
5. Firewalld/ufw - ne vidim smisao kad je firewall od routera već aktivan ?
6. IDS/IPS - to mi router već ima u vidu nekog svog "AiProtection" modula

1. Kombinacija Suricate i psacct/sysstat ti sluzi za debuging ako ti neko provali pa da lakse uocis provalu i sto je radeno.
2. Lokalni Firewall mozes izostaviti i ovom slucaju no imaj na umu da ako ti netko probije router dajes mu sve na lokanoj mrezi na dlanu.
3. U slucaju provale i neovlastene instalacije malware-a rkhunter je jednostavan nacin da prepoznas i elminiras prijetnju (manje vjerojatan scenarij, po onome sto sam ja vidio najcesce se mijenjaju configovi za potrebe klinaca)
4. Port forwarding konfiguriras na routeru.
5. Airprotection je dovoljno dobar za ovu namjenu. Ako pusta logove za lokalnog admina nemas potrebe za drugim rijesenjem (vidi tocku 1).

Moras gledat na sigurnost kao slojeve luka Kad je u pitanju sigurnost vise nije uvijek bolje ali nekoliko dobro implementirana rijesenja su uvijek dobra predispozicija da zadas vise muke klincima. Slazem se da ne treba pretjerivat - svatko treba za sebe odluciti nakon sto se informira (jedan od razloga zasto nikad nisam pisao tutorial za ove stvari). Pogotovo u danasnje vrijeme dosta ekipe shvaca sigurnost dosta labavo.

P.S.- kod Geoblockinga racunaj na to da ekipa masovno VPN-ove koristi (ili servere na razlicitim lokacijama ali ovi prvi ce vjerojatnije pokusat nesto nego ovi drugi u ovom slucaju).

[dada-as]

Mene vise zanima sam site i kako ce to runat na tom home hostu. Ajd ga sheraj da ga testiramo. Kao sto sam napisao ja sam proucavao isto to ali odustao iz brojnih razloga, ali me jako zanima kak to izgleda i radi dok se napravi jer imam doma masine, prave masine koje runaju 24/7 pa je to bio razlog, da kad vec runaju 24/7 da ih iskoristim za hosting. Cak si mislim da sam se isto konzultirao ovdje na forumu i par kolega mi je stavilo bubu u uho gdje je problem.

[strikoo]

ne daj link nikome ovdje

[dada-as]

Pod testirao sam mislio cisto da vidimo jel brzina otvaranja dobra, jel ima gresaka ako se prebrzo surfa i tako. A i neznam cemu panika kada je postavio sve ove moguce i nemofguce zastite ko da hosta pentagon.

[tomek@vz]

Citiraj:

Autor dada-as

Pod testirao sam mislio cisto da vidimo jel brzina otvaranja dobra, jel ima gresaka ako se prebrzo surfa i tako. A i neznam cemu panika kada je postavio sve ove moguce i nemofguce zastite ko da hosta pentagon.

Nije

[domy_os]

Apparmor

Code:

apparmor_status
apt install apparmor-utils      # instalira dodatne komande
aa-autodep ping                 # dodaje aplikaciju u complain mode - samo piše u log
aa-enforce /bin/ping            # dodaje aplikaciju u enforce mode - brani pokretanje aplikacije
aa-logprof                      # promjena aktivnosti
cat /etc/apparmor.d/bin.ping    # provjera profila aplikacije

pam_tally2

Code:

nano /etc/pam.d/common-auth
# na prvo prazno mjesto poslije komentara dodaj:
auth required pam_tally2.so onerr=fail deny=3 unlock_time=300
# ako ispod imaš neki requisite modul, onda će on stopirati sve ostale, iz tog razloga mora ići na prvo mjesto

pam_tally2 -u neo           # prikazuje pogrešne prijave za tvoj username
pam_tally2 -r -u neo        # resetira brojač pogrešnih prijava na 0
less /var/log/tallylog      # lokacija logova

Je li bilo riječi o Advanced Intrusion Detection Environment (AIDE)? Provjerava integritet fileova, slično naredbi rpm -V na RedHat distribucijama.



I kad riješiš RPi, skužiš da je router slaba točka. Guglaj model routera exploit, vulnerability i slično pa krpaj...

[dada-as]

Znam da kolega NEO ima i neke coinove buduci je dosta aktivan u Crypto podforumu, toplo mu preporucam da ti coinovi (i sve vezano za njih) nisu na istoj mrezi kao ovaj web pa makar stavio sve ove zastite spomenute u ovom topicu.

[strikoo]

a možda baš koristi web sa čuva gore wallete

[tomek@vz]

Citiraj:

Autor domy_os

pam_tally2

Code:

nano /etc/pam.d/common-auth
# na prvo prazno mjesto poslije komentara dodaj:
auth required pam_tally2.so onerr=fail deny=3 unlock_time=300
# ako ispod imaš neki requisite modul, onda će on stopirati sve ostale, iz tog razloga mora ići na prvo mjesto

pam_tally2 -u neo           # prikazuje pogrešne prijave za tvoj username
pam_tally2 -r -u neo        # resetira brojač pogrešnih prijava na 0
less /var/log/tallylog      # lokacija logova

Je li bilo riječi o Advanced Intrusion Detection Environment (AIDE)? Provjerava integritet fileova, slično naredbi rpm -V na RedHat distribucijama.


I kad riješiš RPi, skužiš da je router slaba točka. Guglaj model routera exploit, vulnerability i slično pa krpaj...

Ovo je fora thanks


P.S. postoji jos i ovo:


https://www.tripwire.com/


Zgodno ako ne koristis Puppet (sto nikad nebih doma upogonio). Pocetna konfiguracija ja malo "too much" al jednom kad postelas - milina.

[domy_os]

Hvala, proučit ću, ali nisam pristaša komercijalnih alata na Linuxu.

[Neo-ST]

Citiraj:

Autor Bubba

Tvoj Asus je puno vise od kucnog rutera, stavi mu gore Merlin, ukljuci Skynet i Bog da te vidi!

Merlin i Skynet instalirani.
Fora je vidit da te najviše probiraju iz Singapura.

Citiraj:

Autor domy_os

Apparmor

Code:

apparmor_status

Dobijem:

Citiraj:

Code:

apt install apparmor-utils      # instalira dodatne komande

Instalirao.

Citiraj:

Code:

aa-enforce /bin/ping            # dodaje aplikaciju u enforce mode - brani pokretanje aplikacije

Dobijem:

Citiraj:

Code:

aa-logprof                      # promjena aktivnosti

Dobijem:

Citiraj:

Code:

cat /etc/apparmor.d/bin.ping    # provjera profila aplikacije

Dobijem:

Citiraj:

pam_tally2

Ovo više nema za Debian 12.

Citiraj:

I kad riješiš RPi, skužiš da je router slaba točka. Guglaj model routera exploit, vulnerability i slično pa krpaj...

Pa mislim da je sad prilično dobar za home router, pogotovo nakon Skyneta. Dosta robustan firewall, nema veze sa tvorničkim.

Citiraj:

Autor dada-as

Znam da kolega NEO ima i neke coinove buduci je dosta aktivan u Crypto podforumu, toplo mu preporucam da ti coinovi (i sve vezano za njih) nisu na istoj mrezi kao ovaj web pa makar stavio sve ove zastite spomenute u ovom topicu.

Ti kao kolega cryptaš bi trebao znati da coini nisu na "mreži kao ovaj web", već na blockchainu, a keyevi mogu biti na mreži (ako je netko dovoljno glup ih tamo držat, umjesto na hw walletu)

[domy_os]

Debian kao distribucija je dosta gola, ne znači da je to loše, ali u ovom slučaju moguće da nedostaje neki preduvjet u vidu nekog paketa ili dodatne konfiguracije. Vjerujem da ćeš naći problem.