[GUIDE] Kako jeftino hostati website kod sebe doma na Raspberry Pi-ju

[dada-as]

Citiraj:

Autor Neo-ST

Ti kao kolega cryptaš bi trebao znati da coini nisu na "mreži kao ovaj web", već na blockchainu, a keyevi mogu biti na mreži (ako je netko dovoljno glup ih tamo držat, umjesto na hw walletu)

Ja nebi mirno spavao sa ovim nacinom hostanja weba i sheranjem interneta s uredjajima koji imaju bilo kakve veze s cryptom.

[strikoo]

Cekaj, Neo, jos te nisu hakovali ?

[Neo-ST]

Citiraj:

Autor strikoo

Cekaj, Neo, jos te nisu hakovali ?

Pokušavaju, ali implementirao sam najbolju zaštitu koju ni NSA ne može probiti.
Isključio sam RPI.
Šalu na stranu, u Skynetu vidim točno koje portove snifaju (80 predvodi) i odakle (USA trenutno).

[Neo-ST]

Originalni post editiran, dodane sigurnosne postavke. Hvala svima ovdje koji su doprinijeli tome.

[Neo-ST]

Nešto sam sjebo sa prijašnjom instalacijom eksperimentirajući, i uglavnom da ne duljim, završio sam sa ponovnom instalacijom svega iz početka
Sad sam došao do zadnjeg koraka, vađenje SSL certifikata.
Pratio iste upute koje sam i sam pisao u prvom postu i koje su radile prvi puta, ali sad više neće pa neće.

Dobijem ovo kada bi certbot trebao izdati certifikat:




Probao sam sva "rješenja" na internetu, ali nijedno ne pomaže.
Ovo šta certbot izbaci da je možda firewall problem, nije ni to, jer sam pogasio sve firewalle i pokušao ponovo, pa opet neće (također provjerio jesu li pogašeni).

Probao i mijenjati permissions za ovaj direktorij po nekim uputstvima s neta, ali ni to ne pomaže.

Nekoliko puta sam već do sada pokušavao razna rješenja, čak restore konfiguracije prije instalacije snapd-a i certbota, pa sve nanovo, ali nakon svakog 5. pokušaja me sustav banira na 1h.

Ja ne znam više šta napraviti, a pogotovo mi nije jasno kako je ista procedura prvi put savršeno uspjela, a sad neće. Ima tko ideju ?

[strikoo]

jesi probao napraviti port forward porta 80 prema rpi ?

EDIT:
vjerojatno su te hakirali

[dada-as]

Ruter rekt.

Za vise info sheraj logove, provjeri apache settings unutra su ti fileovi koje certbot kreira i koristi, vjerojatno je doslo do konfuzije buduci si prije imao settingse koji rade, a sad nanovo si napravio i imas koji ne rade. To moras uskladiti.

Jesi obrisao sve staro vezano za SSL? Ako nisi onda probaj u tom smjeru popravljat.

[tomek@vz]

Citiraj:

Autor strikoo

jesi probao napraviti port forward porta 80 prema rpi ?

EDIT:
vjerojatno su te hakirali

Ako nemas nista konstruktivno pridonjeti raspravi i problemu ne trollaj. Covjek se potrudio nesto konstruktivno napraviti i dokumentirat za ostale i usput uci a ti tako.

@Neo-ST > Cekiraj Logove.

P.S.- zbog ovakvih stvari vec u ovoj fazi je pametno koristiti snapshotove (LVM/BTRFS) i/ili radit backup rsnapshotom barem.

[spiderhr]

certbot ide do Debiana 10 i Testing, možda je RPI baziran na novijoj verziji pa neće proći


Znam da meni na D11 nije htio proći a na D12 nisam ni probao. Tak i tak VPS koji imam služi za učenje pa mi svejedno jel me haknu ili ne.

[dada-as]

Da i na kraju te ne haknu, nego ako te i haknu haknu te na temelju gluposti a ne da je netko brutoforceao SU.

Slicno radim i ja, jedinu zastitu koju imam je SSH Key i to je vise nego dovoljno. Imao sam i ja slicne probleme s letsencrypt, pogotovo jer sam radio slicne stvari, dodavao domene u isti pa se sve posemerilo. No ovdje je moguce da ga sve ove silne zastite koje je postavio lockaju i jos pogotovo kada se radi o ruteru koji nije namjenjen u ove svrhe. bez logova je nemoguce bilo sto konkretnije reci.

p.s. 2 godine me nisu haknuli plus je moja domena lako dostupna pa ako i ima ovdje hakera mogu probati, plus nisam azurirao wordpress sto je daleko veci vulnerability nego bilo sto drugo. Slobodno haknete jer inak ide destroy na ovom serveru.

[spiderhr]

Ma za učenje si uzem VPS gdje ne moram kemijati s ruterom.
A i nisu nešto cijene za neki VPS od 1 cpu, 1 gb rama i 15-20 gb ssd-a

[tomek@vz]

...no comment...

[spiderhr]

Citiraj:

Autor tomek@vz

...no comment...

Za koji komentar?

[strikoo]

Citiraj:

Autor tomek@vz

Ako nemas nista konstruktivno pridonjeti raspravi i problemu ne trollaj. Covjek se potrudio nesto konstruktivno napraviti i dokumentirat za ostale i usput uci a ti tako.

@Neo-ST > Cekiraj Logove.

P.S.- zbog ovakvih stvari vec u ovoj fazi je pametno koristiti snapshotove (LVM/BTRFS) i/ili radit backup rsnapshotom barem.

a ti nadi smisao za humor. i dalje stojim kod toga da nije forwardao port 80

[xlr]

Mozda mu je ostao upaljen proxy na cloudflareu.

[johnsmith]

Svaka cast za upute, medjutim, koliko sam brzinski pogledao - jel moguce da nitko nije spomenuo blazeni carrier grade nat (CGNAT)?
Ovisno o provideru, moguce da imate 10.x ili 100.x WAN adresu u ruteru i onda se mozete pozdraviti sa otvaranjem portova na ruteru buduci imate CGNAT (dupli nat, jedan kod providera, drugi na ruteru). Nista strasno, ili zivite s tim (prije ili kasnije kak se svi boje ipv6, zavrsiti cemo svi na cgnatu. ISP nije duzan dati javni ip, to je njihova "dobra volja" ) ili koristite recimo cloudflare tunel.

Cloudflare tuneli, su kul jer:
- rjesavaju ssl (nema natezanja s certbotom) - bukvalno mozete konfigurirati tunel tipa https://pero.com a doma ga vrtite na http:// i nikom nista kad CF radi terminaciju
- koriste ionako cloudflare CDN
- cak i uz javnu adresu, nikakve portove ne treba otvarati (plus za cgnat)
- niti nije potreban dyndns client, sve ide kroz tunel, samo se domena doda na CF
- sve se bazira na "tunel endpointu" kojeg dignete na svojoj mrezi, moze i na tom rpi ili bilo gdje da moze pristupiti recimo web serveru ili sto se zeli tunelirati

Mislim da je ovdje Chuck lijepo pokrio https://www.youtube.com/watch?v=ey4u7OUAF3c

Sto se glupog WP tice, obavezno gore staviti wordfence i odvojiti 5min za konf i pokretanje, te dodati minimum Disable XMLRPC plugin.

[dbL]

Citiraj:

Autor johnsmith

Svaka cast za upute, medjutim, koliko sam brzinski pogledao - jel moguce da nitko nije spomenuo blazeni carrier grade nat (CGNAT)?
Ovisno o provideru, moguce da imate 10.x ili 100.x WAN adresu u ruteru i onda se mozete pozdraviti sa otvaranjem portova na ruteru buduci imate CGNAT (dupli nat, jedan kod providera, drugi na ruteru). Nista strasno, ili zivite s tim (prije ili kasnije kak se svi boje ipv6, zavrsiti cemo svi na cgnatu. ISP nije duzan dati javni ip, to je njihova "dobra volja" ) ili koristite recimo cloudflare tunel.

Cloudflare tuneli, su kul jer:
- rjesavaju ssl (nema natezanja s certbotom) - bukvalno mozete konfigurirati tunel tipa https://pero.com a doma ga vrtite na http:// i nikom nista kad CF radi terminaciju
- koriste ionako cloudflare CDN
- cak i uz javnu adresu, nikakve portove ne treba otvarati (plus za cgnat)
- niti nije potreban dyndns client, sve ide kroz tunel, samo se domena doda na CF
- sve se bazira na "tunel endpointu" kojeg dignete na svojoj mrezi, moze i na tom rpi ili bilo gdje da moze pristupiti recimo web serveru ili sto se zeli tunelirati

Mislim da je ovdje Chuck lijepo pokrio https://www.youtube.com/watch?v=ey4u7OUAF3c

Sto se glupog WP tice, obavezno gore staviti wordfence i odvojiti 5min za konf i pokretanje, te dodati minimum Disable XMLRPC plugin.

4 post

http://forum.pcekspert.com/showpost....35&postcount=4


nisu upute samo sugestija ali mislim da kolege kazu da ima nekih ogranicenja sto se tice bandwitha i slicno, mada ja nisam primjetio do sada

[Neo-ST]

Citiraj:

Autor strikoo

jesi probao napraviti port forward porta 80 prema rpi ?

Nisam. Budem.

Citiraj:

Autor tomek@vz

@Neo-ST > Cekiraj Logove.

P.S.- zbog ovakvih stvari vec u ovoj fazi je pametno koristiti snapshotove (LVM/BTRFS) i/ili radit backup rsnapshotom barem.

Čekirao sam logove ali ne kužim ih. Nema veze, ionako sam po treći put uspio sjebati kompletno sistem do te mjere da mi ga se ne da više pokušavati popraviti, pa krećem iznova ponovo

Da li ove tvoje metode funkcioniraju u slučaju kada uspiješ zeznit sustav toliko da se više ne može ni bootat?

Desila mi se glupost koja se dešava valjda u 1 promil slučajeva.
Nekidan krenuo iznova namjestit sustav, i sve lijepo podesio, aliase, sve one tvoje parametre, osigurao SSH, Apache server, itd.
Jedino nisam SSL namjestio.
Baš tada sam namjerno napravio kompletan disk clone tako da se mogu igrati sa raznim SSL opcijama.
Clone sam radio sa Macrium Reflect Free programom, i inače funkcionira odlično. Doslovno napravi clone cijelog diska u .img fajl i ako bilo šta zezneš, samo restoraš .img fajl nazad na disk i to je to.
I pogodi šta se meni desi...napravim .img fajl (kao više puta do sada), međutim na neki noname USB stick, i krenem čačkati taj SSL.
Čak podesim Origin certificate kojeg Cloudflare službeno jedino podržava (tada možeš uključit proxy da sve ide preko njih), međutim nešto sjebem sa Wordpressom i onako ljut odem u cd / i napravim sudo rm -rf *
Naravno ovaj pobriše šta je mogao. Nakon toga krenem restorat .img fajl da krenem iz početka sa SSL-om i.... image corrupt, cannot restore
Izgleda da je bio neki zajeb u kreiranju imagea direktno na taj noname USB disk. Od sada ih radim direktno na desktopu
I tako, eto sada po treći put sve iznova...

Citiraj:

Autor spiderhr

certbot ide do Debiana 10 i Testing, možda je RPI baziran na novijoj verziji pa neće proći


Znam da meni na D11 nije htio proći a na D12 nisam ni probao. Tak i tak VPS koji imam služi za učenje pa mi svejedno jel me haknu ili ne.

Mislim da si u pravu, certbot se na Debianu 12 mora instalirati preko snapd.

Citiraj:

Autor dada-as

Da i na kraju te ne haknu, nego ako te i haknu haknu te na temelju gluposti a ne da je netko brutoforceao SU.

Slicno radim i ja, jedinu zastitu koju imam je SSH Key i to je vise nego dovoljno. Imao sam i ja slicne probleme s letsencrypt, pogotovo jer sam radio slicne stvari, dodavao domene u isti pa se sve posemerilo. No ovdje je moguce da ga sve ove silne zastite koje je postavio lockaju i jos pogotovo kada se radi o ruteru koji nije namjenjen u ove svrhe. bez logova je nemoguce bilo sto konkretnije reci.

p.s. 2 godine me nisu haknuli plus je moja domena lako dostupna pa ako i ima ovdje hakera mogu probati, plus nisam azurirao wordpress sto je daleko veci vulnerability nego bilo sto drugo. Slobodno haknete jer inak ide destroy na ovom serveru.

Nema logova više, krećem iznova.
Inače sve ovo možda nije nužno potrebno, ali to radim jer mi je usput zanimljivo i zabavno

Citiraj:

Autor xlr

Mozda mu je ostao upaljen proxy na cloudflareu.

Nije.
Btw. proxy radi ako instaliraš Origin Certificate kao SSL (ja uspio, ali sam kasnije nešto drugo sjebo. Piše gore).

Citiraj:

Autor johnsmith

Svaka cast za upute, medjutim, koliko sam brzinski pogledao - jel moguce da nitko nije spomenuo blazeni carrier grade nat (CGNAT)?
Ovisno o provideru, moguce da imate 10.x ili 100.x WAN adresu u ruteru i onda se mozete pozdraviti sa otvaranjem portova na ruteru buduci imate CGNAT (dupli nat, jedan kod providera, drugi na ruteru). Nista strasno, ili zivite s tim (prije ili kasnije kak se svi boje ipv6, zavrsiti cemo svi na cgnatu. ISP nije duzan dati javni ip, to je njihova "dobra volja" ) ili koristite recimo cloudflare tunel.

Cloudflare tuneli, su kul jer:
- rjesavaju ssl (nema natezanja s certbotom) - bukvalno mozete konfigurirati tunel tipa https://pero.com a doma ga vrtite na http:// i nikom nista kad CF radi terminaciju
- koriste ionako cloudflare CDN
- cak i uz javnu adresu, nikakve portove ne treba otvarati (plus za cgnat)
- niti nije potreban dyndns client, sve ide kroz tunel, samo se domena doda na CF
- sve se bazira na "tunel endpointu" kojeg dignete na svojoj mrezi, moze i na tom rpi ili bilo gdje da moze pristupiti recimo web serveru ili sto se zeli tunelirati

Mislim da je ovdje Chuck lijepo pokrio https://www.youtube.com/watch?v=ey4u7OUAF3c

Sto se glupog WP tice, obavezno gore staviti wordfence i odvojiti 5min za konf i pokretanje, te dodati minimum Disable XMLRPC plugin.

Citiraj:

Autor dbL

4 post

http://forum.pcekspert.com/showpost....35&postcount=4


nisu upute samo sugestija ali mislim da kolege kazu da ima nekih ogranicenja sto se tice bandwitha i slicno, mada ja nisam primjetio do sada

E sad ste mi vas dvoje dali posla opet.
Sad idem googlati o tim tunelima.
Budem pogledao i wordfence.

Inače nisam iza CGNAT-a, poslao zahtjev SZK da mi ga isključe, tako da sada imam javnu IP adresu koja se rotira mislim svako 3 dana.

[tomek@vz]

Citiraj:

Autor Neo-ST

Čekirao sam logove ali ne kužim ih. Nema veze, ionako sam po treći put uspio sjebati kompletno sistem do te mjere da mi ga se ne da više pokušavati popraviti, pa krećem iznova ponovo

Da li ove tvoje metode funkcioniraju u slučaju kada uspiješ zeznit sustav toliko da se više ne može ni bootat?

Ukratko - da. No ponekad nije tak jednostavno - ak zbilja do te mjere sve skrsis da vise nista ne sljaka - trebas bootat sa Live distre i dovest sustav opet u normalu. Za ova experimentiranja ti bi bolje bilo se igrat virtualkom a kad znas da nesto sljaka - primjeniti na prod sustav. Ovak si zadajes vise posla nego je potrebno. Moja preporuka bi ti bila u ovom slucaju koristenje BTRFS-a i kreiraj snapshot prije vecih izmjena - to je najjednostavnije za ovakva eksperimentiranja. BTRFS nebih preporucio za prod sustav al za ovakva cackanja je OK. Kaj se logova tice - trazi jednostavno greske u logovima , ponekad nije tak ocito kaj je problem ali ponekad je (znam ovo nije bas od pomoci ali nemogu generalizirati). Nemoj pokusavati sve odjednom upogoniti, reko sam ti idi korak po korak. Test u VM > radi? > rollout na prod. Ne radi > uzmi pauzu, razmisli , ponovi proces u VM-u.

@strikoo > pingvini se ne zajebavaju kad je sigurost u pitanju a drugo - cini se da zbog predugog boravka u DE preuzimam njemacki smisao za humor

[strikoo]

piše u screenshot
ne mogu dohvatiti http://
moraš propustiti port 80 za http challenge. i za novi i za renew . eventualno da koristiš dns challenge

@tomek
sve 5

EDIT:

jedino sto zapravo ne kuzim sto ce ti LE . jer za tunel ti je dovoljan self signed cert, a "pravi" cert imas od cloudflare za svoju domenu.

[Neo-ST]

Citiraj:

Autor strikoo

EDIT:

jedino sto zapravo ne kuzim sto ce ti LE . jer za tunel ti je dovoljan self signed cert, a "pravi" cert imas od cloudflare za svoju domenu.

Koliko sam ja skužio, Cloudflare ima 3 moda za SSL, Flexible (koji samo osigurava korisnika do CF servera (da li se to uopće odnosi na mene pošto moj site i nije na njihovom serveru?)), Full (za koji je potreban LE) i Full Strict (za koji je potreban njihov root i Origin certifikat).

Osim LE, ima i nekih drugih, ali jedino ako implementiraš njihov Origin cert, možeš koristiti proxy opciju.

Sad ne znam, možda nisam baš sve dobro pohvatao.
Šta se tiče tunela, zanimljiva su opcija, ali vidim i dosta ljudi koji su protiv njih, prvenstveno jer onda moraš igrati po njihovim pravilima (npr. jedan lik spominje njihov ToS u kojem piše šta smiješ, a šta ne smiješ imati na websiteu).

[Neo-ST]

Meni ovde nešto nije jasno.
Sad sam napokon digao sve kako bog zapovijeda, SSL radi, itd.

Ali ovaj Wordpress ne mogu nikako skužit.
Ovdje je neka caka sa ovim permalinkovima koje ne kužim.

Znači kada se WP instalira ovako na kućni server, na lokalnoj IP adresi (u mom slučaju 192.168.50.5), onda ovako izgleda to u General Settings:




I ovako izgledaju permalinkovi:




Problem je u tome šta ako odem na svoju domenu, https://xyz.com, ona otvori index.php i sve na prvu izgleda OK.

Međutim ako objavim novu stranicu na websiteu, npr. "test page", pojavit će se link na tu stranicu na index.php, ali on neće voditi na https://xyz.com/test-page nego na

Code:

https://192.168.50.5/test-page

Ako u General Settings stavim da su mi Wordpress Address i Site Address "https://xyz.com", onda se permalinkovi promijene i onda "test page" link vodi na:

Code:

https://xyz.com/test-page

...šta je ispravno i u tom slučaju sve radi kako bi trebalo, međutim to stvara drugi problem, a taj je da se onda wp-adminu više ne može pristupiti preko moje lokalne adrese http://192.168.50.5/wp-admin, jer ako to upišem, nešto me automatski redirecta na https://xyz.com/wp-admin, i još ktome address bar izgleda ovako:



U tom slučaju više ničemu ne služe ni one zabrane da se wp-adminu može pristupati samo sa jedne lokalne IP adrese, dapače, onda i štete, jer tada me WP lockouta, s obzirom da pristupni IP wp-adminu više nije moj lokalni, nego moj javni (koji se mijenja, jer nemam statičnu javnu IP adresu).


Možda se pitate, pa zašto ne učiniš kako je Wordpress službeno objasnio "Home Address" i "Site Address" u General Setting?
Prema njima, Home Address je adresa gdje su WP fajlovi fizički, dakle to bi kao trebala biti moja lokalna IP adresa.
Site Address je, kao šta ime i logika nalažu, adresa na kojoj će biti web-stranica, dakle tu bi kao trebalo upisati "https://xyz.com".
Ako to napravim, sigurno će sve raditi kako treba?

Wrong.

Onda više ne radi publishing novih stranica (error da sam offline), a pod Settings - Permalinks izbaci ovo:



šta je potpuna glupost, jer 1) taj tekst koji oni kažu da mora biti u .htaccess već imam i 2) .htaccess je writeable (chmod 644).

Googlao sam sve te probleme i svi kao imaju neke solucije, međutim nijedna ne funkcionira. Jučer sam izgubio većinu dana na to bez uspjeha.


Ako pak upišem obratno, da je Home Address domena, a Site Address moj lokalni IP, onda se više uopće ne mogu logirati u wp-admin.

Šta se ovdje pobogu događa, i da li je uopće moguće editirati website lokalno, preko lokalnog IP-a, a da permalinkovi rade normalno i vode na domenu ?

[mkey]

Nemam nikakve sugestije, ali svaka čast na enuzijazmu. Meni od wordpressa izlaze ospice po cijelom tijelu

[Neo-ST]

Citiraj:

Autor mkey

Nemam nikakve sugestije, ali svaka čast na enuzijazmu. Meni od wordpressa izlaze ospice po cijelom tijelu

Nemoj mi ništa spominjat...
Samo sve manje znam o Wordpressu.

https://wpthinker.com/prevent-wordpress-admin-access/
https://www.nexcess.net/help/restric...tration-panel/
https://www.digitalocean.com/communi...-or-debian-vps
https://stackoverflow.com/questions/...to-domain-name
https://stackoverflow.com/questions/...and-outside-it
https://wordpress.stackexchange.com/...r-wifi-network

[domy_os]

Ako si početnik, zašto nisi išao na Webflow + Xano?

[Neo-ST]

Citiraj:

Autor strikoo

jesi probao napraviti port forward porta 80 prema rpi ?

Samo da javim - ovo je bilo rješenje.
Prvi put kad sam radio certifikat, port 80 mi je ostao otvoren i sve je funkcioniralo, međutim drugi put kad sam sve iznova radio, bio sam zatvorio port 80 i to je blokiralo izdavanje certifikata.

Citiraj:

Autor domy_os

Ako si početnik, zašto nisi išao na Webflow + Xano?

Pogledao sam to šta spominješ i postalo mi je mučno

[Neo-ST]

Postoji li neki webui alat koji bi prezentirao statistike websitea dignutog na ovaj način kao u ovom guide-u ?
Znači ako netko nema Cloudflare account i ne vidi statistike tamo, postoji li neka shema da se instalira neki tool i logiraš se na njega lokalno, npr. 192.168.1.20:1234 ili 192.168.1.20/webstat i otvori se grafičko sučelje u browseru koje bi prikazalo statistiku web servera (u ovom slučaju Apache), tipa posjećenost stranice, odakle dolaze posjetitelji, itd. ?

[mkey]

Ja kada sam si bio slagao neke male sajtove onda sam takve stvari logirao u PHP i spremao u bazu, Zar da wordpress ne nudi neki plugin za takvu svrhu?

[Neo-ST]

Citiraj:

Autor mkey

Ja kada sam si bio slagao neke male sajtove onda sam takve stvari logirao u PHP i spremao u bazu, Zar da wordpress ne nudi neki plugin za takvu svrhu?

Možda čak i nudi, nisam provjeravao pluginove. Budem. Hvala.

[spiderhr]

Citiraj:

Autor Neo-ST

Postoji li neki webui alat koji bi prezentirao statistike websitea dignutog na ovaj način kao u ovom guide-u ?
Znači ako netko nema Cloudflare account i ne vidi statistike tamo, postoji li neka shema da se instalira neki tool i logiraš se na njega lokalno, npr. 192.168.1.20:1234 ili 192.168.1.20/webstat i otvori se grafičko sučelje u browseru koje bi prikazalo statistiku web servera (u ovom slučaju Apache), tipa posjećenost stranice, odakle dolaze posjetitelji, itd. ?

awstats?