[GUIDE] Kako jeftino hostati website kod sebe doma na Raspberry Pi-ju

[dada-as]

Citiraj:

Autor Neo-ST

Ti kao kolega cryptaš bi trebao znati da coini nisu na "mreži kao ovaj web", već na blockchainu, a keyevi mogu biti na mreži (ako je netko dovoljno glup ih tamo držat, umjesto na hw walletu)

Ja nebi mirno spavao sa ovim nacinom hostanja weba i sheranjem interneta s uredjajima koji imaju bilo kakve veze s cryptom.

[strikoo]

Cekaj, Neo, jos te nisu hakovali ?

[Neo-ST]

Citiraj:

Autor strikoo

Cekaj, Neo, jos te nisu hakovali ?

Pokušavaju, ali implementirao sam najbolju zaštitu koju ni NSA ne može probiti.
Isključio sam RPI.
Šalu na stranu, u Skynetu vidim točno koje portove snifaju (80 predvodi) i odakle (USA trenutno).

[Neo-ST]

Originalni post editiran, dodane sigurnosne postavke. Hvala svima ovdje koji su doprinijeli tome.

[Neo-ST]

Nešto sam sjebo sa prijašnjom instalacijom eksperimentirajući, i uglavnom da ne duljim, završio sam sa ponovnom instalacijom svega iz početka
Sad sam došao do zadnjeg koraka, vađenje SSL certifikata.
Pratio iste upute koje sam i sam pisao u prvom postu i koje su radile prvi puta, ali sad više neće pa neće.

Dobijem ovo kada bi certbot trebao izdati certifikat:




Probao sam sva "rješenja" na internetu, ali nijedno ne pomaže.
Ovo šta certbot izbaci da je možda firewall problem, nije ni to, jer sam pogasio sve firewalle i pokušao ponovo, pa opet neće (također provjerio jesu li pogašeni).

Probao i mijenjati permissions za ovaj direktorij po nekim uputstvima s neta, ali ni to ne pomaže.

Nekoliko puta sam već do sada pokušavao razna rješenja, čak restore konfiguracije prije instalacije snapd-a i certbota, pa sve nanovo, ali nakon svakog 5. pokušaja me sustav banira na 1h.

Ja ne znam više šta napraviti, a pogotovo mi nije jasno kako je ista procedura prvi put savršeno uspjela, a sad neće. Ima tko ideju ?

[strikoo]

jesi probao napraviti port forward porta 80 prema rpi ?

EDIT:
vjerojatno su te hakirali

[dada-as]

Ruter rekt.

Za vise info sheraj logove, provjeri apache settings unutra su ti fileovi koje certbot kreira i koristi, vjerojatno je doslo do konfuzije buduci si prije imao settingse koji rade, a sad nanovo si napravio i imas koji ne rade. To moras uskladiti.

Jesi obrisao sve staro vezano za SSL? Ako nisi onda probaj u tom smjeru popravljat.

[tomek@vz]

Citiraj:

Autor strikoo

jesi probao napraviti port forward porta 80 prema rpi ?

EDIT:
vjerojatno su te hakirali

Ako nemas nista konstruktivno pridonjeti raspravi i problemu ne trollaj. Covjek se potrudio nesto konstruktivno napraviti i dokumentirat za ostale i usput uci a ti tako.

@Neo-ST > Cekiraj Logove.

P.S.- zbog ovakvih stvari vec u ovoj fazi je pametno koristiti snapshotove (LVM/BTRFS) i/ili radit backup rsnapshotom barem.

[spiderhr]

certbot ide do Debiana 10 i Testing, možda je RPI baziran na novijoj verziji pa neće proći


Znam da meni na D11 nije htio proći a na D12 nisam ni probao. Tak i tak VPS koji imam služi za učenje pa mi svejedno jel me haknu ili ne.

[dada-as]

Da i na kraju te ne haknu, nego ako te i haknu haknu te na temelju gluposti a ne da je netko brutoforceao SU.

Slicno radim i ja, jedinu zastitu koju imam je SSH Key i to je vise nego dovoljno. Imao sam i ja slicne probleme s letsencrypt, pogotovo jer sam radio slicne stvari, dodavao domene u isti pa se sve posemerilo. No ovdje je moguce da ga sve ove silne zastite koje je postavio lockaju i jos pogotovo kada se radi o ruteru koji nije namjenjen u ove svrhe. bez logova je nemoguce bilo sto konkretnije reci.

p.s. 2 godine me nisu haknuli plus je moja domena lako dostupna pa ako i ima ovdje hakera mogu probati, plus nisam azurirao wordpress sto je daleko veci vulnerability nego bilo sto drugo. Slobodno haknete jer inak ide destroy na ovom serveru.

[spiderhr]

Ma za učenje si uzem VPS gdje ne moram kemijati s ruterom.
A i nisu nešto cijene za neki VPS od 1 cpu, 1 gb rama i 15-20 gb ssd-a

[tomek@vz]

...no comment...

[spiderhr]

Citiraj:

Autor tomek@vz

...no comment...

Za koji komentar?

[strikoo]

Citiraj:

Autor tomek@vz

Ako nemas nista konstruktivno pridonjeti raspravi i problemu ne trollaj. Covjek se potrudio nesto konstruktivno napraviti i dokumentirat za ostale i usput uci a ti tako.

@Neo-ST > Cekiraj Logove.

P.S.- zbog ovakvih stvari vec u ovoj fazi je pametno koristiti snapshotove (LVM/BTRFS) i/ili radit backup rsnapshotom barem.

a ti nadi smisao za humor. i dalje stojim kod toga da nije forwardao port 80

[xlr]

Mozda mu je ostao upaljen proxy na cloudflareu.

[johnsmith]

Svaka cast za upute, medjutim, koliko sam brzinski pogledao - jel moguce da nitko nije spomenuo blazeni carrier grade nat (CGNAT)?
Ovisno o provideru, moguce da imate 10.x ili 100.x WAN adresu u ruteru i onda se mozete pozdraviti sa otvaranjem portova na ruteru buduci imate CGNAT (dupli nat, jedan kod providera, drugi na ruteru). Nista strasno, ili zivite s tim (prije ili kasnije kak se svi boje ipv6, zavrsiti cemo svi na cgnatu. ISP nije duzan dati javni ip, to je njihova "dobra volja" ) ili koristite recimo cloudflare tunel.

Cloudflare tuneli, su kul jer:
- rjesavaju ssl (nema natezanja s certbotom) - bukvalno mozete konfigurirati tunel tipa https://pero.com a doma ga vrtite na http:// i nikom nista kad CF radi terminaciju
- koriste ionako cloudflare CDN
- cak i uz javnu adresu, nikakve portove ne treba otvarati (plus za cgnat)
- niti nije potreban dyndns client, sve ide kroz tunel, samo se domena doda na CF
- sve se bazira na "tunel endpointu" kojeg dignete na svojoj mrezi, moze i na tom rpi ili bilo gdje da moze pristupiti recimo web serveru ili sto se zeli tunelirati

Mislim da je ovdje Chuck lijepo pokrio https://www.youtube.com/watch?v=ey4u7OUAF3c

Sto se glupog WP tice, obavezno gore staviti wordfence i odvojiti 5min za konf i pokretanje, te dodati minimum Disable XMLRPC plugin.

[dbL]

Citiraj:

Autor johnsmith

Svaka cast za upute, medjutim, koliko sam brzinski pogledao - jel moguce da nitko nije spomenuo blazeni carrier grade nat (CGNAT)?
Ovisno o provideru, moguce da imate 10.x ili 100.x WAN adresu u ruteru i onda se mozete pozdraviti sa otvaranjem portova na ruteru buduci imate CGNAT (dupli nat, jedan kod providera, drugi na ruteru). Nista strasno, ili zivite s tim (prije ili kasnije kak se svi boje ipv6, zavrsiti cemo svi na cgnatu. ISP nije duzan dati javni ip, to je njihova "dobra volja" ) ili koristite recimo cloudflare tunel.

Cloudflare tuneli, su kul jer:
- rjesavaju ssl (nema natezanja s certbotom) - bukvalno mozete konfigurirati tunel tipa https://pero.com a doma ga vrtite na http:// i nikom nista kad CF radi terminaciju
- koriste ionako cloudflare CDN
- cak i uz javnu adresu, nikakve portove ne treba otvarati (plus za cgnat)
- niti nije potreban dyndns client, sve ide kroz tunel, samo se domena doda na CF
- sve se bazira na "tunel endpointu" kojeg dignete na svojoj mrezi, moze i na tom rpi ili bilo gdje da moze pristupiti recimo web serveru ili sto se zeli tunelirati

Mislim da je ovdje Chuck lijepo pokrio https://www.youtube.com/watch?v=ey4u7OUAF3c

Sto se glupog WP tice, obavezno gore staviti wordfence i odvojiti 5min za konf i pokretanje, te dodati minimum Disable XMLRPC plugin.

4 post

http://forum.pcekspert.com/showpost....35&postcount=4


nisu upute samo sugestija ali mislim da kolege kazu da ima nekih ogranicenja sto se tice bandwitha i slicno, mada ja nisam primjetio do sada

[Neo-ST]

Citiraj:

Autor strikoo

jesi probao napraviti port forward porta 80 prema rpi ?

Nisam. Budem.

Citiraj:

Autor tomek@vz

@Neo-ST > Cekiraj Logove.

P.S.- zbog ovakvih stvari vec u ovoj fazi je pametno koristiti snapshotove (LVM/BTRFS) i/ili radit backup rsnapshotom barem.

Čekirao sam logove ali ne kužim ih. Nema veze, ionako sam po treći put uspio sjebati kompletno sistem do te mjere da mi ga se ne da više pokušavati popraviti, pa krećem iznova ponovo

Da li ove tvoje metode funkcioniraju u slučaju kada uspiješ zeznit sustav toliko da se više ne može ni bootat?

Desila mi se glupost koja se dešava valjda u 1 promil slučajeva.
Nekidan krenuo iznova namjestit sustav, i sve lijepo podesio, aliase, sve one tvoje parametre, osigurao SSH, Apache server, itd.
Jedino nisam SSL namjestio.
Baš tada sam namjerno napravio kompletan disk clone tako da se mogu igrati sa raznim SSL opcijama.
Clone sam radio sa Macrium Reflect Free programom, i inače funkcionira odlično. Doslovno napravi clone cijelog diska u .img fajl i ako bilo šta zezneš, samo restoraš .img fajl nazad na disk i to je to.
I pogodi šta se meni desi...napravim .img fajl (kao više puta do sada), međutim na neki noname USB stick, i krenem čačkati taj SSL.
Čak podesim Origin certificate kojeg Cloudflare službeno jedino podržava (tada možeš uključit proxy da sve ide preko njih), međutim nešto sjebem sa Wordpressom i onako ljut odem u cd / i napravim sudo rm -rf *
Naravno ovaj pobriše šta je mogao. Nakon toga krenem restorat .img fajl da krenem iz početka sa SSL-om i.... image corrupt, cannot restore
Izgleda da je bio neki zajeb u kreiranju imagea direktno na taj noname USB disk. Od sada ih radim direktno na desktopu
I tako, eto sada po treći put sve iznova...

Citiraj:

Autor spiderhr

certbot ide do Debiana 10 i Testing, možda je RPI baziran na novijoj verziji pa neće proći


Znam da meni na D11 nije htio proći a na D12 nisam ni probao. Tak i tak VPS koji imam služi za učenje pa mi svejedno jel me haknu ili ne.

Mislim da si u pravu, certbot se na Debianu 12 mora instalirati preko snapd.

Citiraj:

Autor dada-as

Da i na kraju te ne haknu, nego ako te i haknu haknu te na temelju gluposti a ne da je netko brutoforceao SU.

Slicno radim i ja, jedinu zastitu koju imam je SSH Key i to je vise nego dovoljno. Imao sam i ja slicne probleme s letsencrypt, pogotovo jer sam radio slicne stvari, dodavao domene u isti pa se sve posemerilo. No ovdje je moguce da ga sve ove silne zastite koje je postavio lockaju i jos pogotovo kada se radi o ruteru koji nije namjenjen u ove svrhe. bez logova je nemoguce bilo sto konkretnije reci.

p.s. 2 godine me nisu haknuli plus je moja domena lako dostupna pa ako i ima ovdje hakera mogu probati, plus nisam azurirao wordpress sto je daleko veci vulnerability nego bilo sto drugo. Slobodno haknete jer inak ide destroy na ovom serveru.

Nema logova više, krećem iznova.
Inače sve ovo možda nije nužno potrebno, ali to radim jer mi je usput zanimljivo i zabavno

Citiraj:

Autor xlr

Mozda mu je ostao upaljen proxy na cloudflareu.

Nije.
Btw. proxy radi ako instaliraš Origin Certificate kao SSL (ja uspio, ali sam kasnije nešto drugo sjebo. Piše gore).

Citiraj:

Autor johnsmith

Svaka cast za upute, medjutim, koliko sam brzinski pogledao - jel moguce da nitko nije spomenuo blazeni carrier grade nat (CGNAT)?
Ovisno o provideru, moguce da imate 10.x ili 100.x WAN adresu u ruteru i onda se mozete pozdraviti sa otvaranjem portova na ruteru buduci imate CGNAT (dupli nat, jedan kod providera, drugi na ruteru). Nista strasno, ili zivite s tim (prije ili kasnije kak se svi boje ipv6, zavrsiti cemo svi na cgnatu. ISP nije duzan dati javni ip, to je njihova "dobra volja" ) ili koristite recimo cloudflare tunel.

Cloudflare tuneli, su kul jer:
- rjesavaju ssl (nema natezanja s certbotom) - bukvalno mozete konfigurirati tunel tipa https://pero.com a doma ga vrtite na http:// i nikom nista kad CF radi terminaciju
- koriste ionako cloudflare CDN
- cak i uz javnu adresu, nikakve portove ne treba otvarati (plus za cgnat)
- niti nije potreban dyndns client, sve ide kroz tunel, samo se domena doda na CF
- sve se bazira na "tunel endpointu" kojeg dignete na svojoj mrezi, moze i na tom rpi ili bilo gdje da moze pristupiti recimo web serveru ili sto se zeli tunelirati

Mislim da je ovdje Chuck lijepo pokrio https://www.youtube.com/watch?v=ey4u7OUAF3c

Sto se glupog WP tice, obavezno gore staviti wordfence i odvojiti 5min za konf i pokretanje, te dodati minimum Disable XMLRPC plugin.

Citiraj:

Autor dbL

4 post

http://forum.pcekspert.com/showpost....35&postcount=4


nisu upute samo sugestija ali mislim da kolege kazu da ima nekih ogranicenja sto se tice bandwitha i slicno, mada ja nisam primjetio do sada

E sad ste mi vas dvoje dali posla opet.
Sad idem googlati o tim tunelima.
Budem pogledao i wordfence.

Inače nisam iza CGNAT-a, poslao zahtjev SZK da mi ga isključe, tako da sada imam javnu IP adresu koja se rotira mislim svako 3 dana.

[tomek@vz]

Citiraj:

Autor Neo-ST

Čekirao sam logove ali ne kužim ih. Nema veze, ionako sam po treći put uspio sjebati kompletno sistem do te mjere da mi ga se ne da više pokušavati popraviti, pa krećem iznova ponovo

Da li ove tvoje metode funkcioniraju u slučaju kada uspiješ zeznit sustav toliko da se više ne može ni bootat?

Ukratko - da. No ponekad nije tak jednostavno - ak zbilja do te mjere sve skrsis da vise nista ne sljaka - trebas bootat sa Live distre i dovest sustav opet u normalu. Za ova experimentiranja ti bi bolje bilo se igrat virtualkom a kad znas da nesto sljaka - primjeniti na prod sustav. Ovak si zadajes vise posla nego je potrebno. Moja preporuka bi ti bila u ovom s