[GUIDE] Kako jeftino hostati website kod sebe doma na Raspberry Pi-ju

[OuttaControl]

Moja preporuka je samo da disclamer stavis na pocetak da nisi puno bio opterecen sa sigurnosti da su dolje u threadu neke preporuke, da nebi nekog slucajno haknilo pa da ne nosis na dusi

Inače iscrpan i detaljan i odlican guide.

A što se tiče komentara "Ko će mene haknut" nece niko ciljeno nego ce pustit skriptu koja roka IP-jeve, nac ce otvorene portove, cisto na random, i onda ide daljnje kopanje Script Kiddiesa, koji se nekad i probiju.

[Neo-ST]

Citiraj:

Autor strikoo

i pustiš sve van preko https port 443, a 80 zatvori. osim ako si ssl cert dobio sa kupovinom domene?

Da ti pravo kažem nemam pojma šta sam dobio, ovo piše za moj plan:





U SSL se apsolutno ne razumijem, tek trebam počet to istraživati...
Koliko sam skužio, ako ovdje na drugoj slici stavim "Full", onda moram instalirati "self signed certificate" u RPI OS po ovim uputstvima ?

[tomek@vz]

Ides ili na Full (strict) + Letsencrypt cert ili na Full + selfsigned cert po ovim uputama:


https://www.baeldung.com/openssl-self-signed-cert

[strikoo]

pa ide na full strict
pogledaj screenshot dobio je cert ne treba letsencrypt

[Neo-ST]

Isto sam morao otvoriti port 443 na routeru.

U Cloudflare sam stavio Full Strict.
Za sada sve radi. Idemo dalje.

[medo]

Citiraj:

Autor kopija

Heh, ovo me podsjetilo na davne dane majkrosoftovog ponosa i slave kad je Windows XP firewall bio konfiguriran po defaultu ALLOW ALL na svim portovima, pa se desila nezgodancija.

Tog davnog ljeta 2003, sjetit ćete se možda ove poruke

Hehe, kada je Blaster krenuo u ljeto 2003. Windoze nisu imale Firewall Sjećam se ko jučer jer sam tada trebao biti na Zrču a umjesto toga sam u potpuno pustom i usijanom Zagrebu zatvarao RPC u iptablesima prema Win mašinama i čekao patch da ga odmah aplajam.


Nakon toga je izašao SP2 za XP a s njime i Windows Firewall

Citiraj:

Autor domy_os

Pusti neki device javno na net i gledaj logove, u roku 24 h ćeš imati pokušaje probijanja root accounta.

Misliš za 24 minute?

[strikoo]

još ovo

https://www.wpbeginner.com/wp-tutori...s-in-htaccess/

Citiraj:

Autor Neo-ST

Isto sam morao otvoriti port 443 na routeru.

U Cloudflare sam stavio Full Strict.
Za sada sve radi. Idemo dalje.

[Neo-ST]

Citiraj:

Autor strikoo

još ovo

https://www.wpbeginner.com/wp-tutori...s-in-htaccess/

Riješeno i to

[kopija]

Citiraj:

Autor medo

Hehe, kada je Blaster krenuo u ljeto 2003. Windoze nisu imale Firewall

Kako nisu, pojele ti droge mozak na Zrču

Citiraj:

When Windows XP was originally shipped in October 2001, it included a limited firewall called "Internet Connection Firewall". It was disabled by default due to concerns with backward compatibility, and the configuration screens were buried away in network configuration screens that many users never looked at. As a result, it was rarely used. In mid-2003, the Blaster worm attacked a large number of Windows machines, taking advantage of flaws in the RPC Windows service.^[1] Several months later, the Sasser worm did something similar. The ongoing prevalence of these worms through 2004 resulted in unpatched machines being infected within a matter of minutes.^[1] Because of these incidents, as well as other criticisms that Microsoft was not being active in protecting customers from threats, Microsoft decided to significantly improve both the functionality and the interface of Windows XP's built-in firewall, rebrand it as Windows Firewall,^[2] and switched it on by default since Windows XP SP2.

[Bubba]

Citiraj:

Autor Neo-ST

Moj kućni router (Asus) ima neku DoS protekciju, jel to čemu ili ?

Tvoj Asus je puno vise od kucnog rutera, stavi mu gore Merlin, ukljuci Skynet i Bog da te vidi!

Sada jos malo kreni u istrazivanje (reverse) proxyja da mozes hostati vise od jednog domenskog resursa pa nam pisi malo i o tome.

BTW, na stranu sto si zagrebao mozda 5% ukupne price, cestitke na trudu da kopas i ucis sam i onda to jos malo dodatno izdokumentiras!

Citiraj:

Autor OuttaControl

Moja preporuka je samo da disclamer stavis na pocetak da nisi puno bio opterecen sa sigurnosti da su dolje u threadu neke preporuke, da nebi nekog slucajno haknilo pa da ne nosis na dusi

Najbolje da ima i consent form da netko ne kaze poslje da ga je silovao.

[Neo-ST]

Citiraj:

Autor Bubba

Tvoj Asus je puno vise od kucnog rutera, stavi mu gore Merlin, ukljuci Skynet i Bog da te vidi!

Ovo ću sljedeće probati.
Inače, šokiralo me da ovaj Asus, koliko god dobar bio, nema uopće VLAN mogućnost, čak niti u Merlinu.

Sad tek kao testiraju VLAN u beta firmwareu.

[medo]

Citiraj:

Autor kopija

Kako nisu, pojele ti droge mozak na Zrču

Da bar možda bi danas bio pametniji ali na kraju nisam niti jednom otišao U to vrijeme je tamo navodno još bilo ok.

Ma ono što je bilo prije SP2 nije se ni moglo nazvati firewallom. Kao što kažeš bio je tamo ali kao da nije.

[strikoo]

Citiraj:

Autor Neo-ST

Ovo ću sljedeće probati.
Inače, šokiralo me da ovaj Asus, koliko god dobar bio, nema uopće VLAN mogućnost, čak niti u Merlinu.

Sad tek kao testiraju VLAN u beta firmwareu.

koji je to Asus ?

[Neo-ST]

Citiraj:

Autor strikoo

koji je to Asus ?

https://www.asus.com/networking-iot-.../rt-ax86u-pro/

[Neo-ST]

Citiraj:

Autor xlr

Ako zelis ici korak dalje i imas bolju opremu na svojoj strani (ruter, firewall) mozes potpuno blokirati sav internet promet prema tvom wan-u i portovima 80/443 osim cloudflare proxy adresa:
https://www.cloudflare.com/en-gb/ips/
Na taj nacin samo promet koji ide preko proxyja moze doci k tebi, a on je onda enkriptiran i prolazi kroz cf firewall i sve one bot fight featureove...

Ovo me zainteresiralo.
U postavke firewalla sam uključio opciju "Inbound firewall rules". Googlajući o tome, to bi trebala biti pravila koja dopuštaju određenim IP adresama pristup određenom portu u routeru, a firewall blokira sve ostalo.

Sa tvog linka sam ubacio nekoliko Cloudflare IPjeva u svoje Inbound firewall rules. Da li to sada znači da jedino promet sa tih IP-jeva ima pristup mom 443 portu ?
Port forwarding mi je i dalje uključen i 443 otvoren.

Postavke:

Citiraj:

Autor xlr

Jos malo naprednija metoda zastite je da hardver koji vrti tvoj sajt stavis u vlan/dmz i potpuno ga odvojis od svoje kucne mreze. Ako si dobro podesio svoj firewall i sto se smije a sto ne smije raditi izmedju vlan-ova, mozes se malo vise opustiti. Ovo trazi malo vise znanja/ucenja i hardver koji to moze isporuciti.

Nažalost VLAN mogućnost trenutno nemam, a i nije mi baš jasno, ako odvojim RPI u poseban VLAN, kako mu onda pristupim sa svog kompa koji je u drugom VLAN-u ? Zar nisu oni tada praktički na odvojenim LAN-ovima, samo ne fizički nego softverski ? Pretpostavljam da onda trebam opet neka čuda izvoditi poput Wireguard tunela između jednog i drugog

[xlr]

Nisam 100% siguran da nasi Asusi mogu importati tu CF listu sa ukljucenim subnetima (CIDR)... Sama IP adresa x.x.x.0 nema nikakvu finkciju.
Kod mene na Merlinu je to malo drukčije, piše da mogu unijeti IP range adresa (IP/CIDR):
https://i.imgur.com/9ch8KXz.png

Probaj to na nacin da public IP tvog mobitela ubacis u listu pa probaj pristupiti sajtu kako si zamislio.

VLAN-ovima pristupas tako da definiras dozvole kroz firewall (ili ACL) medju mrezama. Jedan rule te dijeli od pristupa tvom hardveru. Neki firewallovi imaju politiku "deny all" (npr. Opnsense/pfsense) pa moras raditi dozvole i "rupe" te ga na taj nacin konfigurirati. Neki pak imaju politiku "allow all" kod kreiranja VLAN-ova (Omada) pa moras prvo sve blokirati, da bi napravio male rupe i dozvole.

Stariji Asusi su podrzavali nekih 3-4 predefinirana VLAN-a i to se uz malo kemijanja dalo iskonfigurirati sa switchem. Zbilja ne znam kakva je kasnije bila situacija, ne pratim vise. Ovo je bilo za stare rutere na 386-388 firmwareu:
https://www.snbforums.com/threads/ho...equired.85850/

Nedavno sam izasao iz Asus ekosustava, nisam ga nikako mogao jednostavno uklopiti u plan s VLAN-ovima. Previse driblanja, premalo vremena.

[Neo-ST]

Šta se tiče ovih sigurnosnih postavki i savjeta, malo sam se pozabavio sa time i trenutno je ovo rezultat:

Implementirao:

1. HTTPS na Cloudflare
2. Geoblock na Cloudflare (Azija i Afrika)
3. Fail2Ban
4. "Omogucavanje SSH pristupa samo sa valjanim kljucem - nikako lozinkom i samo specificnom korisniku"
5. Restrikcija admin pristupu za Wordpress samo iz lokalne mreže, i samo sa mog PC-a
6. LetsEncrypt - SSL certifikat
7. modevasive za Apache
8. Lynis - baci me u depresiju kad ga pokrenem i vidim koliko crvenog ima unatoč svom trudu, ali neka stoji
9. Apparmor - dobio defaultno sa Debianom 12, ali nešto nije u redu s njim. Ne radi i nije učitao profile. Googlajući apparmor wiki, treba neke stvari dodati u /etc/default/grub ali ja uopće nemam taj file
10. SSH postavke i Kernel/Sysctl optimizacija od Tomeka
11. 2FA za sudo

Preskočio:

1. Suricatu - nepotrebno za moje potrebe
2. "Kad pristupas izvana lokalnoj instanci na internoj mrezi nikad nemoj defaultne portove koristiti - uvijek nesto tipa port 9443 ili slicno pa kroz router forwardaj interno na 443 na lokalnoj masini koja hosta sadrzaj" - ovo ne znam kako izvesti
3. psacct/sysstat kombinacija - dobre stvari, ali trenutno mi ne treba audit resursa, a još manje aktivnosti zaposlenika. sysstat možda naknadno instaliram.
4. rkhunter - mislim da je nepotrebno
5. Firewalld/ufw - ne vidim smisao kad je firewall od routera već aktivan ?
6. IDS/IPS - to mi router već ima u vidu nekog svog "AiProtection" modula

Jesam šta zaboravio?
Uskoro ide i guide kako sve to postaviti, budem editirao prvi post, nema druge.

Citiraj:

Autor xlr

Nisam 100% siguran da nasi Asusi mogu importati tu CF listu sa ukljucenim subnetima (CIDR)... Sama IP adresa x.x.x.0 nema nikakvu finkciju.
Kod mene na Merlinu je to malo drukčije, piše da mogu unijeti IP range adresa (IP/CIDR):
https://i.imgur.com/9ch8KXz.png

Probaj to na nacin da public IP tvog mobitela ubacis u listu pa probaj pristupiti sajtu kako si zamislio.

Hmm, to imam i ja, ali spada pod IPv6 ?

https://i.ibb.co/TMKhMH7/Image-002.png

Znači ove gore IP-ove mogu komodno izbrisati jer ne služe ničemu ?

[xlr]