NAS: выбор, обсуждение, настройка, эксплуатация

[Васильович]

Fail2ban

Використовую лише для ssh.
Періодично ловить всяких китайчиків.

[AFU_power]

Періодично ловить всяких китайчиків.

в мене всі китайці та інші отлітають ще на рівні роутера

спойлер

[Васильович]

в мене всі китайці та інші отлітають ще на рівні роутера

Круто, корисна фіча
В мене доволі скромні масштаби, тому не парюся:

спойлер

Діаграму намалював ШІ на основі списку заблокованих IP адрес.

[Ekz0rcyst]

Ну в firewall роутера в мене теж є правила, але думав перебдіти і тепер думаю як реалізувати задумане.

[Smok]

Використовую лише для ssh.

а нащо SSH виставляти назовні?

[AFU_power]

Використовую лише для ssh.

а нащо SSH виставляти назовні?

Думаю в людини свої причини, в мене теж назовні показаний тільки 80, 443 і два для впн порти.

[Ekz0rcyst]

AFU_power
Я ще відкрив порт для rdp

[Васильович]

а нащо SSH виставляти назовні?

Інколи колегам по робочих питаннях потрібен доступ

[Ekz0rcyst]

Васильович
vpn? Тимчасово дати доступ через wireguard наприклад...

[Tesseract]

Де ви тих хакерів знаходите? У мене за останні пів року жодної невдалої спроби залогінитись в мій NextCloud не було. Я думав перестрахуватись і налаштувати Fail2ban, але навіть не зможу його протестувати.

[Васильович]

vpn? Тимчасово дати доступ через wireguard наприклад...

На жаль, треба саме прямий доступ - через специфіку задач: з "чистих" машин періодично підключаються, щоб скачати пару десятків Гб різних дампів БД чи архівів. Кожен раз налаштовувати підключення VPN буде доволі накладно та незручно. А так мають свої акаунти в мене на сервері, який, фактично, служить для колег "звалищем" різних тестових даних.

Де ви тих хакерів знаходите?

Думаю, вони самі по діапазонах IP адрес нас знаходять.
В мене SSH на нестандартному порті, інших сервісів публічних напряму не відкрито - і всеодно недоброзичливці тут як тут

[Tesseract]

До мене також постійно стукають, але Caddy дає доступ лише тим, хто заходить через мій безкоштовний домен. Ті, хто заходить по IP, бачать порожню сторінку. Тобто домен відіграє роль такої собі секретної фрази, яку треба знати, щоб потрапити на сторінку логіну NextCloud. Конфіг ось такий:

спойлер

Код: Виділити все

{
    http_port 11080
    https_port 12345
}

https://xxx.asuscomm.com:12345 {
    reverse_proxy localhost:11000
    tls /certs/ssl-cert-snakeoil.pem /certs/ssl-cert-snakeoil.key
}

http_port заданий лише для того, щоб Caddy не конфліктував з адмінкою сервака, яка уже займає стандартний порт.
Відповідно в compose файлі NextCloud AIO використані опції APACHE_PORT і APACHE_IP_BINDING. Також коли я це усе налаштовував адмінка AIO не давала можливості налаштувати свій власний порт. Довелося лізти в .../docker/volumes/nextcloud_aio_mastercontainer/_data/data/configuration.json і вписувати "xxx.asuscomm.com:12345" руками в рядок domain.

[AFU_power]

До мене також постійно стукають, але Caddy дає доступ лише тим, хто заходить через мій безкоштовний домен. Ті, хто заходить по IP, бачать порожню сторінку. Тобто домен відіграє роль такої собі секретної фрази, яку треба знати, щоб потрапити на сторінку логіну NextCloud. Конфіг ось такий:

спойлер

Код: Виділити все

{
    http_port 11080
    https_port 12345
}

https://xxx.asuscomm.com:12345 {
    reverse_proxy localhost:11000
    tls /certs/ssl-cert-snakeoil.pem /certs/ssl-cert-snakeoil.key
}

http_port заданий лише для того, щоб Caddy не конфліктував з адмінкою, яка уже займає стандартний порт.

Я думаю так у всіх працює, у мене по айпі та по домену без субдомена отдає 503 код

[AFU_power]

Думаю, вони самі по діапазонах IP адрес нас знаходять.

Все ще легше
Заходиш на https://search.censys.io/ і шукаєш собі айпішники по протоколах які подобаються і вразливі. Можна навіть по моделі роутерів(так тплінки і мерксіси стають частинами ботнету з незакритим телнетом і дефолт логіном телнета). Можеш свій айпі пробити, вони вже його точно просканували

[Rucha]

Використовую лише для ssh.

а нащо SSH виставляти назовні?

А що, вже є випадки коли ssh з ключем ламають?

[Васильович]

Можеш свій айпі пробити, вони вже його точно просканували

Так, ти правий

спойлер

Таки треба SSH прикрити, від гріха подалі - а колеги нехай осилюють WireGuard (він же "UNKNOWN 51413")

[AFU_power]

Можеш свій айпі пробити, вони вже його точно просканували

Так, ти правий

спойлер

Таки треба SSH прикрити, від гріха подалі - а колеги нехай осилюють WireGuard (він же "UNKNOWN 51413")

Пороби по профілю на кожного колегу вайргард, або зроби один профіль на всіх опенвпн, якщо влом під кожного робити. Ну і відповідно сервак налаштуй, щоб юзери могли по одному профілю декілька заходити

[Васильович]

Пороби по профілю на кожного колегу вайргард, або зроби один профіль на всіх опенвпн, якщо влом під кожного робити. Ну і відповідно сервак налаштуй, щоб юзери могли по одному профілю декілька заходити

Мені то не влом, а от їм влом ще VPN кожен раз сетапити
Але тепер прийдеться

[AFU_power]

Пороби по профілю на кожного колегу вайргард, або зроби один профіль на всіх опенвпн, якщо влом під кожного робити. Ну і відповідно сервак налаштуй, щоб юзери могли по одному профілю декілька заходити

Мені то не влом, а от їм влом ще VPN кожен раз сетапити
Але тепер прийдеться

OpenVPN насправді легше буде в цьому плані, якщо поставиш на сервер(не на роутер) куди вони заходять, тільки порт прокинеш на нього і все. Той самий профіль одним файлом з ключами всім закидуєш і готово. Сервер сам роздаватиме їм айпі

[Ekz0rcyst]

Васильович
https://community-scripts.github.io/Pro ... =wireguard
В proxmox ставите. Відкриєте порт для vpn на роутері
Доволі приємний Web GUI. В ньому додаєте пірів (клієнтів), і отримуєте одразу готові конфіги, - відправляєте користувачам. Після встановлення клієнта на ПК чи телефон, обираєте, що додати тунель з файлу і все. Для телефону є навіть QR. Ну і звичайно, централізовано всим керуєте, як невеликий бонус гарні графіки з трафіком використання.