Форум русскоязычного сообщества Ubuntu


Автор Тема: защита сервера извне - посоветуйте  (Прочитано 1006 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн pl84

  • Автор темы
  • Любитель
  • *
  • Сообщений: 68
    • Просмотр профиля
1. есть сервак, на нем торрент-качалка, самба, плекс на данный момент,
2. сервак стоит за натом (домашний роутер),
3. для подключения к серверу извне (смотрю температуру, иногда правлю конфиги) сейчас использую проброс порта через роутер,
4. используется SSH + сам порт изменен в настройках.

на сколько это безопасно? достаточно ли этого? или же лучше установить OpenVPN, цепляться к нему и уже по внутреннему адресу иметь доступ к серверу и всей сети домашней...

хотелось бы в дальнейшем иметь доступ к расшареным папкам, чтобы сливать туда информацию и иметь доступ к ней, а так же использовать этот сервак в виде облачного сервиса (что бы фотки с телефона к примеру сливались автоматом туда).

alexxnight

  • Гость
Re: защита сервера извне - посоветуйте
« Ответ #1 : 01 Ноябрь 2016, 15:38:24 »
по защите ssh есть много статей в инете
samba лучше через openpvn
А если Вам нужно облако, есть документация по реализации на сайте.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26080
    • Просмотр профиля
Re: защита сервера извне - посоветуйте
« Ответ #2 : 01 Ноябрь 2016, 17:41:56 »
на сколько это безопасно? достаточно ли этого?
Безопасно настолько, насколько надёжен ваш пароль и насколько свежие библиотеки OpenSSL на системе.
Достаточность определяется вашими задачами.

хотелось бы в дальнейшем иметь доступ к расшареным папкам, чтобы сливать туда информацию и иметь доступ к ней, а так же использовать этот сервак в виде облачного сервиса
Самба очень плохо переносит обрывы связи. Если вам не нужен постоянный доступ к файлам, ограничтесь SFTP, который у вас уже есть, либо поднимите например, ownCloud.
« Последнее редактирование: 01 Ноябрь 2016, 17:47:37 от AnrDaemon »
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн pl84

  • Автор темы
  • Любитель
  • *
  • Сообщений: 68
    • Просмотр профиля
Re: защита сервера извне - посоветуйте
« Ответ #3 : 02 Ноябрь 2016, 08:34:29 »
ну пароль у меня стойкий, upfate&upgrade выполняю частенько, статьи читал по защите, выполнил почти все требования, осталось перейти на ключи доступа, вместо пароля, вход ограничен, на счет блокировки по ip для меня как я понимаю не выполнимо, так как я за натом, и все внешние подключения будут приходить от роутера (или я не прав?)...

чаще всего подключаюсь с работы, инет иногда лажит, связываю это с провайдером местным + инет через нат виндовый (прокси) идет, сессия SSH рвется иногда.


на счет облака, почитал про ownCloud - интересная штуковина, но она больше напоминает мне средство доступа к файлам, мне же больше хочется облачного хранения и синхронизации фалов с таких устройств как: телефон, планшет, ноутбук. клиента, как это есть в дропбоксе, яндексдиске или гуглооблаке не нашел пока еще... ткните носом.

Оффлайн scsiman

  • Активист
  • *
  • Сообщений: 331
    • Просмотр профиля
Re: защита сервера извне - посоветуйте
« Ответ #4 : 02 Ноябрь 2016, 11:26:31 »
pl84, https://owncloud.org/install/ -- там и десктопный клиент, и мобильное приложение. Читаем инструкцию и ставим.
Dell Studio XPS 16, Ubuntu 14.04 LTS (Home).
HP nx6110, Ubuntu 8.04 LTS => 10.04 LTS (Home).

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26080
    • Просмотр профиля
Re: защита сервера извне - посоветуйте
« Ответ #5 : 02 Ноябрь 2016, 15:03:52 »
осталось перейти на ключи доступа, вместо пароля
Уверены, что это УВЕЛИЧИТ безопасность системы?…
она больше напоминает мне средство доступа к файлам
У вас любопытная терминология. Вы представляли себе облако как-то иначе?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн pl84

  • Автор темы
  • Любитель
  • *
  • Сообщений: 68
    • Просмотр профиля
Re: защита сервера извне - посоветуйте
« Ответ #6 : 02 Ноябрь 2016, 19:53:58 »
осталось перейти на ключи доступа, вместо пароля
Уверены, что это УВЕЛИЧИТ безопасность системы?…
она больше напоминает мне средство доступа к файлам
У вас любопытная терминология. Вы представляли себе облако как-то иначе?

на счет увеличит или нет пока думаю, но брутфорсить будет бесполезно - это точно, останется только решить проблему хранения этих ключей

не во всех облаках есть возможность синхронизации файликов с телефона "в одну сторону", т.е. я делаю фото, оно складывается в память телефона, а потом при первой же возможности улетает на облако, я же по истечению места на телефоне мог бы свободно удалять, не рискуя ничего потерять из облака - вот что мне нужно по большому счету.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26080
    • Просмотр профиля
Re: защита сервера извне - посоветуйте
« Ответ #7 : 02 Ноябрь 2016, 22:54:18 »
не во всех облаках есть возможность синхронизации файликов с телефона "в одну сторону", т.е. я делаю фото, оно складывается в память телефона, а потом при первой же возможности улетает на облако, я же по истечению места на телефоне мог бы свободно удалять, не рискуя ничего потерять из облака - вот что мне нужно по большому счету.
Я точно знаю, что в ownCloud клиенте скачивание на мобильное устройство происходит только по запросу.
Как там организовано удаление - не могу сказать, сам не пользуюсь. Но вопрос вы задали хороший.

останется только решить проблему хранения этих ключей
Я воспринимаю ключ только как средство облегчения жизни лично мне. Пароль всё равно есть, ибо никогда не знаешь, где найдёшь, где потеряешь. Мне вот однажды пришлось восстанавливать систему, зайдя с планшета по SSH через 3G, отваливающийся каждые несколько минут. Восстановил, чо… screen рулит.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

kononvaler

  • Гость
Re: защита сервера извне - посоветуйте
« Ответ #8 : 03 Ноябрь 2016, 06:08:58 »
Как только ставил no-ip то сразу же в логах появлялись сообщение о попытках залогиниться извне. С одного адреса могло идти часами, видимо боты работают, так как при смене динамического адреса начинался долбеж от другого источника (а то и источников).
Замечательно помогает в этом случае fail2ban. Обычно подбор начинается с логинов root admin и даже с дефолтовыми настройками fail2ban и простым паролем, в системе ubuntu где нет дефолтовых логинов, эта дрянь замечательно отваживается.

Оффлайн pl84

  • Автор темы
  • Любитель
  • *
  • Сообщений: 68
    • Просмотр профиля
Re: защита сервера извне - посоветуйте
« Ответ #9 : 03 Ноябрь 2016, 09:22:53 »
Как только ставил no-ip то сразу же в логах появлялись сообщение о попытках залогиниться извне. С одного адреса могло идти часами, видимо боты работают, так как при смене динамического адреса начинался долбеж от другого источника (а то и источников).
Замечательно помогает в этом случае fail2ban. Обычно подбор начинается с логинов root admin и даже с дефолтовыми настройками fail2ban и простым паролем, в системе ubuntu где нет дефолтовых логинов, эта дрянь замечательно отваживается.

у меня сервак за натом... блокировка по ip не будет работать, источником для него будет роутер или есть возможность как-то это реализовать, сам роутер не умеет ограничивать проброс порта с определенного ip(((,
пользователь у меня созданный и это не admin, root'у через SSH вход закрыт.

Пользователь добавил сообщение 03 Ноябрь 2016, 09:24:05:
Я воспринимаю ключ только как средство облегчения жизни лично мне. Пароль всё равно есть, ибо никогда не знаешь, где найдёшь, где потеряешь. Мне вот однажды пришлось восстанавливать систему, зайдя с планшета по SSH через 3G, отваливающийся каждые несколько минут. Восстановил, чо… screen рулит.

пароль как "запасной ключ" или это реализовано как ключ+пароль?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26080
    • Просмотр профиля
Re: защита сервера извне - посоветуйте
« Ответ #10 : 03 Ноябрь 2016, 14:07:18 »
Одно другому не мешает. Это параллельные категории.

Пользователь добавил сообщение 03 Ноябрь 2016, 14:08:54:
Как только ставил no-ip то сразу же в логах появлялись сообщение о попытках залогиниться извне. С одного адреса могло идти часами
Откройте для себя xt_recent.

у меня сервак
Что-что у вас?…
за натом... блокировка по ip не будет работать, источником для него будет роутер
Это почему же?… Что за роутер такой ушибленый, что он натит соединения с локальной сетью?
« Последнее редактирование: 03 Ноябрь 2016, 14:08:54 от AnrDaemon »
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

kononvaler

  • Гость
Re: защита сервера извне - посоветуйте
« Ответ #11 : 03 Ноябрь 2016, 16:37:54 »
у меня сервак за натом... блокировка по ip не будет работать, источником для него будет роутер
не верно совершенно, будет блокироваться адрес взломщика.
Соединитесь со своим сервером извне и посмотрите на нем свой адрес, откуда соединились, это будет конечно не адрес роутера
netstat -na |grep :22
22 естественно замените на свой порт, который вы назначили для ssh
« Последнее редактирование: 03 Ноябрь 2016, 17:07:14 от kononvaler »

Оффлайн pl84

  • Автор темы
  • Любитель
  • *
  • Сообщений: 68
    • Просмотр профиля
Re: защита сервера извне - посоветуйте
« Ответ #12 : 03 Ноябрь 2016, 19:55:22 »
Это почему же?… Что за роутер такой ушибленый, что он натит соединения с локальной сетью?

это netgear 614 v9 по-моему, ему уже лет так эдак 8-10, работает, не ломается 50 мбит выдает по тарифу стабильно, мне хватает в общем, пока не нагнется, менять не буду, да и смысла особого не вижу уже.

под серваком я подразумеваю свой домашний выделенный комп, который висит на анкерах под за подвесным потолком, служит для раздачи медиаконтента в локалку квартиры, думаю еще установить все же ownCloud для синхронизации фото с мобильных устройств + хочется все же OpenVPN для доступа к папкам с файлами - samba.

не верно совершенно, будет блокироваться адрес взломщика.
Соединитесь со своим сервером извне и посмотрите на нем свой адрес, откуда соединились, это будет конечно не адрес роутера
netstat -na |grep :22
22 естественно замените на свой порт, который вы назначили для ssh
огромное спасибо!!!
но теперь вопрос, у меня нет iptables, его надо ставить? или сам fail2ban будет решать это?
« Последнее редактирование: 03 Ноябрь 2016, 20:17:07 от pl84 »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26080
    • Просмотр профиля
Re: защита сервера извне - посоветуйте
« Ответ #13 : 03 Ноябрь 2016, 20:02:56 »
это netgear 614 v9 по-моему
Ну и? Не припомню, чтобы нетгиры натили локальный трафик. Горели, глючили - было дело.
Но таких косяков не припомню.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн pl84

  • Автор темы
  • Любитель
  • *
  • Сообщений: 68
    • Просмотр профиля
Re: защита сервера извне - посоветуйте
« Ответ #14 : 03 Ноябрь 2016, 20:40:32 »
это netgear 614 v9 по-моему
Ну и? Не припомню, чтобы нетгиры натили локальный трафик. Горели, глючили - было дело.
Но таких косяков не припомню.
наверное я не правильно выразился, сервак за натом - я имел ввиду, что сам сервак за роутером, а на него проброшен порт.
и меня правильно поправили и направили на счет fail2ban, который будет видеть реальный ip, а не внутренний ip роутера моего.

Пользователь добавил сообщение 03 Ноябрь 2016, 20:42:05:
ПС: сейчас глянул логи своего SSH, девственно пусто на счет перебора пароля, только мой комп и рабочий ip
« Последнее редактирование: 03 Ноябрь 2016, 20:42:05 от pl84 »

 

Страница сгенерирована за 0.061 секунд. Запросов: 24.