Gå til innhold
  • Bli medlem
Støtt hjemmeautomasjon.no!

Sikkerhet igjen og igjen

Fermate

Av Fermate
i Automasjonskaféen

 Del

Anbefalte innlegg

Vitellius WAF-maker

Vitellius

Skrevet
Skrevet

Jeg vet ikke engang hvordan jeg avdekker sårbaheten i systemet mitt (HS) jeg ?
Er det noen som kunne tenke seg å sette opp en enkel step-by-step liste over de mest elementære "forhåndsreglene" man bør ta (mtp konfig)?

LaStrada Bitfikler

LaStrada

Skrevet
Skrevet
7 minutes ago, Moskus said:

Jo... men hvordan slipper du gjennom de (dvs du) som bruker server/domene-navnet?

Det er noe jeg ikke forstår her (ikke at det skal så mye til)... ;) 

 

EDIT: Det er visst det denne linja skal gjøre, på en måte: 


server_name _;

Må kikke litt på det.

 

Dette er bare noe jeg fant etter litt googling. Har nå fjernet den linja (under port 80 og 443) og det gir samme resultat, så tror ikke den linja gjør noe magisk.

 

Men én ting er forskjell på den config-fila jeg linka til over her, og config-filene for domene mine:

  

server {
    listen 443;
    server_name mitt.domene www.mitt.domene;
...
}

 

For default configen (den som tar i mot alt, den jeg postet over her): 

server {
    listen 443 default;
    server_name     _;
...
}

 

Merk forskjell på "listen" linjene. Om man har med "default" tar den imot alt, bortsett fra det som er i de andre config-filene. Jeg tror dette er selve magien her, men er som sagt ingen ekspert på dette området.

  • Like 1
Gjelsvik Loddebolt

Gjelsvik

Skrevet
Skrevet
2 hours ago, Vitellius said:

Jeg vet ikke engang hvordan jeg avdekker sårbaheten i systemet mitt (HS) jeg ?
Er det noen som kunne tenke seg å sette opp en enkel step-by-step liste over de mest elementære "forhåndsreglene" man bør ta (mtp konfig)?

 

Må vel være noe for @Moskus og HS skolen?

  • Like 1
backspace Bitfikler

backspace

Skrevet
Skrevet

Mulig mange har tjenester fra nettet som trenger direkte access til hjemmeservere, men har ikke noe på utsiden som jobber mot mine PC'er så jeg bruker bare VPN fra utsiden på Mobil og laptop når jeg skal sjekke HS, Blue Iris, osv. hjemme. Noe å vurdere hvis en har mulighet for det. 

  • Like 1
Moskus Automatiker

Moskus

Skrevet
Skrevet
4 timer siden, backspace skrev:

Noe å vurdere hvis en har mulighet for det.

Joda, VPN er smart. Men det tar jo mye ekstra tid. ;)

"Jeg følger med i tiden og forventer effektivitet", vet du..

xibriz Kodemaker

xibriz

Skrevet
Skrevet
17 timer siden, Moskus skrev:

Jo... men hvordan slipper du gjennom de (dvs du) som bruker server/domene-navnet?

Det er noe jeg ikke forstår her (ikke at det skal så mye til)... ;) 

 

EDIT: Det er visst det denne linja skal gjøre, på en måte: 


server_name _;

Må kikke litt på det.

 

Ref. manualen:

 

Sitat

In catch-all server examples the strange name “_” can be seen: 


server {
    listen       80  default_server;
    server_name  _;
    return       444;
}

There is nothing special about this name, it is just one of a myriad of invalid domain names which never intersect with any real name. Other invalid names like “--” and “!@#” may equally be used.

 

  • Like 1
backspace Bitfikler

backspace

Skrevet
Skrevet
10 hours ago, Moskus said:

Joda, VPN er smart. Men det tar jo mye ekstra tid. ;)

"Jeg følger med i tiden og forventer effektivitet", vet du..

Ja, man jo spare tid med å ikke ta på hjelm når en sykkler også  ?

DiderikFrom Bitfikler

DiderikFrom

Skrevet
Skrevet (endret)

Etter å ha lest hele tråden flere ganger skjønner jeg fortsatt ikke dette.

Godt mulig jeg overser noe, men enten må TS ha åpnet porten til HS i ruteren sin eller så er dette en svakhet i myHS? Førstnevnte ville jeg ikke gjort uten diverse ekstra sikkerhet, men mulig det er naivt av meg å lå det skure og gå og halvveis stole på myHS?

 

Kan noen forklare?

 

Å sette opp VPN (dersom man har en ruter med innebygd OpenVPN server) er jo gjort på et par minuttter. Riktig satt opp får man tilgang til sitt eget LAN eksternt fra på 1-2-3. Dessverre støtter hverken iOS eller Android TAP, men det er mulig dette kan gjøres med TUN også.

Endret av DiderikFrom
Jeg hadde formulert meg uklart...
Nettopp Bitfikler

Nettopp

Skrevet
Skrevet

Når vi er inne på temaet eksterne innlogginger/innloggingsforsøk, er det noen som har satt opp varsel på dette? F.eks. en IFTTT varsling ved innlogging eller innloggingsforsøk? Kan man sette en event på dette? Er det i det hele tatt mulig å trigge noe fra "loggen"?

ZoRaC Blåtannlege

ZoRaC

Skrevet
Skrevet
53 minutter siden, Nettopp skrev:

Når vi er inne på temaet eksterne innlogginger/innloggingsforsøk, er det noen som har satt opp varsel på dette? F.eks. en IFTTT varsling ved innlogging eller innloggingsforsøk? Kan man sette en event på dette? Er det i det hele tatt mulig å trigge noe fra "loggen"?

 

Jeg bruker Monit (kjører på Ubuntu). Har planer om å sette det opp der (via fail2ban) med varsel vis PushOver. 

Bli med i samtalen

Du kan publisere innhold nå og registrere deg senere. Hvis du har en konto, logg inn nå for å poste med kontoen din.

Gjest
Skriv svar til emnet...

×   Du har limt inn tekst med formatering.   Lim inn uten formatering i stedet

  Du kan kun bruke opp til 75 smilefjes.

×   Lenken din har blitt bygget inn på siden automatisk.   Vis som en ordinær lenke i stedet

×   Tidligere tekst har blitt gjenopprettet.   Tøm tekstverktøy

×   Du kan ikke lime inn bilder direkte. Last opp eller legg inn bilder fra URL.

×
 Del
Gå til emneliste
×
×
  • Opprett ny...

Viktig informasjon

Vi har plassert informasjonskapsler/cookies på din enhet for å gjøre denne siden bedre. Du kan justere dine innstillinger for informasjonskapsler, ellers vil vi anta at dette er ok for deg.