Strona działa tylko z sieci komórkowej

Instalacja i konfiguracja oprogramowania sieciowego.
madek
Piegowaty Guziec
Piegowaty Guziec
Posty: 8
Rejestracja: 07 sie 2018, 13:30
Środowisko graficzne: Brak

Strona działa tylko z sieci komórkowej

Post autor: madek »

Witajcie,

Mam VPS z Ubuntu 16.04. Dotychczas miałem zaintalowanego tam traccar, działał dobrze jednak postanowiłem go zabezpieczyć certyfikatem let's encrypt. Zrobiłem własne dns za pomocą bind9.

Może wiecie w czym jest problem chodzi o adres https://wulkanizacja.rybnik.pl - z telefonów działa z lokalnych sieci dostarczajacych internet już nie ?
Awatar użytkownika
jacekalex
Gibki Gibbon
Gibki Gibbon
Posty: 4674
Rejestracja: 17 cze 2007, 02:54
Płeć: Mężczyzna
Wersja Ubuntu: inny OS
Środowisko graficzne: MATE
Architektura: x86_64

Re: Strona działa tylko z sieci komórkowej

Post autor: jacekalex »

Otwiera się jakieś okienko logowania "traccar".

Poza tym co najmniej dziwaczy serwer tam wisi na porcie 443/ssl:

Kod: Zaznacz cały

443/tcp open  ssl/http Jetty 9.2.24.v20180105
na porcie 80/http widać Apacha:

Kod: Zaznacz cały

80/tcp open  http    Apache httpd 2.4.18 ((Ubuntu))
Poza tym stawianie Binda dla jednej domeny to niezbyt mądre działanie, wiecej z tym kłopotu, niż korzyści.
Jak kupiłeś domenę, to od razu miałeś w cenie miejsce na serwerze DNS prawdopodobnie.
I tam ją powinieneś skonfigurować zamiast pochać się w Binda z Twoim zakresem doświadczenia i znajomości tematu.
Zwłaszcza w kontekscie tego ataku:
https://www.cert.pl/news/single/otwarte ... akow-ddos/


EDIT:
W dodatku na tego traccara można się zalogować domyślnym użytkownikiem i hasłem, user admin hasło admin.
Nie wiem, czy o takie "dobre działanie" chodziło. :twisted:

Pozdro
:craz:
Problemy rozwiązujemy na forum nie na PW -> Niech inni na tym skorzystają.
Komputer jest jak klimatyzacja - gdy otworzysz okna, robi się bezużyteczny...
Linux User #499936
Inny OS: Gentoo Linux :)
madek
Piegowaty Guziec
Piegowaty Guziec
Posty: 8
Rejestracja: 07 sie 2018, 13:30
Środowisko graficzne: Brak

Re: Strona działa tylko z sieci komórkowej

Post autor: madek »

Zostawienie standardowych ustawień było w traccar było jak najbardziej świadome ... ;)

Co do DNS sugerujesz aby lepiej zmienić rekord w podstawowych dns z ovh ?

Druga sprawa to co mogę mieć skopane, że na porcie 80 dalej wisi Apache ?

Konfigurowałem to według https://www.traccar.org/forums/topic/in ... s-via-ssh/
Awatar użytkownika
jacekalex
Gibki Gibbon
Gibki Gibbon
Posty: 4674
Rejestracja: 17 cze 2007, 02:54
Płeć: Mężczyzna
Wersja Ubuntu: inny OS
Środowisko graficzne: MATE
Architektura: x86_64

Re: Strona działa tylko z sieci komórkowej

Post autor: jacekalex »

madek pisze: 16 sie 2018, 18:52 Zostawienie standardowych ustawień było w traccar było jak najbardziej świadome ... ;)

Co do DNS sugerujesz aby lepiej zmienić rekord w podstawowych dns z ovh ?
Jezli nie masz jakichyś dziwnych rekordów DNS, których w konfiguratorze OVH nie da się ustawić, to pewnie że bym zostawił domenę na DNSach OVH, tylko ją dozbroił przez DNSSEC, mają to w standardzie.

Nie wiem tylko, czy wdrożyli już rekordy CAA, potrzebne do letsencrypta, ale pewnie tak.
W OVH mają speców, co pilnują tych DNSów 24/7, i przede wszyskim mają tam primary i secondary DNS,
a u CIebie oba rekordy NS wskazują jeden i ten sam adres IP (co już jest kiepskim pomysłem).

Domyślnych ustawień w programach się nie zostawia, bo może ktoś tam dorzucić różne niespodzianki.

Poza tym nie wiem, co za mądrala stawiał ten serwer VPS, wystarczy jeden skrypciarz z programem THC_HYDRA (jest chyba w repo Ubuntu), albo Metasploit (ten też jest na Linuxa) i Ci ucegli VPSa atakiem siłowym albo słownikowym.

Ale jak ktoś zostawia demona SSH z logowaniem na hasła i do tego na domyślnym porcie 22, to już jego malpy i jego cyrk. :twisted:

EDIT:
W Debianie jest:

Kod: Zaznacz cały

hydra/testing,unstable 8.6-1+b2 amd64
  very fast network logon cracker

hydra-gtk/testing,unstable 8.6-1+b2 amd64
  very fast network logon cracker - GTK+ based GUI
Nawet graficzna wersja gtk też jest. :twisted:

Pozdro
:craz:
Problemy rozwiązujemy na forum nie na PW -> Niech inni na tym skorzystają.
Komputer jest jak klimatyzacja - gdy otworzysz okna, robi się bezużyteczny...
Linux User #499936
Inny OS: Gentoo Linux :)
madek
Piegowaty Guziec
Piegowaty Guziec
Posty: 8
Rejestracja: 07 sie 2018, 13:30
Środowisko graficzne: Brak

Re: Strona działa tylko z sieci komórkowej

Post autor: madek »

Tym mądralą to ja byłem ;) To jest testowa wersja przeznaczona do nauki. Dzisiaj jest jutro mogę ją przeinstalować ....

Czy takie zabezpieczania wystarczą ? Czy uzupełnić je jeszcze w coś ?
http://kb.rootbox.com/podstawowe-zabezp ... 20firewall
Awatar użytkownika
jacekalex
Gibki Gibbon
Gibki Gibbon
Posty: 4674
Rejestracja: 17 cze 2007, 02:54
Płeć: Mężczyzna
Wersja Ubuntu: inny OS
Środowisko graficzne: MATE
Architektura: x86_64

Re: Strona działa tylko z sieci komórkowej

Post autor: jacekalex »

Fail2ban to moim zdaniem strata czasu, w samym iptables masz ciekawsze mechanizmy, jak np connlimit, hashlimit czy recent.

Kod: Zaznacz cały

PermitRootLogin  no
w Openssh to idiotyzm, jak się spiepszy sudo (przy aktualizacji albo edycji sudoers, zdaża się) to co?
zaorasz cały serwer, z powodu utraty dostępu do admina?

O wiele lepszym wyjściem jest:

Kod: Zaznacz cały

PermitRootLogin  without-password
w ten sposob niezależnie od innych ustawień, na roota możesz się zalogować tylko używając klucza SSH.
W ogóle zazwcyczaj wyłączam logowanie po haslach na SSH, zostawiam tylko klucze SSH.

Bardzo poprawia bezpieczeństwo mocny system ACL taki jak Apparmor, SElinux czy Tomoyo.
Apparmor jest najłatwiejszy w instalacji i konfiguracji.
Problemy rozwiązujemy na forum nie na PW -> Niech inni na tym skorzystają.
Komputer jest jak klimatyzacja - gdy otworzysz okna, robi się bezużyteczny...
Linux User #499936
Inny OS: Gentoo Linux :)
Awatar użytkownika
jacekalex
Gibki Gibbon
Gibki Gibbon
Posty: 4674
Rejestracja: 17 cze 2007, 02:54
Płeć: Mężczyzna
Wersja Ubuntu: inny OS
Środowisko graficzne: MATE
Architektura: x86_64

Re: Strona działa tylko z sieci komórkowej

Post autor: jacekalex »

Fail2ban to moim zdaniem strata czasu, w samym iptables masz ciekawsze mechanizmy, jak np connlimit, hashlimit czy recent.

Kod: Zaznacz cały

PermitRootLogin  no
w Openssh to idiotyzm, jak się $$$$$ sudo (przy aktualizacji albo edycji sudoers, zdaża się) to co?
zaorasz cały serwer, z powodu utraty dostępu do admina?

O wiele lepszym wyjściem jest:

Kod: Zaznacz cały

PermitRootLogin  without-password
w ten sposob niezależnie od innych ustawień, na roota możesz się zalogować tylko używając klucza SSH.
W ogóle zazwcyczaj wyłączam logowanie po haslach na SSH, zostawiam tylko klucze SSH.

Bardzo poprawia bezpieczeństwo mocny system ACL taki jak Apparmor, SElinux czy Tomoyo.
Apparmor jest najłatwiejszy w instalacji i konfiguracji.

Do tego bardzo się przydaje sensownie podzelić zasoby serwera na rożne usługi, żeby się nie wykańczaly nawzajem,
chodzi głównie o pamięć RAM, procesor i dostęp do dysku.
Dobrze też zablokować na serwerze wyjście na internet wszyskim programom a zezwolenie tylko wybranym.

To wszysko można zrealizować przez mechanizm cgroup, w wersji cgroupv1 mamy do dyspozycji sporo możliwości:

Przyklądowo serwer Nginx w klateczce Apparmora, ograniczony dodatkowo przez cgroup:
***************************************************************
### Program: /usr/sbin/nginx ### user: nginx ###
.................................................................................................................
15:debug:/
14:rdma:/
13:pids:/
12:hugetlb:/
11:net_prio:/
10:perf_event:/
9:net_cls:/
8:freezer:/
7:devices:/
6:memory:/serwer/nginx
5:blkio:/serwer/nginx
4:cpuacct:/
3:cpu:/serwer/nginx
2:cpuset:/
1:name=openrc:/svscan
0::/svscan
................................................................

Apparmor: /usr/sbin/nginx (enforce)
................................................................

RAM: 2.3 MiB + 10.3 MiB = 12.7 MiB nginx (2)

****************************************************************
Pozdro
:craz:
Problemy rozwiązujemy na forum nie na PW -> Niech inni na tym skorzystają.
Komputer jest jak klimatyzacja - gdy otworzysz okna, robi się bezużyteczny...
Linux User #499936
Inny OS: Gentoo Linux :)
ODPOWIEDZ

Wróć do „Sieci, serwery, Internet”

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 10 gości