Strona działa tylko z sieci komórkowej
Strona działa tylko z sieci komórkowej
Witajcie,
Mam VPS z Ubuntu 16.04. Dotychczas miałem zaintalowanego tam traccar, działał dobrze jednak postanowiłem go zabezpieczyć certyfikatem let's encrypt. Zrobiłem własne dns za pomocą bind9.
Może wiecie w czym jest problem chodzi o adres https://wulkanizacja.rybnik.pl - z telefonów działa z lokalnych sieci dostarczajacych internet już nie ?
Mam VPS z Ubuntu 16.04. Dotychczas miałem zaintalowanego tam traccar, działał dobrze jednak postanowiłem go zabezpieczyć certyfikatem let's encrypt. Zrobiłem własne dns za pomocą bind9.
Może wiecie w czym jest problem chodzi o adres https://wulkanizacja.rybnik.pl - z telefonów działa z lokalnych sieci dostarczajacych internet już nie ?
- jacekalex
- Gibki Gibbon
- Posty: 4678
- Rejestracja: 17 cze 2007, 02:54
- Płeć: Mężczyzna
- Wersja Ubuntu: inny OS
- Środowisko graficzne: MATE
- Architektura: x86_64
Re: Strona działa tylko z sieci komórkowej
Otwiera się jakieś okienko logowania "traccar".
Poza tym co najmniej dziwaczy serwer tam wisi na porcie 443/ssl:
na porcie 80/http widać Apacha:
Poza tym stawianie Binda dla jednej domeny to niezbyt mądre działanie, wiecej z tym kłopotu, niż korzyści.
Jak kupiłeś domenę, to od razu miałeś w cenie miejsce na serwerze DNS prawdopodobnie.
I tam ją powinieneś skonfigurować zamiast pochać się w Binda z Twoim zakresem doświadczenia i znajomości tematu.
Zwłaszcza w kontekscie tego ataku:
https://www.cert.pl/news/single/otwarte ... akow-ddos/
EDIT:
W dodatku na tego traccara można się zalogować domyślnym użytkownikiem i hasłem, user admin hasło admin.
Nie wiem, czy o takie "dobre działanie" chodziło.
Pozdro
Poza tym co najmniej dziwaczy serwer tam wisi na porcie 443/ssl:
Kod: Zaznacz cały
443/tcp open ssl/http Jetty 9.2.24.v20180105
Kod: Zaznacz cały
80/tcp open http Apache httpd 2.4.18 ((Ubuntu))
Jak kupiłeś domenę, to od razu miałeś w cenie miejsce na serwerze DNS prawdopodobnie.
I tam ją powinieneś skonfigurować zamiast pochać się w Binda z Twoim zakresem doświadczenia i znajomości tematu.
Zwłaszcza w kontekscie tego ataku:
https://www.cert.pl/news/single/otwarte ... akow-ddos/
EDIT:
W dodatku na tego traccara można się zalogować domyślnym użytkownikiem i hasłem, user admin hasło admin.
Nie wiem, czy o takie "dobre działanie" chodziło.
Pozdro
Problemy rozwiązujemy na forum nie na PW -> Niech inni na tym skorzystają.
Komputer jest jak klimatyzacja - gdy otworzysz okna, robi się bezużyteczny...
Linux User #499936
Inny OS: Gentoo Linux
Komputer jest jak klimatyzacja - gdy otworzysz okna, robi się bezużyteczny...
Linux User #499936
Inny OS: Gentoo Linux
Re: Strona działa tylko z sieci komórkowej
Zostawienie standardowych ustawień było w traccar było jak najbardziej świadome ...
Co do DNS sugerujesz aby lepiej zmienić rekord w podstawowych dns z ovh ?
Druga sprawa to co mogę mieć skopane, że na porcie 80 dalej wisi Apache ?
Konfigurowałem to według https://www.traccar.org/forums/topic/in ... s-via-ssh/
Co do DNS sugerujesz aby lepiej zmienić rekord w podstawowych dns z ovh ?
Druga sprawa to co mogę mieć skopane, że na porcie 80 dalej wisi Apache ?
Konfigurowałem to według https://www.traccar.org/forums/topic/in ... s-via-ssh/
- jacekalex
- Gibki Gibbon
- Posty: 4678
- Rejestracja: 17 cze 2007, 02:54
- Płeć: Mężczyzna
- Wersja Ubuntu: inny OS
- Środowisko graficzne: MATE
- Architektura: x86_64
Re: Strona działa tylko z sieci komórkowej
Jezli nie masz jakichyś dziwnych rekordów DNS, których w konfiguratorze OVH nie da się ustawić, to pewnie że bym zostawił domenę na DNSach OVH, tylko ją dozbroił przez DNSSEC, mają to w standardzie.
Nie wiem tylko, czy wdrożyli już rekordy CAA, potrzebne do letsencrypta, ale pewnie tak.
W OVH mają speców, co pilnują tych DNSów 24/7, i przede wszyskim mają tam primary i secondary DNS,
a u CIebie oba rekordy NS wskazują jeden i ten sam adres IP (co już jest kiepskim pomysłem).
Domyślnych ustawień w programach się nie zostawia, bo może ktoś tam dorzucić różne niespodzianki.
Poza tym nie wiem, co za mądrala stawiał ten serwer VPS, wystarczy jeden skrypciarz z programem THC_HYDRA (jest chyba w repo Ubuntu), albo Metasploit (ten też jest na Linuxa) i Ci ucegli VPSa atakiem siłowym albo słownikowym.
Ale jak ktoś zostawia demona SSH z logowaniem na hasła i do tego na domyślnym porcie 22, to już jego malpy i jego cyrk.
EDIT:
W Debianie jest:
Kod: Zaznacz cały
hydra/testing,unstable 8.6-1+b2 amd64
very fast network logon cracker
hydra-gtk/testing,unstable 8.6-1+b2 amd64
very fast network logon cracker - GTK+ based GUI
Pozdro
Problemy rozwiązujemy na forum nie na PW -> Niech inni na tym skorzystają.
Komputer jest jak klimatyzacja - gdy otworzysz okna, robi się bezużyteczny...
Linux User #499936
Inny OS: Gentoo Linux
Komputer jest jak klimatyzacja - gdy otworzysz okna, robi się bezużyteczny...
Linux User #499936
Inny OS: Gentoo Linux
Re: Strona działa tylko z sieci komórkowej
Tym mądralą to ja byłem To jest testowa wersja przeznaczona do nauki. Dzisiaj jest jutro mogę ją przeinstalować ....
Czy takie zabezpieczania wystarczą ? Czy uzupełnić je jeszcze w coś ?
http://kb.rootbox.com/podstawowe-zabezp ... 20firewall
Czy takie zabezpieczania wystarczą ? Czy uzupełnić je jeszcze w coś ?
http://kb.rootbox.com/podstawowe-zabezp ... 20firewall
- jacekalex
- Gibki Gibbon
- Posty: 4678
- Rejestracja: 17 cze 2007, 02:54
- Płeć: Mężczyzna
- Wersja Ubuntu: inny OS
- Środowisko graficzne: MATE
- Architektura: x86_64
Re: Strona działa tylko z sieci komórkowej
Fail2ban to moim zdaniem strata czasu, w samym iptables masz ciekawsze mechanizmy, jak np connlimit, hashlimit czy recent.
w Openssh to idiotyzm, jak się spiepszy sudo (przy aktualizacji albo edycji sudoers, zdaża się) to co?
zaorasz cały serwer, z powodu utraty dostępu do admina?
O wiele lepszym wyjściem jest:
w ten sposob niezależnie od innych ustawień, na roota możesz się zalogować tylko używając klucza SSH.
W ogóle zazwcyczaj wyłączam logowanie po haslach na SSH, zostawiam tylko klucze SSH.
Bardzo poprawia bezpieczeństwo mocny system ACL taki jak Apparmor, SElinux czy Tomoyo.
Apparmor jest najłatwiejszy w instalacji i konfiguracji.
Kod: Zaznacz cały
PermitRootLogin no
zaorasz cały serwer, z powodu utraty dostępu do admina?
O wiele lepszym wyjściem jest:
Kod: Zaznacz cały
PermitRootLogin without-password
W ogóle zazwcyczaj wyłączam logowanie po haslach na SSH, zostawiam tylko klucze SSH.
Bardzo poprawia bezpieczeństwo mocny system ACL taki jak Apparmor, SElinux czy Tomoyo.
Apparmor jest najłatwiejszy w instalacji i konfiguracji.
Problemy rozwiązujemy na forum nie na PW -> Niech inni na tym skorzystają.
Komputer jest jak klimatyzacja - gdy otworzysz okna, robi się bezużyteczny...
Linux User #499936
Inny OS: Gentoo Linux
Komputer jest jak klimatyzacja - gdy otworzysz okna, robi się bezużyteczny...
Linux User #499936
Inny OS: Gentoo Linux
- jacekalex
- Gibki Gibbon
- Posty: 4678
- Rejestracja: 17 cze 2007, 02:54
- Płeć: Mężczyzna
- Wersja Ubuntu: inny OS
- Środowisko graficzne: MATE
- Architektura: x86_64
Re: Strona działa tylko z sieci komórkowej
Fail2ban to moim zdaniem strata czasu, w samym iptables masz ciekawsze mechanizmy, jak np connlimit, hashlimit czy recent.
w Openssh to idiotyzm, jak się $$$$$ sudo (przy aktualizacji albo edycji sudoers, zdaża się) to co?
zaorasz cały serwer, z powodu utraty dostępu do admina?
O wiele lepszym wyjściem jest:
w ten sposob niezależnie od innych ustawień, na roota możesz się zalogować tylko używając klucza SSH.
W ogóle zazwcyczaj wyłączam logowanie po haslach na SSH, zostawiam tylko klucze SSH.
Bardzo poprawia bezpieczeństwo mocny system ACL taki jak Apparmor, SElinux czy Tomoyo.
Apparmor jest najłatwiejszy w instalacji i konfiguracji.
Do tego bardzo się przydaje sensownie podzelić zasoby serwera na rożne usługi, żeby się nie wykańczaly nawzajem,
chodzi głównie o pamięć RAM, procesor i dostęp do dysku.
Dobrze też zablokować na serwerze wyjście na internet wszyskim programom a zezwolenie tylko wybranym.
To wszysko można zrealizować przez mechanizm cgroup, w wersji cgroupv1 mamy do dyspozycji sporo możliwości:
Przyklądowo serwer Nginx w klateczce Apparmora, ograniczony dodatkowo przez cgroup:
Kod: Zaznacz cały
PermitRootLogin no
zaorasz cały serwer, z powodu utraty dostępu do admina?
O wiele lepszym wyjściem jest:
Kod: Zaznacz cały
PermitRootLogin without-password
W ogóle zazwcyczaj wyłączam logowanie po haslach na SSH, zostawiam tylko klucze SSH.
Bardzo poprawia bezpieczeństwo mocny system ACL taki jak Apparmor, SElinux czy Tomoyo.
Apparmor jest najłatwiejszy w instalacji i konfiguracji.
Do tego bardzo się przydaje sensownie podzelić zasoby serwera na rożne usługi, żeby się nie wykańczaly nawzajem,
chodzi głównie o pamięć RAM, procesor i dostęp do dysku.
Dobrze też zablokować na serwerze wyjście na internet wszyskim programom a zezwolenie tylko wybranym.
To wszysko można zrealizować przez mechanizm cgroup, w wersji cgroupv1 mamy do dyspozycji sporo możliwości:
Przyklądowo serwer Nginx w klateczce Apparmora, ograniczony dodatkowo przez cgroup:
Pozdro***************************************************************
### Program: /usr/sbin/nginx ### user: nginx ###
.................................................................................................................
15:debug:/
14:rdma:/
13:pids:/
12:hugetlb:/
11:net_prio:/
10:perf_event:/
9:net_cls:/
8:freezer:/
7:devices:/
6:memory:/serwer/nginx
5:blkio:/serwer/nginx
4:cpuacct:/
3:cpu:/serwer/nginx
2:cpuset:/
1:name=openrc:/svscan
0::/svscan
................................................................
Apparmor: /usr/sbin/nginx (enforce)
................................................................
RAM: 2.3 MiB + 10.3 MiB = 12.7 MiB nginx (2)
****************************************************************
Problemy rozwiązujemy na forum nie na PW -> Niech inni na tym skorzystają.
Komputer jest jak klimatyzacja - gdy otworzysz okna, robi się bezużyteczny...
Linux User #499936
Inny OS: Gentoo Linux
Komputer jest jak klimatyzacja - gdy otworzysz okna, robi się bezużyteczny...
Linux User #499936
Inny OS: Gentoo Linux
Kto jest online
Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 87 gości