come da consiglio di Giancarlo ho installato fail2ban; mi sto documentando
un po' e spero di configurarlo quanto prima;
Ho pensato però un'altra soluzione e volevo sentire i vostri consigli: la configurazione di SSH per lavorare con chiavi senza password non
risolverebbe il problema?
reputo difficile per un eventuale malintenzionato
scoprire la chiave o sbaglio?
le stream con modalità TLS
ma file2ban dovrebbe essere sufficiente installarlo
On 04/10/21 21:37, Davide Prina wrote:
ma file2ban dovrebbe essere sufficiente installarlo
non esattamente. Fail2ban si presenta con una sfilza di filtri da paura, ........
Potrei risolvere la parte motion / telecamere con openssl perché
motion gestisce sia il webcontrol che le stream con modalità TLS: vi
sembra una soluzione adatta?
Su openssl devo studiare tutto, quindi tornerò a chiedere consigli, ma intanto mi chiedevo se è una strada ragionevole da percorrere o una cavolata.
Buongiorno
......
Potrei risolvere la parte motion / telecamere con openssl perché
motion gestisce sia il webcontrol che le stream con modalità TLS: vi sembra una soluzione adatta?
Su openssl .......
Ciao Giuliano, non conosco l'argomento motion, cam ip ecc...
un po' si. Il problema è l'autenticazione: chi si occupa dell'autenticazione? Motion tramite TLS? Ma se un utente fallisce l'autenticazione in quale file di log, motion o chi per lui, scrive il tentativo fallito? Una volta che lo hai
Più o meno il processo è quello quindi come prima cosa devi scoprire in quale file di log vengono scritti i failing auth.
</div><div dir="ltr" class="gmail_attr"><br></div><div dir="ltr" class="gmail_attr"><div dir="ltr" class="gmail_attr">Ciao Piviul,</div><div dir="ltr" class="gmail_attr">grazie della risposta (in coda un chiarimento del contesto).</div></div><div dir="ltr" class="gm
.......
user:passwd o con TLS.Opinione personale: lascia perdere user+pass e punta solo su TLS.
......... fosse così
lascerei perdere perché non è questo il mio obbiettivo e un malintenzionato non sarebbe assolutamente interessato a sapere se il mio server è autenticato o meno.Dipende cosa intendi per sicurezza. SSL cripta le connessioni, permette
di garantire che le parti sono chi dicono di essere e che i pacchetti
non sono stati alterati in transito.
esecuzione di codice arbitrario da parte di un utente non autenticato)
questo rimarrà insicuro.
vuoi che sia comodo. P.e. se devi solo poter accedere *tu* da remoto
alle telecamere, ti conviene esporre solo il servizio SSH. Quando vuoi
vedere qualcosa, ti colleghi via SSH (che ti autentica con la tua
chiave) e apri un tunnel ("-L localport:remotehost:remoteport") per
poter accedere a remotehost:remoteport collegandoti a localhost:localport. Non è il massimo della comodità, però un malintenzionato dovrebbe poter bucare ssh, che è molto più blindato (credo e spero :) ) di ogni altro servizio che si possa far girare...
<div dir="ltr" class="gmail_attr">Ciao Diego, grazie;</div><div dir="ltr" class="gmail_attr"><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Il 06/10/2021 11:16, Giuliano Curti hascritto:<br>
<div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto"><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Diego Zuccato</blockquote></div><div dir="auto"><br></div><div dir="auto">Grazie,ciao,</div><div dir="auto">Giuliano</div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br></blockquote></div></div></div>
.......
È proprio l'autenticazione del client che mi interessa; non hai qualche
hint per poter indirizzare in modo produttivo la mia lettura?
Su questo punto non sono molto preparato, non mi è mai capitato di dover implementare una autenticazione del genere.
Però qui, secondo me, esce anche un’altra questione: l’autenticazione deve
anche arrivare all’applicazione, in modo da rilevare chi è che si collega e
dare le giuste autorizzazioni a quel tale utente.
..........
si mette davanti a Motion un server web (Apache, nginx) che fa da reverse proxy, si configura per fare autenticazione con certificato, poi viene presentata l’autenticazione di motion e lì si dovrà fare un altro login con
user e password.
Apache: http://www.stefanocapitanio.com/configuring-two-way-authentication-ssl-with-apache/
Oppure per nginx: https://www.ssltrust.com.au/help/setup-guides/client-certificate-authentication
Ciao da Lorenzo
<div class="m_4622295427560510906WordSection1"><div><div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><u></u></span></p></div>
Il 07/10/21 20:10, Davide Prina ha scritto:
[...]ma il pc espone la porta 22 in internet?
ma in /var/log/auth.log non vi è neanche una riga relativa ad un
accesso ssh alla macchina...
[...]ma il pc espone la porta 22 in internet?
ma in /var/log/auth.log non vi è neanche una riga relativa ad un
accesso ssh alla macchina...
non esattamente. Fail2ban si presenta con una sfilza di filtri daio l'ho sempre usato e non ho mai toccato nulla se non creato alcune
paura, ma poi va tarato per le proprie necessita', altrimenti
garantisco che le rogne sono superiori ai benefici.
On 04/10/21 21:37, Davide Prina wrote:
ma file2ban dovrebbe essere sufficiente installarlo
non esattamente. Fail2ban si presenta con una sfilza di filtri da paura,
ma poi va tarato per le proprie necessita', altrimenti garantisco che le rogne sono superiori ai benefici.
dipende da cosa intendi per esporreesposto intendo se la porta 22 è raggiungibile da Internet. Se non è raggiungibile ovviamente non ci possono nemmeno essere tentativi di
# netstat -putan
mi dice che non c'è nulla in ascolto su quella porta
Se faccio partire sshd
# systemctl start ssh
poi la c'è sshd in ascolto sulla porta 22
Ma comunque non doveva indicarmi anche quali IP aveva bloccato? Invece
non c'è nessun IP con il comando:
# fail2ban-client status sshd
Neanche io ho mai fatto particolari modifiche, se non le poche
necessarie per l'installazione di ISPConfig.
Un problema che può essere grosso col setup di default è se si deve
dare accesso ad un server "pubblico" da un laboratorio nattato. Se ci
sono diversi utenti correttamente collegati e qualche studente
ritardatario sbaglia la pass (anche se non è sempre lo stesso),
vengono tutti butati fuori. E se non si pensa al NAT si perdono ore a
cercare un problema inesistente. Chissà come l'ho scoperto... :)
Il 06/10/2021 11:16, Giuliano Curti ha scritto:
.......
..... Inizia quindi pensando a cosa ti serve fare e a quanto
vuoi che sia comodo. P.e. se devi solo poter accedere *tu* da remoto
alle telecamere, ti conviene esporre solo il servizio SSH. Quando vuoi
vedere qualcosa, ti colleghi via SSH (che ti autentica con la tua
chiave) e apri un tunnel ("-L localport:remotehost:remoteport") per
poter accedere a remotehost:remoteport collegandoti a localhost:localport. Non è il massimo della comodità, però un malintenzionato dovrebbe poter bucare ssh, che è molto più blindato (credo e spero :) ) di ogni altro servizio che si possa far girare...
.......
On 10/6/21, Diego Zuccato <diego.zuccato@unibo.it> wrote:
Il 06/10/2021 11:16, Giuliano Curti ha scritto:
........
ho fatto una prova (in locale) e sembra funzionare, solo però per la porta del webcontrol di motion, non riesco a reindirizzare le porte delle telecamere, ammesso sia possibile;
Il lun 4 ott 2021, 22:04 Mauro <mauro@teppisti.it> ha scritto:
.
Riassumo, senza ripetere, le domande che avevo posto:
1) la disabilitazione dell'accesso per password rende SSH
ragionevolmente
sicuro?
2) l'uso di SSL/TLS rende ragionevolmente sicura la connessione alle
porte
di pmotion e telecamerep?
con "ragionevolmente sicuro" intendo che possa fare a meno di
fail2ban-)
Il lun 4 ott 2021, 22:04 Mauro <mauro@teppisti.it> ha scritto:
.
Riassumo, senza ripetere, le domande che avevo posto:
1) la disabilitazione dell'accesso per password rende SSH
.........
Te la butto lì. E se a ssh ci affiancassi una VPN?
Sysop: | Keyop |
---|---|
Location: | Huddersfield, West Yorkshire, UK |
Users: | 293 |
Nodes: | 16 (2 / 14) |
Uptime: | 209:43:33 |
Calls: | 6,619 |
Calls today: | 1 |
Files: | 12,168 |
Messages: | 5,317,184 |