Salutacions
Jordi
Jo li posaria fail2ban per evitar atacs de força bruta o de denegació.
El 15 de novembre de 2021 11:57:39 CET, Jordi <215639@runbox.com> ha
escrit:
Una pregunta: Vosaltres teniu o tindríeu un servidor ftp (vsftpd)
sense
ssl/tls al port estàndard 21 i si es així com el protegiu ??
Una pregunta: Vosaltres teniu o tindríeu un servidor ftp (vsftpd) sense ssl/tls al port estàndard 21 i si es així com el protegiu ??
Salutacions
Jordi
Una pregunta: Vosaltres teniu o tindríeu un servidor ftp (vsftpd) sense ssl/tls al port estàndard 21 i si es així com el protegiu ??
Salutacions
Jordi
El 15/11/21 a les 11:57, Jordi ha escrit:
Una pregunta: Vosaltres teniu o tindríeu un servidor ftp (vsftpd)
sense
ssl/tls al port estàndard 21 i si es així com el protegiu ??
Salutacions
Jordi
Personalment, a aquestes alçades no tindria un servidor FTP, amb o
sense
xifratge.
En el seu dia en vaig administrar un de domèstic fins que en vaig
acabar
bastant fart. Avui dia, que pràcticament tot està darrere NATs,
necessites no només obrir el port del protocol sinó també tot un rang
de
ports més per permetre les transferències passives.
Desconec la motivació que t'impulsa a oferir el servei, però si només
ha
de servir per comunicar-se amb altres màquines GNU/Linux, amb SFTP
(FTP
sobre SSH) ja en fas prou; si necessites compatibilitat amb altres
sistemes "out-of-the-box" (sense instal·lar res addicional als
clients),
una millor alternativa podria ser WebDAV amb Apache i certificat
Let's
Encrypt gestionat per certbot pel xifratge TLS.
Fins i tot, en el cas que només uns pocs usuaris estiguin autoritzats
a
pujar-hi fitxers i a tots ells els hi pots configurar un client SFTP,
podries arribar a tenir un muntatge híbrid amb SFTP per a les pujades
i
HTTP(S) planer, sense WebDAV, per a les baixades.
Amb HTTP(S) tens la possibilitat tant de donar accés universal com de limitar-lo amb paraula de pas; amb SFTP pots donar accés per paraula
de
pas o per certificat digital. De fet, amb HTTPS també podries limitar
els accessos amb certificats, però la configuració i manteniment és bastant més complex.
Tingues en compte que versions recents de Firefox i Chrome ja no
tenen
suport per al protocol FTP, el que en limita encara més la seva
usabilitat universal.
Tot això entenc que és per un servei exposat a l'exterior.
A 15-11-2021 18:34, fadelkon escrigué:
Jo li posaria fail2ban per evitar atacs de força bruta o de denegació.
El 15 de novembre de 2021 11:57:39 CET, Jordi <215639@runbox.com> ha
escrit:
Una pregunta: Vosaltres teniu o tindríeu un servidor ftp (vsftpd)
sense
ssl/tls al port estàndard 21 i si es així com el protegiu ??
Jo no el posaria (el ftp sense xifrar). No veig com el fail2ban pot
ajudar.
Si la contrasenya va en clar i te l'enxampen no cal provar moltes
vegades,
per tant el fail2ban no pararà res.
Hola, primer perdoneu per haver fet una pregunta curta sense donar
dades sobre quina és la situació que vull resoldre.
Tinc unes càmeres Foscam que ja tenen uns anys però que encara van prou
bé dins de la pèssima seguretat que ofereixen. Fa un parell de mesos
però, Let's Encrypt va caducar uns quants milions de certificats tls i
amb això el meu proveïdor de correu -Runbox- ja no accepta els correus
que les càmeres envien amb les imatges i el fabricant de Foscam no
sembla disposat a actualitzar el seu microprogramari. La opció que faig servir és enviar les imatges a gmail sense cap mena de seguretat i
aquest el reenvia a Runbox, però clarament no vull gmail per rés. Per
això he intentat ficar el servidor vsftpd a una raspberry PI 4 amb
debian, el problema, de nou és que les cams fan servir ftp clar i no
voldria deixar cap foradet per on entrar a casa des del ftp.
L'accés a les càmeres el faig normalment amb un guió que envia instruccions del tipus:Ho sé perfectament, a la feina administro alguns servidors i els intents d'entrades automatitzats a SSH són a l'ordre del dia, tot i tenir el
/usr/bin/curl -k https://aquilaadreca.ddns.net:9071/cgi-bin/CGIProxy.fcgi?cmd=getDevState&usr=usuari&pwd=parauladepas
I com a comentari final, voldria dir que vaig fer la configuració mitjançant la app en dues de les càmeres amb uns mesos de diferència i
un parell de dies després de cada configuració, "algú" va intentar
entrar per ssh a l'ordinador de la xarxa i que te una ip diferent i
port diferent a l'ssh. així que de fiar-me res de res. Aquí fail2ban va
fer la seva feina perfectament.
Salutacions
Jordi.
Tinc unes cmeres Foscam que ja tenen uns anys per que encara van prou
b dins de la pssima seguretat que ofereixen. Fa un parell de mesos
per, Let's Encrypt va caducar uns quants milions de certificats tls i
amb aix el meu provedor de correu -Runbox- ja no accepta els correus
que les cmeres envien amb les imatges i el fabricant de Foscam no
sembla disposat a actualitzar el seu microprogramari. La opci que faig
El 15/11/21 a les 23:54, Jordi ha escrit:
Hola, primer perdoneu per haver fet una pregunta curta sense donar
dades sobre quina és la situació que vull resoldre.
Tinc unes càmeres Foscam que ja tenen uns anys però que encara van
prou
bé dins de la pèssima seguretat que ofereixen. Fa un parell de
mesos
però, Let's Encrypt va caducar uns quants milions de certificats
tls i
amb això el meu proveïdor de correu -Runbox- ja no accepta els
correus
que les càmeres envien amb les imatges i el fabricant de Foscam no
sembla disposat a actualitzar el seu microprogramari. La opció que
faig
servir és enviar les imatges a gmail sense cap mena de seguretat i
aquest el reenvia a Runbox, però clarament no vull gmail per rés.
Per
això he intentat ficar el servidor vsftpd a una raspberry PI 4 amb
debian, el problema, de nou és que les cams fan servir ftp clar i
no
voldria deixar cap foradet per on entrar a casa des del ftp.
Has considerat la possibilitat de configurar un servidor de correu en
lloc d'un FTP? Si tal com entenc les càmeres tenen la capacitat
d'enviar
a un SMTP, podries arribar a configurar-te un de domèstic, i en
aquest
cas podries limitar l'accés tant per usuari i clau de pas així com
per
remitent i destinatari. Sé que exim és molt configurable en aquest
sentit, però malauradament poc més et puc ajudar perquè, a diferència dels altres suggeriments que havia proposat, no en tinc experiència.
De totes maneres, si el problema és que les càmeres ja no reconeixen
els
certificats de Let's Encrypt, el problema per posar TLS el tindràs
igualment amb FTPS, HTTPS o fins i tot amb SMTP + STARTTLS.
L'accés a les càmeres el faig normalment amb un guió que envia instruccions del tipus:
/usr/bin/curl -k https://aquilaadreca.ddns.net:9071/cgi-bin/CGIProxy.fcgi?cmd=getDevState&usr=usuari&pwd=parauladepas
I com a comentari final, voldria dir que vaig fer la configuració mitjançant la app en dues de les càmeres amb uns mesos deHo sé perfectament, a la feina administro alguns servidors i els
diferència i
un parell de dies després de cada configuració, "algú" va intentar entrar per ssh a l'ordinador de la xarxa i que te una ip diferent i
port diferent a l'ssh. així que de fiar-me res de res. Aquí
fail2ban va
fer la seva feina perfectament.
intents
d'entrades automatitzats a SSH són a l'ordre del dia, tot i tenir el
servei a un port diferent del 22. Si bé és cert que el volum és
menor,
també ho és que molts robots escanegen tots els ports a l'espera de detectar firmes de protocols. Per tant, resulta imprescindible tenir
el
servei al dia amb totes les actualitzacions de seguretat, a banda de
tenir-lo configurat de la forma més limitada possible.
Salutacions
Jordi.
Hola,
On Mon, Nov 15, 2021 at 11:54:20PM +0100, Jordi wrote:
Tinc unes càmeres Foscam que ja tenen uns anys però que encara van
prou
bé dins de la pèssima seguretat que ofereixen. Fa un parell de
mesos
però, Let's Encrypt va caducar uns quants milions de certificats
tls i
amb això el meu proveïdor de correu -Runbox- ja no accepta els
correus
que les càmeres envien amb les imatges i el fabricant de Foscam no
sembla disposat a actualitzar el seu microprogramari. La opció que
faig
fa molts anys jo tenia una Foscam (a la que accedia a través de la
weva web; deu ser un altre model) i em vaig posar en contacte amb el fabricant per demanar-los una versió més nova del microprogramari:
contra tot pronòstic me la van enviar i al cap d'un temps la van
publicar. Podries fer el mateix (el no ja el tens).
Una altra opció és que muntis un servidor de correu intern que només accepti peticions de les IPs de les càmeres i reenvïi amb ssmtpd o
similar cap a la teva bústia.
No és la solució ideal però també te la pots plantejar.
Si tens control sobre el router que fan servir les càmeres potser pots muntar un túnel xifrat i ftp en clar però només dins del túnel. O potser això és més complicat que altres solucions que t'han dit.
Hola,
On Nov/16/2021, Xavi Drudis Ferran wrote:
Si tens control sobre el router que fan servir les càmeres potser
pots
muntar un túnel xifrat i ftp en clar però només dins del túnel. O potser
això és més complicat que altres solucions que t'han dit.
això mateix havia pensat. O posar una Raspberry pi al costat de la
càmera que faci el túnel, només la contrasenya entre la càmera i la
pi
aniria en clar (i en una xarxa diferent amb dos interfícies de xarxa
a
la Raspberry Pi, etc.).
Aquesta idea funciona amb qualsevol maquinari (aquest cop la càmera
FOSCAM) que no s'actualitza i que cal que estigui més o menys
connectat.
També tinc una FOSCAM a una xarxa interna que envia fotos a una
Raspberry Pi amb un servidor FTP, i son accessibles via WebDAV des
d'altres llocs.
La possibilitat del servidor smtp la vaig considerar al principi però
em va fer una mica de por per si el pogués deixar mal configurat. Em
sembla que ho intentaré en els propers dies.
Gracies
El dt. 16 de 11 de 2021 a les 08:27 +0100, en/na Eloi va escriure:
El 15/11/21 a les 23:54, Jordi ha escrit:
Hola, primer perdoneu per haver fet una pregunta
ja vaig contactar amb Foscam i m'han dit que faci servir gmail
en lloc de Runbox i es veritat, gmail ho accepta tot.
Intentaré muntar el servidor de correu a casa, a veure ...
Hola, Jordi:
ja vaig contactar amb Foscam i m'han dit que faci servir gmail
en lloc de Runbox i es veritat, gmail ho accepta tot.
Intentaré muntar el servidor de correu a casa, a veure ...
Has considerat provar si amb algun altre proveïdor de correu
també s'accepten els missatges? fastmail, riseup, gmx, etc.
Salut,
Alex
--
⢀⣴⠾⠻⢶⣦⠀
⣾⠁⢠⠒⠀⣿⡁ Alex Muntada <alexm@debian.org>
⢿⡄⠘⠷⠚⠋ Debian Developer 🍥 log.alexm.org
⠈⠳⣄⠀⠀⠀⠀
Hola, Eloi:
a la feina administro alguns servidors i els intents d'entrades automatitzats a SSH són a l'ordre del dia, tot i tenir el servei
a un port diferent del 22. Si bé és cert que el volum és menor,
també ho és que molts robots escanegen tots els ports a l'espera
de detectar firmes de protocols. Per tant, resulta imprescindible
tenir el servei al dia amb totes les actualitzacions de seguretat,
a banda de tenir-lo configurat de la forma més limitada possible.
Seguint aquesta línia, a Caliu també tenim l'sshd escoltant de
ports diferents. Inicialment jo pensava que no valia la pena
perquè, tal com tu apuntes, hi ha qui es dedica a escanejar els
ports i troba igualment l'sshd. Però l'experiència ha demostrat
que no ho fa tothom i canviant el port es redueix força el volum
d'intents d'intrusió.
Més recentment hem configurat l'sshd perquè només accepti el
mètode d'autenticació amb clau pública i el número d'intents
s'ha tornat a reduir considerablement:
AuthenticationMethods publickey
Si ho configureu, assegureu-vos abans que teniu algun mètode
alternatiu per accedir a la consola del servidor en cas que
falli alguna cosa.
Salut,
Alex
--
⢀⣴⠾⠻⢶⣦⠀
⣾⠁⢠⠒⠀⣿⡁ Alex Muntada <alexm@debian.org>
⢿⡄⠘⠷⠚⠋ Debian Developer 🍥 log.alexm.org
⠈⠳⣄⠀⠀⠀⠀
Sysop: | Keyop |
---|---|
Location: | Huddersfield, West Yorkshire, UK |
Users: | 286 |
Nodes: | 16 (2 / 14) |
Uptime: | 84:56:46 |
Calls: | 6,495 |
Calls today: | 6 |
Files: | 12,097 |
Messages: | 5,276,965 |