Локальный Web Server и cgit в мир, вопросы безопасности.

0

1

Привет, ЛОР. У меня сейчас есть личные сервисы развернутые локально (NAS, Git-Server, CalDAV), для доступа к ним за пределами локальной сети используется WireGuard (сервером выступает роутер Keenetic). Однако, возникла потребность вывесить наружу сервисы, которые должны быть доступны всем (Простой Web Server с одностраничным сайтом, cgit с репозиториями). У меня в принципе жуткое непринятие стандартных решений и вся моя инфраструктура self-hosted, насколько возможно. В роли сервера будет выступать мини-пк, который работает 24/7 с Ubuntu Server на борту, доменное имя есть, статический IP тоже, вопрос в следующем: Насколько безопасно торчать всему этому в мир и какие правила безопасности обязательно стоит соблюсти?

←	Как лучше сконфигурировать диски для машины с панелью ISPConfig

Для чего нужен и какую роль играет тип ФС носителя?

→

Поставь фаервол, пропускай только необходимые сервисы в публичный доступ

GREAT-DNG ★★★★
(14.11.24 07:00:27 MSK)

Ответ на: комментарий от GREAT-DNG 14.11.24 07:00:27 MSK

Есть что-то, что является стандартом или на что стоит посмотреть?

Jefail ★★★★
(14.11.24 07:07:16 MSK) автор топика

Ответ на: комментарий от Jefail 14.11.24 07:07:16 MSK

iptables, очевидно.

Bfgeshka ★★★★★
(14.11.24 07:42:41 MSK)

Ответ на: комментарий от Bfgeshka 14.11.24 07:42:41 MSK

Благодарю за ответы, почитаю документацию.

Jefail ★★★★
(14.11.24 08:11:25 MSK) автор топика

Ответ на: комментарий от Bfgeshka 14.11.24 07:42:41 MSK

iptables, очевидно.

Уже не модно. Надо nftables

Shprot ★★
(14.11.24 08:12:50 MSK)

Я смотрю f2b никто ещё не советовал

Shprot ★★
(14.11.24 08:13:09 MSK)

Не запускать сервисы под рутом, как вариант можно запускать их в виде контейнеров в rootless Podman.
Если хочется остаться на Linux хосте, то настроить LSM (например, AppArmor), упрощённо можно в Firejail.
Если уж очень хочется безопасности, то проще таки установить это на OpenBSD.

sanyo1234 ☆
(14.11.24 08:44:51 MSK)

unattended-updates поставь.

Harliff ★★★★★
(14.11.24 09:34:32 MSK)

можно ещё в сторону Port knocking посмотреть

z0idator
(14.11.24 09:54:30 MSK)

Ответ на: комментарий от sanyo1234 14.11.24 08:44:51 MSK

Я для контейнеров планировал Docker использовать, подумал сейчас, мне в мир надо 4 сервиса вытащить: Web Server со страницей, cgit, maven репозиторий и API своего приложения. Все остальное, что крутится на локальном сервере должно быть полностью закрыто от внешнего мира и недоступно в любом виде.

Jefail ★★★★
(14.11.24 12:49:59 MSK) автор топика

Ответ на: комментарий от Jefail 14.11.24 12:49:59 MSK

Вам нужен reverse proxy: traefik, caddy. Можно использовать nginx, если вы с ним знакомы. Так же можно рассмотреть nginx-proxy-manager если нужно упростить настройку nginx.

anonymous
(14.11.24 13:05:48 MSK)

Главная проблема публично доступного сервера дома: заддосят. Домашние провайдеры не любят таких умников и в случае проблем посылают тебя лесом, либо требуют перейти на тариф для юр.лиц. Все остальное решаемо виртуализацией, разумными настройками и периодическими проверками/техобслуживанием.

Khnazile ★★★★★
(14.11.24 13:21:00 MSK)

Ответ на: комментарий от Jefail 14.11.24 12:49:59 MSK

закрыто от внешнего мира

файрволом

и недоступно в любом виде.

OpenBSD pf, работающий на перешитом старом MIPS роутере.

sanyo1234 ☆
(14.11.24 13:47:09 MSK)

←	Как лучше сконфигурировать диски для машины с панелью ISPConfig

General

Для чего нужен и какую роль играет тип ФС носителя?

→

Похожие темы