Sicurezza per server domestico, wiki

Naviga le tue risposte
5

Di recente ho creato il mio server di casa, eseguendo Ubuntu Linux. L'intento che ho per questo è di avere un wiki privato per la mia famiglia, così possiamo avere un posto dove raccogliere informazioni come numeri di telefono e altre informazioni pertinenti. Attualmente, l'accesso è limitato alla mia LAN, essenzialmente proibendo l'accesso esterno, ma sto considerando di consentire l'accesso esterno, se riesco a capire come raggiungere un livello di sicurezza. In particolare, sto cercando una soluzione che:

  1. Impedisce l'accesso in lettura a qualsiasi contenuto Web senza alcun tipo di autenticazione.
  2. L'autenticazione deve essere inoltrata in modo tale da impedire lo sniffing dei pacchetti per consentire l'accesso permanente alla rete.
  3. Idealmente, non voglio che questo costerà nulla, o se costa qualcosa, essere un piccolo costo in una volta.
  4. Dato che una delle posizioni più comuni a cui accedo sarà lavorativa, preferirei una soluzione che non richiede alcun software aggiuntivo sul client.
  5. L'accesso all'interno della LAN deve essere illimitato, cioè non è richiesta alcuna password.
  6. Vorrei poter accedere occasionalmente al sito dal mio telefono Android, quindi qualsiasi soluzione non dovrebbe impedirne il funzionamento.
  7. Mi piacerebbe espandere questo aspetto un giorno per consentire più di un semplice software wiki, ma se c'è un modo intelligente per farlo con il software wiki, lo prenderò in considerazione.

Il mio attuale pensiero si spinge a produrre un certificato SSL autofirmato e l'utilizzo dell'autenticazione di apache, sia di base che di digest, ma che richiede che venga passato su HTTPS, ma sono aperto a soluzioni alternative.

La mia configurazione completa:

  • Ubuntu 11.10
  • Apache 2.2
  • Media Wiki 1.18
posta PearsonArtPhoto 21.02.2012 - 14:33
fonte

3 risposte

4

Il commento di Jeff ha ragione. È necessario produrre un certificato SSL. Se hai un nome di dominio registrato, puoi saltare l'autofirmato e andare con un certificato SSL gratuito così ogni nuovo browser web che provi non si lamenterà del fatto che il certificato non sia attendibile (riducendo la probabilità di attacchi MITM). Se non si dispone di un nome di dominio, è possibile utilizzare openssl per creare il proprio autofirmato certificato .

Questo ti consente di accedere al tuo computer tramite HTTPS.

In seguito probabilmente vorrai aggiungere l'autenticazione Apache insieme alle eccezioni per il blocco LAN locale (192.168.0.0/16 o qualsiasi altra cosa). Questo può essere fatto con un semplice insieme di regole definite in: link

    
risposta data 21.02.2012 - 16:28
fonte
1

Come proteggere un server web con la crittografia di trasporto è già stata data una risposta. Ma vorrei sottolineare che, da quello che hai scritto, immagino che non sei ancora al corrente delle principali preoccupazioni per la sicurezza della tua installazione. Questa è la lista dei problemi di sicurezza di PHP degli ultimi due anni:

  • CVE-2010-0397
  • CVE-2010-1128
  • CVE-2010-1129
  • CVE-2010-1130
  • CVE-2010-1860
  • CVE-2010-1862
  • CVE-2010-1864
  • CVE-2010-2097
  • CVE-2010-2100
  • CVE-2010-2101
  • CVE-2010-2190
  • CVE-2010-2191
  • CVE-2010-2225
  • CVE-2010-2484
  • CVE-2010-2531
  • CVE-2010-3065
  • CVE-2010-3436
  • CVE-2010-3709
  • CVE-2010-4150
  • CVE-2010-4645
  • CVE-2010-4697
  • CVE-2010-4698
  • CVE-2011-0421
  • CVE-2011-0708
  • CVE-2011-0752
  • CVE-2011-1092
  • CVE-2011-1148
  • CVE-2011-1153
  • CVE-2011-1938
  • CVE-2011-2202
  • CVE-2011-2483
  • CVE-2011-4566
  • CVE-2011-4885
  • CVE-2012-0830

Come puoi vedere il problema principale non è né Apache né MediaWiki ma PHP.

Non esporrò mai i miei dati privati con PHP al pubblico. Suggerirei come requisito minimo che impedisca l'accesso non autorizzato al sito da parte del pubblico. Inoltre vorrei suggerire l'uso di un certificato client e prevenire qualsiasi altro accesso. Questo può essere fatto con la direttiva SSLRequire di Apache. Consulta il Strong Encryption Howto per ulteriori informazioni.

    
risposta data 21.02.2012 - 16:56
fonte
1

Recentemente ho fatto la stessa cosa con un Doku Wiki (per la ricerca sicura e offline) sul desktop di casa (una macchina Arch Linux). Solo invece di usare Ubuntu direttamente, ho eseguito il mio server tramite Virtualbox e Turnkey-Doku Wiki e ho attivato Vbox solo quando ho bisogno di aggiungere / rimuovere elementi da esso. Ho anche configurato con una connessione a ponte in modo che sia ancora possibile accedervi attraverso la mia LAN mentre si è in Vbox.

Considerazioni che suggerisco:

  1. La crittografia completa del sistema con LVM ontop di LUKS è abbastanza indolore e funziona bene con il mio setup a riposo.

  2. Doku-Wiki può essere configurato per forzare l'accesso HTTPS (ma non sono sicuro di ssl persistente dopo l'accesso)

  3. Per VPN, raccomanderei l'uso di OpenVPN con crittografia completa via cavo per aiutarti con lo sniffing dei pacchetti ... Ciò ti consentirà anche di utilizzare VPN tramite un normale browser web (per includere il tuo telefono).

  4. Per quanto riguarda la tua espansione ... Dovresti davvero controllare le soluzioni linux chiavi in mano ... Tutto è stupido, facile da usare e precostruito. Si va da wiki, server web, siti di collaborazione, database, prendere appunti, chiamarlo, probabilmente lo hanno preso.

Buona fortuna.

    
risposta data 30.10.2014 - 03:45
fonte

Leggi altre domande sui tag

Protezione contro le query sintetiche Sfrutta inevitabilmente "il costo di fare affari su Internet"?