MMM
18:04 29-06-2022 Ониомания

[изображение]

Ониомания что-то разыгралась (жаба совсем не душит).
Продолжаю закупки всякого овна для своего безумного дома:Кроме того потихоньку перетягиваю интеграции с тестового/игрушечного ядра на целевое. Очень не торопясь, потому как главное, что надо сделать (и требует предельной концентрации и времени) - это обеспечение безопасности доступа к мозгам моего безумного дома извне. Все инструменты есть, пошаговые мануалы нагуглены, надо только сесть и настроить. А пока мой безумный дом торчит наружу голой жопой - обычная basic-авторизация по http, что не есть правильно с точки зрения феншуя кибербезопасности.
Комментарии:
ZaRRaZZa
16:03 30-06-2022
обычная basic-авторизация по http, что не есть правильно с точки зрения феншуя кибербезопасности.

ты небось думаешь, что поставишь двуфакторку и заживешь? спешу тебя разочаровать. брутфорсят как правило от безысходности. а так ломают експлойтами. вывод - ничего наружу. только через тунель в дом. чем он лучше? как правило их латают гораздо резвее и при регулярном обновлении нарваться на взлом тяжелее. все это, не боле чем имхо. и да забыл сказать главное ко всему прикрутить логирование с алармированием, без него вообще все сцыкотно.
MMM
17:01 30-06-2022
ZaRRaZZa, да не, мне https (ssl/tls на сертификатах) должно быть более чем достаточно. Наверное. Но это не точно. У меня годами висит открытым 80-й порт на примитивную html-заглушку и никто не ломится (ну, роутер рубит самых тупых роботов, конечно).
Туннель домой я когда-то копал. И даже поднимал на старинном роутере Asus RT16 (не помню уже как точно эта популярная модель называлась). Но с тех пор много воды утекло, надо современный вариант с поднятием на роутере искать (Mikrotik, наверное, OpenVPN какой-нибудь ставить надо). Но это скучно и не интересно, а потому руки не доходят.
Логи и алармы - это все потом, когда будет понятно, за чем именно следить, но согласен - лишним не будет.
Ты, это, далеко не уходи, возвращайся когда у меня руки до безопасности дойдут, подскажешь чо может
ZaRRaZZa
18:24 30-06-2022
MMM гм. вот смотри логика у меня такая. чем сложнее система, тем чаще она будет ломаться. перефразируем к текущей ситуации, чем больше служб будет торчать от тебя наружу, тем больше вероятность того что одна из них у тебя будет с уязвимостью. если следовать этой логике то нужно минимизировать количество таких служб. это одно.
теперь поясню другое. если тебя будут ломать то поломают обязательно. если не сломают технически, то просто дадут по башке в подъезде и добудут доступ куда надо. такой случай мы не рассматриваем, т.к. мы люди маленькие и чего нас трогать.
я про другое. про использование уязвимостей в массовых продуктах. когда просто тупо прочесывают весь инет без разбора как бреднем и взламывают десятки тысяч устройств. вот тут чем меньше у тебя наружу тем лучше.
это с одной стороны.
а вот с другой стороны, часто у нас даже холодильник или утюг подключен к инету. но никто не задумывается, что именно все это и торчит наружу и точно так же уязвимо как и просто локальная служба. да и у меня тоже куча всего, но я выделил отдельную сеть под все это. и отгородился от этой сети точно так же как и от инета. можно конечно этого не делать если нет никаких важных данных, как то не хранится на пк ключи к инет банкам, а носится токен и без него ничего не работает, т.д. и т.п. так вот если терять нечего, то можно и не заморачиваться. но если есть, то тут каждый сам себе решает что да как.
ZaRRaZZa
18:26 30-06-2022
[изображение]