Witam. Na wstępie chciałem podziękować za kawał dobrej roboty!
W związku z tym, że będę miał malinkę na zewnętrznym IP chciałem się dowiedzieć co oprócz: oczywiście rb PI, samego domoticza, MQTT Brokera, Grafany, Influxbd mam zabezpieczyć hasłami, abym nie miał niespodzianki? Z góry dziękuję za pomoc.
@wasilek Bardzo dobre pytanie 🙂
Moim zdaniem to przede wszystkim powinno się zabezpieczyć dostęp do samej maliny po SSH czyli zmiana portu , domyślnie jest port 22 i każdy kto próbuje się dostać od tego zaczyna. Dodatkowo silne hasło dla Pi .
Oczywiście zabezpieczenie serwisów o których wspomniałeś i zainstalowanych na tej malinie też wypada zrobić . Ja mam tak wystawioną malinę i nigdy ( jeszcze 🙂 ) nic się nie podziało .
Jeżeli chodzi o ssh to zawsze zmieniam port, bo wszystkie ataki lecą na właśnie na 22 😉 Ale moje pytanie bardziej jest skierowane pod kątem konkretnych portów, nie znam się aż tak na malinie i wszystkim co jest w tym obrazie.... Dlatego moje pytanie jest dokładnie takie: "co mam pozabezpieczać z tego obrazu aby ktoś mi nie naszkodził" 😉 Chyba, że jakoś mogę sprawdzić przez co ktoś może wejść??? To co u góry wymieniłem to wiem i już sobie zabezpieczyłem, oczywiście ssh też, ale czy jest coś jeszcze w tym konkretnym obrazie o czym zapomniałem? Pozdrawiam
Listę serwisów zainstalowanych na tym obrazie wraz z portami znajdziesz w pliku tekstowym , do którego lokalizacja jest podana na ekranie powitalnym zaraz po zalogowaniu, myślę jednak , że wszystkiego na zewnątrz nie musisz wystawiać , a jeżeli z czegoś nie korzystasz to najlepiej zatrzymać usługę . Ja osobiście nie przekierowuję wszystkich portów więc dostęp do większości serwisów jest tylko po LAN .
@wasilek Osobiście zalecam daleko idącą ostrożność z wystawianiem portów na zewnątrz swojej prywatnej sieci. Nie jestem specem od bezpieczeństwa ale wiem że przeskanowanie otwartych portów na adresie IP zajmuje chwilkę, a wystarczy prosty atak aby zablokować Ci ruch na twoim routerze, a z pewnością możliwości jest znacznie więcej. Jeśli do tego wszystkiego dochodzi system automatyki który jest integralną częścią naszej sieci to mamy niezły kąsek do zdobycia.
Jeśli naprawdę chcesz mieć dostęp do usług, zalecam skorzystać z serwera VPN (np OpenVPN) który, albo możesz skonfigurować i uruchomić na swoim routerze, albo zainstalować na malinie. Wtedy masz jeden otwarty port po którym masz szyfrowane połączenie ze swoją siecią. Osobiście korzystam z tego typu rozwiązań i nie wyobrażam sobie abym do celów prywatnych używać innych metod.
Nie wiem w jakim stopniu usługi na obrazie są odporne na ataki, dlatego nie gwarantuje że nie mogą być one złamane przez inne osoby.
Dlatego jeszcze raz apeluje. Jeśli nie musisz/musicie, to nie otwierajcie portów na zewnątrz swojej sieci, używajcie do tego połączeń szyfrowanych.
I chyba tak właśnie zrobię. Mam Mikrotika więc postawie sobie na nim VPN Server i będę łączył się za jego pomocą 😉
Może ktoś mądry powie mi jak ustawić hasło do MQTT bo nie mogę jakoś. Przydał by się poradnik jak dobrze zabezpieczyć SMARTICZ przed nie chcianą autoryzacją. Pomyślcie 😉
Chyba najprostsza metoda dodania użytkowników do MQTT Brokera (jeśli jest nim Mosquitto) z linii poleceń
Pierwsza komenda tworzy plik z użytkowniki hasłami i jednocześnie dodaje pierwszego użytkownika
sudo mosquitto_passwd -c /etc/mosquitto/passwd NAZWA_UZYTKOWNIKA
# zapyta o hasło
Druga komenda dodaje kolejnych użytkowników do istniejącego już pliku z użytkownikami
sudo mosquitto_passwd -b /etc/mosquitto/passwd NAZWA_UZYTKOWNIKA 'HASLO'
Dzięki 😉