Smarticz - zabezpie...
 
Powiadomienia
Wyczyść wszystko

Smarticz - zabezpieczenie przed atakami

9 Wpisów
5 Użytkownicy
0 Reactions
954 Wyświetleń
(@wasilek)
Wpisów: 5
Bywalec
Autor tematu
 

Witam. Na wstępie chciałem podziękować za kawał dobrej roboty!
W związku z tym, że będę miał malinkę na zewnętrznym IP chciałem się dowiedzieć co oprócz: oczywiście rb PI, samego domoticza, MQTT Brokera, Grafany, Influxbd mam zabezpieczyć hasłami, abym nie miał niespodzianki? Z góry dziękuję za pomoc.

 
Dodane : 05/03/2019 12:37 pm
isom
 isom
(@isom)
Wpisów: 5170
Szef wszystkich szefów Moderator Zasłużony dla Forum, Donator 2K19, Donator 2K20
 

@wasilek Bardzo dobre pytanie 🙂 

Moim zdaniem to przede wszystkim powinno się zabezpieczyć dostęp do samej maliny po SSH czyli zmiana portu , domyślnie jest port 22 i każdy kto próbuje się dostać od tego zaczyna. Dodatkowo silne hasło dla Pi .

Oczywiście zabezpieczenie serwisów o których wspomniałeś i zainstalowanych na tej malinie też wypada zrobić . Ja mam tak wystawioną malinę i nigdy ( jeszcze 🙂 ) nic się nie podziało .

 
Dodane : 05/03/2019 2:46 pm
(@wasilek)
Wpisów: 5
Bywalec
Autor tematu
 

Jeżeli chodzi o ssh to zawsze zmieniam port, bo wszystkie ataki lecą na właśnie na 22 😉 Ale moje pytanie bardziej jest skierowane pod kątem konkretnych portów, nie znam się aż tak na malinie i wszystkim co jest w tym obrazie.... Dlatego moje pytanie jest dokładnie takie: "co mam pozabezpieczać z tego obrazu aby ktoś mi nie naszkodził" 😉 Chyba, że jakoś mogę sprawdzić przez co ktoś może wejść??? To co u góry wymieniłem to wiem i już sobie zabezpieczyłem, oczywiście ssh też, ale czy jest coś jeszcze w tym konkretnym obrazie o czym zapomniałem? Pozdrawiam

 
Dodane : 05/03/2019 3:54 pm
isom
 isom
(@isom)
Wpisów: 5170
Szef wszystkich szefów Moderator Zasłużony dla Forum, Donator 2K19, Donator 2K20
 

Listę serwisów zainstalowanych na tym obrazie wraz z portami znajdziesz w pliku tekstowym , do którego lokalizacja jest podana na ekranie powitalnym zaraz po zalogowaniu, myślę jednak , że wszystkiego na zewnątrz nie musisz wystawiać , a jeżeli z czegoś nie korzystasz to najlepiej zatrzymać usługę . Ja osobiście nie przekierowuję wszystkich portów więc dostęp do większości serwisów jest tylko po LAN .   

 
Dodane : 05/03/2019 4:46 pm
abulec
(@abulec)
Wpisów: 68
Kontrybutor Donator 2K19
 

@wasilek Osobiście zalecam daleko idącą ostrożność z wystawianiem portów na zewnątrz swojej prywatnej sieci. Nie jestem specem od bezpieczeństwa ale wiem że przeskanowanie otwartych portów na adresie IP zajmuje chwilkę, a wystarczy prosty atak aby zablokować Ci ruch na twoim routerze, a z pewnością możliwości jest znacznie więcej. Jeśli do tego wszystkiego dochodzi system automatyki który jest integralną częścią naszej sieci to mamy niezły kąsek do zdobycia.

Jeśli naprawdę chcesz mieć dostęp do usług, zalecam skorzystać z serwera VPN  (np OpenVPN) który, albo możesz skonfigurować i uruchomić na swoim routerze, albo zainstalować na malinie. Wtedy masz jeden otwarty port po którym masz szyfrowane połączenie ze swoją siecią. Osobiście korzystam z tego typu rozwiązań i nie wyobrażam sobie abym do celów prywatnych używać innych metod. 

Nie wiem w jakim stopniu usługi na obrazie są odporne na ataki, dlatego nie gwarantuje że nie mogą być one złamane przez inne osoby.

 

Dlatego jeszcze raz apeluje. Jeśli nie musisz/musicie, to nie otwierajcie portów na zewnątrz swojej sieci, używajcie do tego połączeń szyfrowanych.

 
Dodane : 05/03/2019 5:49 pm
(@wasilek)
Wpisów: 5
Bywalec
Autor tematu
 

I chyba tak właśnie zrobię. Mam Mikrotika więc postawie sobie na nim VPN Server i będę łączył się za jego pomocą 😉

 
Dodane : 05/03/2019 7:33 pm
byhlk
(@byhlk)
Wpisów: 47
Kontrybutor Donator 2K22 Donator 2K20, Donator 2K21
 

Może ktoś mądry powie mi jak ustawić hasło do MQTT bo nie mogę jakoś. Przydał by się poradnik jak dobrze zabezpieczyć SMARTICZ przed nie chcianą autoryzacją. Pomyślcie 😉 

 
Dodane : 26/12/2019 9:58 pm
adrian
(@adrian)
Wpisów: 4033
Szefu Admin Zasłużony dla Forum, Patron Strony
 

Chyba najprostsza metoda dodania użytkowników do MQTT Brokera (jeśli jest nim Mosquitto) z linii poleceń

Pierwsza komenda tworzy plik z użytkowniki hasłami i jednocześnie dodaje pierwszego użytkownika

sudo mosquitto_passwd -c /etc/mosquitto/passwd NAZWA_UZYTKOWNIKA
# zapyta o hasło

Druga komenda dodaje kolejnych użytkowników do istniejącego już pliku z użytkownikami

sudo mosquitto_passwd -b /etc/mosquitto/passwd NAZWA_UZYTKOWNIKA 'HASLO'
 
Dodane : 26/12/2019 10:28 pm
byhlk
(@byhlk)
Wpisów: 47
Kontrybutor Donator 2K22 Donator 2K20, Donator 2K21
 

Dzięki 😉

 
Dodane : 27/12/2019 6:21 pm
Udostępnij: