Seguridad para el servidor doméstico, wiki

Navega tus respuestas
5

Recientemente configuré mi propio servidor doméstico, ejecutando Ubuntu Linux. La intención que tengo para esto es tener un wiki privado para mi familia, para que podamos tener un lugar para recopilar información como números de teléfono y otra información relevante. Actualmente, el acceso está limitado a mi LAN, esencialmente prohibiendo el acceso externo, pero estoy considerando permitir el acceso externo, si puedo averiguar cómo cumplir con un nivel de seguridad. Específicamente, estoy buscando una solución que:

  1. Evita el acceso de lectura de cualquier contenido web sin algún tipo de autenticación.
  2. La autenticación se debe pasar de tal manera que se evite la detección de paquetes para permitir el acceso permanente a la red.
  3. Idealmente, no quiero que esto cueste nada, o si cuesta algo, que sea un pequeño costo por única vez.
  4. Como una de las ubicaciones más comunes a las que accederé será el trabajo, preferiría una solución que no requiera ningún software adicional en el extremo del cliente.
  5. El acceso dentro de la LAN no debe estar restringido, es decir, no se requiere contraseña.
  6. Me gustaría poder acceder al sitio ocasionalmente desde mi teléfono con Android, por lo que cualquier solución no debería impedir que funcione.
  7. Me gustaría expandir esto algún día para permitir algo más que solo software wiki, pero si hay una forma inteligente de hacerlo con el software wiki, lo consideraré.

Mi pensamiento actual se inclina hacia la producción de un certificado SSL autofirmado y el uso de la autenticación apache, ya sea básica o resumida, pero requiere que se transmita a través de HTTPS, pero estoy abierto a soluciones alternativas.

Mi configuración completa:

  • Ubuntu 11.10
  • Apache 2.2
  • Media Wiki 1.18
pregunta PearsonArtPhoto 21.02.2012 - 14:33
fuente

3 respuestas

4

El comentario de Jeff lo hace bien. Producir un certificado SSL es necesario. Si tiene un nombre de dominio registrado, puede omitir el autofirmado e ir con un certificado SSL gratuito para que cada nuevo navegador web que pruebe no se quejará de que el certificado no es de confianza (lo que reduce la probabilidad de ataques MITM). Si no tiene un nombre de dominio, puede usar openssl para crear su propio autofirmado certificado .

Esto le permite iniciar sesión en su computadora a través de HTTPS.

A continuación, probablemente querrá agregar autenticación de apache junto con excepciones para el bloque de LAN local (192.168.0.0/16 o lo que sea). Esto se puede hacer con un conjunto simple de reglas definidas en: enlace

    
respondido por el dr jimbob 21.02.2012 - 16:28
fuente
1

Ya se ha respondido cómo proteger un servidor web mediante el uso de encriptación de transporte. Pero me gustaría señalar que, por lo que escribió, supongo que todavía no está al tanto de la principal preocupación de seguridad de su instalación. Esta es la lista de problemas de seguridad de PHP de los últimos dos años:

  • CVE-2010-0397
  • CVE-2010-1128
  • CVE-2010-1129
  • CVE-2010-1130
  • CVE-2010-1860
  • CVE-2010-1862
  • CVE-2010-1864
  • CVE-2010-2097
  • CVE-2010-2100
  • CVE-2010-2101
  • CVE-2010-2190
  • CVE-2010-2191
  • CVE-2010-2225
  • CVE-2010-2484
  • CVE-2010-2531
  • CVE-2010-3065
  • CVE-2010-3436
  • CVE-2010-3709
  • CVE-2010-4150
  • CVE-2010-4645
  • CVE-2010-4697
  • CVE-2010-4698
  • CVE-2011-0421
  • CVE-2011-0708
  • CVE-2011-0752
  • CVE-2011-1092
  • CVE-2011-1148
  • CVE-2011-1153
  • CVE-2011-1938
  • CVE-2011-2202
  • CVE-2011-2483
  • CVE-2011-4566
  • CVE-2011-4885
  • CVE-2012-0830

Como puede ver, el mayor problema no es ni Apache ni MediaWiki sino PHP.

Nunca expondría mis datos privados con PHP al público. Yo sugeriría como requisito mínimo prevenir cualquier acceso no autorizado al sitio por parte del público. Además, sugeriría el uso de un certificado de cliente y evitaría cualquier otro acceso. Esto se puede hacer con la directiva SSLRequire de Apache. Para obtener más información, consulte el Strong Encryption Howto

    
respondido por el ceving 21.02.2012 - 16:56
fuente
1

Recientemente he hecho lo mismo con un Wiki de Doku (para el almacenamiento seguro y sin conexión de la investigación) en el escritorio de mi casa (Un Arch Linux Box). Solo que en lugar de usar Ubuntu directamente, ejecuté mi servidor a través de Virtualbox y Turnkey-Doku Wiki y solo enciendo Vbox cuando necesito agregar / eliminar cosas de él. También lo tengo configurado con una conexión puenteada, por lo que aún se puede acceder a través de mi LAN mientras esté en Vbox.

Consideraciones que sugiero:

  1. El cifrado completo del sistema con LVM ontop de LUKS es bastante sencillo y funciona bien con mi configuración cuando estoy en reposo.

  2. Doku-Wiki puede configurarse para forzar el inicio de sesión HTTPS (pero no estoy seguro de si ssl persistente después de iniciar sesión)

  3. Para VPN, recomiendo usar OpenVPN que tiene cifrado completo a través del cable para ayudarlo a detectar paquetes ... Esto también le permitirá VPN a través de un navegador web regular (para incluir su teléfono).

  4. En cuanto a su capacidad de expansión ... Realmente debería revisar las soluciones de Linux llave en mano ... Todo es estúpido, fácil de usar y creado previamente. Van desde wikis, servidores web, sitios de colaboración, bases de datos, toma de notas, lo que sea, probablemente lo tienen.

La mejor de las suertes.

    
respondido por el P0LYmath 30.10.2014 - 03:45
fuente

Lea otras preguntas en las etiquetas

Cómo verificar la inyección de bytes nulos en la aplicación web de Java ¿Explota inevitablemente el "costo de hacer negocios en Internet"?