Inlägg

Får hoppas enköping har insett att deras första nc instans är sårbar och utdaterad och planerar att migrera över till deras nc på kubernetes.

Om du kör docker i din miljö på din användare på din server och inte delar tillgång med någon annan så är allt väldigt säkert, du behöver inte oroa dig.
Känns det fortfarande inte tryggt så kan du alltid skapa en VM isolera den, och sen installera docker.

Jag kan relatera till publik exponering av tjänster så som hemsidor ect.
Men för att ge dig tips på hur du säkrar dig och din sajt.

Helst om du kan använda dig av cf tunnels.
Om inte så enbart port 80 & 443 via routern, alla andra portar via reverse proxy.
Försök konfigurera så din server enbart talar med CF IP range.
Kodar du admin portal till din sajt, så använd nån form av skydd så som keycloak eller authentik.
Använd inte inline för script eller styles.
Försök sätta upp ett starkt CSP med antingen auto generated nonce eller sha. (nonce är svårt så fokus sha)
SSH ska inte vara publikt utan enbart lokalt, använd vpn för att nå på distans, med auth keys.
Använd enbart wildcart ssl cert.
Se till och ha så många moderna skydd till din webbserver som du kan.

Ta gärna en titt på,
https://github.com/PowerDNS/
https://github.com/PowerDNS-Admin

Krävs att man går igenom dokumentationen, men tar nog inte 10h

Om det fortfarande inte fungerar så är det yttligare konfig som krävs för just själva reverse proxy då det är den som inte får ut rätt IP från logs.
Det är inte omöjligt att lyckas, men det krävs tålamod samt att man inte ger upp.

Hade jag haft tid över samt en testmiljö tillhands så hade jag gärna satt upp allt själv, men om du har lust och så kan du gärna få berätta mer om din miljö så kan jag fortsätta att hjälpa dig.

Hej, har du läst på dockers officiella dokumentation?
https://docs.docker.com/engine/reference/commandline/network_...

Så routern tilldelar IP:t... w00t?

Låt oss börja med grundläggande information.

1. Din docker installation är installerad på din server eller din pc.
2. Din server eller din pc får ett IP av din router som troligast är i DHCP läge dvs du får ett dynamiskt ip,
om du nu inte satt det som statiskt.
3. Du skapar nätverk i docker, och får då en egen IP range i docker t.e.x. 172.17.0.0/16 denna range är knyten till din servers IP range. Så säg att du sitter på ett klass C IP via din routers DHCP ~> 192.168.0.1/24, då är denna
IP range knyten till din klass B du fick via docker.

Exempel på klasser.
172.17.0.0 = klass B
192.168.0.0 = klass C

För att lyckas med det du vill göra så kan du istället knyta IP:n till lokal dns.
Du gör detta i din router, eller med t.e.x. pihole.

Jo precis, det verkar inte som dom brytt sig att uppgradera från version 21,
Samt så lider deras apache av en hel del sårbarheter, jag hittade fler än 30 stycken...

Jag antar du syftar på denna ?
https://nextcloud.enkoping.se

Yes, den ser ut och vara korrekt uppsatt.
Dock version 27 +

Ser ut som,
nextcloud.enkoping.se = kubernetes
dela.enkoping.se = vanlig VM ~> apache installation.

Jag kör Vaultwarden seflhosted, med otroligt strikta fail2ban regler kopplat till cloudflare.

Och med strikt f2b så menar jag strikt!
bantime = 18144000
findtime = 100000
maxretry = 1

Samt så har jag Authentik som skydd framför vaultwarden.
Och självklart 2FA.

Kalmar kommun har tydligen haft en honeypot igång som varit kopplad till deras domän.
https://www.svt.se/nyheter/lokalt/smaland/kalmar-kommun-locka...

SVT publicerade artiklen den 9 november 2023, ett par veckor senare så är Kalmar utsatt för en IT-attack...

Hur nu detta kan tyckas vara intelligent kan ifrågasättas ordentligt!
Det enda syftet med en honeypot är att lura till sig illasinnat, och gör man detta när man befinner sig på kommunens utrustning får man skylla sig själv om något händer då sveriges kommuner har begränsad IT kunskap och ingen av dom har särskilt bra IT-Säkerhet.

Att deras IT-ansvariga leker på bekostnad av Kalmar kommuns invånare anser jag som väldigt oansvarigt,
latcha med en honeypot kan dom gott och väl göra på sin egen miljö.

Dom säger att dom valde att ha en honeypot igång för att "samla in statistik" men vad ska dom med denna statistik till när dom inte har kompetens att säkra sin miljö?

Detta påminner mig om "bröst och bringa som en cornflakesflinga"
Tragiskt!

Har 10min till jobbet, men jobbar hemifrån 4 dagar i veckan, otroligt skönt

Regeln brukar vara att inte fortsätta använda elektronik som luktar bränt, denna komponent kan nämligen skada resterande komponenter. Rekommenderar dig att köpa ny SSD istället.

Helt ärligt så behöver man inte byta lösenord regelbundet, det som krävs är att du har MFA / 2FA kopplat på ditt konto. Skaffa lösenordshanterare, generera drygt lösen som t.e.x. (!47x4ixib%#k*32DqCmLnZnb%)
Sen sitter du väldigt säkert.

Här har vi ett scenario för Person1 & Person2.

Person1 har säkert lösen (19 tecken) men ingen MFA på sitt konto, tjänsten person1 är medlem i blir anfallen av en illasinnad grupp, och gruppen lyckas komma åt ett par miljoner lösenord.
Nu är person1 illa utsatt då hen inte har haft tid och kolla sin mail eller ens hört talas om vad som hänt, p.g.a. detta så förlorar person1 tillgång till sitt konto. Nu behöver person1 kontakta tjänstens kundservice för att få tillbaka kontot, men med tanke på att tjänsten just fått en hel del problem så är person1 inte prio.

Person2 har ett mindre säkert lösen (8 tecken) men har MFA på sitt konto, tjänsten person2 är medlem i blir anfallen av samma illasinnad grupp och gruppen lyckas komma åt ett par miljoner lösenord.
Som tur är är hen inte utsatt alls då även den om den illasinnade gruppen fick tag i lösenordet som person2 har så kommer dom inte in i kontot p.g.a. MFA, person2 kan nu fortsätta att använda tjänsten.

Visserligen så läcker en del information ut om både person1 och 2 men detta är inte användarnas fel utan tjänstens fel som inte tillhandahåller tillräckligt bra säkerhet för alla deras användare.

• Aktivera MFA på alla era konton.

• Använd lösenordshanterare.

+1 för Ubuntu!
+1 för mariadb
+1 för Apache och Nginx. Jag personligen föredrar nginx, men apache är helt ok, kör men det som du är mest bekväm med
Ja du kommer att kunna använda react.
+1 för ssd!

@Mattebra
Även om dom är billiga på Misshosting så bör du inte spendera dina pengar hos dom utan kör på följande.
Rekommenderade VPNs,
https://www.ovpn.com/sv
https://www.azirevpn.com/sv
https://mullvad.net/en

Finns en hel del som är felkonfigurerat på enköpings nextcloud instans vilket får deras instans att bli osäker.

• 1. Finns ej https://server_IP redirect ~> domän.

• 2. Deras certifikatkedja är trasig.

• 3. Dom använder föråldrade protokoll så som TLS 1.0 och TLS 1.1 vilket har en del sårbarheter.

TLS 1.0 & 1.1 sårbarheter,
https://datatracker.ietf.org/doc/rfc8996/

För mer detaljer om deras tls/ssl se nedan,
https://www.ssllabs.com/ssltest/analyze.html?d=dela.enkoping....
https://scanigma.com/check-your-domain?checker_form%5Burl_to_...
https://cryptcheck.fr/https/dela.enkoping.se

Jag hittade mer men, väljer att inte lägga till något ytterligare.

Ja stämmer att filen försvinner, men du kan skapa script som återskapar filen direkt efter att containern är uppdaterad, då kommer filen att ligga kvar efter varje uppdateringen.

Det är inte konstigt att du får ut ditt lokala IP i loggen.
Får du ut extern IP i loggen så har du gjort rätt.

Hittade även denna.... (letade inte ens)
https://83.243.30.214/nextcloud/login

https://i.imgur.com/DPlOb6r.png

kanske någon från enköping ska kontakta sin kommun och informera att deras nextcloud instans inte är direkt "säker" 😅 annars får vi yttligare en tietoevry breach fast via enköpings kommun...

Har äntligen haft tid och optimera min nextcloud.
Tog hand om problem som fanns i overview och inaktiverade en del appar som inte behövs.

Grön och fin nu.

https://i.imgur.com/88Dh9l5.png

Tog även och anpassade landing page då jag inte gillar och ha pass och device, men tycker den ser lite tom ut nu och kanske även lite kort?

https://i.imgur.com/LwLyzet.png

Sist så ändrade jag i footer då jag inte vill ha Legal Notice längst ner.

https://i.imgur.com/8qGIqkj.png

Jag hittade även vart nextcloud placerat security.txt besöker man URL är det:
https://domain.tld/index.php/.well-known/security.txt

Filen ligger här,
/nextcloud/config/www/nextcloud/apps/settings/lib/WellKnown

@penke62 & @everyone_else
För att göra detta simpelt, så använd ett par appar till, detta kommer att gynna er!
1. Jackett = agerar indexer åt torrent klient.
2. Sonarr = agerar kontroller för tv serier
3. Radarr = agerar kontroller för filmer.

Så i jackett lägger ni till era torrentsidor, och kopplar jackett's API till er torrent klient detta resulterar i att när ni söker efter det innehåller ni önskar att få tag på i antingen sonarr eller radarr så hämtar jackett info från eran torrent sida och visar upp det i sonarr / radarr.
Dvs ni lämnar aldrig erat interface för sonarr/radarr.

Ni behöver även konfigurera Indexer i sonarr / radarr.
Sonarr / Radarr webui > settings > indexer > välj Torznab >
Name = [Ni väljer]
Enable RSS = YES
Enable Automatic Search = YES
Enable Interactive Search = YES
URL = jackett URL
API Path = /api
API Key = jackett API Key: | finns längst upp i högra hörnet på jackett.
Categories = välj tv hd för sonarr | välj film hd | film uhd för radarr.
Klicka på test när ni är klar!

Download client = Välj det som passar bäst här.
För qbittorrent.
Name = [Ni väljer]
Enable = Yes
Host = localt IP från eran torrent klient.
Port = ange port för torrent klient.
Username = ange username som ni har för torrent klienten
Password = ange password som ni har för torrent klienten
Category = movies för radarr / tv för sonarr.
Klicka på test när ni är klar! (ska bli en grön ✔ om allt är ok)

Remote Path Mappings
Detta konfigureras efter hur er mapp struktur ser ut.
Kan hjälpa till med hur detta ska konfigureras om ni behöver hjälp.
Annars finns officiella guide https://wiki.servarr.com/en/readarr/settings