Új hozzászólás Aktív témák

• #18665 adika4444 veterán hmzs #18664

  Új Válasz 2023-06-07 11:49:24 #18665

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  adika4444

  veterán

  válasz hmzs #18664 üzenetére

  Nekem nincs jelenleg home serverem, mert kivitte egy villám az ecélra használt laptopot, vagy csak pont a vihar után tűnt fel, hogy megállt, nem tudom. A lényeg, hogy nincs

  Helyette tavaly kezdtem egy VPS-sel, és most egy 2*960 GB SSD + 32 GB RAM + e3-1245 v2 CPU-s vasat bérlek havi nem egész 20 Euróért.

  Alapvetően személyes célokra használom, egyedül, tehát csak nekem fájltároló, VPN szerver, PiHole, VaultWarden, Syncthing és épp amire szükség van és fellövöm.

  Az általános és legfontosabb tanácsom: Amit lehet, VPN-be célszerű rakni. Nekem custom porton van az SSH, hogy ha nagyon kizárnám magam VPN-ről vagy nincs UDP, tudjam korrigálni. Custom porton fut + ed25519-es pubkey auth-tal. Így a sikertelen próbálkozók száma alacsony, a sikereseké meg 0. Ehhez még hozzátartozik, hogy az OVH IP-tartományai hírhedten célpontok, erre a bérléskor felhívták a figyelmem, hogy vigyázzak.

  Fájlszervernek Samba-t használok, VPN-ben iPhone fájlok APP + Windows fájlkezelő kitűnően viszi. Tűzfallal a szerveren limitálom mit engedek be, én erre nftables-t használok, úgy voltam vele, jobb ezt megtanulni, mint valami UVF-jellegű dologgal bekényelmesedni. Itt annyi a csavar, hogy az alap smb.conf-ot ki kell egészíteni, hogy az iPhone-nal rendben működjön a fájlok másolása, főleg a telefonról szerver irányba, enélkül változatos hibakódokat dobált.

  Ha valakivel megosztanék valamit, sima HTTP webszerverre másolom fel, basic HTTP auth-tal védem, ha nagyon kell védeni. CloudFlare proxy-zva van a DNS-cím, tehát ez is egy védelmi vonal. A kézi HTTP webszerver helyett van jobb megoldás, de a félévente egy megosztott fájlhoz nem akartam felrakni egy, az idő 90%-ában fölöslegesen pörgő valamit.

  Vaultwarden csak belső hálón megy. Ezt úgy oldottam meg, hogy az asztali és a mobilapp se nyígjon, hogy csináltam egy saját CA-t, ezt felraktam minden eszközömre és ezzel írom alá a certjeimet. Így a HTTPS megy gond nélkül belső hálón a VPN-es címen. Így nyugodtabban használom, hogy nem tudják kívülről abuzálni a VW-t.

  Syncthing és minden egyéb VPN-ben van, kívülről az SSH-n kívül semmi nem érhető el. Ezen felül perpill még Docker-ben futnak a dolgok, idővel podman-ra fogok valószínűleg váltani, a 24.0-s botlások illetve néhány idegesítő sajátossága miatt a Docker-t otthoni környezetben egyre kevésbé tartom a legjobb megoldásnak.

  Végül a szerverben lévő lemezeket is védem, Luks titkosítással, ehhez remote unlock-ot használok, ugyancsak kulcsos auth-tal. Indítás után egy porton be tudok lépni az initramfs-ba és onnan unlock-olni, természetesen jelszóval, nincs automatikus feloldás.

  Hogy valami OpenWRT aspektusa is legyen a dolognak, azt is megcsináltam, hogy NAT nélkül Wireguard-on összekötöttem a routert a szerverrel, így az itthoni háló és a VPN subnet közt teljes az átjárhatóság és mivel nincsen NAT, így a forráscímek is mindig látszódnak rendben.

  Mivel DIGI-s vagyok, a szerver pedig külföldi (francia OVH), ezért a legutóbbi produkcióm a TCP BBR bekapcsolása volt. Ez számottevően javította a távolabbi hosztok felé menő kapcsolatokat a közeliek számottevő degradálása nélkül.

Új hozzászólás Aktív témák