홈 네트워크의 개인 위키-어떻게 보호합니까?

3

저전력 데비안 / 우분투 상자를 사용하여 개인 위키 (즉, Instiki)를 설정하고 싶습니다. 내가 저장하고자하는 정보는 분명히 매우 기밀 정보 일 것입니다. 내가 액세스하지 않는 사람은 재난이 될 것입니다. 그리고 내 네트워크 관리 및 보안 기술은 매우 약합니다. 높은 요구 사항, 낮은 기술; 좋은 조합이 아닙니다.

나는 본질적으로 청취 앱을 설정하고 외부 세계로 포트를 여는 것이 특정 수준의 위험에 노출된다는 것을 알고 있습니다. 그러나 그 위험을 어떻게 최소화합니까?

  • 방화벽이 내장 된 라우터 뒤에서 실행되는 한 기본적으로 외부 세계에서는 액세스 할 수 없습니다. 옳은?
  • 그리고 기계에 포트를 명시 적으로 열면 (라우터 구성에서 "가상 서버"항목을 설정) 기본적으로 내 사용자 이름 / 암호 조합의 강도에 달려 있습니다.이 이론적으로 모든 스크립트 아동 스캔 열린 포트는 무차별적인 힘으로 추측 할 수 있습니다.

외부 액세스를 모두 비활성화하고 포트 / 사용자 이름 / 비밀번호 조합에 의존하는 실질적인 중간 근거가 있습니까? 집에있을 때만 위키에 액세스 할 수는 있지만 불편할 것입니다.

다른 옵션은 무엇입니까? SSH 터널링? 키 페어 인증? 조언 부탁드립니다. SSH를 통한 터널 또는 VPN 설정에 대한 추가 조언이 필요합니다.

ubuntu  debian  wiki  home-server 
4
아닙니다. 이것은 내가 본 다른 서버 질문과 같습니다.
David Z

답변:

4

내가 취할 접근법은 다음과 같습니다.

1 단계 (로컬 보안)

  • Instiki를 읽고 사용하는 웹 서버를 강화하십시오.
  • 루트, 관리자 및 개인 계정에 적합한 암호 를 선택 하고 종이가 아닌 암호 관리자 에 보관하십시오 !
  • 웹 서버 (예 : 게스트 등) 사용자 만 로컬에서 데이터를 읽을 수 있는지 확인 [레일에 어떻게 적용되는지 확실하지 않음]
  • 로컬 파일을 암호화하는 방법 배우기 (예 : truecrypt )
  • 암호화 된 백업을 만드는 방법 배우기 (백업 없음 => 데이터 없음)

2 단계 (액세스 제한)

  • https를 통해서만 서버에 액세스 할 수 있습니다 (전송중인 트래픽을 아무도 읽지 않습니다)
  • ssh [port 22] 또는 로컬 콘솔을 통해서만 Ubuntu에 로그인 허용
  • 인터넷에서 홈 네트워크에 안전하게 액세스하려면 OpenVpn을 살펴 보십시오.
lexu
소스
그것이 제가 찾던 조언입니다. 고맙습니다. instiki.org/show/SSH+Port+Forwarding에 설명 된 SSH 터널링 이 좋은 솔루션 이라고 생각하십니까 ? 나는 당신이 언급 한 기본 사항뿐만 아니라 키 페어 인증으로 SSH를 설정한다는 것을 의미합니다. SSH는 전송 중 암호화도 처리하므로 HTTPS는 없습니다.
로그인에만 ssh와 키 쌍을 사용하고 Wiki에 대한 SSH 터널은 없지만 (홈 라우터에 대한 VPN은 의미가 있습니다) 내 답변에 추가했습니다.
lexu
왜 위키에 직접 터널링을 권장하지 않습니까? SSH를 통해 시스템을 원격으로 관리하는 것이 유용한 보너스이지만 실제로 나의 최종 목표는 아닙니다.
1
위의 모든 것 외에도 추가를 고려할 수있는 또 다른 사항은 웹 루트에 .htaccess 파일을 던져서 TWICE를 인증해야한다는 것입니다. 이런 식으로, 스크립트 / wiki 자체가 최소한 앉아있는 오리가 아닌 취약점을 가지고 있다면. 특정 IP / 범위 이외의 다른 사람으로부터의 연결을 거부하도록 .htaccess를 설정할 수도 있습니다.
KPWINC
1

HTTPS를 통해 HTTP 인증을 수행하고 모든 HTTP 트래픽을 HTTPS로 리디렉션합니다. 어디에서나 액세스 할 필요가없는 경우 특정 IP 주소 또는 네트워크에 대한 액세스를 제한하십시오. HTTPS 클라이언트 인증서를 사용할 수 있지만 액세스해야하는 모든 컴퓨터에 해당 인증서가 설치되어 있어야합니다. USB 장치를 사용하여 저장할 수는 있지만 완료 후 제거했는지 확인해야합니다. 편집증에 따라, 당신은 당신이 통제하지 않은 컴퓨터를 신뢰할 수 없을 수도 있습니다.

액세스를 얻는 것이 큰 두통이되는 곳에 많은 노력을 기울일 수 있습니다. 어깨 너머로 디스플레이를 읽는 사람이 보안을 망칠 수 있습니다. 사람들은 정보 가치와 원격 공격 가능성을 모두 과대 평가하고 보안이 실패한 비 기술적 방법을 과소 평가하는 경향이 있습니다.

David Pashley
소스
신중한 답변 감사합니다, 데이비드 내 랩톱에서만 서버에 액세스하려고하므로 SSH 키 또는 SSL 인증서를 소지해도 아무런 문제가 없습니다. 네트워크 관리 및 보안 기술보다 컴퓨터와 컴퓨터의 물리적 보안에 관한 적성을 신뢰하기 때문입니다. . SSH 터널링보다 HTTPS를 선호하는 특별한 이유가 있습니까?
1

집에서 리소스에 액세스하는 데 사용할 네트워크 외부 브라우저를 제어하려는 경우 SSL을 통한 X.509 클라이언트 인증서 인증을 사용합니다. 그렇게하면 누군가 내 사용자 이름과 비밀번호를 가지고 있어도 웹 서버는 클라이언트 인증서가 없기 때문에 웹 서버와 대화를 거부합니다.

이것은 설정하기가 약간 까다 롭고 일부 Wiki 제품에 내장 된 얇은 웹 서버를 사용하는 경우 불가능할 수 있습니다. 웹 서버로 nginx를 사용하고 wiki (WikkaWiki)는 php-fastcgi에서 실행됩니다.

문제는 액세스해야 할 사이트가 여러 개있을 수 있으며 SSL 작동 방식으로 인해 동일한 IP 및 포트 조합에 여러 개의 가상 호스트를 가질 수 없다는 것입니다. 사이트를 모두 하나의 호스트에 배치하고 각 호스트에 대한 서브 디렉토리 ( https://my.domain.com/wiki , https://my.domain.com/blog )를 갖거나 별도의 도메인 이름을 가지고이를 사용 하여이를 해결할 수 있습니다. 다른 포트.

후자의 경우 회사 네트워크의 트래픽을 SSL을 실행중인 임의의 포트로 전송하는 데 문제가 발생할 수 있습니다 (SSH를 사용하여 사람들이 네트워크에 터널을 열지 못하게하기 위해 알려진 트래픽을 제외한 모든 트래픽을 차단 함)

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.