תעודת אבטחה לשרת עם ((Apache על מערכת Windows+ התקנה.
-
@yossiz אמר בתעודת אבטחה לשרת עם nginx על מערכת Windows+ התקנה.:
@shmuel0990 אם אתה רוצה שכל דפדפן יכיר בתעודה, אתה חייב תעודה רשמית. (אתה לא חייב לקנות כי יש שירות חינמי - letsencrypt) אבל זה מחזיר אותנו לתחילת האשכול...
אם מספיק לך תעודה אישית שתצטרך להתקין שבכל דפדפן/מחשב שמשתמש באתר, אז התעודה הזאת מספיק רק צריך להתקין את החלק הציבורי בכל מחשב שמשתמש באתר.טוב. אני יתחיל. מה להוריד?
win-acme.azure.v2.0.8.356.zip 340 KB win-acme.dreamhost.v2.0.8.356.zip 4.51 KB win-acme.route53.v2.0.8.356.zip 331 KB win-acme.v2.0.8.356.zip 2.73 MB Source code (zip) Source code (tar.gz) -
@shmuel0990 אמר בתעודת אבטחה לשרת עם nginx על מערכת Windows+ התקנה.:
אני ירשום רק את הדומיין הראשי?
אהממ... זה לא יעבוד עבור סאבדומיינים. יש אפשרות של wildcard (כלומר, *.mydomain.com) ...
-
@yossiz אמר בתעודת אבטחה לשרת עם nginx על מערכת Windows+ התקנה.:
@shmuel0990 אמר בתעודת אבטחה לשרת עם nginx על מערכת Windows+ התקנה.:
אני ירשום רק את הדומיין הראשי?
(ד"א שם הדומיין שלך גלוי בצילום מסך שהעלית...)
אוף. תמיד אני נכשל .
מה הכוונה רק סאב דומיינים? עלי להתחיל את זה מהתחלה ולכתוב
*.shshsh.shsh
-
אפשר לעשות על כל סאב דומיין בנפרד. (זה מה שאני עושה בשרתים שלי)
בכלל, כל מה שאתה חושף על הדומיין שלך לא אמור להיות חשוף כלל
וזה לדעתי מסוכן.
בעיקר הMYSQL -
@clickone אמר בתעודת אבטחה לשרת עם nginx על מערכת Windows+ התקנה.:
אפשר לעשות על כל סאב דומיין בנפרד. (זה מה שאני עושה בשרתים שלי)
נסית wildcard? יש סיבה לא להשתמש?
-
-
@yossiz
לא ניסיתי
כי אני משתמש בIIS על השרת ווינדוס
ושם הכל אוטומטי כולל החידוש (ממשק די דומה למה ש @shmuel0990 העלה כאן)
סוג של התקן ושכח....אגב גם certbot פשוט מקים תעודה בנפרד לכל סאב דומיין (לפחות בשרתי לינוקס שאני ניסיתי)
@shmuel0990 לא. אא"כ תלך על מה ש @yossiz הציע.
אחרת, כל סאב דומיין צריך להיות בנפרד. (בשנייה שנדע איך עושים את זה על הראשון כל השאר כבר ירוץ)ד"א, לגבי מה שכתבתי שזה מסוכן, אל תשכח שיש מספיק רובוטים שסורקים את הרשת ורק מחפשים פירצות.
אין סיבה שהם לא ימצאו את הIP שלך, ובריצה על הלינקים ימצאו כניסה לphpmyadmin ואז תתחיל החגיגה -
@shmuel0990
הם יריצו שמות משתמשים רנדומלים / לפי מילון וסיסמאות......
וגם אם בסופו של דבר לא יצליחו אז הם בינתיים יעסיקו לך את השרת.
וכמובן יש את שאר השיטות כמו הנדסה חברתית וכו....
תכלס אני כעת משלם על שטות שמישהו לא שם לב שירדה לו הגנה, ותקפו את השרת שלו.
הנזק שם היה 38 אלף שח שהוא לצערי לא מוכן לשלם כי זה היה פריצה ואני משלם את זה
אז למה לך להיכנס לזה...
לפחות את הMYSQL הייתי משאיר על פורט לא סטנדרטי אא"כ אתה ממש חייב -
@shmuel0990 אמר בתעודת אבטחה לשרת עם nginx על מערכת Windows+ התקנה.:
מה הכוונה פורט לא סטנדרטי? לשנות אותו ממה שהיה בתמונה שהעליתי?
מה שהיה בתחילת הדרך.
שנכנסים לדומיין לפי הפורט.
בלי רברס פרוקסי.
או לפחות אל תשים את הלינק שלו בריש גליפורט לא סטנדרטי = אם הסטנדרט של mysql הוא 3306, אז מקובל להשתמש בפורט מעל 20 אלף או יותר, כדי שהסורקי פורטים לא יגיעו לשם, או שיקח להם יותר זמן להגיע לשם.
זה ממש חתול ועכבר, כמה שאני משחק עם הפורטים כל הזמן, אני עוד רואה אותם משתוללים.בנוסף, כלים כמו fail2ban וכו ממש חשובים בעניין הזה
-
@clickone אוייש...
זה לא להאמין.
אבל אני לא מבין, לmyQSL בכלל לא פתוח פורט לאינטרנט החיצוני.
תכלס... תוכנות וזה...
עשיתי לביינתים ככה: ביטלתי גישה חיצונית לphpmyadmin
ואם אני ישנה את הפורט לפורט של אלף מספרים זה ישנה משהוא ? אני יצטרך להגדיר על מידי דברים מחדש?אבל אני חושב שזה לא פרקטי לעשות אתר שכל דרך הכניסה איליו הוא דרך פורט...
לגבי שאר הדברים אני מבין, אבל אתר רגיל שאמור להיות לשימוש הקהל... למה לא? -
@yossiz אוקי. למעשה בסוף השתמשתי עם https://www.sslforfree.com/
שנותנים בחינם תוך כמה דקות תעודה כמובן כמו ש @clickone אמר התבקשתי להכניס איזה קובץ שהם נותנים לי לתוך איזה מיקום שהם ביקשו.
אבל, החיסרון שזה ל3 חודשים ואני (כפי הנראה) צריך לחדש זאת ידנית. אלא אם כן אשמח לפיתרון אחר.עוד דבר, בנושא אבטחה.
@clickone חוות דעתך.
המצב הנתון: phpmyadmin מנותרל חיצונית.
בכניסה לכתוב הIP של השרת שהשרת מכובה- אין כלום.
שהשרת פועל - מופנים עם הפניה לכתובת פנימית עם דף הוראות קצר.
הmyQSL נשאר על הפורט הבחרת מחדל שלו יש בעיה?
מבינת פורטים ברואטר יש רק 2. מ80 הראשי ל80 של המחשב. ו433 של הראשי ל433 של המחשב.
עוד דבר. שרת קבצים. עשיתי רסיבר פרוקסי לסאב דומיין מסויים לתקיה מסויימת במחשב בידיעה שכל קובץ ששם יש לו גישה לכולם.
לכולם יש חיבור HTTPS חוץ מלדף הראשי שהוא בצעם רסיבר פרוקסי לתוך תיקיה מסויימת שיש בה רק קובץ html עם טקסט.
כל נסיון כניסה לדומיין מכל דרך, כתובת הIP, דומיינים ברשימת A המפנים לIP, הכל- נזרק מייד לכתובת הנ''ל של הפורטל קישורים שזה כאמור דף ריק.האם אני מאובטח מספיק??
53/109