Käyttäjä ja FAQ sekä säännöt

[Deimos]

Eli noista hieman mitä mieleen on tullut. Rauhallisesta päivästäni tulikin aika hektinen. Tiedän yhden nimimerkin siis joka 100 % varmuudella on se joka se oikeasti on. Minut nyt varmasti tunnistaa kirjoitustyylistä ja postauksistani muutenkin. Raspun oletan olevan Raspu (Hänet kyllä tunnistaa tai sitten Peijooni on varastanut Raspun © tavaramerkin). Kultakikkare, Keckuli , deep purpose ovat lähes 100 % varmoja (Tai sitten on alkamassa vuosikymmenen teekkaripila ).

Eli huomioita:
-Yksityisvietit on hieno juttu. Mutta en ala todellakaan ketään ilman lupaa pommittamaan YV:llä.
-Teema jos mahdollista valinnainen (Tumma/Vaalea). Varaan Kultakikkareen aluetta
-Emojit???? Onko tuo perussetti vai onko lisää?? Toimiiko Winukan emojit (Koitetaan)....
-Kuinka paljon kuville jpg, jpeg, tiff, png jne... on varattu palvelimella tilaa? Ne vievät kuitenkin aika paljon tilaa.
-Jos tarvitsee kerätä kolehtia johonkin palstan ylläpitoon (Mahdollisia sertifikaatteja, maksullisia blugeja jne...) niin kerätäänkö? Siis jos puhutaan muutamasta kympistä per nimimerkki?
-Hienoa että kirjautuminen tapahtuu noilla tiedoilla. Ei siis periaatteessa mitään yksilöivää. Esimerkiksi otin yhden täysin obsoliten emailin käyttöön tänne
-Miten varmistetaan nimimerkit jotka siirtyvät vanhasta uuteen?
-Tietoturva. Jos eivät itse oma sakki sekoonnu/sikaile tietoturvan kustannuksella (Murrot, phishingit, koko palvelimen kopiointi ja murto jne...) on hoidettu? Lukijoita lienee enemmän kuin kirjoittajia ja kaikki eivät ole hyväntahtoisia. Se on jo nähty.

Mietin lisää juttuja...

PS. Muokkaus hieno juttu. Mutta myös lukitus ettei voi muokata???? Siis jos itse haluaa tai jostain muusta syystä? En tiedä ymmärrättekö pointtiani?

[KultaKikkare]

Palvelimella on nyt 30gigaa levytilaa. Sitä otetaan lisää jos loppuu kesken.

Ylläpitokustannukset (vm osalta) on nykyisellä virtuaalikoneella nyt n. 10€/kk, mutta google antaa 300€ ilmaista kredittiä kaikille uusille cloud projekteille, se tosin expiroituu 3kk päästä.

Tällä hetkellä virtuaalikoneen tyyppi on g1-small, siinä on yksi Intel Skyline core ja 1.6gb rammia. Näyttää olevan turhankin tehokas nyt tällä hetkellä, mutta katsotaan. Kevennän konetta myöhemmin jos näyttää siltä että on ylitehokas. Halvimmillaan vm maksaa alle 5€/kk, siinä on jaettu Intel Skyline (max 25% cpu:ta käytössä) ja 800megaa rammia.

Jos kävijämäärä nousee niin suureksi että tarvitaan tehokkaampaa rautaa tai paljon levytilaa, tarvii sitten miettä miten homma rahoitetaan. Nyt tällä hetkellä se ei ole ongelma (pikemminkin päinvastainen) ja virallinen rahankeräys on hankalaa. Ei jaksa muutaman euron takia.

Virtuaalikone pyörii google cloud consolessa, jonka tietoturva itsessään on top-of-the-line. Virtuaalikoneen käyttiksenä on:
tiedecloud@tiede-phpbb-vm:~$ uname -a
Linux tiede-phpbb-vm 5.10.0-19-cloud-amd64 #1 SMP Debian 5.10.149-2 (2022-10-21) x86_64 GNU/Linux

Portit 443, 80 ja 22 on auki ulkomaailmaan, näistä portti 80 ohjataan ensimmäisenä apachessa porttiin 443 eli https:n. Muut portit siis blokattu googlen palomuurilla jo ennen vm:ää.

SSH hallinnointi yhteyksissä authentikointi toimii ainoastaan private/public avainparilla, salasanoihin perustuvia hallinnointitunnuksia ei ole lainkaan. Jos saadaan uusi ylläpitäjä, lisään hänen public avaimensa cloud consoleen ja googlen palomuurit päästää läpi vain sillä avaimella.

Hakkeri löytää varmasti helpompia kohteita.

[KultaKikkare]

-Yksityisvietit on hieno juttu. Mutta en ala todellakaan ketään ilman lupaa pommittamaan YV:llä.

Joo, yksityisviestit on mulle aika meh, tuskin käytän, ihan sama. Voidaan ne ottaa poiskin jos sitä halutaan.

-Teema jos mahdollista valinnainen (Tumma/Vaalea). Varaan Kultakikkareen aluetta
-Emojit???? Onko tuo perussetti vai onko lisää?? Toimiiko Winukan emojit (Koitetaan)....

Eikä oo ku nää on deep purposen aluetta. Sopii mulle että käyttäjäprofiilista saa valita teeman.

-Kuinka paljon kuville jpg, jpeg, tiff, png jne... on varattu palvelimella tilaa? Ne vievät kuitenkin aika paljon tilaa.
-Jos tarvitsee kerätä kolehtia johonkin palstan ylläpitoon (Mahdollisia sertifikaatteja, maksullisia blugeja jne...) niin kerätäänkö? Siis jos puhutaan muutamasta kympistä per nimimerkki?
-Hienoa että kirjautuminen tapahtuu noilla tiedoilla. Ei siis periaatteessa mitään yksilöivää. Esimerkiksi otin yhden täysin obsoliten emailin käyttöön tänne
-Miten varmistetaan nimimerkit jotka siirtyvät vanhasta uuteen?
-Tietoturva. Jos eivät itse oma sakki sekoonnu/sikaile tietoturvan kustannuksella (Murrot, phishingit, koko palvelimen kopiointi ja murto jne...) on hoidettu? Lukijoita lienee enemmän kuin kirjoittajia ja kaikki eivät ole hyväntahtoisia. Se on jo nähty.

Näihin jo vastasinkin yllä. Nimimerkkejä ei voida varmistaa mitenkään, mutta kyllä sen kirjoitustyylistä näkee.

[Deimos]

Palvelimella on nyt 30gigaa levytilaa. Sitä otetaan lisää jos loppuu kesken.


Virtuaalikone pyörii google cloud consolessa, jonka tietoturva itsessään on top-of-the-line. Virtuaalikoneen käyttiksenä on:
tiedecloud@tiede-phpbb-vm:~$ uname -a
Linux tiede-phpbb-vm 5.10.0-19-cloud-amd64 #1 SMP Debian 5.10.149-2 (2022-10-21) x86_64 GNU/Linux

Portit 443, 80 ja 22 on auki ulkomaailmaan, näistä portti 80 ohjataan ensimmäisenä apachessa porttiin 443 eli https:n. Muut portit siis blokattu googlen palomuurilla jo ennen vm:ää.

SSH hallinnointi yhteyksissä authentikointi toimii ainoastaan private/public avainparilla, salasanoihin perustuvia hallinnointitunnuksia ei ole lainkaan. Jos saadaan uusi ylläpitäjä, lisään hänen public avaimensa cloud consoleen ja googlen palomuurit päästää läpi vain sillä avaimella.

Hakkeri löytää varmasti helpompia kohteita.

Juu, kuulostaa hyvältä. Vain tarpeelliset portit auki ja tarpeelliset protokollat. Ei mitään ylimääräistä. En usko että täällä tulee tarvetta erikoissäätöihin noiden osalta.

[deep purpose]

Jokainen voi ottaa yksityisviestien vastaanoton pois 'omat asetukset' kohasta.
Tohon teeman vaihtamiseen on toki mahdollisuus, tässä luultavasti paras tumma sellainen: https://www.phpbb.com/customise/db/style/prodvgfx/
Mulla on helvetisti emojea koneella, ehkä valkkais niistä parhaimmat.

Enivei, kyll tästä tulee entistäkin hienompi paikka takuuvarmasti.

[apetteri]

Jos haluaa hardentaa, niin ssh portin vaihtaa jonnekkin avaruuden loppupäähän tyyliin: 55675. Avainparin käyttäminen loggautumiseen on vaarallista jos kone varastetaan. Melkein parempi on käyttää kiinteää ja vaihtuvan salasanan yhdistelmää. pam_google_authenticator toimii hyvin.

Hetzneriltä saa todella halvalla virtuaaleja.

[KultaKikkare]

Jos haluaa hardentaa, niin ssh portin vaihtaa jonnekkin avaruuden loppupäähän tyyliin: 55675. Avainparin käyttäminen loggautumiseen on vaarallista jos kone varastetaan. Melkein parempi on käyttää kiinteää ja vaihtuvan salasanan yhdistelmää. pam_google_authenticator toimii hyvin.

Hetzneriltä saa todella halvalla virtuaaleja.

Avainpari on kompromissi käytettävyyden ja tietoturvan välillä ja kuitenkin turvallisempi kuin yleisesti käytetty ja jo sinällään melko turvallisena pidetty yhden salasanan ssh kirjautuminen. Avaimia hallinnoidaan google cloud consolesta, jossa on MFA. Vaihtuvat salasanat kuulostaa vähän hankalalta ja overkill ratkaisulta tällaiseen käyttöön, tietoturva kuitenkin kannattaa mitoittaa palvelun houkuttelevuuteen hakkerin silmissä ja tietomurrosta seuraavaan haittaan. Mutta jos palvelun suosio yllättää erittäin positiivisesti tuo voi olla hyvä ratkaisu, kiitos vinkistä.

En tiedä onko ssh portin vaihtamisesta mitään hyötyä avainparin kanssa? Hakkerin on ensin saatava avain ja avaimet on suojattu salasanalla, pelkkä koneen varastaminen ei riitä. Hakkerin pitää ensin varastaa privaatti avain ylläpitäjän koneelta, sen jälkeen brute forcettaa se auki. Jos joku on valmis näkemään sen vaivan, ei ssh portin vaihtamisesta ole käytännön hyötyä, koska oikea portti löytyy skannerilla hetkessä. Tietysti se auttaa siihen ettei palvelinta löydy kun joku tekee ip skannia ssh porteille, mutta tiedolla että koneessa on ssh yhteys auki ei vielä sinällään tee mitään ilman avainta. Mut vähentäähän se tuhoon tuomittuja murtautumisyrityksiä, vaikka ei konkreettisesti lisää tietoturvaa. Ja on niin toisaalta niin helppo toimenpide tehdä että why not.

Hetzner vaikuttaa houkuttelevalta vaihtoehdolta hintojensa puolesta, heti entry levelin jälkeen, eikä ihan pikkupulju sekään. Pienimmillä vm:llä suunnilleen sama hinta, n. femman kuussa. Vähänkään isommilla halvempi kuin google

[apetteri]

Kyse ei ole brute forcen estämisestä vaan portin piilottamisesta. Omien kokemuksien mukaan mitä olen logeja seurannut on riittänyt jo siirtää portti standardi osoitteesta jonnekin avaruuden loppupäähän. Ovesta on vaikea yrittää murtautua jos ei löydä ovea.
Skannaamalla toki löytää, jos tietää mitä etsii, mutta ei nuo tunnu kauheemmin skannailevan muita kuin tunnettuja portteja.
Vielä parempi olisi sulkea portti ja avata se tarvittaessa jollain esim. Knockdllä jolloin on myös skannerilta turvassa.

Hassua oli kun Venäjä hyökkäsi Ukrainaan. Silloinhan sanottiin julkisuudessa ettei ole havaittu murtautumisyrityksiä Suomessa. Omalla palvelimella normaali n. 200 bruteforcea pomppasi 4000 sinä päivänä. Itse mieltäisin nuo hyökkääviksi toimenpiteiksi, mutta ehkä täällä vaan ei uskalleta.