Zobrazit příspěvky
1
Server / Router a Server v jednom
« kdy: 04. 05. 2021, 11:45:37 »
Ahoj,
chtěl bych navázat na téma "NFS na routeru" (https://forum.root.cz/index.php?topic=24665), kde je tazatel odrazován od instalace NFS na router.
V současnosti něco takového provozuji a zajímalo by mne jak to tedy udělat z pohledu bezpečnosti lépe.
Mám jeden server (HP MicroServer Gen8), který mi dělá router/NAS a poskytuje další služby dostupné jak po LAN, tak přes internet. (Bavíme se o domácím použití)
Na serveru mi momentálně běží tyto služby:
Router: DHCP, DNS
Ze serveru bootuje HTPC: DHCP, TFTP, webserver(NGINX), NFS
NAS pro lokální síť: Samba, NFS
"web s fotkami": KVM VM (unvitř Piwigo (PHP), NGINX, MariaDB)
reverzní proxy pro "web s fotkama": NGINX
pár "trusted" kontejnerů: LXC
Databáze pro Digikam: MariaDB
vzdálený přístup: SSH, OpenVPN
Do budoucna jsem plánoval nasadit NextCloud a mít ho mít ve VM (právě kvůli bezpečnosti), stejně jako "web s fotkami"
Server má veřejnou IP adresu, do internetu je vystaveno pouze SSH, OpenVPN, HTTP(s).
Pro Wifi síť používám starší AP s OpenWRT (TP-Link TL-WDR3600), ale myslím že aktualizace ještě vycházejí.
Teď tedy otázka jak zlepšit bezpečnost? Pomohlo by mi kdybych jako router dal ten TP-Link? (Stejně bych pak asi forwardoval porty na server, takže nevím jestli by to na bezpečnost mělo vůbec vliv nebo jestli to není naopak ještě větší díra).
Pomohlo by na server nasadit třeba Proxmox a snažit se provozovat router a ostatní věci odděleně ve VM? (Má to smysl, když cpu neumí vt-d a síťovka tedy nepůjde přiřadit přímo do VM, ale zůstane v hostiteli?)
Toto řešení už provozuji několik let a zatím jsem nezaznamenal žádný incident. Ale to samozřejmě neznamená, že je to ideální. Budu proto rád pokud se někdo podělí jak bezpečnost zvýšit (ideálně pokud to nebude stát moc peněz a žrát moc energie
).
Díky
chtěl bych navázat na téma "NFS na routeru" (https://forum.root.cz/index.php?topic=24665), kde je tazatel odrazován od instalace NFS na router.
V současnosti něco takového provozuji a zajímalo by mne jak to tedy udělat z pohledu bezpečnosti lépe.
Mám jeden server (HP MicroServer Gen8), který mi dělá router/NAS a poskytuje další služby dostupné jak po LAN, tak přes internet. (Bavíme se o domácím použití)
Na serveru mi momentálně běží tyto služby:
Router: DHCP, DNS
Ze serveru bootuje HTPC: DHCP, TFTP, webserver(NGINX), NFS
NAS pro lokální síť: Samba, NFS
"web s fotkami": KVM VM (unvitř Piwigo (PHP), NGINX, MariaDB)
reverzní proxy pro "web s fotkama": NGINX
pár "trusted" kontejnerů: LXC
Databáze pro Digikam: MariaDB
vzdálený přístup: SSH, OpenVPN
Do budoucna jsem plánoval nasadit NextCloud a mít ho mít ve VM (právě kvůli bezpečnosti), stejně jako "web s fotkami"
Server má veřejnou IP adresu, do internetu je vystaveno pouze SSH, OpenVPN, HTTP(s).
Pro Wifi síť používám starší AP s OpenWRT (TP-Link TL-WDR3600), ale myslím že aktualizace ještě vycházejí.
Teď tedy otázka jak zlepšit bezpečnost? Pomohlo by mi kdybych jako router dal ten TP-Link? (Stejně bych pak asi forwardoval porty na server, takže nevím jestli by to na bezpečnost mělo vůbec vliv nebo jestli to není naopak ještě větší díra).
Pomohlo by na server nasadit třeba Proxmox a snažit se provozovat router a ostatní věci odděleně ve VM? (Má to smysl, když cpu neumí vt-d a síťovka tedy nepůjde přiřadit přímo do VM, ale zůstane v hostiteli?)
Toto řešení už provozuji několik let a zatím jsem nezaznamenal žádný incident. Ale to samozřejmě neznamená, že je to ideální. Budu proto rád pokud se někdo podělí jak bezpečnost zvýšit (ideálně pokud to nebude stát moc peněz a žrát moc energie
).Díky
