Даешь собственное облако или ставим owncloud в jail nas4free

[2gusia]

Кругом облака. Одному создателю известно, что они там с нашей информацией делать будут и сколько на там проживёт. Когда нам расскажут, что можно там хранить, а что нельзя. Так что мы просто на всякий случай, пойдём на север создадим собственное облако, которое будет жить на собственном NAS. И когда понадобится хоть ещё пара терабайт - просто

Comments

[ext_981372]

" С точки зрения безопасности меры предпринимаем серьёзные - https, openssl, ключ с удалённым из него паролем, подписаный вами же сертификат. Плюс всё это во FreeBSD jail, что даёт eщё одну линию защиты

[2gusia]

Огромное спасибо за квалифицированный и развёрнутый ответ.

>Во-первых, обычный bruteforce по взлому пароля
При использовании традиционных правил - без словарных слов, буквы разных регистров и цифры, более 8 символов (а реально много более) брутфорса я не очень опасаюсь.

Во всяком случае наши IT-шиники периодически проводят тренировку по внутренним взломам паролей брутфорсом. У 10-30% сотрудников их ломают. У меня не сломали ни разу.

>хоть он в принципе ничего и не даст в случае удачи, кроме доступа к файлам
это тоже важно - стоит ли рыть, если попадёшь туда, где взять нечего?

>owncloud не ведет лога доступа.
Роутер ведёт логи. У меня http://forum.ixbt.com/topic.cgi?id=14:59506
про fail2ban и в роутере и в nas - покурю, спасибо. Вроде бы в роутере есть аналогичный механизм, но сомневаюсь, что он активирован по умолчанию

>Если знать кодовое слово
Я так понимаю, его кроме как брутфорсом тоже не узнать?

[ext_981372]

"про fail2ban и в роутере и в nas - покурю, спасибо. Вроде бы в роутере есть аналогичный механизм, но сомневаюсь, что он активирован по умолчанию"
Ну роутер как правило пробрасывает запросы виртуальному серверу, и разбираться с запросом нужно именно серверу. Те роутеры с которыми я общался могут только отбивать syncflood атаки.

"Я так понимаю, его кроме как брутфорсом тоже не узнать?"
Оно узнается так. Злобный какер скачивает owncloud, пару дней сидит над кодом и узнает кодовое слово, которое позволяет остановить движок и производить какерские действия

[2gusia]

>какер скачивает owncloud, пару дней сидит над кодом и узнает кодовое слово, которое позволяет остановить движок и производить какерские действия

то есть это кодовое слово не зависит от паролей и пр? Тогда это дыра такого размера, что owncloud должен был либо отмереть либо дыру закрыть - почему этого не произошло?

[ext_981372]

Бесплатный сыр.
И это не только у оунклода, но и во всех бесплатных конструкторах.
Програмистам тоже кушать хочется, вот они выпускают бесплатную штуку, присаживают юзеров, а потом, когда ктото захочет купить, то получает уже с другим словом, чисто индивидуальным.
В любом случае, если есть желание выпустить нечто в интернет, будте готовы, что это нечто будут ломать. Я когда то засекал - ставил комп в демилитари зону и сидел с часами. Через 40 минут начались попытки взлома.

[2gusia]

это серьёзно выглядит. Где-то почитать подробнее не подскажете?

[ext_981372]

Это принцип работы опенсорса!

[2gusia]

openWRT, openvpn, да хоть nas4free - тоже open source. Но концепцию дыры эпического размера , затыкаемой только в платной версии я за ними не знаю.

Кстати, взглянул на энтерпрайс версию Owncloud
https://owncloud.com/products/enterprise
Да, про логи говорится - только в энтерпрайс. Так что ваше прикручивание логов - это наглая попытка отнять кусок хлеба у программеров. Стыдно должно быть :)

Ну а для хомюзера даже предложения по платной версии нет - так что что им закладки туда встраивать...

В общем, если дыры на уровне упомянутых в начале продуктов - то и смирюсь.

[ext_981372]

короче, я уже почти решил проблемку прикручивания файл2бана в джейл, отслеживания необходимых логов. Сегодня вечером потестю дома и если работает, то напишу хауту на форум

[2gusia]

Я немного погуглил.
Массовое закрытие уязвимостей пришлось на версию 5.0.6
На http://owncloud.org/about/security/advisories/
висит только одна, для меня совершенно некритичная.
http://owncloud.org/releases/Changelog
здесь что сделано в будуще1 5.0.11 версии - закрытие упомянутой уязвимости (некритичной для меня) есть.

Здесь детально http://www.cvedetails.com/vulnerability-list/vendor_id-11929/Owncloud.html
тоже криминала не вижу

Если бы была дыра эпических размеров - следы в интернете IMHO были бы.

[ext_981372]

Блин. Вот посмотри на тред на форуме.[HowTo] Fail2ban install to Nas4free
UnwiseYoda » February 6th, 2013, 8:35 am спросил за проблему
и я ее решил в
alexey123 » February 13th, 2013, 12:35 pm
причем заниматься начал в
by alexey123 » February 13th, 2013, 8:32 am
Придется наверное занятся этим облаком (злодейский смайлик)

[2gusia]

Ура-ура-ура! Вот это приятно. буду с нетерпением ждать.

[ext_981372]

"Во всяком случае наши IT-шиники периодически проводят тренировку по внутренним взломам паролей брутфорсом. У 10-30% сотрудников их ломают. У меня не сломали ни разу."
Такие тренировки это хорошо, только нужно опять же уяснить методику их проведения. Пароль в таких тренировках ломают внимание! ЗА ОПРЕДЕЛЕННОЕ ВРЕМЯ. Если не предпринять мер по защите, то проведя несколько, пусть 100-200-1000 попыток в разное время, то пароль скорее всего взломают.

[2gusia]

>проведя несколько, пусть 100-200-1000 попыток

Я ещё немного помню комбинаторику:)
с увеличением длины случайного(!) ключа необходимое для взлома время растет как факториал. Так что попыток может понадобится (например) 10 в 30 степени. Хотя fail2ban покурю, и именно в роутере. Если его взломают, от защищённости локального NAS толку мало.

[saint_sergius]

Простите, возможно вопрос не к месту, но если такое свое облако использовать исключительно через vpn проброшеный со своих мобильных устройств на роутер?

[2gusia]

Я думаю, это даст очень существенное повышение безопасности. Но безопасность - тонкая штука, даже спец не всегда скажет наверняка.