ingeniare30 янв в 11:16

Тотальная защита сервера, с VPN бонусом

Средний

6 мин

11K

DevOps *

Из песочницы

Recovery Mode

Комментарии 12

ki11j0y 30 янв в 12:12

Ну Tailscale он же wg, не особо то работает сейчас, и держать wg на сервере вне страны больше шансов на банан. Внутри страны допустимо. TLS туннель с mTLS лучше справиться с защитой ssh и главное меньше следов VPN, меньше триггеров для тспу. Дополнительный слой безопасности это геофильтр, если это ваш личный сервис либо проект для определённых регионов, ну так обрубите им доступ, хотите на tcp уровне просто reject или на http с deny с указанием причины, единственное нагрузка тут выше, зачем пускать весть трафик через wg не понятно (с.м. выше). Автообновление весьма рискованно, даже безопасности, может случится конфуз, за этим лучше следить регулярно самому, проще докер, но есть потери производительности все таки. Для удобства можно использовать cockpit за mTLS безопасно и удобно.

ingeniare 30 янв в 18:51

Исходя из личного опыта, у меня не было проблем с обрывами связи на Tailscale. До этого был миксер из Hiddify, там почти все заблочено. WG и прокси тем более. Вероятно что Mesh не блочат пока что, потому что часть инфраструктуры на нем замешана и плюс для платных VPN сервисов не совсем подходит.

Black_Spirit 30 янв в 15:38

Если вы находитесь в РФ, то использовать публичные DNS типа cloudflare это остаться однажды без DNS. То же самое использовать WireGuard под Tailscale это прямой путь потерять связь с сервером. И ботов под fail2ban которые будут хотя бы 3 раза в 10 минут стучаться, я тоже давно не видел. Для ssh вполне хватает сменить порт и авторизоваться по ключу. На конкретный диапазон IP разрешить подключение, если есть такая возможность.

ingeniare 30 янв в 19:04

Странно, у меня боты прям ДДОсят сервер в РФ, в других странах такой жути нету. И тут не совсем WireGuard под Tailscale, последний работает на протоколе WG связываю сервера в Mesh-сеть.

Black_Spirit 30 янв в 19:31

Тоже сервер в РФ с ip из пула для организаций. Ssh с fail2ban только если поставить 2 подбора в 4 часа кого нибудь да поймает. Больше ИИ боты достают, когда на сайт налетают сканировать. У нас около 1.5 млн страниц

Taywox 31 янв в 06:16

Полностью согласен про смену порта и авторизацию по ключу!

Ryav 31 янв в 06:21

В tailscale разрешили 10000 порт, а в конфиге ssh указали 17753. Как это будет работать?

Кроме того, tailscale периодически просит перелогиниться на машине, и в этом случае ваш сервер тупо выйдет из сети и достучаться до него вы не сможете. Чтобы это исключить, нужно отключить key expiry для конкретной машины (в вашем случае сервера).

CatBegomot2 31 янв в 14:00

Crowdsec обделили вниманием

ingeniare 31 янв в 14:02

Интересно, спасибо за подсказку. Я пробовал SafeLine но это оказалось сильно гемморойно, вместо разработки я начал заниматься одним обслуживанием WAF, поэтому мне не зашло. Да нагрузка будет от ботов, но критичные дыры закрыты.

andy2000 31 янв в 19:55

Не очень понимаю смысла Tailscale, а ещё больше не понимаю совета юзать PM2. В вашей версии сервака systemd, что-ли вырезали? Нафига оно надо для одного сервиса? fail2bun тоже сомнительная история. Не лучше crowdsec или просто iptables?

kiff2007200 31 янв в 21:35

В таких инструкциях, коих уже миллионы на хабре и все под копирку, всегда поражало одно. Окей сделали вход по ssh-ключу, дабы никто не мог к нам подключиться и взломать перебором.

Далее прячем сервер под ВПН и теперь никто уже извне не видит данный сервер. Смысл предыдущей защиты теряется.

Orexon 31 янв в 22:35

Люди, в контексте сказанного, что лучше установить на российский VPS для домашней сети Headscale или ZeroTier?

Зарегистрируйтесь на Хабре, чтобы оставить комментарий