ISP TOS tuskin sallii moista

Itellä oli Raspberrypi ja lokeista näki että sisään yrittää jatkuvalla syötöllä botit vaikka millä superman ja root tunnuksella ssh:n kautta tulla.

Eihän siinä mitään kuhan päivitykset kunnossa ja mahdollisimman vähän interaktiivista mitä voi eksploitata. Esim. pelkkä staattinen HTML+CSS+JS-sivu on aika vedenpitävä. Maksaa vaan sähkön verran. Kaista voi loppua kesken jos paljon liikennettä.

Jos kirjaudut sisään jollain SSH:lla ni ota pois salasanakirjautuminen ja tyhjät salasanat, heikot cipherit ja sit käytä vaan priva-avainta. Voit tarkistaa palvelun turvallisuuden tällä: https://www.sshaudit.com/.

Todellakin sallii. Tietenkin omia sivuja saa hostata kunhan ei oo NATin takana, ja itse en ainakaan ole. Hostaan omaa sivua tosin github pagesilla, paljon helpompaa. Joitakin rajoitteita on, esim. et voi tehdä mitään url-rewriteja tai automaattisesti tuottaa materiaalia servulle.

salliiko muka? laita lähdettä

En onnistunut löytämään käyttöehdoista, mutta löysin monia Telian ja Soneran keskustelupalstalankoja joissa annettiin OK. Eh, soittaisin suoraan vaan omalle ISP:lle, en usko että ongelmia löytyy. Ja sitäpaitsi, tuskin näitä kiinnostaa ellet saa aikaan jotain Facebookkia, itselläkin eri palveluita aina välillä auki julkiselle netille.

aika jännä, jotenkin oletin että kotihostaus julkisesti internetiin päin olisi haram

Meinaatko että ISP voi määritellä mitä asiakas sillä yhteydellään saa tehdä? :D

Sillä oletuksella ettet ole CGNAT:in takana niin kyllähän tuo mahdollista on, mutta tosiaan voit olla varma että sitä skannataan ja paukutetaan bottien toimesta 24/7. Kunhan siellä ei joku läpeensä ahdettu WordPress ole niin eihän tuo nyt mikään jäätävä ongelma ole, mutta tosiaan jonkun yksinkertaisen sivuston ajaminen pilvessä on kaikkea ilmaisen ja erittäin halvan väliltä eikä sitten tartte miettiä mitään tämmösiä. Tietty jos lähinnä harrastuneisuuden kautta miettii niin pyörimään vaan.

Todennäköisesti ainut mihin saat suoran ein operaattorilta on sähköpostipalvelimen pyörittäminen, mutta kuten edellä sanottua niin noi on enemmän tollasia juttuja ettei ketään jaksa kiinnostaa sun oma blogisi.

Monen operaattorin palveluehdoissa sanotaan että "normaalit kotikäyttöön" olevat palvelimet on ok ja olettaen se sisältää kotisivupalvelimet ym. Paljon niitä kuitenkin on operaattorien verkoissa eikä operaattoreita kiinnosta kyylätä jos ei virkavallalta tule valitusta.

>Todennäköisesti ainut mihin saat suoran ein operaattorilta on sähköpostipalvelimen pyörittäminen
Suomessa portti 25/tcp on kiinni ulospäin Viestintäviraston määräyksen mukaan joten sähköpostia ei voisi kuitenkaan suoraan lähettää kotiliittymästä.

Onhan se jos osaa turvallisen tehdä siitä. SSH private key authentication päälle ja kiinalaiset botit törmää seinään. Ei mitään PHP upload paskaa tjms niin ei tule reikiä nginx palvelimeenkaan. Sähköpostia ei saa toimimaan tosiaan portille 25, koska sinä et tule omistamaan mitään jne Klaus hommia. DNA ainakin tarjoaa APNän josta saa julkisen IP osoitteen ja yleisemmin teleyrityksen on tarjottava julkinen IP osoite kuluttajalle verkkoneutraliteetin mukaan. Jos maksat internetyhteydestä, saat tehdä sillä mitä lystäät. Ite oon ostanu domainin epik.com:ilta ja scripti tarkistaa tunnin välein viekö domaini vielä tuohon palvelimen IP osoitteeseen. Jos ei vie, se ottaa yhteyden epikin rajapintaan ja vaihtaa sen oikeaksi. Tuossa pyörii sposti riistakameralle eri portilla kuin 25, nettisivut, sshfs tiedostojärjestelmä ja minecraftservu kaveriporukalle. En säilytä siellä mitään kriittistä, eikä ole mikään katastrofi jos yhteys katkeaa, joten ei ole mitenkään äärimmäisen tärkeä pitää suojausta helvetin tiukkana. Enkä osaisikaan vaikka yrittäisin. Pistä vaan palvelin pystyyn jos kiinnostaa, ihan kivaa puuhaa ja itse ainakin oppinut paljon linuxista, tietojärjestelmistä ja yleisesti tietotekniikasta.

Ainiin ja tosiaan, pyörii kaverin vanhalla raudalla. FX-8350 ja 16gb ramia, sähköä arvioin vievän 9e arvosta kuussa tuolla 55w tyhjäkäyntivirralla. Varmaan enemmänkin nyt hintojen noustua. Talon lämmitykseenhän sekin kyllä menee. 1.5teran levy ja 500gb ssd tuossa sisällä. Jos VPSältä haluaa tuollaista datakapasiteettia tulee kalliiksi, mutta nuo on vanhoista koneista kerätty joten ollut tavallaan ilmaisia. Perus rasberry pillä pystyy pyörittämään nettisivuja, jos vain sellaiset halajaa ja sähkönkulutus onkin sitten vain pennejä

Enpä tiennyt että se on noin ylhäältä käsketty, mutta en yllättynyt.

Voihan SMTP:n ajaa jossain muussakin portissa. Mitäs jos sen heittää yhteen noista muista standardiporteista? Onhan tuossa 587, 465, ja 2525 olemassa.

Se ei ole sisäänpäin suljettu, vain ulospäin. Tuolla siis tarkoitetaan kun lähetetään muihin palvelimiin viestejä suoraan.

esimerkiksi (dig MX vastalauta.org) komennolla saa tietoon:

;; ANSWER SECTION:
vastalauta.org. 3600 IN MX 100 mx3.mail.ovh.net.
vastalauta.org. 3600 IN MX 5 mx2.mail.ovh.net.
vastalauta.org. 3600 IN MX 1 mx1.mail.ovh.net.

Kun lähetät viestiä @vastalauta.org osoitteisiin, sun palvelin lähettää viestin mx1.mail.ovh.net:25 ensisijaisesti (prioriteettinumero pienin). Tässä ei ole muita vaihtoehtoja kuin portti 25, koska se on standardi.

Sen sijaan se mihin sun client (esim Thunderbird) lähettää lähtevän postin voi olla vaikka portissa 12345, koska se on clientiin asetettu. Mutta sillä palvelimella johon lähetät ne viestit sillä Thunderbirdillä tulee olla portti 25 ulospäin auki, että ne saapuu vastaanottajan palvelimelle

465 / 587 on ns. standardiportit submission-portille, esim Office 365:lla smtp.office365.com, portti 587 on asetus. Yleensä kun 25 tuppaa olemaan ulospäin kiinni, ettei haittaohjelmat tietokoneella voi lähettää roskapostia suoraan muualle

Ainoa tapa lähettää sähköpostia kotipalvelimelta on joko (Postfix main.cf esimerkkinä):

relayhost = smtp.example.com:12345

jossa tuo "smtp.example.com:12345" on joku oma VPS tms. jossa kotipalvelimen IP on sallittuna

Taikka (esimerkkinä Elisan netti):

relayhost = smtp.kolumbus.fi:25

Tuo on ainoa palvelin jonka portti 25 mikä on Elisan kuluttajaliittymästä auki.

DNA:lla smtp.dnainternet.net
Telialla smtp.tele.fi
Lounealla smtp.seutuposti.fi

mikä noissa sähköpostipalvelimissa on niin paha juttu? Eli miksi sellaista ei saa pyörittää.

Koko IP-verkkoihin perustuvan internetin perusidea on, että kuka tahansa voi sekä muodostaa yhteyksiä toisiin tietokoneisiin että laittaa oman tietokoneensa vastaanottamaan yhteyksiä toisista tietokoneista. Mistä tuo oletus tulee, että internet-yhteyden tarjoaja estäisi tai kieltäisi tuon jälkimmäisen?

Saattaa olla distro-kohtainen juttu, mutta esim. Debian-pohjasissa SSH-kirjautumisyritykset löytyy /var/log/auth.log

On turvallista.

T. Proxmox pro

En olisi kyllä muistanut komentoa, kun tuosta on jo vuosia aikaa. Kerrohan toki mielenkiintoisimmat nimet mitä on yritetty.

Tässä on lista viimesimmistä tunnuksista, joilla on koputeltu mun järjestelmiä, ennen kun Fail2Ban on blokannu IP:n:
1, 100, 1111, 1234, 12345, 123456, 6367551mmzyqda1, a, aai, aaron, abe, abgar, act, activemq, activesolutions, ad, adachi, adm, admin, Admin, administrator, Administrator, adrian, adriel, aiden, airflow, alain, aleo, alex, alexander, amanda, andrew, aniket, anonymous, ansible, ansible_from, ansiblefrom, ant, anthon, anthony, anvel, api, api-server, app, appfrom, appserver, archer, aron, array, ashley, asterisk, august, austin, azurefrom, backupfrom, backups, bad, bamboofrom, benjamin, bennet, betty, biel, bigdataadmin, biker, billy, biryuu, bizon, blank, bokkai, boris, bot, bot1, botan, bradley, branchadmin, brian, brooks, bruce, bryson, bucket, buncho, bunichi, bunjiro, businessadmin, cactifrom, calvin, cameron, carl, carlos, carol, carolyn, carson, carter, catherine, centos, cgadmin, charles, chat, christine, christopher, cisco, cloud, cole, config, console, cooper, craft, cusadmin, damian, daniel, Daniel, daoperator, datav, david, db, db2, db2server, dbadmin, dbfrom, dean, debian, debra, default, dell, demo, dennis, deploy, dev, develop, developer, diana, dietpi, docker, dolphin, dominic, donna, dorothy, drcom, drcomadmin, ds, dumingwei, dv, easton, ebaserdb, ec2-from, eigenlayer, elasticsearch, elias, elijah, elizabeth, elliot, emcali, emiliano, emily, emmet, enclave, enclave-data, encore, engineer, eric, erp, erpnext, es, esearch, esunny, ethan, ethereum, Eugene, everbit, ezekiel, forge, frank, frappe, free, from, ftp, ftpfrom, ftpu, fuuto, fuuya, fuyu, fuyue, fuyuhi, gabriel, gael, gary, gbrc, george, gerald, geth, ghost, git, gitfrom, gitlab-runner, gns3, goeth, grafana, graham, grayson, gregory, greyson, guest, hacluster, hadoop, hadoop-from, haoyu, harrison, hayden, hcftp, hdfrom, henry, hms, hmsftp, host, hrms, hudson, hunter, ian, inspur, installer, inventory, isaac, ivan, jack, jacob, jake, james, James, jason, java, jaxon, jaxson, jayce, jayden, jeffrey, jenkins, jeremiah, jerry, jessica, jesus, jimmy, jira, jito, john, jonah, jonathan, jonh, jordan, jose, joseph, Joseph, josh, joshua, josiah, kai, kali, karen, kenneth, kevin, kimberly, kodi, landon, larry, latitude, lawrence, legend, leo, leon, leonardo, levi, liam, Liam, lighthouse, linaro, lincoln, linda, lisa, logan, login, loginfrom, lorenzo, lsu, luis, luka, luke, malachi, manager, mapr, margaret, maria, mark,

Miksi ei saisi?

Googlaa verkkoneutraliteetti, jota traficomin valvomat teleyritykset seuraa. Teleyritys ei saa puuttua asiakkaan yhteyksiin, ellei sillä ole syytä epäillä palvelun häiritsemisestä. Omat palvelimet on verkkoneutraliteetin ohjenuorissa määritelty palvelun normaaliksi käytöksi. KS. ideologian pohja-ajatus "kuka tahansa voi sekä muodostaa yhteyksiä toisiin tietokoneisiin että laittaa oman tietokoneensa vastaanottamaan yhteyksiä toisista tietokoneista. "
Kuten Innokas Seepra sen sanoi.