Upozornění CSIRT - port 8080

Jimi · December 23, 2024, 11:43am

Ahoj, na serveru provozuji ISPConfig a ten má vlastní webové rozhraní na portu 8080 k přihlášení do administrace. A CSIRT mi na to upozorňuje jak pro IPv4 tak IPv6. Doma mám O2 bez pevné IP a nechce se mi jim to platit, abych to omezil na konkrétní IP. Navíc se můžu potřebovat přihlásit v případě problému i z jiné IP. Určitě nejsem sám, jak to řešíte?

snajpa · December 23, 2024, 12:09pm

Oni to obecneji v CSIRTu berou spis jako generator upozorneni na styl “a o tomhle vite?”, nez “tohle je urcite problem”, myslim, ze tohle bude zrovna docela dobrej priklad

hlad · December 23, 2024, 1:37pm

Obecne takove veci resim ad hoc SSH tunelem. Administrace bezi jen na localhostu, sestavim si tunel, jen kdyz tam potrebuji.

meitner · December 23, 2024, 1:52pm

dalo by se vyřešit například subdoménou a nasloucháním na tom portu jen na localhostu a použitím reverzního proxy serveru jako například caddy, ten zároveň zajišťoval i lets encrypt certifikáty. Pak by byl ten ispconfig dostupný přes subdoménu a standardní port 443.

martinkokes · December 24, 2024, 11:58am

@Jimi
Ahoj, není to spíš jen upozornění, že ti to běží na http a ne https?

Jimi · December 24, 2024, 3:48pm

Ahoj, já mam http přesměrovaný na https a přes to tam lezu. A mam tam platný Let´s Encrypt certifikát. Upozornění od CSIRTU jsou dvě - jedno, že na IPv4 je volný port 8080 a druhé to samé pro IPv6. V popisu mají, že jde o “…souhrnný report o IP adresách z Vaší sítě, které byly vyhodnoceny jako
potenciálně škodlivé”. A v tagu pak “exposed-admin-panel;http-redirect;ssl”.

martinkokes · December 26, 2024, 4:22pm

@Jimi To nám taky přišlo a souvisí to opravdu s tím, že máš nějaké administrační rozhraní přístupné přes http. U nás to bylo takto:

Původní stav:
http://2.2.2.2:8080

Aktuální stav:
https://adminer.mojedomena.cz

Není možné, že ti to běží ještě i zároveň na 8080?

Jinak Let’s Encrypt se běžně váže k doméně přes port 80.

Ideálně si to hoď na nějakou subdoménu např. isp.mojedomena.cz, pokud máš možnost

Jimi · December 27, 2024, 9:11am

@martinkokes Mě se i ta varianta s IP rovnou převede na https. Konkrétně u mě je to:
http://37.205.12.26:8080
Hned to napíše, že tomu neodpovídá certifikát, protože je platný jen pro přiřazené doménové jméno, ale to už s tim asi nesouvisí.

martinkokes · December 30, 2024, 11:45am

@Jimi napadá mě, zkusit to redirectovat status kódem 301 (permanently) místo 302 (dočasný). Kdyby mě napadlo něco dalšího, tak napíšu.