LINUX.ORG.RU

https на локальном wordpress

 , , ,


1

1

Всем привет! Вопрос, вероятно, глупый, потому что я не смог найти какой-то подходящей мне информации в интернете, потому прошу разжевать если кому-то не сложно.

Есть локальный wordpress на LAMP, на который захожу из-вне по внешнему айпи, домена никакого нет, просто по айпи адресу. Эта лампа у меня на виртуальном дебиан 10 в вм боксе, который стоит на вин10.

Задача: сделать соединение безопасным, чтобы я подключался по https.

Я пытался сделать самописный сертификат ОпенССЛ и установить его плагином really simple SSL, но он его не видит. И пытался сделать бесплатный сертификат от летсенскрипт, но по голому айпи он сертификат не дает.

Насколько вообще возможно это сделать, не имея хостинга или купленного домена, а просто держа сервак дома?

Я пытался сделать самописный сертификат ОпенССЛ и установить его плагином really simple SSL, но он его не видит.

Кто не видит? Рассказывайте подробнее что делали и какие ошибки были

И пытался сделать бесплатный сертификат от летсенскрипт, но по голому айпи он сертификат не дает.

Домены в некоторых зонах чуть ли не по баксу в год продают, можно и купить

Насколько вообще возможно это сделать, не имея хостинга или купленного домена, а просто держа сервак дома?

Ну в целом это возможно, но если у вас будет самоподписанный сертификат и вы не будете влазить в данные о сертификатах на вашем девайсе то будите видеть плашку что сертификат не удалось проверить (ну или как там это формулируется). На сам по себе ssl это не повлияет, и если делаете "для себя" то не думаю что доставит больших проблем.

micronekodesu ★★ ()
Ответ на: комментарий от micronekodesu

Я создал самописный сертификат командой openssl и поместил в корень папки сайта. Затем зашел в вордпресс, установил плагин really simple ssl, который, якобы, сам всю грязную работу делает при наличии сертификата, но когда я его запускаю, он говорит, что не смог найти одобренный сертификат и просит попробовать перезапустить страницу из под https, что, само собой, ни к чему не приводит. Только ошибка браузера -err_connection_refused

pic

Ну в целом это возможно, но если у вас будет самоподписанный сертификат и вы не будете влазить в данные о сертификатах на вашем девайсе то будите видеть плашку что сертификат не удалось проверить (ну или как там это формулируется). На сам по себе ssl это не повлияет, и если делаете «для себя» то не думаю что доставит больших проблем.

Где я могу больше узнать об этом?

magrega ()
Ответ на: комментарий от magrega

Смотрите, согласно документации к вашему плагину вам нужен валидный сертификат:

You can test your certificate by entering your domain here: https://ssllabs.com/ssltest. If you don’t get an A rating when you scan your site, you probably don’t have a valid SSL certificate yet. A valid SSL certificate is required for Really Simple SSL to work.

Соответственно самоподписанный завести с помощью этого дела не получится. Но вы можете поставить на входе например nginx, который не будет умничать и проглотит и такой сертификат, терминировать ssl на нем и дальше в вордпресс передавать уже обычный http-трафик. Вордпресс сам не будет смотреть в интернет, будет сидеть за nginx и слушать только локалхост. Ну и на уровне nginx вы делаете перенаправление с http на https.

Где я могу больше узнать об этом?

О чем именно? Если вообще о сертификатах то информации в гугле море. Отличие самоподписанного сертификата от "настоящего" в том что в случае "нормального" сертификата он подписывается удостоверяющим центом, и ваш девайс по этим подписям может проверить что сертификат не подменили по дороге и работа идет именно с тем сайтом, которому сертификат выдан. В случае самоподписанного вы получте предупреждение о том что "ололо сайт взломале данные опасносте но если хотите то продолжайте"

micronekodesu ★★ ()
Ответ на: комментарий от magrega

Я создал самописный сертификат командой openssl и поместил в корень папки сайта. Затем зашел в вордпресс, установил плагин really simple ssl

Сертификат устанавливается в веб-сервер, а не в приложение.

anonymous ()
Ответ на: комментарий от micronekodesu

Вордпресс сам не будет смотреть в интернет, будет сидеть за nginx и слушать только локалхост.

Мне вот интересно, зачем советовать что-то, если ты не вдупляешь, о чем речь? Вордпресс ничего не слушает, это php скрипт который не работает без вебсервера.

anonymous ()
Ответ на: комментарий от micronekodesu

Вот и я о том же казалось бы кто дал право считывать с компов некие сертификаты , а н нет можно следовательно и файлы где там поддакло и остальные сычи) Фингрпринт теперь даже в хромиум ранее не было не даром aw snap когда то не давно стал появляться. Открытое по хоть и не свободное , но на то и открытое

anonymous ()
Ответ на: комментарий от micronekodesu

Вордпресс сам не будет смотреть в интернет, будет сидеть за nginx и слушать только локалхост.

Ты недооцениваешь тупизну вордпресса. У него все ссылки - абсолютные и в случае локалхоста будут выглядеть как http://localhost/wp-someshit. Т.е. в вордпрессе надо явно указывать, что он под ssl.

anonymous ()
Ответ на: комментарий от micronekodesu

ну хорошо, я решил пойти по такому пути: Нашел бесплатный домен, на другом форуме подсказали. Сейчас пытаюсь связать их домен со своим айпи, чтобы проходить по адресу magrega.ru.eu.org к себе на сайт. После этого сертботом хочу поставить сертификат от летсенкрипт. Получится ли это?

Пока что я жду одобрение домена:

---- Servers and domain names check

Accepted IP for NS1.MAGREGA.RU.EU.ORG: myIP

---- Checking SOA records for MAGREGA.RU.EU.ORG

SOA from NS1.MAGREGA.RU.EU.ORG at myIP: serial 3 (55.713 ms)

---- Checking NS records for MAGREGA.RU.EU.ORG

NS from NS1.MAGREGA.RU.EU.ORG at myIP: ok (68.350 ms)


No error, storing for validation...
Saved as request 20200624145259-arf-48082
magrega ()
Ответ на: комментарий от magrega

Получится ли это?

Ну в теории да, а так я ни с вашим плагином, ни с ворпресом не сталкивался, так что гарантировать не могу, кто знает какие там могут подводные камни появиться.

NS from NS1.MAGREGA.RU.EU.ORG at myIP: ok (68.350 ms)

Вы подняли у себя dns?

micronekodesu ★★ ()
Ответ на: комментарий от micronekodesu

Ну видимо да, раз говорит, что ок. Статус программы - running, запустилось без ошибок. Дали домен, но пока по прям по нему протий на свой сайт не могу. Только через сайт неймсервера.

magrega ()
Ответ на: комментарий от magrega

Ну видимо да, раз говорит, что ок.

Ну видимо нет раз вы не знаете ответа на этот вопрос =)

Дали домен, но пока по прям по нему протий на свой сайт не могу. Только через сайт неймсервера.

"Сайт неймсервера" это никакой не сайт. Это адрес сервера доменных имен (DNS). Работает так - вы у регистратора берете домен magrega.ru.eu.org и говорите что за имена на этом домене отвечает ПК с именем ns1.magrega.ru.eu.org, и у регистратора прописываете его адрес. Дальше на этом хосте вы поднимаете DNS (bind или named например, но вообще вариантов много). Когда вы на своем девайсе открываете magrega.ru.eu.org, запрос идет к тем DNS, которые прописаны на устройстве. Тот сервер говорит "я не знаю адреса этого хоста, но знаю что за EU.ORG отвечает ns1.eu.org (на самом деле там несколько, но для упрощения возьмем один), у которого адрес 45.63.100.187". Ваш девайс отправляет запрос к нему, тот говорит "адреса magrega.ru.eu.org у меня нет, но за тот домен отвечает ns1.magrega.ru.eu.org, его адрес <такой-то>, спроси там". Устройство отправляет запрос на ваш сервер имен ns1.magrega.ru.eu.org, и тот ему должен сказать "у magrega.ru.eu.org адрес <такой-то>". И вот после этого в вашем браузере уже сможет открыться magrega.ru.eu.org.

Так что если хотите чтоб у вас был доступен ваш ворпресс по адресу magrega.ru.eu.org вам нужно либо поднять свой DNS, либо прописать его адрес где-то на тех NS'ах, что предоставляет регистратор. Конкретно у вашего не знаю как, но обычно это можно сделать там же где и прописывали адрес NS1-сервера.

micronekodesu ★★ ()
Последнее исправление: micronekodesu (всего исправлений: 1)
Ответ на: комментарий от micronekodesu

Ну честно сказать, тут я не уверен. На самом eu.org я, кажется, сделал всё, что требовалось. Получил письмо, мол, что всё успешно. Каких-то дальнейших настроек я там не вижу. Единственное, вот скрин настроек домена:

pic

Я, честно сказать, теряюсь, что нужно делать дальше. То ли подождать пока у них в системе все закрепится, и я смогу получить доступ к своему сайту через magrega.ru.eu.org, либо его нужно куда-то внести.

magrega ()
Ответ на: комментарий от magrega

Вот вы можете в таблице где "name - ip" просто вписать magrega.ru.eu.org и свой адрес.

Сейчас вам уже не имеет смысла адрес замазывать на скриншотах, его любой же может получить от DNS (nslookup ns1.magrega.ru.eu.org).

micronekodesu ★★ ()
Ответ на: комментарий от micronekodesu

Да, сделал, как вы сказали, теперь прохожу по magrega.ru.eu.org на свой вордпресс. Спасибо. Но пришлось заменить имеющуюся строку с нс1, просто на название сайта. Когда пытался обе записи нс закрипить, нс1 и просто magrega.ru.eu.org на один айпи, то ошибку выдавал NS Bad list. Сейчас буду делать сертификат.

Вот вы можете в таблице где «name - ip» просто вписать magrega.ru.eu.org и свой адрес.

Это нормально или айпи как-то можно скрыть, чтобы обезопасить себя?

magrega ()
Ответ на: комментарий от magrega

Это нормально или айпи как-то можно скрыть, чтобы обезопасить себя?

Нормально конечно, если вы "скроете" адрес (по факту уберете из DNS) то на ваш сайт зайти не получится. Для того чтоб обезопасить себя есть другие решения, можете начать с самого простого - установите и настройте fail2ban. Вообще даже просто торчащий в интернеты адрес (то есть без домена) постоянно сканируется всякими там китайскими ботами, когда они найдут у вас открытые порты начнут долбиться туда, пытаясь получить доступ - будут пытаться зайти по ssh, долбиться в /wp-admin (даже если у вас и ворпресса нет), и всякое такое. fail2ban пойдет для начала - будет парсить логи и блокировать адреса, с которых идут вот такие попытки подбора паролей. Но вообще вопрос безопасности слишком обширен чтоб дать какое-то универсальное решение.

micronekodesu ★★ ()
Ответ на: комментарий от micronekodesu

ну что ж, всё получилось. Приношу огромное вам спасибо за то, что помогли разобраться. Много экспы поднял, разбираясь в этой теме. фэйл2бан займусь обязательно и дальше буду смотреть, как еще можно обезопасить работу сайта.

magrega’s

Единственная вещь, которая мне не дает покоя сейчас - как мне добиться, чтобы меня с www.magrega.ru.eu.org кидало на https://magrega.ru.eu.org? Когда ввожу через ввв, то просто ошибка в опере. Я пытался дописать это в конфиге домена, но там ошибка NS bad list и всё.

magrega ()
Ответ на: комментарий от magrega

Так это www - не-www вы можете скорее всего в wordpress настроить (ну точнее в апаче, но если погуглите по ворпрессу найдете подходящие инструкции). Вообще если вы добавите адрес с www то это вам сертификат поломает, так что либо настраивайте без www, либо тогда прописывайте хостнейм у регистратора домена с www и перевыпускайте сертификат под это имя.

но там ошибка NS bad list и всё.

А попробуйте радиобаттон на страничке управления доменом у регистратора (https://i.imgur.com/ZuLbhL4.png) переключить на "server names", тогда по идее NSы он перестанет проверять

micronekodesu ★★ ()
Ответ на: комментарий от magrega

В вашем случае да, неймсервера то у вас нет.

Пишет, мол, не удалось найти адрес сервера.

Ну это легко проверить через nslookup magrega.ru.eu.org. Вообще у меня сейчас адрес не отдают ни гугловый, ни яндексовый, ни dns eu.org. Возможно вы что-то поменяли в зоне и теперь оно не работает. Так что по факту никто сейчас сайт открыть не сможет. У вас скорее всего адрес из какого-нибудь кэша тянется.

micronekodesu ★★ ()
Ответ на: комментарий от micronekodesu

Нет, всё в порядке, я просто когда вчера спать ушел, вырубил комп с виртуалкой, прошу простить. Сейчас все опять работает. Вчера еще столкнулся с проблемой, что ufw начал хаотично блочить соединения. У кого-то получается зайти, у кого-то нет. Вот думаю как настроить файрвол так, чтобы работало нормально. В логах посмотрел - блочаться соединения по протоколу UPD. Разрешил их в файрволе, всё работает.

magrega ()
Последнее исправление: magrega (всего исправлений: 1)
Ответ на: комментарий от micronekodesu

Смог сделать переадресацию с www.magrega.eu.org на https://magrega.eu.org.

У меня в конфиге апача моего сайта с вордпрессом уже внизу прописан RewriteEngine on, где указано, что при попытке попасть на www.magrega.eu.org или magrega.eu.org перекидывать на https;//magrega.eu.org.

При проверке на сайте домена - пишет ошибку NS bad list, но при вводе www.magrega.eu.org в строку браузера - перекидывает куда надо, но предупреждает, что соединение по хттп, однако после перехода уже на сам сайт, видно, что соединение защищенное. Это нормально или это своего рода брешь в безопасности сайта?

В идеале, конечно бы хотелось устранить эту ошибку NS bad list, не понимаю, от чего она появляется. От того, что у меня два НС на один айпи?

magrega ()
Последнее исправление: magrega (всего исправлений: 1)