El 15/11/21 a les 23:54, Jordi ha escrit:
Hola, primer perdoneu per haver fet una pregunta curta sense donar dades sobre quina és la situació que vull resoldre. Tinc unes càmeres Foscam que ja tenen uns anys però que encara van prou bé dins de la pèssima seguretat que ofereixen. Fa un parell de mesos però, Let's Encrypt va caducar uns quants milions de certificats tls i amb això el meu proveïdor de correu -Runbox- ja no accepta els correus que les càmeres envien amb les imatges i el fabricant de Foscam no sembla disposat a actualitzar el seu microprogramari. La opció que faig servir és enviar les imatges a gmail sense cap mena de seguretat i aquest el reenvia a Runbox, però clarament no vull gmail per rés. Per això he intentat ficar el servidor vsftpd a una raspberry PI 4 amb debian, el problema, de nou és que les cams fan servir ftp clar i no voldria deixar cap foradet per on entrar a casa des del ftp.
Has considerat la possibilitat de configurar un servidor de correu en lloc d'un FTP? Si tal com entenc les càmeres tenen la capacitat d'enviar a un SMTP, podries arribar a configurar-te un de domèstic, i en aquest cas podries limitar l'accés tant per usuari i clau de pas així com per remitent i destinatari. Sé que exim és molt configurable en aquest sentit, però malauradament poc més et puc ajudar perquè, a diferència dels altres suggeriments que havia proposat, no en tinc experiència.
De totes maneres, si el problema és que les càmeres ja no reconeixen els certificats de Let's Encrypt, el problema per posar TLS el tindràs igualment amb FTPS, HTTPS o fins i tot amb SMTP + STARTTLS.
Ho sé perfectament, a la feina administro alguns servidors i els intents d'entrades automatitzats a SSH són a l'ordre del dia, tot i tenir el servei a un port diferent del 22. Si bé és cert que el volum és menor, també ho és que molts robots escanegen tots els ports a l'espera de detectar firmes de protocols. Per tant, resulta imprescindible tenir el servei al dia amb totes les actualitzacions de seguretat, a banda de tenir-lo configurat de la forma més limitada possible.L'accés a les càmeres el faig normalment amb un guió que envia instruccions del tipus: /usr/bin/curl -k https://aquilaadreca.ddns.net:9071/cgi-bin/CGIProxy.fcgi?cmd=getDevState&usr=usuari&pwd=parauladepas I com a comentari final, voldria dir que vaig fer la configuració mitjançant la app en dues de les càmeres amb uns mesos de diferència i un parell de dies després de cada configuració, "algú" va intentar entrar per ssh a l'ordinador de la xarxa i que te una ip diferent i port diferent a l'ssh. així que de fiar-me res de res. Aquí fail2ban va fer la seva feina perfectament.
Salutacions Jordi.