.
🏡 Home Office Linux gépek felügyelete
MeshCentral + CrowdSec alapon – valós megoldás, nem csak elmélet
🎯 A kihívás
- A cég fejlesztőcsapata otthonról dolgozik
- Mindegyik munkagép Linuxot futtat, különböző disztribúciókkal (Ubuntu, Fedora, Arch…)
- A csapat nem VPN-en keresztül kapcsolódik, hanem közvetlen internetkapcsolattal
- A gépeken érzékeny kódok, testrendszerek, esetenként VPN-kulcsok futnak
👉 A cél:
- Központi hozzáférés, de csak rendszergazdának
- Riasztás gyanús tevékenység esetén
- Távoli shell / GUI elérés szükség esetén
- Nem kívánunk felhőt vagy harmadik félt használni
🧠 A kiválasztott eszközök
| Komponens | Funkció |
|---|---|
| MeshCentral | Távoli hozzáférés (webshell, terminál, fájlkezelés, GUI, reboot) |
| CrowdSec | Támadásérzékelés, IP tiltás, közösségi threat intel |
| Fail2Ban (opcionális) | Lokális brute force védelem CrowdSec mellett |
| UFW / nftables | Helyi tűzfal beállítás |
| Auditd / Lynis | Felügyeleti audit naplózás |
🏗️ A rendszer felépítése
plaintextMásolásSzerkesztés +------------------------+
| MeshCentral Srv |
| VPS-en vagy saját HW |
| TLS, reverse proxy |
+-----------+------------+
|
Internet (443-as port, csak agent kapcsolódik)
|
+----------------+----------------+
| | |
[Dev-Gép-1] [Dev-Gép-2] [Dev-Gép-N]
Ubuntu 22.04 Fedora 39 Arch Linux
+ MeshAgent + MeshAgent + MeshAgent
+ CrowdSec + CrowdSec + CrowdSec
⚠️ Az agent aktív kapcsolatot tart fent → nem kell NAT-ot/publikus portot nyitni a kliens oldalon.
🔐 Miért biztonságos?
- A MeshCentral szerver saját infrastruktúrán fut, nem küld adatot a felhőbe
- A CrowdSec figyeli a helyi naplókat (pl. SSH, sudo, su, apt, pacman, stb.) és tiltja a gyanús IP-ket
- MeshCentral adminfelület csak VPN-ről érhető el
- Minden kapcsolat TLS titkosítással, kétirányú hitelesítéssel történik
- A fejlesztők saját gépein semmilyen publikus szolgáltatás nincs nyitva
🧰 Napi üzemeltetési funkciók
Admin tud:
- Webes terminálon keresztül bármely gépre belépni
- Rebootot, shutdown-t, wake-on-LAN-t kezdeményezni
- GUI-s távoli irányítást használni (Wayland támogatott esetekben is)
- Fájlokat másolni oda-vissza, titkosított csatornán
- Ellenőrizni a rendszer állapotát (uptime, RAM, CPU)
CrowdSec tud:
- SSH brute force blokkolás
- Sudo események figyelése
- DNS-szintű támadások felismerése
- Közösségi threat feed alapján automatikus IP tiltás
- Kibővíthető pl. WireGuard, nginx, Docker log figyeléssel
🧪 Használat közben tapasztalt előnyök
✅ Minden Linux gép menedzselhető központból, disztribúciófüggetlenül
✅ Nincs szükség VPN-re vagy fix IP-re – mégis elérhetőek a gépek
✅ Gép újratelepítés után az agent visszacsatlakozik automatikusan
✅ CrowdSec gondoskodik az alap biztonsági védelemről (passzív HIDS)
✅ Bármely esemény naplózható, riportálható – NIS2 vagy ISO27001 auditban hasznos
📦 Javasolt szoftververziók
| Szoftver | Verzió | Megjegyzés |
|---|---|---|
| MeshCentral | v1.1+ | Docker vagy node.js alapján |
| CrowdSec | 1.5+ | agent + firewall-bouncer |
| UFW / nftables | disztrófüggő | alapértelmezésben telepítve |
| auditd | audit-3.x | journald kompatibilitással |
🧩 Kibővíthető lehetőségek
- 2FA belépés MeshCentralba (TOTP vagy WebAuthn)
- Guacamole integráció, ha csak RDP/SSH szintű hozzáférés kell
- SIEM rendszer integráció: CrowdSec + Graylog vagy Wazuh logküldés
- HomeAssistant kapcsolat → gépek állapota okos otthonban is látható
✅ Záró összegzés
| Cél | Eredmény |
|---|---|
| Távoli hozzáférés | ✅ Biztonságosan, saját szerverrel |
| Felhasználók védelme | ✅ CrowdSec HIDS + központi logika |
| Infrastruktúra karbantartás | ✅ Reboot, shell, fájl, GUI mindenre |
| Költségek csökkentése | ✅ 0 licencdíj, saját eszközök |