From acdc7259a7de83575b594df9bd90b81aa960fd0a Mon Sep 17 00:00:00 2001 From: Claus Dethlefsen Date: Sun, 17 May 2026 07:57:31 +0200 Subject: [PATCH] =?UTF-8?q?TODO:=20tilf=C3=B8j=20MQTT=20og=20SSH=20til=20p?= =?UTF-8?q?ort=20forward=20sikringsliste?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- dokumenter/TODO.md | 6 +++++- 1 file changed, 5 insertions(+), 1 deletion(-) diff --git a/dokumenter/TODO.md b/dokumenter/TODO.md index 96d8285..8956bda 100644 --- a/dokumenter/TODO.md +++ b/dokumenter/TODO.md @@ -26,15 +26,19 @@ | Synology DSM | 5000/5001 | 5000/5001 | `nas.anneclaus.dk` | | Unifi | 8443 | 8443 | (Unifi har egen HTTPS — lavere prioritet) | | FTP | 21 | 21 | FTP er usikkert — overvej om den skal lukkes | +| MQTT | 1883 | 1883 | MQTT i klartekst — høj risiko | +| SSH | 2222 | 2222 | SSH er krypteret, men tiltrækker brute-force | **For hver tjeneste der flyttes:** 1. Tilføj CNAME-record hos One.com: `` → `anneclaus.duckdns.org` 2. Opret proxy host i NPM med SSL-cert og Force HTTPS 3. Luk den direkte port-forward på routeren +- [ ] **MQTT port 1883** — høj prioritet: MQTT kører i klartekst. Enten luk porten helt (bruges kun internt?) eller aktiver TLS i Mosquitto +- [ ] **FTP port 21** — luk den (FTP sender kodeord i klartekst — brug SFTP over SSH i stedet) - [ ] **Mealie** — flyt til `mealie.anneclaus.dk` via NPM, luk port 9925 på routeren - [ ] **Synology DSM** — flyt til `nas.anneclaus.dk` via NPM, luk port 5000/5001 på routeren -- [ ] **FTP port 21** — vurder om den skal lukkes (FTP sender kodeord i klartekst) +- [ ] **SSH port 2222** — overvej at begrænse til nøgle-login og deaktivere password-login - [ ] **Plex** — lavere prioritet, Plex har allerede kryptering internt - [ ] **Unifi** — lavere prioritet, Unifi har allerede HTTPS