Anche secondo me è corretto implementare la sicurezza ragionando per livelli: ogni attività ha un certo fattore di rischio, più è alto questo e più dev'essere alta la sicurezza da mettere in piedi.
Però deve tutto essere commisurato ad una logica vantaggi / costi.
Le procedure di lancio di un missile nucleare sono codificate, vengono periodicamente provate, si ripetono con sequenze precise e sempre uguali. E' "facile" seguirle e quindi metterle in pratica.
E sono poche, non ce ne sono decine.


Ma creare regole di sicurezza analoghe per "tutto" quel che un reparto IT può fare è impossibile, si fermerebbe subito l'azienda.
Pensiamo solo alla creazione di una nuova utenza: chi inserisce la richiesta, chi la controlla/valida, chi realizza la parte esecutiva. Basta un errore in uno dei passi e si rischia di creare un'utenza con diritti sbagliati.
E questo per creare un'utenza, ma quante attività deve fare un reparto IT? centinaia..... impossibile codificarle tutte in modo rigido (per me).


Ha ottimamente sintetizzato @fillippone:



sposo entrambe le osservazioni.


@DensBTC: l'esempio di Obama è troppo diverso dal tema Borsa IT: lì hanno budget quasi illimitati, basti pensare al fatto che hanno decine di macchine blindate, due Air Force One, un corpo dedicato dei servizi segreti, insomma.... nulla di minimamente avvicinabile da un'azienda. Pagano i contribuenti 

Probabilmente il fatto che poi Borsa It sia stata venduta ha - come dici - risentito di certe misure di sicurezza......

Io sono sempre scettico quando leggo certe cose, non parlo della "veridicità" di quanto riportato da DensBTC (che non discuto), parlo solo dell'efficacia di certe misure che tenderei a definire un po' estreme.
Lavoro in una grossa azienda del settore finanziario, girano letteralmente miliardi. L'IT ha procedure piuttosto rigide per ogni attività prevista nel quotidiano, ma quello è ciò che prevedono le regole operative, poi ben diverso è quel che succede quando qualcuno ha bisogno di fare qualcosa con urgenza e senza attendere tutti i riti previsti dalle procedure.

Non conosco la situazione Borsa It ma sarei pronto a scommettere che a fronte di situazioni di fretta siano anche loro disposti a derogare. Il problema è che se deroghi anche solo una volta, l'intero discorso sicurezza va a pallino. La sicurezza è una di quelle cose che o la implementi sempre rigidamente oppure se rendi più lasche le procedure imho diventa più efficace affrontarla con "buon senso" piuttosto che con regole rigidissime.

Sì quello lo ricordavo; Giammangiato parlava di "monete o cose artistiche", pensavo avessero prodotto qualcosa di nuovo....

A quali monete/cose artistiche fai riferimento?  Non ho presente....

Io sapevo di dispositivi come OpenDime utili a "regalare" ad altri (o anche vendere) Btc, ma si basano su un concetto molto diverso. A cosa ti riferisci ?

Poi arriva la moglie, sposta i quadri perché l'ordine non le piace, e zac! seed perso.....   

Mai dimenticare il Wife Acceptance Factor ! 

Ho provato ngrok con docker.
- raggiungere una ipcam su porta 80 funziona senza problemi
- raggiungere la GUI di ProxMox via https su porta 8006 anche
- invece non sono riuscito ad accedere ad Home Assistant via http su porta 8123, mi dice "400 bad request".  Probabilmente HA fa subito un redirect su  ....../lovelace/0  e ngrok non riesce a intercettarlo.

Boh, pazienza, test comunque molto utile. Grazie @babo!

Grazie mille !    nel we provo....



Grazie! ma è un fornitore affidabile?  se non capisco male è svedese ma non l'ho mai sentita.... tu per caso l'hai provata ?
E per 20€ cosa ci sarebbe con IP dedicato? tra 4 e 20 potrei anche fare il salto se fosse interessante 




Se installi Ubuntu allora sai di sicuro anche seguire una guida per Raspiblitz o Umbrel: dagli un occhio, vedrai che sono molto semplici, non serve saper programmare.

Sì grazie, la vps l'avevo infatti citata parlando sopra di quando ho fatto la prova con fast reverse proxy ma..... dove la trovi a 5€ l'anno?  io non sono mai riuscito a trovare a meno di 4 /mese.

Nel mio caso devo capire bene dove posizionare l'eseguibile. L'intenzione sarebbe esporre servizi che sono su macchine diverse (alcune ipcam, Home Assistant, ....) e per questo avevo abilitato HAProxy sul firewall (pfSense).
Solo che ngrok non vorrei proprio installarlo sul fw (nonostante ho visto che sarebbe disponibile il pacchetto per FreeBSD/64 arm che servirebbe a me) per non sporcarne l'installazione.
Quindi devo capire se lo si possa mettere su un host "terzo", ancor meglio se usando docker , e ho visto che c'è l'immagine per Docker.
Mi sa che devo  fare un po' di prove e giocarci un po'..... beh nel week end da me danno pioggia   

Lo script sarebbe sempre utile, soprattutto per la parte del msg verso Telegram che non saprei proprio come fare: se hai voglia di condividerlo.... grazie!

Unica considerazione da fare: in MPS come hanno fatto a bruciare 8 mld in 5 anni ?  tra l'altro in un periodo nel quale già da anni la banca era sotto la lente ?
Questi sono davvero scandali dei quali poi non risponde nessuno!

Ma che pro ?     però è davvero super performante e completo di ogni funzione uno possa immaginare, compresa l'HA e lo spostamento dinamico delle VM in esecuzione tra un nodo e l'altro. Io non lo uso così eh, ci vorrebbero almeno 3 nodi per fare le cose per bene e sarebbe un suicidio economico anche per i consumi.
Però ad esempio ho scoperto proprio pochi mesi fa che c'è una funzione di backup delle VM davvero figa: puoi attaccare un SSD esterno via Usb (così in caso di rottura hw diventa semplice staccarlo e riattaccarlo al nuovo nodo), gli dici quali backup fare, con che freq e retention, e poi fa tutto lui in automatico, tra l'altro con occupazione molto minore perché di default comprime il backup.
Davvero comodo!

p.s. so che c'è il nuovo sw per il backup server ma richiederebbe un server dedicato invece di un comune SSD/HDD esterno.

Grazie @babo, sei sempre una sicurezza !!   

ngrok lo avevo provato 2 o 3 anni fa ma era un po' lentino e forse (non ricordo più bene )  aveva un limite molto basso sulle connessioni che potevi aprire.

Alcun mesi fa avevo scoperto questo altro sistema:

https://github.com/fatedier/frp

che funziona molto bene e non ha "limiti" ma per usarlo devi avere una vps, quindi pagare qualche euro in più.
Avevo fatto qualche test e mi era piaciuto, solo che indubbiamente richiede conoscenze che non tutti hanno, mentre se hai a casa una ftth/fttc  non fai altro che aprire la porta sul router.



Non ricordo se l'ho già scritto in altri thread: io da un paio di anni sto usando un NUC (intel i5 8 gen.)  sul quale ho messo ProxMox e devo dire che va davvero bene con consumi bassissimi.
Se metti RAM ProxMox gira davvero bene. Lo uso per altre "cose", non per Umbrel, ma credo che anche Umbrel possa girarci visto che alla fine non è altro che una manciata di container docker .

Per Umbrel immagino stessi chiedendo a me: Raspi 4 con 4 GB RAM.
Praticamente gira a vuoto nel senso che la cpu è del tutto scarica.




Anch'io uso una sfigatissima connessione 4G purtroppo, però problemi di volumi non ne ho: ho una sim da 150 GB a 8 € che funziona davvero bene. Unica limitazione che avverto è il nat, e lì son dolori se vuoi esporre dei servizi.

Sì ma quei 76k sono solo per i diritti di pesca, se parli delle isole la cifra cambia e di molto. Se visiti l'isola Bella per entrare sono 20€ a testa: mica noccioline !!

https://www.isoleborromee.it/prenota-acquista/

Il biglietto per un ingresso al Palazzo posso capirlo, ma questi si fanno pagare per ogni cosa. Ad esempio per salire al Mottarone partendo da Stresa, visto che la strada è di loro proprietà bisogna pagare il pedaggio: 10 €

https://www.mottarone.it/parco-del-mottarone-accesso-alla-strada-privata-borromea-con-telepass/

la cosa assurda è che se però sali dal lago d'Orta (che non è distante da Stresa), arrivi sempre al Mottarone ma senza spendere un centesimo!! queste sono cose che capisco poco sinceramente.....

So che vado OT ma piacerà a Paolo 


https://www.corriere.it/dataroom-milena-gabanelli/lago-maggiore-pescare-diritto-esclusivo-borromeo-tassa-1400/285fd12c-493d-11ed-a525-e360fe4fb789-va.shtml

Bene, questo mese avremo un nuovo record in Meta per la gioia di @fillippone !
Complimenti! 

Beh dai non si deve per forza iniziare a guidare una Ferrari!
Approvare un contratto? non necessariamente lo devi fare o quanto meno non sempre è "complicato" farlo (parlo di dex).
Quanto al perdere le chiavi, la soluzione è formare, istruire, far capire l'importanza della cosa.
Però è esattamente quel che ti insegnano quando vai a scuola guida, cosa che devi fare anche per guidare un Pandino, non serve solo per la Ferrari.
Diciamo che - secondo me - quel che serve avere è un minimo di CONSAPEVOLEZZA di quel che si sta facendo, e di come la perdita di una chiave possa farti perdere tutto. Cose che con una formazione base ma ben fatta possono essere trasmesse.

Dove dobbiamo firmare ?   

Lo stesso posso dire di Umbrel, anche se è OT rispetto al thread ma lo dico per offrire un termine di paragone.
Io di solito lo accendo una volta al mese (o ogni due) per rimetterlo in sync perché non ho reale necessità di tenerlo sempre online. Faccio così da quando l'ho installato (1 anno e mezzo abbondante) e non ho mai avuto problemi.

Idem anche se non avevo mai preso BNB perché operavo talmente raramente (non sono un trader) che era più lo sbatti avere una coin in più che risparmiare le fee.
Poi ho smesso con il KYC; peccato perché Binance mi piaceva parecchio, sia come disponibilità di scelta sia come interfaccia.