Richard Hughes oznámil, že po společnostech Red Hat a Framework a organizacích OSFF a Linux Foundation, službu Linux Vendor Firmware Service (LVFS) umožňující aktualizovat firmware zařízení na počítačích s Linuxem, nově sponzorují také společnosti Dell a Lenovo. Do dnešního dne bylo díky LVFS provedeno více než 145 milionů aktualizací firmwarů od více než 100 různých výrobců na milionech linuxových zařízení.
Americké technologické společnosti Microsoft, Google a xAI souhlasily, že vládě Spojených států poskytnou přístup k novým modelům umělé inteligence (AI) před jejich uvedením na trh. Oznámila to americká vláda, která tak bude moci prověřit, zda modely nepředstavují hrozbu pro národní bezpečnost. Oznámení podtrhuje rostoucí obavy Washingtonu z rizik spojených s výkonnými AI systémy. Americké úřady chtějí v rámci předběžného přístupu
… více »Společnost Valve zveřejnila (GitLab) nákresy ovladače Steam Controller a puku. Pro všechny, kdo by jej chtěli hacknout nebo modifikovat, případně pro ně navrhnout nějaké příslušenství. Pod licencí Creative Commons (CC BY-NC-SA 4.0).
PHP bylo dlouho distribuováno pod vlastní licencí – s výjimkou částí spadajících pod licenci Zend Engine. Po několikaleté práci se povedlo PHP přelicencovat na 3bodovou licenci BSD.
Na čem pracují vývojáři webového prohlížeče Ladybird (GitHub)? Byl publikován přehled vývoje za duben (YouTube). Na Linuxu je vedle Qt frontendu nově k dispozici také GTK4 / libadwaita frontend.
Neziskové průmyslové konsorcium Khronos Group vydalo verzi 3.1 specifikace OpenCL (Open Computing Language). OpenCL je průmyslový standard pro paralelní programování heterogenních počítačových systémů.
Homebridge pro integraci chytrých domácích zařízení byl vydán ve verzi 2.0.0. Nově vedle protokolu HomeKit Accessory Protocol (HAP) podporuje standard chytré domácnosti Matter.
Omarchy je linuxová distribuce s dlaždicovým správcem oken Hyprland. Založena je na Arch Linuxu. Vydána byla v nové verzi 3.7.0 - The Gaming Edition. Z novinek lze vypíchnout příkaz omarchy a celou řadu herních možností.
CyberChef byl vydán v nové major verzi 11. Přehled novinek v Changelogu. CyberChef je webová aplikace pro analýzu dat a jejich kódování a dekódování, šifrování a dešifrování, kompresi a dekompresi, atd. Často je využívaná při kybernetických cvičeních a CTF (Capture the Flag).
Byla vydána nová verze 2.4.67 svobodného multiplatformního webového serveru Apache (httpd). Řešeno je mimo jiné 11 zranitelností.
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
iptables --flush
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I INPUT -i eth0 -p udp --dport 1194 -j ACCEPT
iptables -I INPUT -i tun0 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -j REJECT
Server má veřejnou IP. Přihlašování na SSH lze pouze pomocí privátního klíče a jen z VPN (viz. iptables výše).
Předpokládejme, že OpenVPN server je nastavený v rámci možností maximálně bezpečně.
Jak/co ještě zabezpečit? Zapomněl jsem na něco nebo už to je dostatečně zabezpečené?
Jde mi o to, jestli je ještě něco, co by se mělo blokovat/odinstalovat/nastavit (port/služba/...).
Sloužit to má pouze a jenom jako VPN server, nic jiného.
Díky za pomoc/rady/tipy.
14.11.2018 15:58
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Nekdo zahazuje i ICMP, aby to bylo vic "neviditelne". Pokud se nechces s jinym provozem vubec zabyvat, muzes ho misto REJECT rovnou dropnout.Tohle jsou dva způsoby, jak si pořídit podivné síťové chyby. Například až ti nepřijde ICMP zpráva o fragmentaci a budeš se divit ze sítí s menším MTU.
Take je mozne volitelne pouzit nestandartni porty. No a konecne si nejsem jisty zda se u bezstavoveho UDP uplatni tracking aka RELATED,ESTABLISHED..Pro UDP se používá pseudospojení, díky tomu také funguje (částečně) UDP přes maškarádu. Pro tazatele: přes netstat -tlpnu bych se podíval co tam vlastně běží, a taky bych ten firewall řešil i na IPv6 (ip6tables).
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.0.53:53 0.0.0.0:* LISTEN 27395/systemd-resol
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 946/sshd
tcp6 0 0 :::22 :::* LISTEN 946/sshd
udp 0 0 127.0.0.53:53 0.0.0.0:* 27395/systemd-resol
udp 33728 0 0.0.0.0:1194 0.0.0.0:* 933/openvpn
díky moc za informace
ping nechci zakazovat a ani omezovat - nebo to je velké riziko nechat ten port takhle otevřený?
14.11.2018 23:12
Jendа | skóre: 78
| blog: Jenda
| JO70FB
server nemá veřejnou IPv6 nakonfigurovanou (a ani mít nebude)Stále mu může někdo ze stejné sítě poslat router advertisement nebo se připojit na link-local adresu. Ten systemd-resolved bych nějak omezil aby neposlouchal do světa (byť je to zakázané firewallem).
nebo to je velké riziko nechat ten port takhle otevřenýNení, a ICMP nemá porty.
Předpokládejme, že OpenVPN server je nastavený v rámci možností maximálně bezpečně.Tady by mohlo hrat podstatnou roli stari SSL knihovny, velikost klicu, zvolena sifra a konkretni model bezpenosti, ktere Open VPN umoznuje(TA key, passphrase, PSK etc.). Osobne ICMP neblokuji. Jak spomenuj Jenda:
tcp6 0 0 :::22 :::* LISTEN 946/sshdPokud je IPv6 firewall v implicitni konfiguraci, kdy povoluje vse, tady je mozne pripojit se lokalne i bez VPN. Jeste k firewallu, pokud to lze je mozne omezit rozsah zdrojovych IP adres pro VPN klinety.
14.11.2018 16:04
Max | skóre: 73
| blog: Max_Devaine
-A INPUT -p icmp -m icmp --icmp-type 8 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPTZdar Max
Tiskni
Sdílej:
