Connor Byrne z USA používal pro přihlašování na svůj iPhone 13 s iOS 18 heslo obsahující háček. Po aktualizaci na iOS 26.4 se už ale do telefonu nepřihlásí. Při přihlašování nelze tento háček zadat. Apple jej prostě odstranil [The Register].
Linus Torvalds vydal jádro Linux 7.0. Podrobný výčet změn je ke zhlédnutí na stránce Kernel Newbies, stručné výběry v LWN (část první, druhá).
Na čem aktuálně pracují vývojáři GNOME? Pravidelný přehled novinek v Týden v GNOME. Vypíchnout lze novou verzi 2026.1 přehrávače hudby Amberol (Flathub).
Byla vydána verze 12.0 s kódovým jménem Ecne linuxové distribuce Trisquel GNU/Linux. Založena je na Ubuntu 24.04 LTS a podporována bude do roku 2029. Trisquel patří mezi svobodné distribuce doporučované Nadací pro svobodný software (FSF).
Open-source citační manažer Zotero (Wikipedie, GitHub) byl vydán v nové major verzi 9. Přehled novinek v příspěvku na blogu.
Libre Graphics Meeting 2026, tj. čtyřdenní konference a setkání vývojářů a uživatelů svobodných a otevřených grafických softwarů, proběhne od 22. do 25. dubna v Norimberku. Dění lze sledovat na Mastodonu.
Vývojář Alexandre Gomes Gaigalas na GitHubu zveřejnil c89cc.sh, parser a kompilátor jazyka C89 napsaný v pouhém jediném skriptu o přibližně 8000 řádcích čistého bashe (bez dalších externích závislostí), který generuje ELF64 binárky pro x86-64. Jedná se o velmi jednoduchý kompilátor, který nepodporuje direktivy #include a dokonce ani funkci printf (lze použít puts), všechny dostupné deklarace lze nalézt v proměnné _BUILTIN_LIBC na konci skriptu. Skript je volně dostupný pod ISC licencí.
Francouzská vláda oznámila, že v rámci strategie 'digitální suverenity' zahájí 'přechod od systému Windows k počítačům s operačním systémem Linux' (sa sortie de Windows au profit de postes sous système d'exploitation Linux). DINUM (meziresortní ředitelství pro digitální technologie) požádalo ministerstva, aby do podzimu 2026 vypracovaly konkrétní plány nasazení Linuxu. Francie již dříve migrovala části státní správy na otevřená řešení.
Nezisková organizace Electronic Frontier Foundation (EFF) hájící občanské svobody v digitálním světě po téměř 20 letech opouští platformu X (dříve Twitter). Na platformách Bluesky, Mastodon, LinkedIn, Instagram, TikTok, Facebook, Threads a YouTube zůstává.
Terminálový textový editor GNU nano byl vydán ve verzi 9.0. Vylepšuje chování horizontálního posouvání pohledu na dlouhé řádky a chování některých klávesových zkratek. Více v seznamu změn.
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
iptables --flush
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I INPUT -i eth0 -p udp --dport 1194 -j ACCEPT
iptables -I INPUT -i tun0 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -j REJECT
Server má veřejnou IP. Přihlašování na SSH lze pouze pomocí privátního klíče a jen z VPN (viz. iptables výše).
Předpokládejme, že OpenVPN server je nastavený v rámci možností maximálně bezpečně.
Jak/co ještě zabezpečit? Zapomněl jsem na něco nebo už to je dostatečně zabezpečené?
Jde mi o to, jestli je ještě něco, co by se mělo blokovat/odinstalovat/nastavit (port/služba/...).
Sloužit to má pouze a jenom jako VPN server, nic jiného.
Díky za pomoc/rady/tipy.
14.11.2018 15:58
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Nekdo zahazuje i ICMP, aby to bylo vic "neviditelne". Pokud se nechces s jinym provozem vubec zabyvat, muzes ho misto REJECT rovnou dropnout.Tohle jsou dva způsoby, jak si pořídit podivné síťové chyby. Například až ti nepřijde ICMP zpráva o fragmentaci a budeš se divit ze sítí s menším MTU.
Take je mozne volitelne pouzit nestandartni porty. No a konecne si nejsem jisty zda se u bezstavoveho UDP uplatni tracking aka RELATED,ESTABLISHED..Pro UDP se používá pseudospojení, díky tomu také funguje (částečně) UDP přes maškarádu. Pro tazatele: přes netstat -tlpnu bych se podíval co tam vlastně běží, a taky bych ten firewall řešil i na IPv6 (ip6tables).
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.0.53:53 0.0.0.0:* LISTEN 27395/systemd-resol
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 946/sshd
tcp6 0 0 :::22 :::* LISTEN 946/sshd
udp 0 0 127.0.0.53:53 0.0.0.0:* 27395/systemd-resol
udp 33728 0 0.0.0.0:1194 0.0.0.0:* 933/openvpn
díky moc za informace
ping nechci zakazovat a ani omezovat - nebo to je velké riziko nechat ten port takhle otevřený?
14.11.2018 23:12
Jendа | skóre: 78
| blog: Jenda
| JO70FB
server nemá veřejnou IPv6 nakonfigurovanou (a ani mít nebude)Stále mu může někdo ze stejné sítě poslat router advertisement nebo se připojit na link-local adresu. Ten systemd-resolved bych nějak omezil aby neposlouchal do světa (byť je to zakázané firewallem).
nebo to je velké riziko nechat ten port takhle otevřenýNení, a ICMP nemá porty.
Předpokládejme, že OpenVPN server je nastavený v rámci možností maximálně bezpečně.Tady by mohlo hrat podstatnou roli stari SSL knihovny, velikost klicu, zvolena sifra a konkretni model bezpenosti, ktere Open VPN umoznuje(TA key, passphrase, PSK etc.). Osobne ICMP neblokuji. Jak spomenuj Jenda:
tcp6 0 0 :::22 :::* LISTEN 946/sshdPokud je IPv6 firewall v implicitni konfiguraci, kdy povoluje vse, tady je mozne pripojit se lokalne i bez VPN. Jeste k firewallu, pokud to lze je mozne omezit rozsah zdrojovych IP adres pro VPN klinety.
14.11.2018 16:04
Max | skóre: 73
| blog: Max_Devaine
-A INPUT -p icmp -m icmp --icmp-type 8 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPTZdar Max
Tiskni
Sdílej:
