Přihlášení | Registrace

napište » Zprávičky

Debian GNU/Hurd 2025

včera 04:55 | Nová verze

Byl vydán Debian GNU/Hurd 2025. Jedná se o port Debianu s jádrem Hurd místo obvyklého Linuxu.

včera 02:44 | Komunita

V sobotu 9. srpna uplynulo přesně 20 let od oznámení projektu openSUSE na konferenci LinuxWorld v San Franciscu. Pokuď máte archivní nebo nějakým způsobem zajímavé fotky s openSUSE, můžete se o ně s námi podělit.

lkocman | Komentářů: 5

Debian 13 Trixie

9.8. 21:11 | Nová verze

Byl vydán Debian 13 s kódovým názvem Trixie. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 8

WLED – Wi-Fi ovládání RGB LED

9.8. 15:55 | Zajímavý software

WLED je open-source firmware pro ESP8266/ESP32, který umožňuje Wi-Fi ovládání adresovatelných LED pásků se stovkami efektů, synchronizací, audioreaktivním módem a Home-Assistant integrací. Je založen na Arduino frameworku.

Indiánský lotr | Komentářů: 0

Home Assistant 2025.8

8.8. 15:33 | Nová verze

Open source platforma Home Assistant (Demo, GitHub, Wikipedie) pro monitorování a řízení inteligentní domácnosti byla vydána v nové verzi 2025.8.

Ladislav Hagara | Komentářů: 11

Byla vydána Mafia: Domovina

8.8. 14:22 | IT novinky

Herní studio Hangar 13 vydalo novou Mafii. Mafia: Domovina je zasazena do krutého sicilského podsvětí na začátku 20. století. Na ProtonDB je zatím bez záznamu.

Ladislav Hagara | Komentářů: 1

O2 má opět problémy

8.8. 13:22 | IT novinky

Operátor O2 má opět problémy. Jako omluvu za pondělní zhoršenou dostupnost služeb dal všem zákazníkům poukaz v hodnotě 300 Kč na nákup telefonu nebo příslušenství.

Ladislav Hagara | Komentářů: 11

Společnost OpenAI představila GPT-5

8.8. 05:55 | IT novinky

Společnost OpenAI představila GPT-5 (YouTube).

Ladislav Hagara | Komentářů: 2

Visual Studio Code a VSCodium 1.103

8.8. 05:00 | Nová verze

Byla vydána (𝕏) červencová aktualizace aneb nová verze 1.103 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a videi v poznámkách k vydání. Ve verzi 1.103 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.

Ladislav Hagara | Komentářů: 0

Trump vyzval nového šéfa Intelu, aby odstoupil

7.8. 17:33 | IT novinky

Americký prezident Donald Trump vyzval nového generálního ředitele firmy na výrobu čipů Intel, aby odstoupil. Prezident to zdůvodnil vazbami nového šéfa Lip-Bu Tana na čínské firmy.

Ladislav Hagara | Komentářů: 14

Centrum | Napsat | Starší

navrhněte » Anketa

Kolik tabů máte standardně otevřeno ve web prohlížeči?

1-4 (47%)

5-15 (20%)

16-30 (4%)

31-50 (5%)

51-70 (3%)

71-100 (1%)

101-130 (1%)

>131 (18%)

Celkem 334 hlasů

Komentářů: 23, poslední 4.8. 13:01

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Jak maximálně zabezpečit OpenVPN server (na Ubuntu 18.04)

Štítky: distribuce, firewally, input, Internet, iptables, OpenVPN, server, SSH, TCP, Ubuntu, UDP, VPN

Dotaz: Jak maximálně zabezpečit OpenVPN server (na Ubuntu 18.04)

14.11.2018 11:54 Wena
Jak maximálně zabezpečit OpenVPN server (na Ubuntu 18.04)

Přečteno: 506×

Odpovědět | Admin

Zdravím, Na Ubuntu 18.04 (pouze základní systém) jsem nainstaloval pouze: OpenVPN SSH a nastavil iptables:


iptables --flush

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -I INPUT -i eth0 -p udp --dport 1194 -j ACCEPT

iptables -I INPUT -i tun0 -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -p icmp -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -j REJECT

Server má veřejnou IP. Přihlašování na SSH lze pouze pomocí privátního klíče a jen z VPN (viz. iptables výše).

Předpokládejme, že OpenVPN server je nastavený v rámci možností maximálně bezpečně.

Jak/co ještě zabezpečit? Zapomněl jsem na něco nebo už to je dostatečně zabezpečené?

Jde mi o to, jestli je ještě něco, co by se mělo blokovat/odinstalovat/nastavit (port/služba/...).

Sloužit to má pouze a jenom jako VPN server, nic jiného.

Díky za pomoc/rady/tipy.

Nástroje: Začni sledovat (0) ?

Odpovědi

14.11.2018 14:08 NN
Rozbalit Rozbalit vše Re: Jak maximálně zabezpečit OpenVPN server (na Ubuntu 18.04)

Nekdo zahazuje i ICMP, aby to bylo vic "neviditelne". Pokud se nechces s jinym provozem vubec zabyvat, muzes ho misto REJECT rovnou dropnout. Take je mozne volitelne pouzit nestandartni porty. No a konecne si nejsem jisty zda se u bezstavoveho UDP uplatni tracking aka RELATED,ESTABLISHED..

14.11.2018 15:58 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Jak maximálně zabezpečit OpenVPN server (na Ubuntu 18.04)

Nekdo zahazuje i ICMP, aby to bylo vic "neviditelne". Pokud se nechces s jinym provozem vubec zabyvat, muzes ho misto REJECT rovnou dropnout.

Tohle jsou dva způsoby, jak si pořídit podivné síťové chyby. Například až ti nepřijde ICMP zpráva o fragmentaci a budeš se divit ze sítí s menším MTU.

Take je mozne volitelne pouzit nestandartni porty. No a konecne si nejsem jisty zda se u bezstavoveho UDP uplatni tracking aka RELATED,ESTABLISHED..

Pro UDP se používá pseudospojení, díky tomu také funguje (částečně) UDP přes maškarádu.

Pro tazatele: přes netstat -tlpnu bych se podíval co tam vlastně běží, a taky bych ten firewall řešil i na IPv6 (ip6tables).

14.11.2018 20:31 Wena
Rozbalit Rozbalit vše Re: Jak maximálně zabezpečit OpenVPN server (na Ubuntu 18.04)

server nemá veřejnou IPv6 nakonfigurovanou (a ani mít nebude)

netstat -tlpnu vypíše toto:


Active Internet connections (only servers)

Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name

tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN      27395/systemd-resol

tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      946/sshd

tcp6       0      0 :::22                   :::*                    LISTEN      946/sshd

udp        0      0 127.0.0.53:53           0.0.0.0:*                           27395/systemd-resol

udp    33728      0 0.0.0.0:1194            0.0.0.0:*                           933/openvpn

díky moc za informace

ping nechci zakazovat a ani omezovat - nebo to je velké riziko nechat ten port takhle otevřený?

14.11.2018 23:12 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Jak maximálně zabezpečit OpenVPN server (na Ubuntu 18.04)

server nemá veřejnou IPv6 nakonfigurovanou (a ani mít nebude)

Stále mu může někdo ze stejné sítě poslat router advertisement nebo se připojit na link-local adresu.

Ten systemd-resolved bych nějak omezil aby neposlouchal do světa (byť je to zakázané firewallem).

nebo to je velké riziko nechat ten port takhle otevřený

Není, a ICMP nemá porty.

15.11.2018 08:50 NN
Rozbalit Rozbalit vše Re: Jak maximálně zabezpečit OpenVPN server (na Ubuntu 18.04)

Předpokládejme, že OpenVPN server je nastavený v rámci možností maximálně bezpečně.

Tady by mohlo hrat podstatnou roli stari SSL knihovny, velikost klicu, zvolena sifra a konkretni model bezpenosti, ktere Open VPN umoznuje(TA key, passphrase, PSK etc.). Osobne ICMP neblokuji. Jak spomenuj Jenda:

tcp6 0 0 :::22 :::* LISTEN 946/sshd

Pokud je IPv6 firewall v implicitni konfiguraci, kdy povoluje vse, tady je mozne pripojit se lokalne i bez VPN. Jeste k firewallu, pokud to lze je mozne omezit rozsah zdrojovych IP adres pro VPN klinety.

14.11.2018 16:04 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Jak maximálně zabezpečit OpenVPN server (na Ubuntu 18.04)

No, zákaz icmp je podle mně prostě hnus. Sebemenší problém pak zbytečně znesnadňuje diagnostiku.
Jinak pro icmp bych doporučil upřesnění v podobě :

-A INPUT -p icmp -m icmp --icmp-type 8 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

Zdar Max

Měl jsem sen ... :(

14.11.2018 15:30 PetebLazar
Rozbalit Rozbalit vše Re: Jak maximálně zabezpečit OpenVPN server (na Ubuntu 18.04)

A co FORWARD?

15.11.2018 06:53 __blr__
Rozbalit Rozbalit vše Re: Jak maximálně zabezpečit OpenVPN server (na Ubuntu 18.04)

Spouštět OpenVPN pod jiným uživatelem, než je root..

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje