Inzerujte na AbcPráce.cz od 950 Kč

napište » Zprávičky

Rspamd 4.0.0

dnes 05:00 | Nová verze

Rspamd (Wikipedie), tj. open source systému pro filtrování nevyžádané pošty, byl vydán v nové major verzi 4.0.0. Přehled novinek v Changelogu.

Ladislav Hagara | Komentářů: 0

SolveSpace 3.2

včera 23:11 | Nová verze

SolveSpace (Wikipedie), tj. multiplatformní open source parametrický 2D/3D CAD, byl vydán v nové verzi 3.2. Přehled novinek v Changelogu na GitHubu. Vyzkoušet lze novou oficiální webovou verzi.

Ladislav Hagara | Komentářů: 1

Den IPv6 proběhne 4. června. Organizátoři vyhlásili Call for Abstracts

včera 18:22 | Pozvánky

Organizátoři Dne IPv6, tradiční akce věnované tématům spojeným s tímto protokolem, vyhlásili Call for Abstracts. Na webu konference mohou zájemci přihlašovat příspěvky o délce 20 nebo 40 minut či 10minutové lighting talky a to až do 30. dubna. Tvůrci programu uvítají návrhy přednášek z akademického i komerčního sektoru, které mohou být technického i netechnického zaměření. Den IPv6 se letos uskuteční 4. června a místem konání bude i

… více »

VSladek | Komentářů: 1

Euro-Office, evropský fork OnlyOffice

včera 15:00 | Zajímavý software

Euro-Office (Wikipedie) je evropský fork open source kancelářského balíku OnlyOffice. Za forkem stojí koalice firem IONOS, Nextcloud, Eurostack, XWiki, OpenProject, Soverin, Abilian a BTactic. Cílem je zajistit digitální suverenitu Evropy a snížit závislost na neevropských platformách. Projekt vznikl mimo jiné v reakci na nedávné uzavření cloudové služby OnlyOffice. OnlyOffice obviňuje Euro-Office z porušení licenčních podmínek. Na možné problémy upozorňuje i Collabora Online. Jednostranná změna licence není v pořádku.

Ladislav Hagara | Komentářů: 21

Videozáznamy přednášek z Installfestu 2026

včera 05:11 | Komunita

Byly zpracovány a na YouTube zveřejněny videozáznamy jednotlivých přednášek z letošního Installfestu.

Ladislav Hagara | Komentářů: 1

Arduino: Open Source Report 2025 a 7 nových produktů kompatibilních s UNO Q

včera 00:22 | Komunita

Během akce Arduino Days 2026 byl publikován Arduino Open Source Report 2025 (pdf) a oznámeno 7 nových produktů kompatibilních s deskou UNO Q (Arduino USB-C Power Supply, USB-C Cable, USB-C Hub, UNO Media Carrier, UNO Breakout Carrier, Bug Hopper, Modulino LED Matrix).

Ladislav Hagara | Komentářů: 2

Google Vyhledávání Live

29.3. 20:22 | IT novinky

Google v pátek spustil v Česku Vyhledávání Live. Tato novinka umožňuje lidem vést plynulou konverzaci s vyhledávačem v češtině. A to prostřednictvím hlasu, nebo prostřednictvím toho, na co ukážou svým fotoaparátem či kamerou v mobilu. Rozšíření této multimodální funkce je možné díky nasazení Gemini 3.1 Flash Live, nového hlasového a audio modelu, který je od základu vícejazyčný, takže umožňuje lidem po celém světě mluvit na vyhledávač přirozeně a v jazyce, který je jim nejbližší.

Ladislav Hagara | Komentářů: 1

Prohledávadlo JSON souborů Jsongrep

29.3. 12:55 | Zajímavý software

Jsongrep je open-source nástroj, který efektivně prohledává JSON dokumenty (editovat je neumí). Kompiluje regulérní jazyk dotazu do podoby deterministického konečného automatu (DFA), díky čemuž prochází strom JSON dokumentu pouze jednou a je v tom tedy rychlejší než jiné nástroje jako jsou například jq, JMESPath nebo jql. Jsongrep je napsaný v programovacím jazyce Rust, zdrojový kód je dostupný na GitHubu.

NUKE GAZA! 🎆 | Komentářů: 4

O víkendu probíhá Installfest 2026

28.3. 05:55 | Komunita

O víkendu probíhá v Praze na Karlově náměstí 13 konference Installfest 2026. Na programu je celá řada zajímavých přednášek a workshopů. Vstup na konferenci je zcela zdarma, bez nutnosti registrace. Přednášky lze sledovat i online na YouTube.

Ladislav Hagara | Komentářů: 12

Mozilla a Mila oznámily partnerství za účelem rozvoje open source a suverénní AI

28.3. 05:22 | Komunita

Mozilla a společnost Mila oznámily strategické partnerství za účelem rozvoje open source a suverénní AI. Cílem je ukázat, že open source AI může konkurovat uzavřeným systémům. Obě organizace chtějí posílit technologickou suverenitu a snížit závislost na hrstce velkých technologických firem.

Ladislav Hagara | Komentářů: 4

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 27, poslední 17.3. 19:26

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Jak maximálně zabezpečit OpenVPN server (na Ubuntu 18.04)

Štítky: distribuce, firewally, input, Internet, iptables, OpenVPN, server, SSH, TCP, Ubuntu, UDP, VPN

Dotaz: Jak maximálně zabezpečit OpenVPN server (na Ubuntu 18.04)

14.11.2018 11:54 Wena
Jak maximálně zabezpečit OpenVPN server (na Ubuntu 18.04)

Přečteno: 539×

Odpovědět | Admin

Zdravím, Na Ubuntu 18.04 (pouze základní systém) jsem nainstaloval pouze: OpenVPN SSH a nastavil iptables:


iptables --flush

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -I INPUT -i eth0 -p udp --dport 1194 -j ACCEPT

iptables -I INPUT -i tun0 -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -p icmp -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -j REJECT

Server má veřejnou IP. Přihlašování na SSH lze pouze pomocí privátního klíče a jen z VPN (viz. iptables výše).

Předpokládejme, že OpenVPN server je nastavený v rámci možností maximálně bezpečně.

Jak/co ještě zabezpečit? Zapomněl jsem na něco nebo už to je dostatečně zabezpečené?

Jde mi o to, jestli je ještě něco, co by se mělo blokovat/odinstalovat/nastavit (port/služba/...).

Sloužit to má pouze a jenom jako VPN server, nic jiného.

Díky za pomoc/rady/tipy.

Nástroje: Začni sledovat (0) ?

Odpovědi

14.11.2018 14:08 NN
Rozbalit Rozbalit vše Re: Jak maximálně zabezpečit OpenVPN server (na Ubuntu 18.04)

Nekdo zahazuje i ICMP, aby to bylo vic "neviditelne". Pokud se nechces s jinym provozem vubec zabyvat, muzes ho misto REJECT rovnou dropnout. Take je mozne volitelne pouzit nestandartni porty. No a konecne si nejsem jisty zda se u bezstavoveho UDP uplatni tracking aka RELATED,ESTABLISHED..

14.11.2018 15:58 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Jak maximálně zabezpečit OpenVPN server (na Ubuntu 18.04)

Nekdo zahazuje i ICMP, aby to bylo vic "neviditelne". Pokud se nechces s jinym provozem vubec zabyvat, muzes ho misto REJECT rovnou dropnout.

Tohle jsou dva způsoby, jak si pořídit podivné síťové chyby. Například až ti nepřijde ICMP zpráva o fragmentaci a budeš se divit ze sítí s menším MTU.

Take je mozne volitelne pouzit nestandartni porty. No a konecne si nejsem jisty zda se u bezstavoveho UDP uplatni tracking aka RELATED,ESTABLISHED..

Pro UDP se používá pseudospojení, díky tomu také funguje (částečně) UDP přes maškarádu.

Pro tazatele: přes netstat -tlpnu bych se podíval co tam vlastně běží, a taky bych ten firewall řešil i na IPv6 (ip6tables).

14.11.2018 20:31 Wena
Rozbalit Rozbalit vše Re: Jak maximálně zabezpečit OpenVPN server (na Ubuntu 18.04)

server nemá veřejnou IPv6 nakonfigurovanou (a ani mít nebude)

netstat -tlpnu vypíše toto:


Active Internet connections (only servers)

Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name

tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN      27395/systemd-resol

tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      946/sshd

tcp6       0      0 :::22                   :::*                    LISTEN      946/sshd

udp        0      0 127.0.0.53:53           0.0.0.0:*                           27395/systemd-resol

udp    33728      0 0.0.0.0:1194            0.0.0.0:*                           933/openvpn

díky moc za informace

ping nechci zakazovat a ani omezovat - nebo to je velké riziko nechat ten port takhle otevřený?

14.11.2018 23:12 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Jak maximálně zabezpečit OpenVPN server (na Ubuntu 18.04)

server nemá veřejnou IPv6 nakonfigurovanou (a ani mít nebude)

Stále mu může někdo ze stejné sítě poslat router advertisement nebo se připojit na link-local adresu.

Ten systemd-resolved bych nějak omezil aby neposlouchal do světa (byť je to zakázané firewallem).

nebo to je velké riziko nechat ten port takhle otevřený

Není, a ICMP nemá porty.

15.11.2018 08:50 NN
Rozbalit Rozbalit vše Re: Jak maximálně zabezpečit OpenVPN server (na Ubuntu 18.04)

Předpokládejme, že OpenVPN server je nastavený v rámci možností maximálně bezpečně.

Tady by mohlo hrat podstatnou roli stari SSL knihovny, velikost klicu, zvolena sifra a konkretni model bezpenosti, ktere Open VPN umoznuje(TA key, passphrase, PSK etc.). Osobne ICMP neblokuji. Jak spomenuj Jenda:

tcp6 0 0 :::22 :::* LISTEN 946/sshd

Pokud je IPv6 firewall v implicitni konfiguraci, kdy povoluje vse, tady je mozne pripojit se lokalne i bez VPN. Jeste k firewallu, pokud to lze je mozne omezit rozsah zdrojovych IP adres pro VPN klinety.

14.11.2018 16:04 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Jak maximálně zabezpečit OpenVPN server (na Ubuntu 18.04)

No, zákaz icmp je podle mně prostě hnus. Sebemenší problém pak zbytečně znesnadňuje diagnostiku.
Jinak pro icmp bych doporučil upřesnění v podobě :

-A INPUT -p icmp -m icmp --icmp-type 8 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

Zdar Max

Měl jsem sen ... :(

14.11.2018 15:30 PetebLazar
Rozbalit Rozbalit vše Re: Jak maximálně zabezpečit OpenVPN server (na Ubuntu 18.04)

A co FORWARD?

15.11.2018 06:53 __blr__
Rozbalit Rozbalit vše Re: Jak maximálně zabezpečit OpenVPN server (na Ubuntu 18.04)

Spouštět OpenVPN pod jiným uživatelem, než je root..

Založit nové vlákno • Nahoru

Tiskni Sdílej: