Inzerujte na AbcPráce.cz od 950 Kč

napište » Zprávičky

Sruthi Chandran novou vedoucí projektu Debian

dnes 02:55 | Komunita

Byly vyhlášeny výsledky letošní volby vedoucí/ho projektu Debian (DPL, Wikipedie). Poprvé povede Debian žena. Novou vedoucí je Sruthi Chandran. Letos byla jedinou kandidátkou. Kandidovala již v letech 2020, 2021, 2024 a 2025. Na konferenci DebConf19 měla přednášku Is Debian (and Free Software) gender diverse enough?

Ladislav Hagara | Komentářů: 2

DietPi 10.3

dnes 00:55 | Nová verze

Byla vydána nová verze 10.3 z Debianu vycházející linuxové distribuce DietPi pro (nejenom) jednodeskové počítače. Přehled novinek v poznámkách k vydání. Přidána byla podpora Orange Pi 4 LTS. Přibyl balíček Prometheus.

Ladislav Hagara | Komentářů: 0

WireGuard pro Windows a WireGuardNT 1.0

včera 18:55 | Nová verze

Implementace VPN softwaru WireGuard (Wikipedie) pro Windows, tj. WireGuard pro Windows a WireGuardNT, dospěly do verze 1.0.

Ladislav Hagara | Komentářů: 2

2. ročník půlmaratonu humanoidních robotů

včera 16:11 | IT novinky

V Pekingu dnes proběhl 2. ročník půlmaratonu humanoidních robotů. První 3 místa obsadili roboti Honor Lightning v různých týmech. Nový rekord autonomního robota je 50 minut a 26 sekund. Operátorem řízený robot to zvládl i s pádem za 48 minut a 19 sekund. Řízení roboti měli časovou penalizaci 20 %. Před rokem nejrychlejší robot zvládl půlmaraton za 2 hodiny 40 minut a 42 sekund. Aktuální lidský rekord drží Jacob Kiplimo z Ugandy s časem 57 minut a 20 sekund [𝕏].

Ladislav Hagara | Komentářů: 0

Otevřené modely našly stejné chyby co Anthropic Mythos

17.4. 17:11 | Zajímavý článek

Stanislav Fort, vedoucí vědecký pracovník z Vlčkovy 'kyberbezpečnostní' firmy AISLE, zkoumal dopady Anthropic Mythos (nový AI model od Anthropicu zaměřený na hledání chyb, který před nedávnem vyplašil celý svět) a předvedl, že schopnosti umělé inteligence nejsou lineárně závislé na velikosti nebo ceně modelu a dokázal, že i některé otevřené modely zvládly v řadě testů odhalit ve zdrojových kódech stejné chyby jako Mythos (například FreeBSD CVE-2026-4747) a to s výrazně nižšími provozními náklady.

MakeIranBombedAgain❗ | Komentářů: 6

Návrh zákona požaduje ověřování věku na úrovni OS pro celé USA

17.4. 12:44 | IT novinky

Federální návrh zákona H.R.8250 'Parents Decide Act', 13. dubna předložený demokratem Joshem Gottheimerem a podpořený republikánkou Elise Stefanik coby spolupředkladatelkou (cosponsor), by v případě svého schválení nařizoval všem výrobcům operačních systémů při nastavování zařízení ověřovat věk uživatelů a při používání poskytovat tento věkový údaj aplikacím třetích stran. Hlavní rozdíl oproti kalifornskému zákonu AB 1043 a kolorádskému SB26-051 je ten, že federální návrh by platil rovnou pro celé USA.

MakeIranBombedAgain❗ | Komentářů: 12

Nová verze čínského modelu, Qwen3.6‑35B‑A3B

17.4. 12:33 | Nová verze

Qwen (čínská firma Alibaba Cloud) představila novou verzi svého modelu, Qwen3.6‑35B‑A3B. Jedná se o multimodální MoE model s 35 miliardami parametrů (3B aktivních), nativní kontextovou délkou až 262 144 tokenů, 'silným multimodálním vnímáním a schopností uvažování' a 'výjimečnou schopností agentického kódování, která se může měřit s mnohem rozsáhlejšími modely'. Model a dokumentace jsou volně dostupné na Hugging Face, případně na čínském Modelscope. Návod na spuštění je už i na Unsloth.

MakeIranBombedAgain❗ | Komentářů: 1

Sniffnet 1.5

17.4. 11:00 | Nová verze

Sniffnet, tj. multiplatformní (Windows, macOS a Linux) open source grafická aplikace pro sledování internetového provozu, byl vydán ve verzi 1.5. V přehledu novinek je vypíchnuta identifikace aplikací komunikujících po síti.

Ladislav Hagara | Komentářů: 4

Forgejo 15.0

17.4. 02:22 | Nová verze

V programovacím jazyce Go naprogramovaná webová aplikace pro spolupráci na zdrojových kódech pomocí gitu Forgejo byla vydána ve verzi 15.0 (Mastodon). Forgejo je fork Gitei.

Ladislav Hagara | Komentářů: 1

Open Developer Summit 2026 v Praze vedle SUSECON 2026

17.4. 01:11 | Pozvánky

Současně se SUSECON 2026 proběhne příští čtvrtek v Praze také komunitní Open Developer Summit (ODS) zaměřený na open source a openSUSE. Akce se koná ve čtvrtek 23. 4. (poslední den SUSECONu) v Hilton Prague (místnost Berlin 3) a je zcela zdarma, bez nutnosti registrace na SUSECON. Na programu jsou témata jako automatizace (AutoYaST), DevOps, AI v terminálu, bezpečnost, RISC-V nebo image-based systémy. Všichni jste srdečně zváni.

lkocman | Komentářů: 2

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 30, poslední 3.4. 20:20

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Jak maximálně zabezpečit OpenVPN server (na Ubuntu 18.04)

Štítky: distribuce, firewally, input, Internet, iptables, OpenVPN, server, SSH, TCP, Ubuntu, UDP, VPN

Dotaz: Jak maximálně zabezpečit OpenVPN server (na Ubuntu 18.04)

14.11.2018 11:54 Wena
Jak maximálně zabezpečit OpenVPN server (na Ubuntu 18.04)

Přečteno: 543×

Odpovědět | Admin

Zdravím, Na Ubuntu 18.04 (pouze základní systém) jsem nainstaloval pouze: OpenVPN SSH a nastavil iptables:


iptables --flush

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -I INPUT -i eth0 -p udp --dport 1194 -j ACCEPT

iptables -I INPUT -i tun0 -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -p icmp -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -j REJECT

Server má veřejnou IP. Přihlašování na SSH lze pouze pomocí privátního klíče a jen z VPN (viz. iptables výše).

Předpokládejme, že OpenVPN server je nastavený v rámci možností maximálně bezpečně.

Jak/co ještě zabezpečit? Zapomněl jsem na něco nebo už to je dostatečně zabezpečené?

Jde mi o to, jestli je ještě něco, co by se mělo blokovat/odinstalovat/nastavit (port/služba/...).

Sloužit to má pouze a jenom jako VPN server, nic jiného.

Díky za pomoc/rady/tipy.

Nástroje: Začni sledovat (0) ?

Odpovědi

14.11.2018 14:08 NN
Rozbalit Rozbalit vše Re: Jak maximálně zabezpečit OpenVPN server (na Ubuntu 18.04)

Nekdo zahazuje i ICMP, aby to bylo vic "neviditelne". Pokud se nechces s jinym provozem vubec zabyvat, muzes ho misto REJECT rovnou dropnout. Take je mozne volitelne pouzit nestandartni porty. No a konecne si nejsem jisty zda se u bezstavoveho UDP uplatni tracking aka RELATED,ESTABLISHED..

14.11.2018 15:58 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Jak maximálně zabezpečit OpenVPN server (na Ubuntu 18.04)

Nekdo zahazuje i ICMP, aby to bylo vic "neviditelne". Pokud se nechces s jinym provozem vubec zabyvat, muzes ho misto REJECT rovnou dropnout.

Tohle jsou dva způsoby, jak si pořídit podivné síťové chyby. Například až ti nepřijde ICMP zpráva o fragmentaci a budeš se divit ze sítí s menším MTU.

Take je mozne volitelne pouzit nestandartni porty. No a konecne si nejsem jisty zda se u bezstavoveho UDP uplatni tracking aka RELATED,ESTABLISHED..

Pro UDP se používá pseudospojení, díky tomu také funguje (částečně) UDP přes maškarádu.

Pro tazatele: přes netstat -tlpnu bych se podíval co tam vlastně běží, a taky bych ten firewall řešil i na IPv6 (ip6tables).

14.11.2018 20:31 Wena
Rozbalit Rozbalit vše Re: Jak maximálně zabezpečit OpenVPN server (na Ubuntu 18.04)

server nemá veřejnou IPv6 nakonfigurovanou (a ani mít nebude)

netstat -tlpnu vypíše toto:


Active Internet connections (only servers)

Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name

tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN      27395/systemd-resol

tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      946/sshd

tcp6       0      0 :::22                   :::*                    LISTEN      946/sshd

udp        0      0 127.0.0.53:53           0.0.0.0:*                           27395/systemd-resol

udp    33728      0 0.0.0.0:1194            0.0.0.0:*                           933/openvpn

díky moc za informace

ping nechci zakazovat a ani omezovat - nebo to je velké riziko nechat ten port takhle otevřený?

14.11.2018 23:12 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Jak maximálně zabezpečit OpenVPN server (na Ubuntu 18.04)

server nemá veřejnou IPv6 nakonfigurovanou (a ani mít nebude)

Stále mu může někdo ze stejné sítě poslat router advertisement nebo se připojit na link-local adresu.

Ten systemd-resolved bych nějak omezil aby neposlouchal do světa (byť je to zakázané firewallem).

nebo to je velké riziko nechat ten port takhle otevřený

Není, a ICMP nemá porty.

15.11.2018 08:50 NN
Rozbalit Rozbalit vše Re: Jak maximálně zabezpečit OpenVPN server (na Ubuntu 18.04)

Předpokládejme, že OpenVPN server je nastavený v rámci možností maximálně bezpečně.

Tady by mohlo hrat podstatnou roli stari SSL knihovny, velikost klicu, zvolena sifra a konkretni model bezpenosti, ktere Open VPN umoznuje(TA key, passphrase, PSK etc.). Osobne ICMP neblokuji. Jak spomenuj Jenda:

tcp6 0 0 :::22 :::* LISTEN 946/sshd

Pokud je IPv6 firewall v implicitni konfiguraci, kdy povoluje vse, tady je mozne pripojit se lokalne i bez VPN. Jeste k firewallu, pokud to lze je mozne omezit rozsah zdrojovych IP adres pro VPN klinety.

14.11.2018 16:04 Max | skóre: 73 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Jak maximálně zabezpečit OpenVPN server (na Ubuntu 18.04)

No, zákaz icmp je podle mně prostě hnus. Sebemenší problém pak zbytečně znesnadňuje diagnostiku.
Jinak pro icmp bych doporučil upřesnění v podobě :

-A INPUT -p icmp -m icmp --icmp-type 8 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

Zdar Max

Měl jsem sen ... :(

14.11.2018 15:30 PetebLazar
Rozbalit Rozbalit vše Re: Jak maximálně zabezpečit OpenVPN server (na Ubuntu 18.04)

A co FORWARD?

15.11.2018 06:53 __blr__
Rozbalit Rozbalit vše Re: Jak maximálně zabezpečit OpenVPN server (na Ubuntu 18.04)

Spouštět OpenVPN pod jiným uživatelem, než je root..

Založit nové vlákno • Nahoru

Tiskni Sdílej: