Linux-security

[ Megoldva ] openvpn windows kliens - láma

Fórumok

Van egy linuxon futó openvpn szerverem, és linux alatt kliensem is, amivel szépen fel tudok csatlakozni.

Szeretnék windows-ról is felkapcsolódni, de sehogyan sem megy. Ha csak egy openvpn klienst telepítek windowsra, akkor folyamatosan valamilyen kiexportált fájlt akar, amilyenem nincs. Nálam a szerveren nem találtam ilyen exportálási lehetőséget.

Van kliens konfig fájlom, de azt nem tudom megetetni a windows klienssel.

Tud ebben valaki segíteni? Biztos valami alapvetőt bénázok el, mert nem lehet ez ennyire egyedi igény ... :O

[Megoldva] Netre kitett Debian server megvédése

Fórumok

Sziasztok,

Fejlesztő vagyok, felhasználói szinten elboldogulok a linux-al, de nincs rendszergazda tapasztalatom.
Egy applikációt készítek, amelyhez szükségem van egy VPS beüzemelésére, ami Debian szerveren LAMP weboldalt (port 443) és egy hozzá tartozó REST Api-t szolgál ki.
Ezen kívül egy másik porton (9000) egy saját Go webszerver válaszolna szintén https kérésekre.

Az lenne a kérdésem, hogy milyen lépéseket tegyek, hogy ne váljon rövid időn belül átjáróházzá ez a szerver?
Elég lehet a rendszeres szoftver frissítés és iptablesben minden port letiltása (a két service által használt, valamint a bejutáshoz szükséges ssh porton kívül)?

Fontos lenne, hogy megmaradjon a VPS jó performanciája (1-3ezer lekérés / sec).

Köszönöm a válaszokat!

Szerk: köszönöm szépen a válaszokat! :) Elég jó kis wiki oldal gyűlt itt össze :)

openvpn másik porton, mint default udp/1194 [SOLVED]

Fórumok

sziasztok,

szeretném, hogy az openvpn szerver másik porton figyeljen, mint udp/1194.

Én naív, azt gondoltam, hogy a server.conf-ban átírom a

port 1194
proto udp

sorokat pl.

port 1987
proto tcp

sorokra, újraindítom "systemctl restart openvpn", aztán szépen működik.

Naná, hogy nem.

A hiba:  

openvpn[15545]: TCP/UDP: Socket bind failed on local address [AF_INET]x.x.x.x:1987: Permission denied (errno=13)

Iptables leállítva, flush megvolt, rootként futtatok mindent... :O

OS: CentOS 8

Van ötlete valakinek?

Gyors backup: hol, hogyan?

Fórumok

Jelenleg a restic programmal a Backblaze-en tárolok kb. 1TB backupot. Működik ugyan, de sok kis fájl esetén elég lassú, ezért szeretnék egy gyorsabb megoldást.

Úgy látom, az 1TB még kevesebb annál, hogy megérje rá külön backup szervert üzemeltetni.

Elsőre a sávszélesség miatt hazai backup szervereket kerestem. Ezekből egyedül az SFTP-n keresztül elérhetőek tűnnek használhatónak, mert ezt a protokollt támogatja a restic. SFTP-vel azonban nem tudom megállapítani, hogy mennyi szabad helyem van még. Nem ragaszkodom a restic-hez, de mindenképp valamilyen olyan megoldást keresek, ami tud titkosítva tárolni, növekményes, felcsatolható, és persze gyors, hisz ez az elsődleges célom.

Akik ilyen távoli, idegen backup tárhelyet használtok, hol tároljátok és milyen programmal éritek el?

systemd - credential

Fórumok

Sziasztok, 

 

Systemd-vel szeretnék egy service-t futtatni, a binárisnak külső szolgálatásokhoz kell authentikálnia AD credential-el.

Windows-on ez rém egyszerű, mert maga a service már AD-val authentikál (vagy user context-el titkosítható egy string).

Ezt hogyan lehet Linuxon kulturáltan megoldani?

(Lehetőleg úgy, hogy ne kelljen letenem plain-text-ben a jelszót.) 

 

Köszönöm,

Tassadar

Biztonságos törlés több menetben?

Fórumok

Egy gép leállítása előtt szeretnék minden adatot biztonságosan törölni róla.

Miután letöröltem a kritikus fájlokat, törölném a felszabadult területet is. Erre megtaláltam az swap és sfill programokat.

Amit nem értek, miért kell több menetben is felülírni a tárterületet? Miért nem elég minden szabad helyre 0-át írni?

SuSE linux 8.0 Live CD alatt cryptsetup-pal (aes-256-tal) titkosított HDD visszafejtése

Fórumok

Szerettem volna újra használatba venni a fenti vinyómat, de

  • azóta megváltozott a losetup használata: a -e kapcsoló eltűnt, a LUKS lenne a trend
    ezért elővettem a régi SuSE 8.0 CD-met...
  • a Suse 8.0 Live CD betöltése megszakad, nem találja a CD-t - gondolom a SATA-ra nincs felkészítve
    ezért segítségül hívtam a Virtualbox-ot és IDE meghajtót állítottam be...
  • ha virtuális gépben indítom, tovább megy, de az X felület betöltése fekete képernyőt eredményez és nincs tovább.

Gondolom fel kellene hajtani egy régi vasat, de akkor hol a kihívás?

ModSecurity2 bug?

Fórumok

Van egy ModSecurity szabályom, ami minden xmlrpc.php kérelmet blokkol:

SecRule REQUEST_URI "/xmlrpc.php" "phase:1,id:'9000001',log,noauditlog,deny,status:503"

Teszteltem is, mind POST, mind GET kérelmekkel, és működik is. Ha a szabályt kiveszem, a kérelmek lefutnak, tehát valóban ez a szabály állítja meg az xmlrpc.php kérelmeket.

Ennek ellenére a következőt látom egy domain apache logjában:

165.227.199.58 - - [22/Nov/2019:04:37:44 +0100] "POST /xmlrpc.php HTTP/1.1" 503 0    "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
123.148.208.6  - - [22/Nov/2019:04:59:12 +0100] "POST /xmlrpc.php HTTP/1.1" 200 9926 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36"

Hogyan lehetséges, hogy a szabály ellenére mégis átjut egy-egy xmlrpc.php kérelem? Van amit megfog, és van amit nem. Tudtommal ha egyszer van egy deny szabály, akkor nem elemez tovább, azaz nem lehetséges, hogy más szabály átengedje.

Hogyan módosítsam a szabályt, hogy valóban minden xmlrpc.php kérelmet megfogjon?