Архів категорії: Програмне забезпечення

Безпечне використання iptables та модулів системи відстеження з’єднань

Це мій переклад, оригінал статі дивіться за цим посиланням: https://home.regit.org/netfilter-en/secure-use-of-helpers/

Автори: Eric Leblond, Pablo Neira Ayuso, Patrick McHardy, Jan Engelhardt, Mr Dash Four

Вступ

Принцип модулів системи відстеження з’єднань (helpers)

Деякі протоколи використовують окремі потоки, наприклад один для керування, а другий для передачі даних.
Серед багатьох, яскравим прикладом є протоколи FTP, SIP та H.323. За звичай на стадії встановлення з’єднання, керуючий потік використовується для узгодження параметрів зв’язку потоку передачі даних ( наприклад IP адреса та порт). Цей тип протоколів складно фільтрувати фаерволом, так як порушено стандарт шарів OSI, в цьому випадку, параметри шарів 3/4 ми бачимо на 7 рівні. Читати далі Безпечне використання iptables та модулів системи відстеження з’єднань

Linux router, error pptp 619

Зіткнувся з таким рядком в лог файлі dmesg: nf_conntrack: automatic helper assignment is deprecated and it will be removed soon. Use the iptables CT target to attach helpers instead.

Переклад: nf_conntrack: автоматичне призначення допоміжних модулів застаріло, та воно буде скоро вилучено. Замість цього, для підключення допоміжних модулів використовуйте ціль CT в iptables.

Цю зміну внесли в травні 2012 року до ядер 3.5, зробивши можливим вимкнення атоматичного підключення nf_conntrack helprs. Читати далі Linux router, error pptp 619

OpenVPN кожну годину “soft reset”

На сервері додати параметр у файл openvpn.conf:

reneg-sec 36000

на клієнті додати параметр:

reneg-sec 0

З двох учасників з’єднання, тільки сервер буде ініціалізовувати зміну пари ключів для шифрування трафіку, кожні 36000 секунд.

Створення само-підписаного сертифікату для Ejabberd

Сертифікати повинен виписувати довірений сертифікаційній центр.

Якщо сертифікат було згенеровано самостійно, то йому не можуть довіряти в інтернеті, так як немає гарантій, що приватний ключ недоступний публічно.

В директорії де будуть розміщені сертифікати виконуємо команду:

openssl req -new -x509 -newkey rsa:2048 -days 365 -keyout privkey.pem -out server.pem

Введіть пароль для приватного ключа.

Далі, щоб кожен раз коли сервер запускається не вводити пароль приватного ключа, треба його зняти:

openssl rsa -in privkey.pem -out privkey.pem

Далі об’єднаємо ключ та сертифікат:

cat privkey.pem >> server.pem

Змінюємо права доступу, наприклад:

chown root:jabber /usr/local/etc/jabberd/server.pem
chmod 640 /usr/local/etc/jabberd/server.pem

 

Оригінал