LINUX.ORG.RU

openvpn поломали

 ,


0

2

Замечено в Федоре 38: раз, два. Говорят, в Арче тоже самое.

Предлагается откатить пакет openvpn (что я сделал) или обновить openvpn на серверах. Но зачем подкадывать такую свинью? Всем известно, что сервера обычно не обновляются годами.

★★★★★

Можно сломать сейчас. Можно полгода дать тебе юзать несекьюрные настройки, и отложить твой нытик-тред на полгода. Можно вообще не обновлять и сидеть без фиксов безопасности, коюю дурость ты тут приписываешь остальным, никто тебя обновляться не заставлял.

Какой из этих вариантов тебе милей?

t184256 ★★★★★
()
Ответ на: комментарий от vbr

Все, кто ели огурцы, умерли или умрут в будущем. Неизвестный статистик.

Главная проблема цитат в интернете заключается в том, что им верят. В.И. Ленин.

Mobutu_Sese_Seko
()
Последнее исправление: Mobutu_Sese_Seko (всего исправлений: 1)

Там какие-то треды неосиляторов сконфигурить клиент. Дайнгрейды вместо пары параметров, серьезно?

Но, конечно, любителей отключать вредные по мнению любителей протоколы и хэши в шифровании - ждет отдельная шипастая сковородка в аду криптографии.

pekmop1024 ★★★★★
()
Ответ на: комментарий от pekmop1024

Но, конечно, любителей отключать вредные по мнению любителей протоколы и хэши в шифровании - ждет отдельная шипастая сковородка в аду криптографии.

Раскрой мысль. Нельзя теперь вообще нигде очередной более несекьюрный SHA-1 отключить, и он теперь должен работать веки вечные? или можно отключить, но профессионалу?

t184256 ★★★★★
()
Последнее исправление: t184256 (всего исправлений: 1)
Ответ на: комментарий от t184256

Раскрой мысль. Нельзя теперь вообще нигде очередной более несекьюрный SHA-1 отключить, и он теперь должен работать веки вечные? или можно отключить, но профессионалу?

Оно должно орать везде, что оно несекурное, но работать. Ибо много где секурность такого уровня вообще не нужна.

pekmop1024 ★★★★★
()
Ответ на: комментарий от pekmop1024

А по сути некуда орать ни библиотекам общего назначения, ни даже сабжевому openvpn’у. Пока оно работает, ТСу начхать, он же в логи не смотрит. Так что это вариант

Можно полгода дать тебе юзать несекьюрные настройки, и отложить твой нытик-тред на полгода.

t184256 ★★★★★
()
Ответ на: комментарий от t184256

Вариант «не ломать то, что работает» и «не пытаться быть умнее пользователей» (за что я терпеть не могу Apple и GNOME) не рассматривается?

Те, кому это важно/нужно - и в логи посмотрят, и про несекурность алгоритмов прочитают в новостях.

А те, кому пофиг - не должны страдать от технофашистов.

pekmop1024 ★★★★★
()

Я за бан. Только потому что вместо «поломали», «подложили свинью» можно было написать что именно изменили, где, и как исправить ситуацию без даунгрейда.

tommy ★★★★★
()
Последнее исправление: tommy (всего исправлений: 1)
Ответ на: комментарий от t184256

Внимательно прочитай или попроси человека, знающего язык, перевести тебе фразу «secure by default».

Потому что ты явно не понимаешь, что она ничего не говорит об отламывании обратной совместимости.

pekmop1024 ★★★★★
()
Ответ на: комментарий от t184256

А ничо, что у людей поотваливались соединения из-за того, что на сервере принудительно требуется сжатие? Делать что? У меня рабочий впн тоже требует сжатия, но я, слава ЛММ, не пользую федору.

Протон тоже использует алгоритм, который федора назвала несекурным и отрубила.

PPP328 ★★★★★
()
Последнее исправление: PPP328 (всего исправлений: 1)
Ответ на: комментарий от PPP328

А ничо, что это произошло на границе мажорного релиза, где как раз и не гарантировано, что что-либо будет работать после апгрейда? Снимать логи, слать админу сервера, откатываться.

t184256 ★★★★★
()
Ответ на: комментарий от KivApple

В чём проблема то переключить настройку? Это делается быстрее создания треда на лоре.

Я об этом и написал. Но иногда хэши и шифры выпиливают под корень. И про это я тоже написал.

Ну а я если ты про настройку сервера - то это не всегда технически возможно, и не всегда оправданно, когда возможно (например, если сервером пользуются сто неграмотных человек, для того, чтобы котиков смотреть, а тебе ради переключения настройки придется каждому руками конфиг менять - котиков можно хоть через BF-CBC смотреть).

pekmop1024 ★★★★★
()
Последнее исправление: pekmop1024 (всего исправлений: 1)
Ответ на: комментарий от CrX

Может быть для того, чтобы не трогать то что работает.

Ну и поддержка старых осей у wireguard как то не очень. Open VPN позволяет сделать более гибкую настройку.

einhander ★★★★★
()
Последнее исправление: einhander (всего исправлений: 2)
Ответ на: комментарий от MagicMirror

И? Не всегда эти ваши игры в шпионов оправданы. Если мне нужен тоннель только для того чтобы открыть ворота в подъезде то плевать, пусть хоть без пароля пускает. Что остается делать, если там стоит какой-нибудь старый роутер или ОС, что не умеет в эти ваши новомодные алгоритмы?

Если у вас единственного на всю компанию не будет работать тоннель, то админы лично ради вас не будут ничего менять, сами поставили себе систему, которая безальтернативно запрещает вам использовать какой-то алгоритм - сами виноваты. В компаниях больше 100 человек поменять всем конфиги вообще не тривиальная задача, особенно учитывая что все доступы раздаются лично.

PPP328 ★★★★★
()
Ответ на: комментарий от CrX

openvpn вместо wireguard?

В реальной жизни нужно всё. Но не всё пока понимают в какое время живут и с какими проблемами приходится сталкиваться уже сейчас.

tommy ★★★★★
()
Ответ на: комментарий от Gonzo

я очень хорошо отношусь к дебиану, но это не панацея. недавно была ситуация, когда рабочий скрипт с арча не удалось запустить на дебиане из-за протухших пакетов. пришлось возиться, ставить из исходников. при всём уважении к дебиану, с которым у меня много лет опыта, это не совсем стабильность. точнее тёмная её сторона.

flant ★★★★
()
Ответ на: комментарий от t184256

Нельзя теперь вообще нигде очередной более несекьюрный SHA-1 отключить, и он теперь должен работать веки вечные?

Вот и пусть работает, кому нужна секурность, те и сами на сервере настроят, а клиент подхватит.

У меня так libreswan не работал(причем винда соединяется влёт), так оказалось, что эти наркоманы отключили на уровне сборки алгоритм DH2 как несекурный. А мне что делать, если у работодателя на сервере такие настройки? Пришлось пересобирать почти вручную(ебилд править, что бы я делал в какой-нибудь убунте - хз). Но 2 дня у меня эти пляски сожрали, т.к. по логам было не особо очевидно в чем проблема.

Loki13 ★★★★★
()
Ответ на: комментарий от Loki13

кому нужна секурность

всем

отключили на уровне сборки алгоритм DH2 как несекурный. А мне что делать, если у работодателя на сервере такие настройки?

Уведомить работодателя. И он, и его аудитор очень будут рады этому знанию.

t184256 ★★★★★
()
Ответ на: комментарий от t184256

Уведомить работодателя. И он, и его аудитор очень будут рады этому знанию

Ответ будет: В винде у всех работает - значит все в порядке, а ты со своим линуксом сам разбирайся. Да и не все с гостайной работают, чтобы была опасность от несекурного алгоритма(ага, тот самый неуловимый джо).

Loki13 ★★★★★
()
Ответ на: комментарий от flant

это не совсем стабильность

Охотно соглашусь. Поэтому я и ушел на арч и войд. Дебиан остался на одном старом серваке, где он свою функцию выполняет и слава богу.

Gonzo ★★★★★
()
Ответ на: комментарий от t184256

Покажи свой коммент своему работодателю, получи бесплатный тренинг по ИБ.

Я админу уже отправлял даже ссылку на коммит с комментарием о том что не безопасный алгоритм выпилен. Ответ был в духе, ну я сообщу наверх, если задачу поставят, то перенастрою. Вероятнее всего, что всем наплевать. Ну может в бэклог админам кинут и дойдет до этой таски дело через пару лет.

PS: Главный посыл, что у 99% юзеров с мака и венды всё работает, а что там красноглазики у себя придумали - никого особо не волнует.

Loki13 ★★★★★
()
Последнее исправление: Loki13 (всего исправлений: 1)

А когда починят-то? Надо как-то решать это недоразумение.

или теперь чОтким пацанам вечно ДАУНгрейдиться, пока у начальника на дебиане тоже не отпадёт?))

Clockwork ★★★★★
()
Ответ на: комментарий от PPP328

И? Не всегда эти ваши игры в шпионов оправданы.

Это не игры в шпионов, а обычная практика. 5 лет, в течение которых логи светились красными предупреждениями о последующем удалении опций - достаточно для приведения конфигов в актуальный вид и переписывания вредных советов инструкций бородатых годов.

В компаниях больше 100 человек … особенно учитывая что все доступы раздаются лично.

Это значит только то, что админы в этих компаниях некомпетентны или саботажники.

MagicMirror ★★
()