openvpn поломали

Можно сломать сейчас. Можно полгода дать тебе юзать несекьюрные настройки, и отложить твой нытик-тред на полгода. Можно вообще не обновлять и сидеть без фиксов безопасности, коюю дурость ты тут приписываешь остальным, никто тебя обновляться не заставлял.

Какой из этих вариантов тебе милей?

Те, кто жертвует стабильностью ради безопасности, не заслуживает ни того, ни другого. Бенджамин Франклин.

Все, кто ели огурцы, умерли или умрут в будущем. Неизвестный статистик.

Главная проблема цитат в интернете заключается в том, что им верят. В.И. Ленин.

верно и обратное.

Там какие-то треды неосиляторов сконфигурить клиент. Дайнгрейды вместо пары параметров, серьезно?

Но, конечно, любителей отключать вредные по мнению любителей протоколы и хэши в шифровании - ждет отдельная шипастая сковородка в аду криптографии.

Но, конечно, любителей отключать вредные по мнению любителей протоколы и хэши в шифровании - ждет отдельная шипастая сковородка в аду криптографии.

Раскрой мысль. Нельзя теперь вообще нигде очередной более несекьюрный SHA-1 отключить, и он теперь должен работать веки вечные? или можно отключить, но профессионалу?

Раскрой мысль. Нельзя теперь вообще нигде очередной более несекьюрный SHA-1 отключить, и он теперь должен работать веки вечные? или можно отключить, но профессионалу?

Оно должно орать везде, что оно несекурное, но работать. Ибо много где секурность такого уровня вообще не нужна.

А по сути некуда орать ни библиотекам общего назначения, ни даже сабжевому openvpn’у. Пока оно работает, ТСу начхать, он же в логи не смотрит. Так что это вариант

Можно полгода дать тебе юзать несекьюрные настройки, и отложить твой нытик-тред на полгода.

Вариант «не ломать то, что работает» и «не пытаться быть умнее пользователей» (за что я терпеть не могу Apple и GNOME) не рассматривается?

Те, кому это важно/нужно - и в логи посмотрят, и про несекурность алгоритмов прочитают в новостях.

А те, кому пофиг - не должны страдать от технофашистов.

Не рассматривается. Secure by default никто не отменял, а если кто и отменял, то RIP этот вендор.

Я за бан. Только потому что вместо «поломали», «подложили свинью» можно было написать что именно изменили, где, и как исправить ситуацию без даунгрейда.

Одна ошибка - и ты ошибся. Джейсон Стетхэм

Внимательно прочитай или попроси человека, знающего язык, перевести тебе фразу «secure by default».

Потому что ты явно не понимаешь, что она ничего не говорит об отламывании обратной совместимости.

https://imgflip.com/i/7o6nm5

А ничо, что у людей поотваливались соединения из-за того, что на сервере принудительно требуется сжатие? Делать что? У меня рабочий впн тоже требует сжатия, но я, слава ЛММ, не пользую федору.

Протон тоже использует алгоритм, который федора назвала несекурным и отрубила.

А ничо, что это произошло на границе мажорного релиза, где как раз и не гарантировано, что что-либо будет работать после апгрейда? Снимать логи, слать админу сервера, откатываться.

Протон тоже использует алгоритм, который федора назвала несекурным и отрубила.

О, какой?

Вторая ссылка в первом сообщении. Там же рассказывают, что роутер может предоставлять VPN, через который теперь в принципе нельзя соединиться под федорой.

зачем

это же спо
возьми да поправь

А.

Кто-то до сих пор использует openvpn вместо wireguard? Зачем?

В чём проблема то переключить настройку? Это делается быстрее создания треда на лоре.

В чём проблема то переключить настройку? Это делается быстрее создания треда на лоре.

Я об этом и написал. Но иногда хэши и шифры выпиливают под корень. И про это я тоже написал.

Ну а я если ты про настройку сервера - то это не всегда технически возможно, и не всегда оправданно, когда возможно (например, если сервером пользуются сто неграмотных человек, для того, чтобы котиков смотреть, а тебе ради переключения настройки придется каждому руками конфиг менять - котиков можно хоть через BF-CBC смотреть).

на серверах

Networkmanager

Проорал.

Как обычно, виноват apparmor?

У меня на Arch, Void и Debian все работает нормально. Хочется стабильности - юзай Debian.

Может быть для того, чтобы не трогать то что работает.

Ну и поддержка старых осей у wireguard как то не очень. Open VPN позволяет сделать более гибкую настройку.

Потому что можно.

А если бы он требовал пароли плейнтекстом? В дупу такой сервер.

И? Не всегда эти ваши игры в шпионов оправданы. Если мне нужен тоннель только для того чтобы открыть ворота в подъезде то плевать, пусть хоть без пароля пускает. Что остается делать, если там стоит какой-нибудь старый роутер или ОС, что не умеет в эти ваши новомодные алгоритмы?

Если у вас единственного на всю компанию не будет работать тоннель, то админы лично ради вас не будут ничего менять, сами поставили себе систему, которая безальтернативно запрещает вам использовать какой-то алгоритм - сами виноваты. В компаниях больше 100 человек поменять всем конфиги вообще не тривиальная задача, особенно учитывая что все доступы раздаются лично.

openvpn вместо wireguard?

В реальной жизни нужно всё. Но не всё пока понимают в какое время живут и с какими проблемами приходится сталкиваться уже сейчас.

В чём преимущества Wireguard по сравнению с OpenVPN, в котором начиная с версии 2.6.0 включён модуль ядра ovpn-dco?

я очень хорошо отношусь к дебиану, но это не панацея. недавно была ситуация, когда рабочий скрипт с арча не удалось запустить на дебиане из-за протухших пакетов. пришлось возиться, ставить из исходников. при всём уважении к дебиану, с которым у меня много лет опыта, это не совсем стабильность. точнее тёмная её сторона.

Нельзя теперь вообще нигде очередной более несекьюрный SHA-1 отключить, и он теперь должен работать веки вечные?

Вот и пусть работает, кому нужна секурность, те и сами на сервере настроят, а клиент подхватит.

У меня так libreswan не работал(причем винда соединяется влёт), так оказалось, что эти наркоманы отключили на уровне сборки алгоритм DH2 как несекурный. А мне что делать, если у работодателя на сервере такие настройки? Пришлось пересобирать почти вручную(ебилд править, что бы я делал в какой-нибудь убунте - хз). Но 2 дня у меня эти пляски сожрали, т.к. по логам было не особо очевидно в чем проблема.

кому нужна секурность

всем

отключили на уровне сборки алгоритм DH2 как несекурный. А мне что делать, если у работодателя на сервере такие настройки?

Уведомить работодателя. И он, и его аудитор очень будут рады этому знанию.

Уведомить работодателя. И он, и его аудитор очень будут рады этому знанию

Ответ будет: В винде у всех работает - значит все в порядке, а ты со своим линуксом сам разбирайся. Да и не все с гостайной работают, чтобы была опасность от несекурного алгоритма(ага, тот самый неуловимый джо).

это не совсем стабильность

Охотно соглашусь. Поэтому я и ушел на арч и войд. Дебиан остался на одном старом серваке, где он свою функцию выполняет и слава богу.

Либо гостайна, либо безопасность и не нужна вовсе? Покажи свой коммент своему работодателю, получи бесплатный тренинг по ИБ.

Покажи свой коммент своему работодателю, получи бесплатный тренинг по ИБ.

Я админу уже отправлял даже ссылку на коммит с комментарием о том что не безопасный алгоритм выпилен. Ответ был в духе, ну я сообщу наверх, если задачу поставят, то перенастрою. Вероятнее всего, что всем наплевать. Ну может в бэклог админам кинут и дойдет до этой таски дело через пару лет.

PS: Главный посыл, что у 99% юзеров с мака и венды всё работает, а что там красноглазики у себя придумали - никого особо не волнует.

А когда починят-то? Надо как-то решать это недоразумение.

или теперь чОтким пацанам вечно ДАУНгрейдиться, пока у начальника на дебиане тоже не отпадёт?))

И? Не всегда эти ваши игры в шпионов оправданы.

Это не игры в шпионов, а обычная практика. 5 лет, в течение которых логи светились красными предупреждениями о последующем удалении опций - достаточно для приведения конфигов в актуальный вид и переписывания вредных советов инструкций бородатых годов.

В компаниях больше 100 человек … особенно учитывая что все доступы раздаются лично.

Это значит только то, что админы в этих компаниях некомпетентны или саботажники.