Как я раньше до этого не додумался...

а еще я ставлю своим поциентам клизьму через нос, так безопаснее и на насморк они после этого не жалуются

Я практикую. Но не из-за безопасности, а потому что мой провайдер не предоставляет белых ip на моем тарифном плане. Возможно только пробросить 3 порта во внешку, а этого недостаточно для всех моих нужд.

разве запретить доступ по паролю не проще?

Пароль можно подобрать.
А так никто даже догадываться не будет что что-то есть.

разве запретить доступ по паролю не проще?

да, а еще поставить словарный пароль, разрешить доступ руту и до кучи повесить ssh на умолчательный 22 порт. Интересно, сколько такая машина продержится?

на самом деле вполне достаточно перевесить ssh на другой порт и отключить рута. Можно еще поставить denyhosts. Ну или доступ по сертификатам.

>разве запретить доступ по паролю не проще?

Помоему смысл предложения так ни до кого и не дошел, лор не торт :)

> Подключаться к этой локалке через openvpn

и открывать кулхацкеру доступ ко всей инфраструктуре. секурно, ага.

> Пароль можно подобрать.

man авторизация по ключам.

и открывать кулхацкеру доступ ко всей инфраструктуре. секурно, ага.

а если ssh взломают (с рутом), то это будет доступ не ко всей инфраструктуре? ;)

> а если ssh взломают (с рутом), то это будет доступ не ко всей инфраструктуре? ;)

защитить одну машину намного проще чем все в локалке, не? копай в сторону виртмашин, разделения привелегий и опционально - honeypot.

защитить одну машину намного проще чем все в локалке, не?

vpn тоже можно ограничить одной машиной, нет?

> vpn тоже можно ограничить одной машиной, нет?

ты же хотел вроде через vpn получить доступ к локалке? не, ну можно конечно за шлюзом с vpn поставить еще один шлюз с ограничителем..

а есть ли хацкеры которые ломали когда либо openvpn? :) openssl cертификатик подобрать это огого какое дело.

> а есть ли хацкеры которые ломали когда либо openvpn?

ну можно тупо банально сбрутфорсить/спереть пароль. а можно воспользоваться уязвимостями любого сервиса, торчащего наружу.
ну и еще вот посмотри - http://www.google.com/search?q=openvpn+vulnerability

> ну можно тупо банально сбрутфорсить/спереть пароль.

авторизация у openvpn происходит по установленому TLS соединению с использованием клиентского SSL сертификата. Незнаю каким нужно быть дауном, что бы потерять сертификат и об этом не знать. Тут ничего не сбрутфорсишь.

а можно воспользоваться уязвимостями любого сервиса, торчащего наружу.

для этого ведь и ставится openvpn, что бы сервисы наружу не торчали?

Насчет уязвимостей, я так и говорил с увереностью, потому что последние серьезные уязвимости были закрыты года 2 назад. А касательно уязвимости в части TLS так вообще такого не было, ну кроме кривых ключей дебиана.

А уязвимости которые можно заэксплойтить после TLS авторизации уже совсем не интересны потому что я написал в первом абзаце.

antroX> Пароль можно подобрать.

Можно. Но можно ещё сделать логин по ssh через ключ.

Да, iptables на свалку.

Только так и использую: openVPN с сертификатами.

А еще можно сделать еще безопаснее. Нанять кучку таджиков, которые будут бегать от тебя до сервера с флешкой и вбивать из заранее написанных тобой в блокнотике команд нужные последовательности с твоих слов. Вообще никто не догадается.

Гланды через жопу.

я так практикую. Все сервисы - через впн, интернет - тоже через впн (и через биллинг с ограничением по скачанным мегабайтам). Только не OpenVPN, а PPTPD для совместимости с Windows.

omg... Вендовый openvpn клиент требует .NET 3.5. facepalm

я думаю это не опенвпн, а какой-нить мега фронтенд.

неуловимые Джо