DokuWiki van Michelle

Gebruikershulpmiddelen

Site-hulpmiddelen

Spoor:
technische_naslag:sid:roer

Verschillen

Dit geeft de verschillen weer tussen de geselecteerde revisie en de huidige revisie van de pagina.

Link naar deze vergelijking

Beide kanten vorige revisieVorige revisie
Volgende revisie		Vorige revisie
technische_naslag:sid:roer [2025/05/26 11:44] michelletechnische_naslag:sid:roer [2025/06/01 20:11] (huidige) – [Lynis] michelle
Regel 16: Regel 16:
  
 ==== OpenVPN ==== ==== OpenVPN ====
 +
 +Hiervoor gebruik ik een handig scrippie: [[https://github.com/angristan/openvpn-install]]
 +Download het geval en maak het executable:
 +
 +<code bash>
 +curl -O https://raw.githubusercontent.com/angristan/openvpn-install/master/openvpn-install.sh
 +chmod +x openvpn-install.sh
 +</code>
 +
 +Voer het uit en gebruik het meest de defaults:
  
 <code bash> <code bash>
-root@roer:~/bin./ubuntu-22.04-lts-vpn-server.sh +michelle@roer:~/bin$ sudo ./openvpn-install.sh 
 Welcome to the OpenVPN installer! Welcome to the OpenVPN installer!
 The git repository is available at: https://github.com/angristan/openvpn-install The git repository is available at: https://github.com/angristan/openvpn-install
  
 I need to ask you a few questions before starting the setup. I need to ask you a few questions before starting the setup.
-You can leave the default options and just press enter if you are ok with them.+You can leave the default options and just press enter if you are okay with them.
  
 I need to know the IPv4 address of the network interface you want OpenVPN listening to. I need to know the IPv4 address of the network interface you want OpenVPN listening to.
Regel 37: Regel 47:
 Your host appears to have IPv6 connectivity. Your host appears to have IPv6 connectivity.
  
-Do you want to enable IPv6 support (NAT)? [y/n]: y+Do you want to enable IPv6 support (NAT)? [y/n]: n
  
 What port do you want OpenVPN to listen to? What port do you want OpenVPN to listen to?
Regel 72: Regel 82:
 Do you want to customize encryption settings? Do you want to customize encryption settings?
 Unless you know what you're doing, you should stick with the default parameters provided by the script. Unless you know what you're doing, you should stick with the default parameters provided by the script.
-Note that whatever you choose, all the choices presented in the script are safe(Unlike OpenVPN's defaults)+Note that whatever you choose, all the choices presented in the script are safe (unlike OpenVPN's defaults).
 See https://github.com/angristan/openvpn-install#security-and-encryption to learn more. See https://github.com/angristan/openvpn-install#security-and-encryption to learn more.
  
Regel 80: Regel 90:
 You will be able to generate a client at the end of the installation. You will be able to generate a client at the end of the installation.
 Press any key to continue... Press any key to continue...
-Ophalen:1 http://security.debian.org/debian-security bookworm-security InRelease [48,0 kB] +Geraakt:1 http://security.debian.org/debian-security bookworm-security InRelease 
-Geraakt:2 http://ftp.nl.debian.org/debian bookworm InRelease                                                +Geraakt:2 http://ftp.nl.debian.org/debian bookworm InRelease
 Ophalen:3 http://ftp.nl.debian.org/debian bookworm-updates InRelease [55,4 kB] Ophalen:3 http://ftp.nl.debian.org/debian bookworm-updates InRelease [55,4 kB]
-103 kB opgehaald in 0s (287 kB/s)   +55,4 kB opgehaald in 0s (139 kB/s)  
 Pakketlijsten worden ingelezen... Klaar Pakketlijsten worden ingelezen... Klaar
 Pakketlijsten worden ingelezen... Klaar Pakketlijsten worden ingelezen... Klaar
Regel 90: Regel 100:
 ca-certificates is reeds de nieuwste versie (20230311). ca-certificates is reeds de nieuwste versie (20230311).
 gnupg is reeds de nieuwste versie (2.2.40-1.1). gnupg is reeds de nieuwste versie (2.2.40-1.1).
-gnupg staat ingesteld op handmatig geïnstalleerd. 
 0 opgewaardeerd, 0 nieuw geïnstalleerd, 0 te verwijderen en 0 niet opgewaardeerd. 0 opgewaardeerd, 0 nieuw geïnstalleerd, 0 te verwijderen en 0 niet opgewaardeerd.
 Pakketlijsten worden ingelezen... Klaar Pakketlijsten worden ingelezen... Klaar
 Boom van vereisten wordt opgebouwd... Klaar Boom van vereisten wordt opgebouwd... Klaar
 De statusinformatie wordt gelezen... Klaar  De statusinformatie wordt gelezen... Klaar 
 +openvpn is reeds de nieuwste versie (2.6.3-1+deb12u3).
 iptables is reeds de nieuwste versie (1.8.9-2). iptables is reeds de nieuwste versie (1.8.9-2).
-iptables staat ingesteld op handmatig geïnstalleerd. 
 openssl is reeds de nieuwste versie (3.0.16-1~deb12u1). openssl is reeds de nieuwste versie (3.0.16-1~deb12u1).
-openssl staat ingesteld op handmatig geïnstalleerd. 
 wget is reeds de nieuwste versie (1.21.3-1+deb12u1). wget is reeds de nieuwste versie (1.21.3-1+deb12u1).
 ca-certificates is reeds de nieuwste versie (20230311). ca-certificates is reeds de nieuwste versie (20230311).
 curl is reeds de nieuwste versie (7.88.1-10+deb12u12). curl is reeds de nieuwste versie (7.88.1-10+deb12u12).
-De volgende extra pakketten zullen geïnstalleerd worden: +0 opgewaardeerd, nieuw geïnstalleerd, 0 te verwijderen en 0 niet opgewaardeerd. 
-  easy-rsa libccid libnl-genl-3-200 libpcsclite1 libpkcs11-helper1 opensc opensc-pkcs11 pcscd +--2025-05-26 22:09:40--  https://github.com/OpenVPN/easy-rsa/releases/download/v3.1.2/EasyRSA-3.1.2.tgz
-Voorgestelde pakketten: +
-  pcmciautils resolvconf openvpn-dco-dkms openvpn-systemd-resolved +
-De volgende NIEUWE pakketten zullen geïnstalleerd worden: +
-  easy-rsa libccid libnl-genl-3-200 libpcsclite1 libpkcs11-helper1 opensc opensc-pkcs11 openvpn pcscd +
-0 opgewaardeerd, nieuw geïnstalleerd, 0 te verwijderen en 0 niet opgewaardeerd+
-Er moeten 2.575 kB aan archieven opgehaald worden. +
-Na deze bewerking zal er 7.776 kB extra schijfruimte gebruikt worden. +
-Ophalen:1 http://ftp.nl.debian.org/debian bookworm/main amd64 libccid amd64 1.5.2-1 [367 kB] +
-Ophalen:2 http://ftp.nl.debian.org/debian bookworm/main amd64 libpcsclite1 amd64 1.9.9-2 [49,7 kB] +
-Ophalen:3 http://ftp.nl.debian.org/debian bookworm/main amd64 pcscd amd64 1.9.9-2 [89,7 kB] +
-Ophalen:4 http://ftp.nl.debian.org/debian bookworm/main amd64 easy-rsa all 3.1.0-1 [54,8 kB] +
-Ophalen:5 http://ftp.nl.debian.org/debian bookworm/main amd64 libnl-genl-3-200 amd64 3.7.0-0.2+b1 [21,6 kB] +
-Ophalen:6 http://ftp.nl.debian.org/debian bookworm/main amd64 libpkcs11-helper1 amd64 1.29.0-1 [51,2 kB] +
-Ophalen:7 http://ftp.nl.debian.org/debian bookworm/main amd64 opensc-pkcs11 amd64 0.23.0-0.3+deb12u2 [917 kB] +
-Ophalen:8 http://ftp.nl.debian.org/debian bookworm/main amd64 opensc amd64 0.23.0-0.3+deb12u2 [372 kB] +
-Ophalen:9 http://ftp.nl.debian.org/debian bookworm/main amd64 openvpn amd64 2.6.3-1+deb12u3 [652 kB] +
-2.575 kB opgehaald in 0s (9.244 kB/s) +
-Voorconfigureren van pakketten ... +
-Voorheen niet geselecteerd pakket libccid wordt geselecteerd. +
-(Database wordt ingelezen ... 74274 bestanden en mappen momenteel geïnstalleerd.) +
-Uitpakken van .../0-libccid_1.5.2-1_amd64.deb wordt voorbereid... +
-Bezig met uitpakken van libccid (1.5.2-1) ... +
-Voorheen niet geselecteerd pakket libpcsclite1:amd64 wordt geselecteerd. +
-Uitpakken van .../1-libpcsclite1_1.9.9-2_amd64.deb wordt voorbereid... +
-Bezig met uitpakken van libpcsclite1:amd64 (1.9.9-2) ... +
-Voorheen niet geselecteerd pakket pcscd wordt geselecteerd. +
-Uitpakken van .../2-pcscd_1.9.9-2_amd64.deb wordt voorbereid... +
-Bezig met uitpakken van pcscd (1.9.9-2) ... +
-Voorheen niet geselecteerd pakket easy-rsa wordt geselecteerd. +
-Uitpakken van .../3-easy-rsa_3.1.0-1_all.deb wordt voorbereid... +
-Bezig met uitpakken van easy-rsa (3.1.0-1) ... +
-Voorheen niet geselecteerd pakket libnl-genl-3-200:amd64 wordt geselecteerd. +
-Uitpakken van .../4-libnl-genl-3-200_3.7.0-0.2+b1_amd64.deb wordt voorbereid... +
-Bezig met uitpakken van libnl-genl-3-200:amd64 (3.7.0-0.2+b1) ... +
-Voorheen niet geselecteerd pakket libpkcs11-helper1:amd64 wordt geselecteerd. +
-Uitpakken van .../5-libpkcs11-helper1_1.29.0-1_amd64.deb wordt voorbereid... +
-Bezig met uitpakken van libpkcs11-helper1:amd64 (1.29.0-1) ... +
-Voorheen niet geselecteerd pakket opensc-pkcs11:amd64 wordt geselecteerd. +
-Uitpakken van .../6-opensc-pkcs11_0.23.0-0.3+deb12u2_amd64.deb wordt voorbereid... +
-Bezig met uitpakken van opensc-pkcs11:amd64 (0.23.0-0.3+deb12u2) ... +
-Voorheen niet geselecteerd pakket opensc wordt geselecteerd. +
-Uitpakken van .../7-opensc_0.23.0-0.3+deb12u2_amd64.deb wordt voorbereid... +
-Bezig met uitpakken van opensc (0.23.0-0.3+deb12u2) ... +
-Voorheen niet geselecteerd pakket openvpn wordt geselecteerd. +
-Uitpakken van .../8-openvpn_2.6.3-1+deb12u3_amd64.deb wordt voorbereid... +
-Bezig met uitpakken van openvpn (2.6.3-1+deb12u3) ... +
-Instellen van libccid (1.5.2-1) ... +
-Instellen van libpkcs11-helper1:amd64 (1.29.0-1) ... +
-Instellen van opensc-pkcs11:amd64 (0.23.0-0.3+deb12u2) ... +
-Instellen van libpcsclite1:amd64 (1.9.9-2) ... +
-Instellen van libnl-genl-3-200:amd64 (3.7.0-0.2+b1) ... +
-Instellen van easy-rsa (3.1.0-1) ... +
-Instellen van openvpn (2.6.3-1+deb12u3) ... +
-Created symlink /etc/systemd/system/multi-user.target.wants/openvpn.service → /lib/systemd/system/openvpn.service. +
-Instellen van opensc (0.23.0-0.3+deb12u2) ... +
-Instellen van pcscd (1.9.9-2) ... +
-Created symlink /etc/systemd/system/sockets.target.wants/pcscd.socket → /lib/systemd/system/pcscd.socket. +
-pcscd.service is a disabled or a static unit, not starting it. +
-Bezig met afhandelen van triggers voor mailcap (3.70+nmu1) ... +
-Bezig met afhandelen van triggers voor libc-bin (2.36-9+deb12u10) ... +
-Bezig met afhandelen van triggers voor man-db (2.11.2-2) ... +
-Scanning processes...                                                                                                                                                                                                                        +
-Scanning processor microcode...                                                                                                                                                                                                              +
-Scanning linux images...                                                                                                                                                                                                                     +
- +
-The processor microcode seems to be up-to-date. +
- +
-No services need to be restarted. +
- +
-No containers need to be restarted. +
- +
-No user sessions are running outdated binaries. +
- +
-No VM guests are running outdated hypervisor (qemu) binaries on this host+
---2025-05-26 13:38:08--  https://github.com/OpenVPN/easy-rsa/releases/download/v3.1.2/EasyRSA-3.1.2.tgz+
 Herleiden van github.com (github.com)... 140.82.121.4 Herleiden van github.com (github.com)... 140.82.121.4
 Verbinding maken met github.com (github.com)|140.82.121.4|:443... verbonden. Verbinding maken met github.com (github.com)|140.82.121.4|:443... verbonden.
 HTTP-verzoek is verzonden; wachten op antwoord... 302 Found HTTP-verzoek is verzonden; wachten op antwoord... 302 Found
-Locatie: https://objects.githubusercontent.com/github-production-release-asset-2e65be/4519663/c2688102-7cd5-4fcc-b272-083d48dc4b4d?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=releaseassetproduction%2F20250526%2Fus-east-1%2Fs3%2Faws4_request&X-Amz-Date=20250526T113808Z&X-Amz-Expires=300&X-Amz-Signature=56754b42dc77d345fbf5a2f431d1a66ad2e6fd0eb342983428c5daa2a2081d89&X-Amz-SignedHeaders=host&response-content-disposition=attachment%3B%20filename%3DEasyRSA-3.1.2.tgz&response-content-type=application%2Foctet-stream [volgen...] +Locatie: https://objects.githubusercontent.com/github-production-release-asset-2e65be/4519663/c2688102-7cd5-4fcc-b272-083d48dc4b4d?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=releaseassetproduction%2F20250526%2Fus-east-1%2Fs3%2Faws4_request&X-Amz-Date=20250526T200941Z&X-Amz-Expires=300&X-Amz-Signature=2485ac5c7a4789394eb9bd7092f8622c6a59beb13bd29efc075083ec0373cd05&X-Amz-SignedHeaders=host&response-content-disposition=attachment%3B%20filename%3DEasyRSA-3.1.2.tgz&response-content-type=application%2Foctet-stream [volgen...] 
---2025-05-26 13:38:08--  https://objects.githubusercontent.com/github-production-release-asset-2e65be/4519663/c2688102-7cd5-4fcc-b272-083d48dc4b4d?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=releaseassetproduction%2F20250526%2Fus-east-1%2Fs3%2Faws4_request&X-Amz-Date=20250526T113808Z&X-Amz-Expires=300&X-Amz-Signature=56754b42dc77d345fbf5a2f431d1a66ad2e6fd0eb342983428c5daa2a2081d89&X-Amz-SignedHeaders=host&response-content-disposition=attachment%3B%20filename%3DEasyRSA-3.1.2.tgz&response-content-type=application%2Foctet-stream +--2025-05-26 22:09:41--  https://objects.githubusercontent.com/github-production-release-asset-2e65be/4519663/c2688102-7cd5-4fcc-b272-083d48dc4b4d?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=releaseassetproduction%2F20250526%2Fus-east-1%2Fs3%2Faws4_request&X-Amz-Date=20250526T200941Z&X-Amz-Expires=300&X-Amz-Signature=2485ac5c7a4789394eb9bd7092f8622c6a59beb13bd29efc075083ec0373cd05&X-Amz-SignedHeaders=host&response-content-disposition=attachment%3B%20filename%3DEasyRSA-3.1.2.tgz&response-content-type=application%2Foctet-stream 
-Herleiden van objects.githubusercontent.com (objects.githubusercontent.com)... 185.199.109.133, 185.199.110.133, 185.199.111.133, ... +Herleiden van objects.githubusercontent.com (objects.githubusercontent.com)... 185.199.110.133, 185.199.109.133, 185.199.111.133, ... 
-Verbinding maken met objects.githubusercontent.com (objects.githubusercontent.com)|185.199.109.133|:443... verbonden.+Verbinding maken met objects.githubusercontent.com (objects.githubusercontent.com)|185.199.110.133|:443... verbonden.
 HTTP-verzoek is verzonden; wachten op antwoord... 200 OK HTTP-verzoek is verzonden; wachten op antwoord... 200 OK
 Lengte: 68984 (67K) [application/octet-stream] Lengte: 68984 (67K) [application/octet-stream]
Regel 192: Regel 125:
 /root/easy-rsa.tgz                                         100%[========================================================================================================================================> 67,37K  --.-KB/   in 0,007s   /root/easy-rsa.tgz                                         100%[========================================================================================================================================> 67,37K  --.-KB/   in 0,007s  
  
-2025-05-26 13:38:08 (9,07 MB/s) - '‘/root/easy-rsa.tgz’' opgeslagen [68984/68984]+2025-05-26 22:09:41 (9,87 MB/s) - '‘/root/easy-rsa.tgz’' opgeslagen [68984/68984]
  
  
Regel 218: Regel 151:
   To silence this message move your 'vars' file to your PKI   To silence this message move your 'vars' file to your PKI
   or declare your 'vars' file with option: --vars=<FILE>   or declare your 'vars' file with option: --vars=<FILE>
-Using configuration from /etc/openvpn/easy-rsa/pki/76b20386/temp.e994fa7e+Using configuration from /etc/openvpn/easy-rsa/pki/7ba6cb44/temp.c2cc7acf
 ----- -----
  
Regel 239: Regel 172:
 ------ ------
 Keypair and certificate request completed. Your files are: Keypair and certificate request completed. Your files are:
-req: /etc/openvpn/easy-rsa/pki/reqs/server_0qKxcCwxJ128Et3H.req +req: /etc/openvpn/easy-rsa/pki/reqs/server_iNB2fzeo5oCSxH4c.req 
-key: /etc/openvpn/easy-rsa/pki/private/server_0qKxcCwxJ128Et3H.key +key: /etc/openvpn/easy-rsa/pki/private/server_iNB2fzeo5oCSxH4c.key 
-Using configuration from /etc/openvpn/easy-rsa/pki/87f87fc8/temp.6779c4b4+Using configuration from /etc/openvpn/easy-rsa/pki/0fd6f457/temp.608d26c2
 Check that the request matches the signature Check that the request matches the signature
 Signature ok Signature ok
 The Subject's Distinguished Name is as follows The Subject's Distinguished Name is as follows
-commonName            :ASN.1 12:'server_0qKxcCwxJ128Et3H+commonName            :ASN.1 12:'server_iNB2fzeo5oCSxH4c
-Certificate is to be certified until Aug 29 11:38:09 2027 GMT (825 days)+Certificate is to be certified until May 24 20:09:42 2035 GMT (3650 days)
  
 Write out database with 1 new entries Write out database with 1 new entries
Regel 254: Regel 187:
 ------ ------
 Certificate created at: Certificate created at:
-* /etc/openvpn/easy-rsa/pki/issued/server_0qKxcCwxJ128Et3H.crt+* /etc/openvpn/easy-rsa/pki/issued/server_iNB2fzeo5oCSxH4c.crt
  
 Notice Notice
 ------ ------
 Inline file created: Inline file created:
-* /etc/openvpn/easy-rsa/pki/inline/server_0qKxcCwxJ128Et3H.inline+* /etc/openvpn/easy-rsa/pki/inline/server_iNB2fzeo5oCSxH4c.inline
  
 * Using SSL: openssl OpenSSL 3.0.16 11 Feb 2025 (Library: OpenSSL 3.0.16 11 Feb 2025) * Using SSL: openssl OpenSSL 3.0.16 11 Feb 2025 (Library: OpenSSL 3.0.16 11 Feb 2025)
Regel 268: Regel 201:
   To silence this message move your 'vars' file to your PKI   To silence this message move your 'vars' file to your PKI
   or declare your 'vars' file with option: --vars=<FILE>   or declare your 'vars' file with option: --vars=<FILE>
-Using configuration from /etc/openvpn/easy-rsa/pki/81e7987e/temp.40b68fda+Using configuration from /etc/openvpn/easy-rsa/pki/1c28e610/temp.e551f6fb
  
 Notice Notice
Regel 275: Regel 208:
 CRL file: /etc/openvpn/easy-rsa/pki/crl.pem CRL file: /etc/openvpn/easy-rsa/pki/crl.pem
  
-2025-05-26 13:38:09 DEPRECATED OPTION: The option --secret is deprecated. +2025-05-26 22:09:42 DEPRECATED OPTION: The option --secret is deprecated. 
-2025-05-26 13:38:09 WARNING: Using --genkey --secret filename is DEPRECATED.  Use --genkey secret filename instead.+2025-05-26 22:09:42 WARNING: Using --genkey --secret filename is DEPRECATED.  Use --genkey secret filename instead.
 * Applying /usr/lib/sysctl.d/50-pid-max.conf ... * Applying /usr/lib/sysctl.d/50-pid-max.conf ...
 * Applying /etc/sysctl.d/99-openvpn.conf ... * Applying /etc/sysctl.d/99-openvpn.conf ...
Regel 284: Regel 217:
 kernel.pid_max = 4194304 kernel.pid_max = 4194304
 net.ipv4.ip_forward = 1 net.ipv4.ip_forward = 1
-net.ipv6.conf.all.forwarding = 1 
 fs.protected_fifos = 1 fs.protected_fifos = 1
 fs.protected_hardlinks = 1 fs.protected_hardlinks = 1
 fs.protected_regular = 2 fs.protected_regular = 2
 fs.protected_symlinks = 1 fs.protected_symlinks = 1
-Created symlink /etc/systemd/system/multi-user.target.wants/openvpn@server.service → /etc/systemd/system/openvpn@.service. 
-Created symlink /etc/systemd/system/multi-user.target.wants/iptables-openvpn.service → /etc/systemd/system/iptables-openvpn.service. 
  
 Tell me a name for the client. Tell me a name for the client.
Regel 316: Regel 246:
 req: /etc/openvpn/easy-rsa/pki/reqs/MichelleJanse.req req: /etc/openvpn/easy-rsa/pki/reqs/MichelleJanse.req
 key: /etc/openvpn/easy-rsa/pki/private/MichelleJanse.key key: /etc/openvpn/easy-rsa/pki/private/MichelleJanse.key
-Using configuration from /etc/openvpn/easy-rsa/pki/8d0039fd/temp.83d1eeb1+Using configuration from /etc/openvpn/easy-rsa/pki/10e4606a/temp.942d459c
 Check that the request matches the signature Check that the request matches the signature
 Signature ok Signature ok
 The Subject's Distinguished Name is as follows The Subject's Distinguished Name is as follows
 commonName            :ASN.1 12:'MichelleJanse' commonName            :ASN.1 12:'MichelleJanse'
-Certificate is to be certified until Aug 29 11:38:16 2027 GMT (825 days)+Certificate is to be certified until May 24 20:09:49 2035 GMT (3650 days)
  
 Write out database with 1 new entries Write out database with 1 new entries
Regel 337: Regel 267:
 Client MichelleJanse added. Client MichelleJanse added.
  
-The configuration file has been written to /root/MichelleJanse.ovpn.+The configuration file has been written to /home/michelle/MichelleJanse.ovpn.
 Download the .ovpn file and import it in your OpenVPN client. Download the .ovpn file and import it in your OpenVPN client.
 </code> </code>
  
-Nog wat eigen aanpassingen:+Vervolgens moet ik op mijn **Fritz!Box** wel deze **poort openen** natuurlijk! 
 +Daarna nog wat eigen aanpassingen gedaan aan de server config:
  
 <code bash> <code bash>
-root@roer:~egrep '^server|^push|^\#\#' /etc/openvpn/server.conf +michelle@roer:~$ sudo egrep '^server|^push|^\#\#' /etc/openvpn/server.conf
 ##server 10.8.0.0 255.255.255.0 ##server 10.8.0.0 255.255.255.0
 server 192.168.3.0 255.255.255.0 server 192.168.3.0 255.255.255.0
 push "dhcp-option DNS 192.168.1.1" push "dhcp-option DNS 192.168.1.1"
 push "route 192.168.1.0 255.255.255.0" push "route 192.168.1.0 255.255.255.0"
-push "dhcp-option DOMAIN vlet.net" 
-push "dhcp-option DOMAIN-SEARCH vlet.net" 
 ##push "redirect-gateway def1 bypass-dhcp" ##push "redirect-gateway def1 bypass-dhcp"
-server-ipv6 fd42:42:42:42::/112 
-push tun-ipv6 
-push "route-ipv6 2000::/3" 
-##push "redirect-gateway ipv6" 
 </code> </code>
 +
 +En klaar is Kees. Oh nee: **klaar is de oudste dochter van Kees!!**
 +
 +===== Hardening =====
 +
 +Nadat de functionaliteit erin zit mag er ook nog wel aan de veiligheid gedaan worden. Want Debian GNU/Linux is out-of-the-box wel aardig in elkaar gestoken maar het kan nog altijd beter!
 +
 +==== Lynis ====
 +
 +Een tooltje om de hardening van het systeem te scannen en met adviezen te komen. Geen daemon maar een check van mijn systeem: kan er qua veiligheid nog wat verbeterd worden? De versie in Debian GNU/Linux loopt achter dus een aparte repo toegevoegd, zoals beschreven op [[https://packages.cisofy.com/community/]]
 +
 +<code bash>
 +root@roer:~# curl -fsSL https://packages.cisofy.com/keys/cisofy-software-public.key | sudo gpg --dearmor -o /etc/apt/trusted.gpg.d/cisofy-software-public.gpg
 +root@roer:~# echo "deb [arch=amd64,arm64 signed-by=/etc/apt/trusted.gpg.d/cisofy-software-public.gpg] https://packages.cisofy.com/community/lynis/deb/ stable main" | sudo tee /etc/apt/sources.list.d/cisofy-lynis.list
 +deb [arch=amd64,arm64 signed-by=/etc/apt/trusted.gpg.d/cisofy-software-public.gpg] https://packages.cisofy.com/community/lynis/deb/ stable main
 +</code>
 +
 +Daarna een scan draaien:
 +
 +<code bash>
 +root@roer:~# sudo lynis audit system
 +</code>
 +
 +Een malware scanner had ik nog niet, dus.....
 +
 +=== Extra packages ===
 +
 +<code bash>
 +root@roer:~# sudo apt install rkhunter apt-show-versions debsums
 +</code>
 +
 +=== Permissies ===
 +
 +<code bash>
 +sudo chmod o-rwx /home/*
 +</code>
 +
 +en in <code bash>/etc/login.defs</code> de UMASK op 027 gezet.
 +
 +=== Blacklist rare modules ===
 +
 +<code bash>
 +michelle@lummel:~$ sudo cat /etc/modprobe.d/lynis-blacklist.conf
 +install dccp /bin/true
 +install sctp /bin/true
 +install rds /bin/true
 +install tipc /bin/true
 +</code>
 +
 +=== Purge restanten van packages ===
 +
 +Er slingeren soms nog configuratie-bestanden en andere cruft rond van packages die allang niet meer op het systeem staan. Die herken je in de output van `dpkg -l` doordat ze beginnen met rc. Mik deze weg:
 +
 +<code bash>
 +michelle@roer:~$ dpkg -l | grep ^rc | awk '{ print $2 }' | xargs echo " "
 +  libpython3.10-minimal:amd64 linux-image-6.0.0-5-amd64 linux-image-6.0.0-6-amd64 linux-image-6.1.0-1-amd64 linux-image-6.1.0-10-amd64 linux-image-6.1.0-11-amd64 linux-image-6.1.0-12-amd64 linux-image-6.1.0-13-amd64 linux-image-6.1.0-14-amd64 linux-image-6.1.0-15-amd64 linux-image-6.1.0-16-amd64 linux-image-6.1.0-17-amd64 linux-image-6.1.0-18-amd64 linux-image-6.1.0-2-amd64 linux-image-6.1.0-20-amd64 linux-image-6.1.0-21-amd64 linux-image-6.1.0-22-amd64 linux-image-6.1.0-23-amd64 linux-image-6.1.0-25-amd64 linux-image-6.1.0-26-amd64 linux-image-6.1.0-27-amd64 linux-image-6.1.0-28-amd64 linux-image-6.1.0-29-amd64 linux-image-6.1.0-3-amd64 linux-image-6.1.0-30-amd64 linux-image-6.1.0-31-amd64 linux-image-6.1.0-32-amd64 linux-image-6.1.0-33-amd64 linux-image-6.1.0-34-amd64 linux-image-6.1.0-5-amd64 linux-image-6.1.0-6-amd64 linux-image-6.1.0-7-amd64 linux-image-6.1.0-9-amd64 python3.10-minimal
 +  </code>
 +==== AppArmor ====
 +
 +** ToDo **
technische_naslag/sid/roer.1748259855.txt.gz · Laatst gewijzigd: 2025/05/26 11:44 door michelle