From: "Nikolay A. Fetisov" <naf@naf.net.ru>
To: sysadmins@lists.altlinux.org
Subject: Re: [Sysadmins] Безопасность openvpn
Date: Mon, 2 Mar 2009 10:20:57 +0300
Message-ID: <20090302102057.772cfb45@v3405.naf.net.ru> (raw)
In-Reply-To: <200903011757.17637.mak@complife.ru>
On Sun, 1 Mar 2009 17:57:17 +0300
Michael A. Kangin wrote:
> On Sunday 01 March 2009 17:25:45 Nikolay A. Fetisov wrote:
>
> > > Насколько безопасна работа openvpn без чрута и от рута, если оно гоняется
> > > в своём собственном VE?
> > ... никто не мешает как разрешить запускать iptables и
> > 'ip route' из скрипта через sudo, так и втащить их во внутрь chroot'а.
>
> ... Страшит ручной труд по втаскиванию и трудности с
> поддержкой...
Как вариант - вытащить из chroot и оставить работать под
непривилегированным пользователем.
> ....
> Есть пользователи, есть филиалы. Моя первоначальная мысль была - не
> заморачиваться с дополнительными каналами, и принимать тех и других одним и
> тем же каналом демона, разруливая особенности клиентскими файлами.
Зависит от числа как пользователей, так и филиалов. И от того,
насколько различаются требования к этим двум группам соединений.
Например, филиалы должны иметь возможность общаться друг с другом через
сервер OpenVPN (т.е. будет ли включён флаг client-to-client)? Если да,
то и пользователи тоже смогут видеть друг друга - что, скорее всего,
нежелательно.
> Пользователи могут коннектиться потенциально с разных машин, для них-то и
> делается duplicate-cn.
Зачем? dublicate-cn разрешает несколько одновременных соединений с
одним и и тем же сертификатом. Или пользователи могут _одновременно_
работать с разных машин?
И не проще ли тем пользователям, которые действительно имеют несколько
компьютеров, выдать несколько сертификатов?
> ...
> Или ... лучше всё же развести их по каналам?
Зависит от числа пользователей и от того, откуда они подсоединяются.
Как правило, филиалов немного, их число меняется редко - явные
кандидаты на получение фиксированных IP.
Пользователи же характерны тем, что выданные им права на подключения к
серверу OpenVPN может потребоваться отозвать.
Если пользователей немного - то им вполне можно назначать фиксированные
IP через персональные файлы конфигурации в ccd/ . Дополнительно можно
включить на сервере ccd-exclusive и тем самым запретить соединения от
тех клиентов, для которых файлов конфигурации не существует. После
этого, если надо запретить соединение от какого-либо пользователя,
достаточно удалить его файл конфигурации.
Если пользователей много - то может оказаться проще не создавать для
каждого из них свой файл конфигурации, а отзывать сертификаты
средствами SSL, через CRL. Для избранных пользователей при этом можно
оставить и индивидуальные файлы настроек, они вполне уживаются с
динамическим распределением адресов.
Кроме того, возможно вообще потребуется отдельно поднимать сервер
OpenVPN на 443/tcp, специально для тех, кто сидит за прокси-серверами.
--
С уважением,
Николай Фетисов
prev parent reply other threads:[~2009-03-02 7:20 UTC|newest]
Thread overview: 4+ messages / expand[flat|nested] mbox.gz Atom feed top
2009-03-01 10:23 Michael A. Kangin
2009-03-01 14:25 ` Nikolay A. Fetisov
2009-03-01 14:57 ` Michael A. Kangin
2009-03-02 7:20 ` Nikolay A. Fetisov [this message]
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20090302102057.772cfb45@v3405.naf.net.ru \
--to=naf@naf.net.ru \
--cc=sysadmins@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git