ALT Linux Sisyphus discussions
 help / color / mirror / Atom feed
* [sisyphus] OpenVPN: таймаут для пароля на сертификат
@ 2008-10-11 12:15 Michael A. Kangin
  2008-10-11 12:48 ` Nikolay A. Fetisov
  2008-10-11 12:50 ` Sergey Lebedev
  0 siblings, 2 replies; 9+ messages in thread
From: Michael A. Kangin @ 2008-10-11 12:15 UTC (permalink / raw)
  To: ALT Linux Sisyphus discussions

Добрый день.

Обнаружил, что с какого-то времени на машине при старте системы не поднимается 
куча сервисов, хотя в chkconfig они числятся в on. Вручную стартовали.
Раскопки показали, что виновником выступает недавнопоставленный openvpn - его 
сервис запрашивает пароль на сертификат и висит так вечно, не давая запустить 
все более поздние сервисы. А запрос пароля замаскирован уже успевшими 
стартовать иксами.

Такое поведение нормальным считается, или на что-нибудь багу развесить?
Нету ли какого-нибудь нормального обеспечения таймаута на спрос пароля? Сходу 
ничего не нагуглилось.

-- 
wbr, Michael A. Kangin
OIOS, RSMU

^ permalink raw reply	[flat|nested] 9+ messages in thread

* Re: [sisyphus] OpenVPN: таймаут для пароля на сертификат
  2008-10-11 12:15 [sisyphus] OpenVPN: таймаут для пароля на сертификат Michael A. Kangin
@ 2008-10-11 12:48 ` Nikolay A. Fetisov
  2008-10-11 13:05   ` Michael A. Kangin
  2008-10-11 12:50 ` Sergey Lebedev
  1 sibling, 1 reply; 9+ messages in thread
From: Nikolay A. Fetisov @ 2008-10-11 12:48 UTC (permalink / raw)
  To: sisyphus

[-- Attachment #1: Type: text/plain, Size: 1511 bytes --]

On Sat, 11 Oct 2008 16:15:52 +0400
Michael A. Kangin wrote:

> Обнаружил, что с какого-то времени на машине при старте системы не поднимается 
> куча сервисов, хотя в chkconfig они числятся в on. Вручную стартовали.
> Раскопки показали, что виновником выступает недавнопоставленный openvpn - его 
> сервис запрашивает пароль на сертификат и висит так вечно, не давая запустить 
> все более поздние сервисы.

Если ключ сделан с паролем - то при попытке загрузить ключ этот пароль
запрашивается. Это относится не только к OpenVPN, но и к другим демонам,
использующим сертификаты SSL.

> А запрос пароля замаскирован уже успевшими 
> стартовать иксами.

Да, dm стартует раньше, позволяя оставшимся сервисам запускаться
в фоне параллельно запуску X-сервера.

> Такое поведение нормальным считается, или на что-нибудь багу развесить?

Вполне стандартное поведение. Сделайте ключ с паролем для, скажем,
Apache, и посмотрите - будет то же самое.

> Нету ли какого-нибудь нормального обеспечения таймаута на спрос пароля? Сходу 
> ничего не нагуглилось.

Нет. Смысла большого нет. Если есть ключ с паролем - то откуда-то его
получить надо. Если хотите защитить ключ паролем и вводить этот
пароль интерактивно - запускайте OpenVPN для соответствующего канала
вручную, отключив его автоматический запуск. Если хотите, наоборот,
полностью автоматического запуска канала - то или делайте ключ без
паролей, или смотрите в сторону параметра --askpass. 

-- 
С уважением,	
Николай Фетисов

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

^ permalink raw reply	[flat|nested] 9+ messages in thread

* Re: [sisyphus] OpenVPN: таймаут для пароля на сертификат
  2008-10-11 12:15 [sisyphus] OpenVPN: таймаут для пароля на сертификат Michael A. Kangin
  2008-10-11 12:48 ` Nikolay A. Fetisov
@ 2008-10-11 12:50 ` Sergey Lebedev
  2008-10-11 12:59   ` Michael A. Kangin
  1 sibling, 1 reply; 9+ messages in thread
From: Sergey Lebedev @ 2008-10-11 12:50 UTC (permalink / raw)
  To: ALT Linux Sisyphus discussions

В Сбт, 11/10/2008 в 16:15 +0400, Michael A. Kangin пишет:
> Добрый день.
> 
> Обнаружил, что с какого-то времени на машине при старте системы не поднимается 
> куча сервисов, хотя в chkconfig они числятся в on. Вручную стартовали.
> Раскопки показали, что виновником выступает недавнопоставленный openvpn - его 
> сервис запрашивает пароль на сертификат и висит так вечно, не давая запустить 
> все более поздние сервисы. А запрос пароля замаскирован уже успевшими 
> стартовать иксами.
> 
> Такое поведение нормальным считается, или на что-нибудь багу развесить?
> Нету ли какого-нибудь нормального обеспечения таймаута на спрос пароля? Сходу 
> ничего не нагуглилось.

В состав openvpn входит
файл /usr/share/doc/openvpn-2.0.9/README.ALT.utf-8
в нём написано всё что вас интересует. Поиск по слову пароль.



^ permalink raw reply	[flat|nested] 9+ messages in thread

* Re: [sisyphus] OpenVPN: таймаут для пароля на сертификат
  2008-10-11 12:50 ` Sergey Lebedev
@ 2008-10-11 12:59   ` Michael A. Kangin
  2008-10-14 17:06     ` Mike Almateia
  0 siblings, 1 reply; 9+ messages in thread
From: Michael A. Kangin @ 2008-10-11 12:59 UTC (permalink / raw)
  To: lebedev.v.sergey, ALT Linux Sisyphus discussions

On 11 октября 2008 Sergey Lebedev wrote:

> > Обнаружил, что с какого-то времени на машине при старте системы не
> > поднимается куча сервисов, хотя в chkconfig они числятся в on. Вручную
> > стартовали. Раскопки показали, что виновником выступает
> > недавнопоставленный openvpn - его сервис запрашивает пароль на сертификат
> > и висит так вечно, не давая запустить все более поздние сервисы. А запрос
> > пароля замаскирован уже успевшими стартовать иксами.
> >
> > Такое поведение нормальным считается, или на что-нибудь багу развесить?
> > Нету ли какого-нибудь нормального обеспечения таймаута на спрос пароля?
> > Сходу ничего не нагуглилось.
>
> В состав openvpn входит
> файл /usr/share/doc/openvpn-2.0.9/README.ALT.utf-8
> в нём написано всё что вас интересует. Поиск по слову пароль.

"На ключ к
сертификату клиента можно дополнительно наложить пароль, тогда
при соединении он будет запрашиваться."

Это-то ясно, что будет запрашиваться. Я про то, что это запрашивание, по сути, 
чуть пол-системы не заморозило (sshd не стартовал). Мне вот эта вот ситуация 
не нравится.


-- 
wbr, Michael A. Kangin
OIOS, RSMU

^ permalink raw reply	[flat|nested] 9+ messages in thread

* Re: [sisyphus] OpenVPN: таймаут для пароля на сертификат
  2008-10-11 12:48 ` Nikolay A. Fetisov
@ 2008-10-11 13:05   ` Michael A. Kangin
  2008-10-11 13:32     ` Nikolay A. Fetisov
  0 siblings, 1 reply; 9+ messages in thread
From: Michael A. Kangin @ 2008-10-11 13:05 UTC (permalink / raw)
  To: ALT Linux Sisyphus discussions

On 11 октября 2008 Nikolay A. Fetisov wrote:

> > А запрос пароля замаскирован уже успевшими
> > стартовать иксами.

> Да, dm стартует раньше, позволяя оставшимся сервисам запускаться
> в фоне параллельно запуску X-сервера.

Вот было бы круто, если бы и сервис openvpn, жаждя пароля, позволял оставшимся 
сервисам запускаться в фоне параллельно.

> > Такое поведение нормальным считается, или на что-нибудь багу развесить?
>
> Вполне стандартное поведение. Сделайте ключ с паролем для, скажем,
> Apache, и посмотрите - будет то же самое.
>
> > Нету ли какого-нибудь нормального обеспечения таймаута на спрос пароля?
> > Сходу ничего не нагуглилось.
>
> Нет. Смысла большого нет. Если есть ключ с паролем - то откуда-то его
> получить надо. Если хотите защитить ключ паролем и вводить этот
> пароль интерактивно - запускайте OpenVPN для соответствующего канала
> вручную, отключив его автоматический запуск. Если хотите, наоборот,
> полностью автоматического запуска канала - то или делайте ключ без
> паролей, или смотрите в сторону параметра --askpass.

Я понимаю, что по большому счету я оказался ССЗБ, раз автоматически поднимал 
канал с запароленным ключом. Но потенциально - это грабля нехилая - система 
остаётся без кучи сервисов и удалённого доступа в том числе. Будь это 
удалённая машина - пришлось бы к ней ехать.


-- 
wbr, Michael A. Kangin
OIOS, RSMU

^ permalink raw reply	[flat|nested] 9+ messages in thread

* Re: [sisyphus] OpenVPN: таймаут для пароля на сертификат
  2008-10-11 13:05   ` Michael A. Kangin
@ 2008-10-11 13:32     ` Nikolay A. Fetisov
  2008-10-11 13:36       ` Mikhail Gusarov
  2008-10-12  6:36       ` Michael A. Kangin
  0 siblings, 2 replies; 9+ messages in thread
From: Nikolay A. Fetisov @ 2008-10-11 13:32 UTC (permalink / raw)
  To: sisyphus

[-- Attachment #1: Type: text/plain, Size: 1190 bytes --]

On Sat, 11 Oct 2008 17:05:27 +0400
Michael A. Kangin wrote:

> ...
> Вот было бы круто, если бы и сервис openvpn, жаждя пароля, позволял оставшимся 
> сервисам запускаться в фоне параллельно.

Для этого как минимум для начала потребуется переход на
систему с параллельным запуском сервисов. Хотя и потом вряд ли
получится.

> ... Но потенциально - это грабля нехилая - система 
> остаётся без кучи сервисов и удалённого доступа в том числе. Будь это 
> удалённая машина - пришлось бы к ней ехать.

Потенциально - да. Хотя не настолько большая, как кажется.

На удалённых серверах даже для клиентов OpenVPN скорее будут
использоваться беспарольные ключи - именно для исключения необходимости
вводить что-либо вручную при запуске каналов. 
Кроме того, на серверах нет смысла держать OpenVPN в HN - он отлично
работает и в контейнерах OpenVZ. Непосредственно в HN он оправдан разве
что там, где нет белых IP и где через него и организуется удалённый
доступ к HN.


И опять же - данный момент не является чем-либо специфичным для
OpenVPN. Аналогичные проблемы можно словить и со всем остальным, что
использует сертификаты SSL.

-- 
С уважением,
Николай Фетисов

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

^ permalink raw reply	[flat|nested] 9+ messages in thread

* Re: [sisyphus] OpenVPN: таймаут для пароля на сертификат
  2008-10-11 13:32     ` Nikolay A. Fetisov
@ 2008-10-11 13:36       ` Mikhail Gusarov
  2008-10-12  6:36       ` Michael A. Kangin
  1 sibling, 0 replies; 9+ messages in thread
From: Mikhail Gusarov @ 2008-10-11 13:36 UTC (permalink / raw)
  To: ALT Linux Sisyphus discussions

[-- Attachment #1: Type: text/plain, Size: 544 bytes --]

Twas brillig at 17:32:20 11.10.2008 UTC+04 when naf@altlinux.ru did gyre and gimble:

 NAF> И опять же - данный момент не является чем-либо специфичным для
 NAF> OpenVPN. Аналогичные проблемы можно словить и со всем остальным,
 NAF> что использует сертификаты SSL.

Всё остальное, что использует сертификаты SSL, не тормозит загрузку SSH-сервера.

-- 

[-- Attachment #2: Type: application/pgp-signature, Size: 196 bytes --]

^ permalink raw reply	[flat|nested] 9+ messages in thread

* Re: [sisyphus] OpenVPN: таймаут для пароля на сертификат
  2008-10-11 13:32     ` Nikolay A. Fetisov
  2008-10-11 13:36       ` Mikhail Gusarov
@ 2008-10-12  6:36       ` Michael A. Kangin
  1 sibling, 0 replies; 9+ messages in thread
From: Michael A. Kangin @ 2008-10-12  6:36 UTC (permalink / raw)
  To: ALT Linux Sisyphus discussions

On 11 октября 2008 Nikolay A. Fetisov wrote:

> > Вот было бы круто, если бы и сервис openvpn, жаждя пароля, позволял
> > оставшимся сервисам запускаться в фоне параллельно.
>
> Для этого как минимум для начала потребуется переход на
> систему с параллельным запуском сервисов. Хотя и потом вряд ли
> получится.

Ну почему же...


> И опять же - данный момент не является чем-либо специфичным для
> OpenVPN. Аналогичные проблемы можно словить и со всем остальным, что
> использует сертификаты SSL.

Именно. Более того - любой сервис имеет потенциальную возможность встать в 
позу зю и помешать нормальной инициализации системы. На моей памяти 
еще /etc/init.d/ntpd крысятничал попыткой во что-бы то ни стало 
синхронизировать время при старте, несмотря на недоступность сети. Ну там 
хоть таймаут был минутки на три...

Я хочу сказать, что проблема более системная и общая, мои кривые ручонки вкупе 
с OpenVPN и сертификатами с паролями лишь некоторые её проявления. :)

ИМХО нужен вотчдог на старт сервисов. Дающий некоторый разумный таймаут (да 
хоть 5 минут, хоть пол-часа) на инициализацию, а затем прибивающий 
неудачнегов.

В качестве мерзкого, но рабочего концепта могу предложить:
------------- 
--- /etc/rc.d/init.d/functions.bak      2008-10-11 22:03:31 +0400
+++ /etc/rc.d/init.d/functions  2008-10-12 01:28:30 +0400
@@ -215,6 +215,11 @@
        [ -z "$ANNOUNCE" ] || msg_starting "$DISPNAME"

 # Actually start the daemon.
+       [ -n "$WATCHDOG_TIME" ] && {
+               /bin/sh -c "sleep $WATCHDOG_TIME; killall initlog" &
+               killer_pid=$!
+       }
+
        if [ -z "$SU" ]; then
                initlog $INITLOG_ARGS -n "$BASENAME" -c "start-stop-daemon 
$FLAGS -- $*"
        else
@@ -223,6 +228,8 @@
        fi
        STATUS=$?

+       [ -n "$WATCHDOG_TIME" ] && kill $killer_pid
+
        if [ $STATUS = 0 ]; then
                [ -z "$LOCKFILE" ] || touch "$LOCKFILE"
                [ "$BOOTUP" != verbose ] || echo -n " $DISPNAME "
----------------

Переменную $WATCHDOG_TIME можно определить в /etc/sysconfig/init, например
WATCHDOG_TIME=1m

-- 
wbr, Michael A. Kangin
OIOS, RSMU

^ permalink raw reply	[flat|nested] 9+ messages in thread

* Re: [sisyphus] OpenVPN: таймаут для пароля на сертификат
  2008-10-11 12:59   ` Michael A. Kangin
@ 2008-10-14 17:06     ` Mike Almateia
  0 siblings, 0 replies; 9+ messages in thread
From: Mike Almateia @ 2008-10-14 17:06 UTC (permalink / raw)
  To: ALT Linux Sisyphus discussions

On Saturday 11 October 2008 16:59:34 Michael A. Kangin wrote:
> On 11 октября 2008 Sergey Lebedev wrote:
> > > Обнаружил, что с какого-то времени на машине при старте системы не
> > > поднимается куча сервисов, хотя в chkconfig они числятся в on. Вручную
> > > стартовали. Раскопки показали, что виновником выступает
> > > недавнопоставленный openvpn - его сервис запрашивает пароль на
> > > сертификат и висит так вечно, не давая запустить все более поздние
> > > сервисы. А запрос пароля замаскирован уже успевшими стартовать иксами.
> > >
> > > Такое поведение нормальным считается, или на что-нибудь багу развесить?
> > > Нету ли какого-нибудь нормального обеспечения таймаута на спрос пароля?
> > > Сходу ничего не нагуглилось.
> >
> > В состав openvpn входит
> > файл /usr/share/doc/openvpn-2.0.9/README.ALT.utf-8
> > в нём написано всё что вас интересует. Поиск по слову пароль.
>
> "На ключ к
> сертификату клиента можно дополнительно наложить пароль, тогда
> при соединении он будет запрашиваться."
>
> Это-то ясно, что будет запрашиваться. Я про то, что это запрашивание, по
> сути, чуть пол-системы не заморозило (sshd не стартовал). Мне вот эта вот
> ситуация не нравится.
Вроде везде пишется и оговаривается во всех howto - делайте само-подписанные 
сертификаты для сервисов вроде апача и других, которые стоят на сервере и 
обслуживают клиентов.
В следующий раз будете внимательнее.

^ permalink raw reply	[flat|nested] 9+ messages in thread

end of thread, other threads:[~2008-10-14 17:06 UTC | newest]

Thread overview: 9+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2008-10-11 12:15 [sisyphus] OpenVPN: таймаут для пароля на сертификат Michael A. Kangin
2008-10-11 12:48 ` Nikolay A. Fetisov
2008-10-11 13:05   ` Michael A. Kangin
2008-10-11 13:32     ` Nikolay A. Fetisov
2008-10-11 13:36       ` Mikhail Gusarov
2008-10-12  6:36       ` Michael A. Kangin
2008-10-11 12:50 ` Sergey Lebedev
2008-10-11 12:59   ` Michael A. Kangin
2008-10-14 17:06     ` Mike Almateia

ALT Linux Sisyphus discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
		sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
	public-inbox-index sisyphus

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.sisyphus


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git