* [sisyphus] OpenVPN: таймаут для пароля на сертификат
@ 2008-10-11 12:15 Michael A. Kangin
2008-10-11 12:48 ` Nikolay A. Fetisov
2008-10-11 12:50 ` Sergey Lebedev
0 siblings, 2 replies; 9+ messages in thread
From: Michael A. Kangin @ 2008-10-11 12:15 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
Добрый день.
Обнаружил, что с какого-то времени на машине при старте системы не поднимается
куча сервисов, хотя в chkconfig они числятся в on. Вручную стартовали.
Раскопки показали, что виновником выступает недавнопоставленный openvpn - его
сервис запрашивает пароль на сертификат и висит так вечно, не давая запустить
все более поздние сервисы. А запрос пароля замаскирован уже успевшими
стартовать иксами.
Такое поведение нормальным считается, или на что-нибудь багу развесить?
Нету ли какого-нибудь нормального обеспечения таймаута на спрос пароля? Сходу
ничего не нагуглилось.
--
wbr, Michael A. Kangin
OIOS, RSMU
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [sisyphus] OpenVPN: таймаут для пароля на сертификат
2008-10-11 12:15 [sisyphus] OpenVPN: таймаут для пароля на сертификат Michael A. Kangin
@ 2008-10-11 12:48 ` Nikolay A. Fetisov
2008-10-11 13:05 ` Michael A. Kangin
2008-10-11 12:50 ` Sergey Lebedev
1 sibling, 1 reply; 9+ messages in thread
From: Nikolay A. Fetisov @ 2008-10-11 12:48 UTC (permalink / raw)
To: sisyphus
[-- Attachment #1: Type: text/plain, Size: 1511 bytes --]
On Sat, 11 Oct 2008 16:15:52 +0400
Michael A. Kangin wrote:
> Обнаружил, что с какого-то времени на машине при старте системы не поднимается
> куча сервисов, хотя в chkconfig они числятся в on. Вручную стартовали.
> Раскопки показали, что виновником выступает недавнопоставленный openvpn - его
> сервис запрашивает пароль на сертификат и висит так вечно, не давая запустить
> все более поздние сервисы.
Если ключ сделан с паролем - то при попытке загрузить ключ этот пароль
запрашивается. Это относится не только к OpenVPN, но и к другим демонам,
использующим сертификаты SSL.
> А запрос пароля замаскирован уже успевшими
> стартовать иксами.
Да, dm стартует раньше, позволяя оставшимся сервисам запускаться
в фоне параллельно запуску X-сервера.
> Такое поведение нормальным считается, или на что-нибудь багу развесить?
Вполне стандартное поведение. Сделайте ключ с паролем для, скажем,
Apache, и посмотрите - будет то же самое.
> Нету ли какого-нибудь нормального обеспечения таймаута на спрос пароля? Сходу
> ничего не нагуглилось.
Нет. Смысла большого нет. Если есть ключ с паролем - то откуда-то его
получить надо. Если хотите защитить ключ паролем и вводить этот
пароль интерактивно - запускайте OpenVPN для соответствующего канала
вручную, отключив его автоматический запуск. Если хотите, наоборот,
полностью автоматического запуска канала - то или делайте ключ без
паролей, или смотрите в сторону параметра --askpass.
--
С уважением,
Николай Фетисов
[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 197 bytes --]
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [sisyphus] OpenVPN: таймаут для пароля на сертификат
2008-10-11 12:15 [sisyphus] OpenVPN: таймаут для пароля на сертификат Michael A. Kangin
2008-10-11 12:48 ` Nikolay A. Fetisov
@ 2008-10-11 12:50 ` Sergey Lebedev
2008-10-11 12:59 ` Michael A. Kangin
1 sibling, 1 reply; 9+ messages in thread
From: Sergey Lebedev @ 2008-10-11 12:50 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
В Сбт, 11/10/2008 в 16:15 +0400, Michael A. Kangin пишет:
> Добрый день.
>
> Обнаружил, что с какого-то времени на машине при старте системы не поднимается
> куча сервисов, хотя в chkconfig они числятся в on. Вручную стартовали.
> Раскопки показали, что виновником выступает недавнопоставленный openvpn - его
> сервис запрашивает пароль на сертификат и висит так вечно, не давая запустить
> все более поздние сервисы. А запрос пароля замаскирован уже успевшими
> стартовать иксами.
>
> Такое поведение нормальным считается, или на что-нибудь багу развесить?
> Нету ли какого-нибудь нормального обеспечения таймаута на спрос пароля? Сходу
> ничего не нагуглилось.
В состав openvpn входит
файл /usr/share/doc/openvpn-2.0.9/README.ALT.utf-8
в нём написано всё что вас интересует. Поиск по слову пароль.
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [sisyphus] OpenVPN: таймаут для пароля на сертификат
2008-10-11 12:50 ` Sergey Lebedev
@ 2008-10-11 12:59 ` Michael A. Kangin
2008-10-14 17:06 ` Mike Almateia
0 siblings, 1 reply; 9+ messages in thread
From: Michael A. Kangin @ 2008-10-11 12:59 UTC (permalink / raw)
To: lebedev.v.sergey, ALT Linux Sisyphus discussions
On 11 октября 2008 Sergey Lebedev wrote:
> > Обнаружил, что с какого-то времени на машине при старте системы не
> > поднимается куча сервисов, хотя в chkconfig они числятся в on. Вручную
> > стартовали. Раскопки показали, что виновником выступает
> > недавнопоставленный openvpn - его сервис запрашивает пароль на сертификат
> > и висит так вечно, не давая запустить все более поздние сервисы. А запрос
> > пароля замаскирован уже успевшими стартовать иксами.
> >
> > Такое поведение нормальным считается, или на что-нибудь багу развесить?
> > Нету ли какого-нибудь нормального обеспечения таймаута на спрос пароля?
> > Сходу ничего не нагуглилось.
>
> В состав openvpn входит
> файл /usr/share/doc/openvpn-2.0.9/README.ALT.utf-8
> в нём написано всё что вас интересует. Поиск по слову пароль.
"На ключ к
сертификату клиента можно дополнительно наложить пароль, тогда
при соединении он будет запрашиваться."
Это-то ясно, что будет запрашиваться. Я про то, что это запрашивание, по сути,
чуть пол-системы не заморозило (sshd не стартовал). Мне вот эта вот ситуация
не нравится.
--
wbr, Michael A. Kangin
OIOS, RSMU
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [sisyphus] OpenVPN: таймаут для пароля на сертификат
2008-10-11 12:48 ` Nikolay A. Fetisov
@ 2008-10-11 13:05 ` Michael A. Kangin
2008-10-11 13:32 ` Nikolay A. Fetisov
0 siblings, 1 reply; 9+ messages in thread
From: Michael A. Kangin @ 2008-10-11 13:05 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
On 11 октября 2008 Nikolay A. Fetisov wrote:
> > А запрос пароля замаскирован уже успевшими
> > стартовать иксами.
> Да, dm стартует раньше, позволяя оставшимся сервисам запускаться
> в фоне параллельно запуску X-сервера.
Вот было бы круто, если бы и сервис openvpn, жаждя пароля, позволял оставшимся
сервисам запускаться в фоне параллельно.
> > Такое поведение нормальным считается, или на что-нибудь багу развесить?
>
> Вполне стандартное поведение. Сделайте ключ с паролем для, скажем,
> Apache, и посмотрите - будет то же самое.
>
> > Нету ли какого-нибудь нормального обеспечения таймаута на спрос пароля?
> > Сходу ничего не нагуглилось.
>
> Нет. Смысла большого нет. Если есть ключ с паролем - то откуда-то его
> получить надо. Если хотите защитить ключ паролем и вводить этот
> пароль интерактивно - запускайте OpenVPN для соответствующего канала
> вручную, отключив его автоматический запуск. Если хотите, наоборот,
> полностью автоматического запуска канала - то или делайте ключ без
> паролей, или смотрите в сторону параметра --askpass.
Я понимаю, что по большому счету я оказался ССЗБ, раз автоматически поднимал
канал с запароленным ключом. Но потенциально - это грабля нехилая - система
остаётся без кучи сервисов и удалённого доступа в том числе. Будь это
удалённая машина - пришлось бы к ней ехать.
--
wbr, Michael A. Kangin
OIOS, RSMU
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [sisyphus] OpenVPN: таймаут для пароля на сертификат
2008-10-11 13:05 ` Michael A. Kangin
@ 2008-10-11 13:32 ` Nikolay A. Fetisov
2008-10-11 13:36 ` Mikhail Gusarov
2008-10-12 6:36 ` Michael A. Kangin
0 siblings, 2 replies; 9+ messages in thread
From: Nikolay A. Fetisov @ 2008-10-11 13:32 UTC (permalink / raw)
To: sisyphus
[-- Attachment #1: Type: text/plain, Size: 1190 bytes --]
On Sat, 11 Oct 2008 17:05:27 +0400
Michael A. Kangin wrote:
> ...
> Вот было бы круто, если бы и сервис openvpn, жаждя пароля, позволял оставшимся
> сервисам запускаться в фоне параллельно.
Для этого как минимум для начала потребуется переход на
систему с параллельным запуском сервисов. Хотя и потом вряд ли
получится.
> ... Но потенциально - это грабля нехилая - система
> остаётся без кучи сервисов и удалённого доступа в том числе. Будь это
> удалённая машина - пришлось бы к ней ехать.
Потенциально - да. Хотя не настолько большая, как кажется.
На удалённых серверах даже для клиентов OpenVPN скорее будут
использоваться беспарольные ключи - именно для исключения необходимости
вводить что-либо вручную при запуске каналов.
Кроме того, на серверах нет смысла держать OpenVPN в HN - он отлично
работает и в контейнерах OpenVZ. Непосредственно в HN он оправдан разве
что там, где нет белых IP и где через него и организуется удалённый
доступ к HN.
И опять же - данный момент не является чем-либо специфичным для
OpenVPN. Аналогичные проблемы можно словить и со всем остальным, что
использует сертификаты SSL.
--
С уважением,
Николай Фетисов
[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 197 bytes --]
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [sisyphus] OpenVPN: таймаут для пароля на сертификат
2008-10-11 13:32 ` Nikolay A. Fetisov
@ 2008-10-11 13:36 ` Mikhail Gusarov
2008-10-12 6:36 ` Michael A. Kangin
1 sibling, 0 replies; 9+ messages in thread
From: Mikhail Gusarov @ 2008-10-11 13:36 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
[-- Attachment #1: Type: text/plain, Size: 544 bytes --]
Twas brillig at 17:32:20 11.10.2008 UTC+04 when naf@altlinux.ru did gyre and gimble:
NAF> И опять же - данный момент не является чем-либо специфичным для
NAF> OpenVPN. Аналогичные проблемы можно словить и со всем остальным,
NAF> что использует сертификаты SSL.
Всё остальное, что использует сертификаты SSL, не тормозит загрузку SSH-сервера.
--
[-- Attachment #2: Type: application/pgp-signature, Size: 196 bytes --]
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [sisyphus] OpenVPN: таймаут для пароля на сертификат
2008-10-11 13:32 ` Nikolay A. Fetisov
2008-10-11 13:36 ` Mikhail Gusarov
@ 2008-10-12 6:36 ` Michael A. Kangin
1 sibling, 0 replies; 9+ messages in thread
From: Michael A. Kangin @ 2008-10-12 6:36 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
On 11 октября 2008 Nikolay A. Fetisov wrote:
> > Вот было бы круто, если бы и сервис openvpn, жаждя пароля, позволял
> > оставшимся сервисам запускаться в фоне параллельно.
>
> Для этого как минимум для начала потребуется переход на
> систему с параллельным запуском сервисов. Хотя и потом вряд ли
> получится.
Ну почему же...
> И опять же - данный момент не является чем-либо специфичным для
> OpenVPN. Аналогичные проблемы можно словить и со всем остальным, что
> использует сертификаты SSL.
Именно. Более того - любой сервис имеет потенциальную возможность встать в
позу зю и помешать нормальной инициализации системы. На моей памяти
еще /etc/init.d/ntpd крысятничал попыткой во что-бы то ни стало
синхронизировать время при старте, несмотря на недоступность сети. Ну там
хоть таймаут был минутки на три...
Я хочу сказать, что проблема более системная и общая, мои кривые ручонки вкупе
с OpenVPN и сертификатами с паролями лишь некоторые её проявления. :)
ИМХО нужен вотчдог на старт сервисов. Дающий некоторый разумный таймаут (да
хоть 5 минут, хоть пол-часа) на инициализацию, а затем прибивающий
неудачнегов.
В качестве мерзкого, но рабочего концепта могу предложить:
-------------
--- /etc/rc.d/init.d/functions.bak 2008-10-11 22:03:31 +0400
+++ /etc/rc.d/init.d/functions 2008-10-12 01:28:30 +0400
@@ -215,6 +215,11 @@
[ -z "$ANNOUNCE" ] || msg_starting "$DISPNAME"
# Actually start the daemon.
+ [ -n "$WATCHDOG_TIME" ] && {
+ /bin/sh -c "sleep $WATCHDOG_TIME; killall initlog" &
+ killer_pid=$!
+ }
+
if [ -z "$SU" ]; then
initlog $INITLOG_ARGS -n "$BASENAME" -c "start-stop-daemon
$FLAGS -- $*"
else
@@ -223,6 +228,8 @@
fi
STATUS=$?
+ [ -n "$WATCHDOG_TIME" ] && kill $killer_pid
+
if [ $STATUS = 0 ]; then
[ -z "$LOCKFILE" ] || touch "$LOCKFILE"
[ "$BOOTUP" != verbose ] || echo -n " $DISPNAME "
----------------
Переменную $WATCHDOG_TIME можно определить в /etc/sysconfig/init, например
WATCHDOG_TIME=1m
--
wbr, Michael A. Kangin
OIOS, RSMU
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [sisyphus] OpenVPN: таймаут для пароля на сертификат
2008-10-11 12:59 ` Michael A. Kangin
@ 2008-10-14 17:06 ` Mike Almateia
0 siblings, 0 replies; 9+ messages in thread
From: Mike Almateia @ 2008-10-14 17:06 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
On Saturday 11 October 2008 16:59:34 Michael A. Kangin wrote:
> On 11 октября 2008 Sergey Lebedev wrote:
> > > Обнаружил, что с какого-то времени на машине при старте системы не
> > > поднимается куча сервисов, хотя в chkconfig они числятся в on. Вручную
> > > стартовали. Раскопки показали, что виновником выступает
> > > недавнопоставленный openvpn - его сервис запрашивает пароль на
> > > сертификат и висит так вечно, не давая запустить все более поздние
> > > сервисы. А запрос пароля замаскирован уже успевшими стартовать иксами.
> > >
> > > Такое поведение нормальным считается, или на что-нибудь багу развесить?
> > > Нету ли какого-нибудь нормального обеспечения таймаута на спрос пароля?
> > > Сходу ничего не нагуглилось.
> >
> > В состав openvpn входит
> > файл /usr/share/doc/openvpn-2.0.9/README.ALT.utf-8
> > в нём написано всё что вас интересует. Поиск по слову пароль.
>
> "На ключ к
> сертификату клиента можно дополнительно наложить пароль, тогда
> при соединении он будет запрашиваться."
>
> Это-то ясно, что будет запрашиваться. Я про то, что это запрашивание, по
> сути, чуть пол-системы не заморозило (sshd не стартовал). Мне вот эта вот
> ситуация не нравится.
Вроде везде пишется и оговаривается во всех howto - делайте само-подписанные
сертификаты для сервисов вроде апача и других, которые стоят на сервере и
обслуживают клиентов.
В следующий раз будете внимательнее.
^ permalink raw reply [flat|nested] 9+ messages in thread
end of thread, other threads:[~2008-10-14 17:06 UTC | newest]
Thread overview: 9+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2008-10-11 12:15 [sisyphus] OpenVPN: таймаут для пароля на сертификат Michael A. Kangin
2008-10-11 12:48 ` Nikolay A. Fetisov
2008-10-11 13:05 ` Michael A. Kangin
2008-10-11 13:32 ` Nikolay A. Fetisov
2008-10-11 13:36 ` Mikhail Gusarov
2008-10-12 6:36 ` Michael A. Kangin
2008-10-11 12:50 ` Sergey Lebedev
2008-10-11 12:59 ` Michael A. Kangin
2008-10-14 17:06 ` Mike Almateia
ALT Linux Sisyphus discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
public-inbox-index sisyphus
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sisyphus
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git