[sisyphus] OpenVPN: таймаут для пароля на сертификат

[sisyphus] OpenVPN: таймаут для пароля на сертификат

[Michael A. Kangin]

Добрый день.

Обнаружил, что с какого-то времени на машине при старте системы не поднимается 
куча сервисов, хотя в chkconfig они числятся в on. Вручную стартовали.
Раскопки показали, что виновником выступает недавнопоставленный openvpn - его 
сервис запрашивает пароль на сертификат и висит так вечно, не давая запустить 
все более поздние сервисы. А запрос пароля замаскирован уже успевшими 
стартовать иксами.

Такое поведение нормальным считается, или на что-нибудь багу развесить?
Нету ли какого-нибудь нормального обеспечения таймаута на спрос пароля? Сходу 
ничего не нагуглилось.

-- 
wbr, Michael A. Kangin
OIOS, RSMU

Re: [sisyphus] OpenVPN: таймаут для пароля на сертификат

[Nikolay A. Fetisov]

[-- Attachment #1: Type: text/plain, Size: 1511 bytes --]

On Sat, 11 Oct 2008 16:15:52 +0400
Michael A. Kangin wrote:

> Обнаружил, что с какого-то времени на машине при старте системы не поднимается 
> куча сервисов, хотя в chkconfig они числятся в on. Вручную стартовали.
> Раскопки показали, что виновником выступает недавнопоставленный openvpn - его 
> сервис запрашивает пароль на сертификат и висит так вечно, не давая запустить 
> все более поздние сервисы.

Если ключ сделан с паролем - то при попытке загрузить ключ этот пароль
запрашивается. Это относится не только к OpenVPN, но и к другим демонам,
использующим сертификаты SSL.

> А запрос пароля замаскирован уже успевшими 
> стартовать иксами.

Да, dm стартует раньше, позволяя оставшимся сервисам запускаться
в фоне параллельно запуску X-сервера.

> Такое поведение нормальным считается, или на что-нибудь багу развесить?

Вполне стандартное поведение. Сделайте ключ с паролем для, скажем,
Apache, и посмотрите - будет то же самое.

> Нету ли какого-нибудь нормального обеспечения таймаута на спрос пароля? Сходу 
> ничего не нагуглилось.

Нет. Смысла большого нет. Если есть ключ с паролем - то откуда-то его
получить надо. Если хотите защитить ключ паролем и вводить этот
пароль интерактивно - запускайте OpenVPN для соответствующего канала
вручную, отключив его автоматический запуск. Если хотите, наоборот,
полностью автоматического запуска канала - то или делайте ключ без
паролей, или смотрите в сторону параметра --askpass. 

-- 
С уважением,	
Николай Фетисов

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [sisyphus] OpenVPN: таймаут для пароля на сертификат

[Michael A. Kangin]

On 11 октября 2008 Nikolay A. Fetisov wrote:

> > А запрос пароля замаскирован уже успевшими
> > стартовать иксами.

> Да, dm стартует раньше, позволяя оставшимся сервисам запускаться
> в фоне параллельно запуску X-сервера.

Вот было бы круто, если бы и сервис openvpn, жаждя пароля, позволял оставшимся 
сервисам запускаться в фоне параллельно.

> > Такое поведение нормальным считается, или на что-нибудь багу развесить?
>
> Вполне стандартное поведение. Сделайте ключ с паролем для, скажем,
> Apache, и посмотрите - будет то же самое.
>
> > Нету ли какого-нибудь нормального обеспечения таймаута на спрос пароля?
> > Сходу ничего не нагуглилось.
>
> Нет. Смысла большого нет. Если есть ключ с паролем - то откуда-то его
> получить надо. Если хотите защитить ключ паролем и вводить этот
> пароль интерактивно - запускайте OpenVPN для соответствующего канала
> вручную, отключив его автоматический запуск. Если хотите, наоборот,
> полностью автоматического запуска канала - то или делайте ключ без
> паролей, или смотрите в сторону параметра --askpass.

Я понимаю, что по большому счету я оказался ССЗБ, раз автоматически поднимал 
канал с запароленным ключом. Но потенциально - это грабля нехилая - система 
остаётся без кучи сервисов и удалённого доступа в том числе. Будь это 
удалённая машина - пришлось бы к ней ехать.


-- 
wbr, Michael A. Kangin
OIOS, RSMU

Re: [sisyphus] OpenVPN: таймаут для пароля на сертификат

[Nikolay A. Fetisov]

[-- Attachment #1: Type: text/plain, Size: 1190 bytes --]

On Sat, 11 Oct 2008 17:05:27 +0400
Michael A. Kangin wrote:

> ...
> Вот было бы круто, если бы и сервис openvpn, жаждя пароля, позволял оставшимся 
> сервисам запускаться в фоне параллельно.

Для этого как минимум для начала потребуется переход на
систему с параллельным запуском сервисов. Хотя и потом вряд ли
получится.

> ... Но потенциально - это грабля нехилая - система 
> остаётся без кучи сервисов и удалённого доступа в том числе. Будь это 
> удалённая машина - пришлось бы к ней ехать.

Потенциально - да. Хотя не настолько большая, как кажется.

На удалённых серверах даже для клиентов OpenVPN скорее будут
использоваться беспарольные ключи - именно для исключения необходимости
вводить что-либо вручную при запуске каналов. 
Кроме того, на серверах нет смысла держать OpenVPN в HN - он отлично
работает и в контейнерах OpenVZ. Непосредственно в HN он оправдан разве
что там, где нет белых IP и где через него и организуется удалённый
доступ к HN.


И опять же - данный момент не является чем-либо специфичным для
OpenVPN. Аналогичные проблемы можно словить и со всем остальным, что
использует сертификаты SSL.

-- 
С уважением,
Николай Фетисов

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [sisyphus] OpenVPN: таймаут для пароля на сертификат

[Mikhail Gusarov]

[-- Attachment #1: Type: text/plain, Size: 544 bytes --]

Twas brillig at 17:32:20 11.10.2008 UTC+04 when naf@altlinux.ru did gyre and gimble:

 NAF> И опять же - данный момент не является чем-либо специфичным для
 NAF> OpenVPN. Аналогичные проблемы можно словить и со всем остальным,
 NAF> что использует сертификаты SSL.

Всё остальное, что использует сертификаты SSL, не тормозит загрузку SSH-сервера.

-- 

[-- Attachment #2: Type: application/pgp-signature, Size: 196 bytes --]

Re: [sisyphus] OpenVPN: таймаут для пароля на сертификат

[Michael A. Kangin]

On 11 октября 2008 Nikolay A. Fetisov wrote:

> > Вот было бы круто, если бы и сервис openvpn, жаждя пароля, позволял
> > оставшимся сервисам запускаться в фоне параллельно.
>
> Для этого как минимум для начала потребуется переход на
> систему с параллельным запуском сервисов. Хотя и потом вряд ли
> получится.

Ну почему же...


> И опять же - данный момент не является чем-либо специфичным для
> OpenVPN. Аналогичные проблемы можно словить и со всем остальным, что
> использует сертификаты SSL.

Именно. Более того - любой сервис имеет потенциальную возможность встать в 
позу зю и помешать нормальной инициализации системы. На моей памяти 
еще /etc/init.d/ntpd крысятничал попыткой во что-бы то ни стало 
синхронизировать время при старте, несмотря на недоступность сети. Ну там 
хоть таймаут был минутки на три...

Я хочу сказать, что проблема более системная и общая, мои кривые ручонки вкупе 
с OpenVPN и сертификатами с паролями лишь некоторые её проявления. :)

ИМХО нужен вотчдог на старт сервисов. Дающий некоторый разумный таймаут (да 
хоть 5 минут, хоть пол-часа) на инициализацию, а затем прибивающий 
неудачнегов.

В качестве мерзкого, но рабочего концепта могу предложить:
------------- 
--- /etc/rc.d/init.d/functions.bak      2008-10-11 22:03:31 +0400
+++ /etc/rc.d/init.d/functions  2008-10-12 01:28:30 +0400
@@ -215,6 +215,11 @@
        [ -z "$ANNOUNCE" ] || msg_starting "$DISPNAME"

 # Actually start the daemon.
+       [ -n "$WATCHDOG_TIME" ] && {
+               /bin/sh -c "sleep $WATCHDOG_TIME; killall initlog" &
+               killer_pid=$!
+       }
+
        if [ -z "$SU" ]; then
                initlog $INITLOG_ARGS -n "$BASENAME" -c "start-stop-daemon 
$FLAGS -- $*"
        else
@@ -223,6 +228,8 @@
        fi
        STATUS=$?

+       [ -n "$WATCHDOG_TIME" ] && kill $killer_pid
+
        if [ $STATUS = 0 ]; then
                [ -z "$LOCKFILE" ] || touch "$LOCKFILE"
                [ "$BOOTUP" != verbose ] || echo -n " $DISPNAME "
----------------

Переменную $WATCHDOG_TIME можно определить в /etc/sysconfig/init, например
WATCHDOG_TIME=1m

-- 
wbr, Michael A. Kangin
OIOS, RSMU

Re: [sisyphus] OpenVPN: таймаут для пароля на сертификат

[Sergey Lebedev]

В Сбт, 11/10/2008 в 16:15 +0400, Michael A. Kangin пишет:
> Добрый день.
> 
> Обнаружил, что с какого-то времени на машине при старте системы не поднимается 
> куча сервисов, хотя в chkconfig они числятся в on. Вручную стартовали.
> Раскопки показали, что виновником выступает недавнопоставленный openvpn - его 
> сервис запрашивает пароль на сертификат и висит так вечно, не давая запустить 
> все более поздние сервисы. А запрос пароля замаскирован уже успевшими 
> стартовать иксами.
> 
> Такое поведение нормальным считается, или на что-нибудь багу развесить?
> Нету ли какого-нибудь нормального обеспечения таймаута на спрос пароля? Сходу 
> ничего не нагуглилось.

В состав openvpn входит
файл /usr/share/doc/openvpn-2.0.9/README.ALT.utf-8
в нём написано всё что вас интересует. Поиск по слову пароль.

Re: [sisyphus] OpenVPN: таймаут для пароля на сертификат

[Michael A. Kangin]

On 11 октября 2008 Sergey Lebedev wrote:

> > Обнаружил, что с какого-то времени на машине при старте системы не
> > поднимается куча сервисов, хотя в chkconfig они числятся в on. Вручную
> > стартовали. Раскопки показали, что виновником выступает
> > недавнопоставленный openvpn - его сервис запрашивает пароль на сертификат
> > и висит так вечно, не давая запустить все более поздние сервисы. А запрос
> > пароля замаскирован уже успевшими стартовать иксами.
> >
> > Такое поведение нормальным считается, или на что-нибудь багу развесить?
> > Нету ли какого-нибудь нормального обеспечения таймаута на спрос пароля?
> > Сходу ничего не нагуглилось.
>
> В состав openvpn входит
> файл /usr/share/doc/openvpn-2.0.9/README.ALT.utf-8
> в нём написано всё что вас интересует. Поиск по слову пароль.

"На ключ к
сертификату клиента можно дополнительно наложить пароль, тогда
при соединении он будет запрашиваться."

Это-то ясно, что будет запрашиваться. Я про то, что это запрашивание, по сути, 
чуть пол-системы не заморозило (sshd не стартовал). Мне вот эта вот ситуация 
не нравится.


-- 
wbr, Michael A. Kangin
OIOS, RSMU

Re: [sisyphus] OpenVPN: таймаут для пароля на сертификат

[Mike Almateia]

On Saturday 11 October 2008 16:59:34 Michael A. Kangin wrote:
> On 11 октября 2008 Sergey Lebedev wrote:
> > > Обнаружил, что с какого-то времени на машине при старте системы не
> > > поднимается куча сервисов, хотя в chkconfig они числятся в on. Вручную
> > > стартовали. Раскопки показали, что виновником выступает
> > > недавнопоставленный openvpn - его сервис запрашивает пароль на
> > > сертификат и висит так вечно, не давая запустить все более поздние
> > > сервисы. А запрос пароля замаскирован уже успевшими стартовать иксами.
> > >
> > > Такое поведение нормальным считается, или на что-нибудь багу развесить?
> > > Нету ли какого-нибудь нормального обеспечения таймаута на спрос пароля?
> > > Сходу ничего не нагуглилось.
> >
> > В состав openvpn входит
> > файл /usr/share/doc/openvpn-2.0.9/README.ALT.utf-8
> > в нём написано всё что вас интересует. Поиск по слову пароль.
>
> "На ключ к
> сертификату клиента можно дополнительно наложить пароль, тогда
> при соединении он будет запрашиваться."
>
> Это-то ясно, что будет запрашиваться. Я про то, что это запрашивание, по
> сути, чуть пол-системы не заморозило (sshd не стартовал). Мне вот эта вот
> ситуация не нравится.
Вроде везде пишется и оговаривается во всех howto - делайте само-подписанные 
сертификаты для сервисов вроде апача и других, которые стоят на сервере и 
обслуживают клиентов.
В следующий раз будете внимательнее.