From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-1.3 required=5.0 tests=AWL,BAYES_00,SPF_PASS autolearn=ham version=3.2.5 Date: Mon, 2 Mar 2009 10:20:57 +0300 From: "Nikolay A. Fetisov" To: sysadmins@lists.altlinux.org Message-ID: <20090302102057.772cfb45@v3405.naf.net.ru> In-Reply-To: <200903011757.17637.mak@complife.ru> References: <200903011323.46064.mak@complife.ru> <20090301172545.00a5696c@v3405.naf.net.ru> <200903011757.17637.mak@complife.ru> X-Mailer: Claws Mail 3.6.1cvs5 (GTK+ 2.12.12; x86_64-alt-linux-gnu) Mime-Version: 1.0 Content-Type: text/plain; charset=KOI8-R Content-Transfer-Encoding: 8bit Subject: Re: [Sysadmins] =?koi8-r?b?4sXaz9DB087P09TYIG9wZW52cG4=?= X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.10b3 Precedence: list Reply-To: ALT Linux sysadmin discuss List-Id: ALT Linux sysadmin discuss List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 02 Mar 2009 07:21:13 -0000 Archived-At: List-Archive: On Sun, 1 Mar 2009 17:57:17 +0300 Michael A. Kangin wrote: > On Sunday 01 March 2009 17:25:45 Nikolay A. Fetisov wrote: > > > > Насколько безопасна работа openvpn без чрута и от рута, если оно гоняется > > > в своём собственном VE? > > ... никто не мешает как разрешить запускать iptables и > > 'ip route' из скрипта через sudo, так и втащить их во внутрь chroot'а. > > ... Страшит ручной труд по втаскиванию и трудности с > поддержкой... Как вариант - вытащить из chroot и оставить работать под непривилегированным пользователем. > .... > Есть пользователи, есть филиалы. Моя первоначальная мысль была - не > заморачиваться с дополнительными каналами, и принимать тех и других одним и > тем же каналом демона, разруливая особенности клиентскими файлами. Зависит от числа как пользователей, так и филиалов. И от того, насколько различаются требования к этим двум группам соединений. Например, филиалы должны иметь возможность общаться друг с другом через сервер OpenVPN (т.е. будет ли включён флаг client-to-client)? Если да, то и пользователи тоже смогут видеть друг друга - что, скорее всего, нежелательно. > Пользователи могут коннектиться потенциально с разных машин, для них-то и > делается duplicate-cn. Зачем? dublicate-cn разрешает несколько одновременных соединений с одним и и тем же сертификатом. Или пользователи могут _одновременно_ работать с разных машин? И не проще ли тем пользователям, которые действительно имеют несколько компьютеров, выдать несколько сертификатов? > ... > Или ... лучше всё же развести их по каналам? Зависит от числа пользователей и от того, откуда они подсоединяются. Как правило, филиалов немного, их число меняется редко - явные кандидаты на получение фиксированных IP. Пользователи же характерны тем, что выданные им права на подключения к серверу OpenVPN может потребоваться отозвать. Если пользователей немного - то им вполне можно назначать фиксированные IP через персональные файлы конфигурации в ccd/ . Дополнительно можно включить на сервере ccd-exclusive и тем самым запретить соединения от тех клиентов, для которых файлов конфигурации не существует. После этого, если надо запретить соединение от какого-либо пользователя, достаточно удалить его файл конфигурации. Если пользователей много - то может оказаться проще не создавать для каждого из них свой файл конфигурации, а отзывать сертификаты средствами SSL, через CRL. Для избранных пользователей при этом можно оставить и индивидуальные файлы настроек, они вполне уживаются с динамическим распределением адресов. Кроме того, возможно вообще потребуется отдельно поднимать сервер OpenVPN на 443/tcp, специально для тех, кто сидит за прокси-серверами. -- С уважением, Николай Фетисов