Поиск

воскресенье, 14 октября 2018 г.

Установка настройка Open VPN

 OVPN_VPS – Telegraph

OpenVPN HOWTO 

OpenVPN (Русский) - ArchWiki  

VPN-Firewall/Troubleshooting

user/group (только не для Windows)

OpenVPN была очень тщательно разработан таким образом, чтобы привелегии суперпользователя могли быть сброшены после инициализации, и эта возможность всегда должна быть использована на Linux/BSD/Solaris. Работающий без привилегий суперпользователя демон OpenVPN-сервера является гораздо менее привлекательной целью для злоумышленника.
user nobody
group nobody

Непривилегированный режиме (только Linux)

В Linux OpenVPN может работать полностью непривилегированным. Эта конфигурация немного сложнее, но обеспечивает лучшую безопасность.
Для того чтобы работать с этой конфигурацией, OpenVPN должен быть настроен на использование iproute-интерфейса, это достигается путем указания --enable-iproute2 в configure-скрипте. На вашей системе также должен быть доступен пакет sudo.
В этой конфигурации используется возможность Linux изменять разрешения на устройство tun таким образом, чтобы обычный пользователь мог получить к нему доступ. Также, для того, чтобы свойства интерфейса и таблица маршрутизации могли быть изменены (непривилегированным пользователем -- прим. перев.) для запуска (execute) iproute используется sudo.
Конфигурация OpenVPN:
  • Поместите следующий скрипт в файл /usr/local/sbin/unpriv-ip (не забудьте установить на этот файл права на исполнение -- прим. перев.):
  • #!/bin/sh
    sudo /sbin/ip $*
  • Чтобы позволить пользователю 'user1' выполнять /sbin/ip запустите visudo и добавьте следующее:
  • user1 ALL=(ALL)  NOPASSWD: /sbin/ip
    Вы также можете разрешить группу пользователей с помощью следующей команды:
    %users ALL=(ALL)  NOPASSWD: /sbin/ip
  • Добавьте следующее в вашу конфигурацию OpenVPN:
  • dev tunX/tapX
    iproute /usr/local/sbin/unpriv-ip
    Обратите внимание, что вы должны выбрать константу X и указать или tun или tap, но не оба.
  • Как root добавьте постоянный интерфейс и разрешите пользователю и/или группе управлять им, следующая команда создаст tunX (замените своим собственным) и разрешит пользователю user1 и группе users доступ к нему.
  • openvpn --mktun --dev tunX --type tun --user user1 --group users
  • Запустите OpenVPN в контексте непривилегированного пользователя.
Дальнейшие ограничения безопасности могут быть добавлены путем проверки параметров в скрипте /usr/local/sbin/unpriv-ip.

https://community.openvpn.net/openvpn/wiki/UnprivilegedUser

First make a directory to store OpenVPN keys and configuration files such as /etc/openvpn.
Decide whether you want to use TLS or Static Key mode and copy appropriate .conf, .up, .key, .pem, and .crt files to /etc/openvpn.
Protect your .key files:
chmod go-rwx /etc/openvpn/*.key
If you are using Linux iptables, edit the firewall configuration file firewall.sh, making changes appropriate to your site and copy to /etc/openvpn.

Комментариев нет:

Отправить комментарий