[Sysadmins] Безопасность openv pn
Добрый день. Насколько безопасна работа openvpn без чрута и от рута, если оно гоняется в своём собственном VE? А то есть желание поднимать файрвольные правила и рутинг поюзерно с помощью client-connect script и client-config-dir/ И есть ли альтернативные варианты? Жёстко привязывать пользователей к фиксированным IPшникам не хотелось бы, из-за возможных duplicate-cn в частности. -- wbr, Michael A. Kangin ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Безопасность openvpn
On Sun, 1 Mar 2009 13:23:45 +0300 Michael A. Kangin wrote: Насколько безопасна работа openvpn без чрута и от рута, если оно гоняется в своём собственном VE? А то есть желание поднимать файрвольные правила и рутинг поюзерно с помощью client-connect script и client-config-dir/ Особых противопоказаний нет. Работа от непривилегированного пользователя и в chroot-окружении исходя из общих соображений желательна, но не обязательна. С другой стороны, никто не мешает как разрешить запускать iptables и 'ip route' из скрипта через sudo, так и втащить их во внутрь chroot'а. И есть ли альтернативные варианты? Жёстко привязывать пользователей к фиксированным IPшникам не хотелось бы, из-за возможных duplicate-cn в частности. Зависит от задачи. Например, не совсем понятно, как планируется совмещать использование одинаковых сертификатов на нескольких клиентах и зависящие от конкретных клиентов правила маршрутизации. Т.е., индивидуальные маршруты в client-config-dir задаются, если есть необходимость дать доступ через канал OpenVPN к сети на стороне клиента. Если этот клиент (различаемый по cn) может устанавливать одновременно несколько соединений (что разрешает делать duplicate-cn), то как скрипт client-connect будет определять, какое из этих соединений использовать для маршрута в сеть клиента? Аналогичные вопросы - и по индивидуальным для клиента правилам межсетевого экрана. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Безопасность openvpn
On Sunday 01 March 2009 17:25:45 Nikolay A. Fetisov wrote: Насколько безопасна работа openvpn без чрута и от рута, если оно гоняется в своём собственном VE? А то есть желание поднимать файрвольные правила и рутинг поюзерно с помощью client-connect script и client-config-dir/ Особых противопоказаний нет. Работа от непривилегированного пользователя и в chroot-окружении исходя из общих соображений желательна, но не обязательна. С другой стороны, никто не мешает как разрешить запускать iptables и 'ip route' из скрипта через sudo, так и втащить их во внутрь chroot'а. Да, думал над этим. Страшит ручной труд по втаскиванию и трудности с поддержкой... До сих пор с содроганием вспоминаю свой апач в чруте на слакваре. И есть ли альтернативные варианты? Жёстко привязывать пользователей к фиксированным IPшникам не хотелось бы, из-за возможных duplicate-cn в частности. Зависит от задачи. Например, не совсем понятно, как планируется совмещать использование одинаковых сертификатов на нескольких клиентах и зависящие от конкретных клиентов правила маршрутизации. Т.е., индивидуальные маршруты в client-config-dir задаются, если есть необходимость дать доступ через канал OpenVPN к сети на стороне клиента. Если этот клиент (различаемый по cn) может устанавливать одновременно несколько соединений (что разрешает делать duplicate-cn), то как скрипт client-connect будет определять, какое из этих соединений использовать для маршрута в сеть клиента? Аналогичные вопросы - и по индивидуальным для клиента правилам межсетевого экрана. Есть пользователи, есть филиалы. Моя первоначальная мысль была - не заморачиваться с дополнительными каналами, и принимать тех и других одним и тем же каналом демона, разруливая особенности клиентскими файлами. Пользователи могут коннектиться потенциально с разных машин, для них-то и делается duplicate-cn. Рутинг на них как раз поднимать не надо, только файрвольное правило (if user=admin_vasya then iptables -s $vadmin_vasya_ip -j ACCEPT). А филиалы ожидаются по одному подключению, и им как раз необходимо возведение рутинга. Или я фигнёй страдаю и лучше всё же развести их по каналам? -- wbr, Michael A. Kangin ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Помогите разобр аться с прокси
Если 2 канала использовать просто как один основной, другой запасной, то вам надо просто 2 маршрута с разными метриками. кто куда ходил - lightsquid потребление трафика - там же, но учитывается понятное дело только трафик прошедший через squid, если у вас еще и NAT открыт, то ничего не выйдет ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Помогите разобраться с прокси
On Sunday 01 March 2009 20:36:01 Max Ivanov wrote: Если 2 канала использовать просто как один основной, другой запасной, то вам надо просто 2 маршрута с разными метриками. кто куда ходил - lightsquid потребление трафика - там же, но учитывается понятное дело только трафик прошедший через squid, если у вас еще и NAT открыт, то ничего не выйдет тогда можно использовать netams ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] порядок работы п равил в postfix
Dmitriy Kruglikov пишет: 27 февраля 2009 г. 16:19 пользователь Roman V. Tutov написал: почему-то всегда сначала отрабатывает запрос к rbl затем только фильтр check_recipient_access pcre:/etc/postfix/recipient_checks.pcre, хочется поменять порядок . это значительно уменьшит нагрузку на сервер как ? http://www.freesource.info/wiki/Dokumentacija/Postfix/antispam/restrictions; судя по доке все правильно . Правила в каждом ограничении работают в том порядке, каком они для данного ограничения прописаны – последовательно друг за другом. но у меня правила срабатывают не в том порядке в каком прописаны -- Тутов Роман Викторович ст.Системный администратор ASTON Agro Industrial Company Group Россия,344002, г.Ростов-на-Дону,Промзона Заречная ул.1-я Луговая,3 тел.: (863 2) 999049 JID:tu...@jabber.aston.ru mailto:tu...@aston.ru ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Безопасность openvpn
On Sun, 1 Mar 2009 17:57:17 +0300 Michael A. Kangin wrote: On Sunday 01 March 2009 17:25:45 Nikolay A. Fetisov wrote: Насколько безопасна работа openvpn без чрута и от рута, если оно гоняется в своём собственном VE? ... никто не мешает как разрешить запускать iptables и 'ip route' из скрипта через sudo, так и втащить их во внутрь chroot'а. ... Страшит ручной труд по втаскиванию и трудности с поддержкой... Как вариант - вытащить из chroot и оставить работать под непривилегированным пользователем. Есть пользователи, есть филиалы. Моя первоначальная мысль была - не заморачиваться с дополнительными каналами, и принимать тех и других одним и тем же каналом демона, разруливая особенности клиентскими файлами. Зависит от числа как пользователей, так и филиалов. И от того, насколько различаются требования к этим двум группам соединений. Например, филиалы должны иметь возможность общаться друг с другом через сервер OpenVPN (т.е. будет ли включён флаг client-to-client)? Если да, то и пользователи тоже смогут видеть друг друга - что, скорее всего, нежелательно. Пользователи могут коннектиться потенциально с разных машин, для них-то и делается duplicate-cn. Зачем? dublicate-cn разрешает несколько одновременных соединений с одним и и тем же сертификатом. Или пользователи могут _одновременно_ работать с разных машин? И не проще ли тем пользователям, которые действительно имеют несколько компьютеров, выдать несколько сертификатов? ... Или ... лучше всё же развести их по каналам? Зависит от числа пользователей и от того, откуда они подсоединяются. Как правило, филиалов немного, их число меняется редко - явные кандидаты на получение фиксированных IP. Пользователи же характерны тем, что выданные им права на подключения к серверу OpenVPN может потребоваться отозвать. Если пользователей немного - то им вполне можно назначать фиксированные IP через персональные файлы конфигурации в ccd/ . Дополнительно можно включить на сервере ccd-exclusive и тем самым запретить соединения от тех клиентов, для которых файлов конфигурации не существует. После этого, если надо запретить соединение от какого-либо пользователя, достаточно удалить его файл конфигурации. Если пользователей много - то может оказаться проще не создавать для каждого из них свой файл конфигурации, а отзывать сертификаты средствами SSL, через CRL. Для избранных пользователей при этом можно оставить и индивидуальные файлы настроек, они вполне уживаются с динамическим распределением адресов. Кроме того, возможно вообще потребуется отдельно поднимать сервер OpenVPN на 443/tcp, специально для тех, кто сидит за прокси-серверами. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
[Sysadmins] Подвисание console-kit-daemon
Всем привет. На боевом сервере (AMD Phenom 9600) Ядро: Linux version 2.6.18-ovz-smp-alt24 (buil...@apiary.armor.altlinux.org) (gcc version 4.1.2 20070626 (ALT Linux, build 4.1.2-alt2)) #1 SMP Tue May 6 19:11:08 MSD 2008 Замечено подвисание console-kit-daemon: PID USER PRI NI VIRT RES SHR S CPU% MEM% TIME+ Command 16677 root 25 0 166M 122M 1520 R 100. 6.1 30h03:48 /usr/sbin/console-kit-daemon Критически это ни на чём не сказывается, но настараживает. С чем это может быть связано? С уважением, Роман begin:vcard fn:Roman Savochenko n:Savochenko;Roman adr;dom:;;;Dneprodzerjinsk email;internet:rom...@diyaorg.dp.ua title:NIP DIYA tel;work:NIP DIYA tel;cell:+380679859815 x-mozilla-html:FALSE version:2.1 end:vcard ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins