On Sun, 1 Mar 2009 13:23:45 +0300 Michael A. Kangin wrote: > Насколько безопасна работа openvpn без чрута и от рута, если оно гоняется в > своём собственном VE? > А то есть желание поднимать файрвольные правила и рутинг поюзерно с помощью > client-connect script и client-config-dir/
Особых противопоказаний нет. Работа от непривилегированного пользователя и в chroot-окружении исходя из общих соображений желательна, но не обязательна. С другой стороны, никто не мешает как разрешить запускать iptables и 'ip route' из скрипта через sudo, так и втащить их во внутрь chroot'а. > И есть ли альтернативные варианты? Жёстко привязывать пользователей к > фиксированным IPшникам не хотелось бы, из-за возможных duplicate-cn в > частности. Зависит от задачи. Например, не совсем понятно, как планируется совмещать использование одинаковых сертификатов на нескольких клиентах и зависящие от конкретных клиентов правила маршрутизации. Т.е., индивидуальные маршруты в client-config-dir задаются, если есть необходимость дать доступ через канал OpenVPN к сети на стороне клиента. Если этот клиент (различаемый по cn) может устанавливать одновременно несколько соединений (что разрешает делать duplicate-cn), то как скрипт client-connect будет определять, какое из этих соединений использовать для маршрута в сеть клиента? Аналогичные вопросы - и по индивидуальным для клиента правилам межсетевого экрана. -- С уважением, Николай Фетисов _______________________________________________ Sysadmins mailing list [email protected] https://lists.altlinux.org/mailman/listinfo/sysadmins
