On Sunday 01 March 2009 17:25:45 Nikolay A. Fetisov wrote: > > Насколько безопасна работа openvpn без чрута и от рута, если оно гоняется > > в своём собственном VE? > > А то есть желание поднимать файрвольные правила и рутинг поюзерно с > > помощью client-connect script и client-config-dir/ > Особых противопоказаний нет. Работа от непривилегированного > пользователя и в chroot-окружении исходя из общих соображений > желательна, но не обязательна. > С другой стороны, никто не мешает как разрешить запускать iptables и > 'ip route' из скрипта через sudo, так и втащить их во внутрь chroot'а.
Да, думал над этим. Страшит ручной труд по втаскиванию и трудности с поддержкой... До сих пор с содроганием вспоминаю свой апач в чруте на слакваре. > > И есть ли альтернативные варианты? Жёстко привязывать пользователей к > > фиксированным IPшникам не хотелось бы, из-за возможных duplicate-cn в > > частности. > Зависит от задачи. Например, не совсем понятно, как планируется > совмещать использование одинаковых сертификатов на нескольких клиентах > и зависящие от конкретных клиентов правила маршрутизации. > Т.е., индивидуальные маршруты в client-config-dir задаются, если есть > необходимость дать доступ через канал OpenVPN к сети на стороне клиента. > Если этот клиент (различаемый по cn) может устанавливать > одновременно несколько соединений (что разрешает делать duplicate-cn), > то как скрипт client-connect будет определять, какое из этих соединений > использовать для маршрута в сеть клиента? > Аналогичные вопросы - и по индивидуальным для клиента правилам > межсетевого экрана. Есть пользователи, есть филиалы. Моя первоначальная мысль была - не заморачиваться с дополнительными каналами, и принимать тех и других одним и тем же каналом демона, разруливая особенности клиентскими файлами. Пользователи могут коннектиться потенциально с разных машин, для них-то и делается duplicate-cn. Рутинг на них как раз поднимать не надо, только файрвольное правило (if user=admin_vasya then iptables -s $vadmin_vasya_ip -j ACCEPT). А филиалы ожидаются по одному подключению, и им как раз необходимо возведение рутинга. Или я фигнёй страдаю и лучше всё же развести их по каналам? -- wbr, Michael A. Kangin _______________________________________________ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins