[Sysadmins] Безопасность openvpn

Вс Мар 1 17:25:45 MSK 2009

On Sun, 1 Mar 2009 13:23:45 +0300
Michael A. Kangin wrote:

> Насколько безопасна работа openvpn без чрута и от рута, если оно гоняется в 
> своём собственном VE?
> А то есть желание поднимать файрвольные правила и рутинг поюзерно с помощью 
> client-connect script и client-config-dir/

Особых противопоказаний нет. Работа от непривилегированного
пользователя и в chroot-окружении исходя из общих соображений
желательна, но не обязательна.
С другой стороны, никто не мешает как разрешить запускать iptables и 
'ip route' из скрипта через sudo, так и втащить их во внутрь chroot'а.

> И есть ли альтернативные варианты? Жёстко привязывать пользователей к 
> фиксированным IPшникам не хотелось бы, из-за возможных duplicate-cn в 
> частности.

Зависит от задачи. Например, не совсем понятно, как планируется
совмещать использование одинаковых сертификатов на нескольких клиентах
и зависящие от конкретных клиентов правила маршрутизации.

Т.е., индивидуальные маршруты в client-config-dir задаются, если есть
необходимость дать доступ через канал OpenVPN к сети на стороне клиента.
Если этот клиент (различаемый по cn) может устанавливать
одновременно несколько соединений (что разрешает делать duplicate-cn),
то как скрипт client-connect будет определять, какое из этих соединений
использовать для маршрута в сеть клиента?

Аналогичные вопросы - и по индивидуальным для клиента правилам
межсетевого экрана.

-- 
С уважением,
Николай Фетисов