Pull to refresh

Comments 8

То есть, пока мы, в дополнение к сертификату вводим двухфакторную авторизацию, в данном случае вообще достаточно пароля от AD и больше ничего? Ну, такое :)

Авторизация через AD заменяет сертификат) У клиента все равно есть preshared key (tls-crypt или устаревшее tls-auth), без которого подключение сервер сразу отклонит (у меня такие ip сразу улетают в долгосрочный бан). Если мы выдаем всем один сертификат, что он есть, что его нет, в случае попадания конфигурации клиента к злоумышленнику, разницы не будет. От подбора паролей защищает fail2ban и мониторинг логов, в случае компрометации меняем ключ и рассылаем новый конфиг клиентам. Идея не снизить безопасность, а отказазаться от того, что ее не повысит :-) Если есть возможность выдавать всем персональный сертификат, а то и под каждое устройство, то это уже другое дело.
Двухфакторная авторизация хороший вариант, но я пока решил, что этого достаточно.
Возможно я ошибаюсь, но сертификат пользователь получает по тому же логину/паролю AD.
Сертификат пользователя по сути приватный ключ, как в ssh, например. Так что выдается заранее
Подскажите по конфе OpenVPN. Установлен сабж пару лет назад из скрипта с гитхаба. Не могу понять на сколько он безопасен. Клиенты подключаются через OpenVPNGUI и файлик *.ovpn. Файл ovpn генерится так ./newclient.sh из /etc/openvpn. Работает вроде норм, но как управлять этим чудом не пойму. Где здесь сертификаты, где ключи открытые/закрытые, как мониторить активных юзеров ума не приложу.
Слишком много вопросов, чтобы ответить в одном комментарии) Готовые скрипты вообще зло, если не понимаешь что они делают. Проще всего будет посмотреть мануалы, либо прямо по ним переставить сервер. Вот хороший мануал, хоть и несколько устаревший, там про сертификаты тоже есть. Про безопасность, стандартный конфиг, указанный почти во всех приличных мануалах, сгодится для личного использования/небольшой компании. Но я не специалист ИБ и не держу публичных OpenVPN, чтобы поделиться опытом, поэтому могу ошибаться. В целом, оф. мануал хорошо описывает все параметры, так что можете просто по ним изучить свой конфиг.
Мониторинг осуществляется либо через файл openvpn-status.log (в конфиге обычно указывается, если не указан, можно подсмотреть в любом мануале), либо через management interface, с которым можно общаться через telnet(пригодится для заббикса и всяких веб-морд с гитхаба, по умолчанию не включен и в мануалах обычно его нет)
Спасибо, методом тыка нашел то что мне надо /etc/openvpn/logs/openvpn.log — теперь можно смотреть кто подключен, а кто «ломится» с отозванным *.ovpn. И приятный бонус — видно реальные IP всех подключающихся.

Sssd очень желательно от 2.2.0 и новее. До этого была грабля с kerberos если у вас не один домен с парой DC.

Only those users with full accounts are able to leave comments. Log in, please.