Вопросы Теги

Идеи для обеспечения OpenVPN на маршрутизаторе OpenWrt

Я рекомендовал бы использовать rsync от родителя:

rsync -avPr -b --suffix='-original' child/* .

который скопирует все существующие дубликаты файлов в родителе к исходному файлом.

2
08.03.2011, 17:39
1 ответ

OpenVPN разработан, чтобы быть безопасным. Это только позволит клиентам, которым подписали ключи Вы. Самая важная вещь сохраняет закрытые ключи безопасными. Всегда шифруйте их на клиентах и проверяйте полномочия на файле ключей на сервере. Не сохраняйте закрытые ключи CA на сервере, ему не нужны они. Зашифруйте его, поместил его на pendrive и защищают его.

Сканеры портов не испытают никаких затруднений при нахождении сервера на любом порте, но они не смогут использовать его. Если Вы знаете, что будете только использовать его от ограниченного набора IP-адресов, затем любой ценой отключают все остальное с iptables. Однако большинство людей склонно использовать его от переменных местоположений, например, с ноутбуком. Вы могли автоматически запретить дюйм/с, которые пробуют недопустимые ключи, но bruteforcing RSA ключи как это неосуществим так или иначе.

Если ключи безопасны затем, самый большой риск является некоторой ошибкой в реализации OpenVPN, которая делает это уязвимым для нападений. Если это происходит, взломщик может выполнить произвольный код с полномочиями серверного процесса OpenVPN. Можно уменьшить эффект этого вида нападения, не выполнив сервер как корень. Добавьте это к своей конфигурации сервера:

user nobody
group nobody

Ваш файл конфигурации, кажется, использует другой синтаксис затем мой, но что-то вроде этого должно поддерживаться. Можно попробовать патч grsecurity за ядро, но я не уверен, что это работает над встроенными системами, и это было бы действительно плохо при создании этого незагрузочным случайно. Это делает ошибки выполнения произвольного кода тяжелее для использования.

Можно также увеличить размеры ключа. Ключи на 1 024 бита уже могут стать вскрываемыми в ближайшем будущем если не. Обязательно не генерируйте их с OpenSSL Debian.:)

Это - мое личное мнение, что фильтрация MAC-адреса абсолютно бесполезна. Легко фальсифицировать, и допустимые могут быть найдены легко. Используйте WPA2 CCMP со случайным ключом 63 байта длиной, и необходимо быть в порядке. Не позволяйте людям включить случайные кабели.

Я знаю, что нет многого ресурсов, доступных в маршрутизаторах, но можно попытаться регистрироваться. Я почти уверен, что не будет достаточного количества пространства на маршрутизаторе так журнал к другому хосту. Системный-журнал-ng может сделать это легко, я не знаю, как легкий это должно установить его на маршрутизаторе.

4
27.01.2020, 22:01
  • 1
    в моем практическом руководстве, "ca.key" не нужен на сервере? это - файл, в котором я не нуждаюсь после движения хотя полное практическое руководство? –  LanceBaynes 08.03.2011, 22:41
  • 2
    я просто должен подкачать 1024 к, например: 8192 в этом?: "время openssl dhparam-/etc/openvpn/dh1024.pem 1024"? –  LanceBaynes 08.03.2011, 22:42
  • 3
    @user4724: ca.key только необходим при подписании сертификатов. После этого только ca.crt необходим. Обратите внимание, что Вы не должны подписывать ключи на сервере, можно сделать это на любом другом компьютере. –  stribika 08.03.2011, 23:23
  • 4
    @user4724: openssl req команды также генерируют ключи на 1 024 бита по умолчанию. Использовать openssl genrsa -out server.key 4096 и openssl req -new -key server.key -out server.csr. –  stribika 08.03.2011, 23:23
  • 5
    Вы подразумеваете, что я должен изменить его в 3 местах: pastebin.com/raw.php?i=KXDG4ASZ является этой pastebin строкой, хорошей для использования 8196 битов?спасибо! –  LanceBaynes 09.03.2011, 09:00

Теги

Похожие вопросы