+ Responder ao Tópico



  1. #1

    Question Administrando clientes do OpenVpn

    Olá amigos,

    O OpenVpn cria uma interface virtual no sistema assim todos os usuários que estão conectados no cliente podem acessar o servidor ou outros clientes da VPN, depende da configuração.

    Código :
    tun0       Encapsulamento do Link: Não Especificado  Endereço de HW 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
              inet end.: 10.8.0.6  P-a-P:10.8.0.5  Masc:255.255.255.255
              UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Métrica:1
              RX packets:14 errors:0 dropped:0 overruns:0 frame:0
              TX packets:13 errors:0 dropped:0 overruns:0 carrier:0
              colisões:0 txqueuelen:100
              RX bytes:2457 (2.3 KiB)  TX bytes:1723 (1.6 KiB)

    Mas tipo se eu tenho o openvpn configurado como cliente em um determinada máquina, como posso gerenciar quem tem acesso a esta interfdace virtual, por exemplo: O usuário fulano senta na frente do PC e ele tem pode acessar a VPN, isto é, ele tem acesso a interface tun0, contudo o usuário Beltrano não tivesse acesso a interface tun0.
    Eu pensei em regras de iptables, onde somente o usuario com ID determinada poderia ter acesso à interface. Seria uma solução.
    Alguem já passou por isso? ou algo parecido?

    Ab, Duca.

  2. #2

    Padrão

    Boa tarde Já montei algumas VPNs,,,, porem nunca precisei fazer controle por usuários, porem lendo o man do OPENVPN, percebi que existe um parâmetro
    '--user' e até '--group',,,,, de uma olhada neles.... quem sabe da pra fazer o que você precisa....


    se der certo posta aew as conf....



    falows...



  3. #3

    Arrow

    E ae !

    Não cara, eu já li sobre essas opções, é uma forma de baixar os privilégios do openvpn:

    --user user
    Change the user ID of the OpenVPN process to user after initialization, dropping privileges in the process.
    This option is useful to protect the system in the event that some hostile party was able to gain control
    of an OpenVPN session. Though OpenVPN’s security features make this unlikely, it is provided as a second
    line of defense.

    By setting user to nobody or somebody similarly unprivileged, the hostile party would be limited in what
    damage they could cause. Of course once you take away privileges, you cannot return them to an OpenVPN
    session. This means, for example, that if you want to reset an OpenVPN daemon with a SIGUSR1 signal (for
    example in response to a DHCP reset), you should make use of one or more of the --persist options to ensure
    that OpenVPN doesn’t need to execute any privileged operations in order to restart (such as re-reading key
    files or running ifconfig on the TUN device).

    --group group
    Similar to the --user option, this option changes the group ID of the OpenVPN process to group after ini‐
    tialization.
    Ab, Duca.