Категорія: Security

Після одного оновлення один з клієнтів перестав підключатися по ssh до серверу. Враховуючи, що клієнт – це ПЗ закритого типу і з його сторони ми нічого не можемо вдіяти, прийшлося розбиратися зі сторони серверу. Включаємо debug в /etc/ssh/sshd_config:

SyslogFacility AUTH
LogLevel DEBUG

і бачимо в логах таке:

Розглянемо лише ту частину яка стосується авторизації у LDAP. Отже в конфіг серверу додаємо таке

username-as-common-name
plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth/ldap.conf

Перший рядок каже, що login такий самий, як у LDAP’і, а другий – підключає відповідний модуль авторизації. А тепер налаштування для модулю авторизації /etc/openvpn/auth/ldap.conf:

Зараз все частіше доводиться генерувати саме ovpn файли, де все вже в середині (і конфіг і сертифікати). Нижче буде коротке how-to для випадку, коли треба зробити це для 10 чи 20 логінів.

Коротка замітка на тему, як бути, якщо так сталося якщо треба зробити revoke при тому, що 2 сертифіката мають однакове імʼя: так вийшло, що 24.pem, 67.pem мають один і той же CN=user123. Як же зробити revoke обом? Просто “штучно створюємо” новий сертифікат і одразу робимо revoke:

# cp 24.pem -> newname.crt && cd .. && ./revoke-full newname

Інколи, виникає така помилка. Як не дивно, то методи вирішення прості: додаємо такі рядки в кінець файлу var і знову перечитуємо environment:

KEY_CN="$1"
FN="$KEY_CN"
KEY_NAME="$KEY_CN"
KEY_OU="$KEY_CN"
export CA_EXPIRE KEY_EXPIRE KEY_OU KEY_NAME KEY_CN PKCS11_MODULE_PATH PKCS11_PIN

# source ./vars

Виникло завдання зробити зовнішлю авторизацію через LDAP для сервіса, який її не підтримував, зате підтримував авторизацію через Radius. А у radius’a виявився модуль LDAP.

Тестовий стенд: Debian Linux 11.6 + Freeradius.

Нам знадобляться пакети freeradius-ldap, freeradius-utils (для локального тесту через утиліту radtest).

Сейчас всё чаще сервера подключают сразу к нескольким провайдерам. Поэтому, остро стоит проблема корректной работы сервисов, неважно к какому из каналов сервера вы подключились. У OpenVPN для этого есть несколько “хаков”.

Разница между tls-auth и tls-crypt заключается в том, что, начиная с шага 1, tls-crypt будет шифровать все сообщения с помощью предварительного общего ключа.

Это обеспечивает несколько преимуществ:

1. Он скрывает инициализацию рукопожатия TLS с сервером OpenVPN. Это полезно в некоторых ситуациях, когда подпись протокола OpenVPN обнаружена и заблокирована.
2. Это предотвращает атаки отказа в обслуживании TLS. С помощью tls-auth злоумышленник может одновременно открыть тысячи соединений TLS, но не может предоставить действительный сертификат, что приводит к заклиниванию доступных портов. С tls-crypt сервер отклонил бы соединение заранее на шаге 1.
3. Данные шифруются дважды, один раз с помощью tls-crypt и один раз сессией TLS.

Для более детального “погружения” рекомендую посмотреть это

PS. Заметка не моя, взята на просторах сети.