More text

MA-Inhalt.tex

@@ -696,24 +696,27 @@ duplicate-cn
 \end{lstlisting}
 
 \paragraph{Lokale Sicherheit}
-\textbf{Client- und Serverkonfiguration}
+Auf den Betriebssystemen Linux und Mac OS kann OpenVPN nach seinem Start nicht mehr benötigte Berechtigungen abgeben und im Kontext eines lokalen Benutzers weiterlaufen.
-
+Dies kann in \textbf{Client- und Serverkonfiguration} bewerkstelligt werden.
+OpenVPN kann unter diesen Bedingungen nicht auf bestimmte Ressourcen neuen Zugriffe starten.
+Dazu gehören beispielsweise private Schlüssel für Zertifikate oder die virtuelle Netzwerkkarte.
+Damit Aktionen wie ein Neustart von OpenVPN auch ohne Privilegien funktionieren können, ist es möglich mit \texttt{persist-tun} und \texttt{persist-key} das Handle auf die virtuelle Netzwerkkarte und bereits gelesene Schlüssel im Speicher zu behalten.
 \begin{lstlisting}
 persist-tun
 persist-key
 \end{lstlisting}
-
+Dann kann über die Parameter \texttt{user} und \texttt{group} gesteuert werden, in welchem Kontext OpenVPN mit reduzierten Privilegien betrieben werden soll.
 \begin{lstlisting}
 user nobody
 group nogroup
 \end{lstlisting}
 
-\textbf{Clientkonfiguration}
+Für die \textbf{Clientkonfiguration} kann es sinnvoll sein, dass OpenVPN das Passwort, mit dem ein privater Schlüssel geschützt wurde, nicht im Speicher behält.
+Mit der folgenden Option kann OpenVPN gezwungen werden, ein solches Passwort nicht im Spicher zu halten.
 \begin{lstlisting}
 auth-nocache
 \end{lstlisting}
 
-
 \paragraph{Protokolle}
 \begin{lstlisting}
 verb 3