JPT
/
masterthesis
0
0
Fork 0
Code Issues Pull Requests Activity

Autosave

This commit is contained in:
Jan Philipp Timme 2018-10-09 12:02:17 +02:00
parent eaa60ca4e8
commit 2ef02331d4
1 changed files with 11 additions and 6 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

17
MA-Inhalt.tex
View File

@ -443,7 +443,6 @@ Das EasyRSA-Paket wird unterhalb von \texttt{/root} ausgepackt und für den Eins
\paragraph{Berechtigungen}
Durch die Platzierung der CA unterhalb von \texttt{/root} kann nur der Benutzer \texttt{root} die Zertifizierungsstelle benutzen und auf den privaten Schlüssel des Wurzelzertifikats zugreifen.
Die Zugriffskontrolle lässt sich somit einfach gestalten:
Lokale Benutzer können über \texttt{sudo} für die Benutzung der CA berechtigt werden.
Zusätzlich können direkte Zugriffsrechte durch die Verwendung von SSH-Schlüsseln für den \texttt{root}-Login verteilt werden.
@ -451,14 +450,20 @@ Gleichzeitig beinhaltet der \texttt{root}-Benutzer eine Warnfunktion: Die Berech
Auch die regelmäßige Kontrolle aller erteilten Berechtigungen und die überlegte Erteilung von Berechtigungen soll zusätzlich motiviert werden.
\paragraph{Öffentliche Daten}
Damit die CA durch VPN-Benutzer korrekt verwendet werden kann, müssen einzelne Dateien für die Benutzer einfach abgerufen werden können.
Neben dem CA-Wurzelzertifikat und der jeweils aktuellen Version der CRL benötigen Benutzer eine vorkonfigurierte Version des EasyRSA-Pakets zur Erzeugung von Zertifikatsanträgen.
Um diese Daten zur Verfügung zu stellen, wird auf der virtuellen Maschine mit \texttt{apache2} ein einfacher Webserver installiert, welcher mit einer minimalen Konfiguration ausschließlich das für diesen Zweck erzeugte Verzeichnis \texttt{/public} über HTTP ausliefert.
Damit die CA durch VPN-Benutzer verwendet werden kann, müssen bestimmte Dateien für VPN-Benutzer verfügbar gemacht werden.
Neben dem Wurzelzertifikat der CA und der aktuellen CRL benötigen Benutzer eine vorkonfigurierte Version des EasyRSA-Pakets zur Erzeugung von Zertifikatsanträgen.
Um diese Daten zur Verfügung zu stellen, wird auf der virtuellen Maschine der Webserver \texttt{apache2} installiert, welcher ausschließlich das für diesen Zweck erzeugte Verzeichnis \texttt{/public} über HTTP ausliefern soll.
Alle in \texttt{/public} platzierten Dateien und Verzeichnisse gehören dem Benutzer \texttt{root} und der Gruppe \texttt{root}. Alle Dateien werden mit den Dateirechten \texttt{444} versehen, Verzeichnisse erhalten die Rechtemaske \texttt{555}.
Dadurch werden einfache Manipulationen durch nichtprivilegierte, lokale Benutzer verhindert.
Alle in \texttt{/public} platzierten Dateien und Verzeichnisse gehören dem Benutzer \texttt{root} und der Gruppe \texttt{root}.
Alle Dateien werden mit den Dateirechten \texttt{444} versehen, Verzeichnisse erhalten die Rechtemaske \texttt{555}.
Dadurch werden Manipulationen durch nichtprivilegierte, lokale Benutzer verhindert.
Gleichzeitig signalisieren die Dateirechte, dass die Inhalte unter \texttt{/public} nur durch \texttt{root} verändert werden dürfen und für alle anderen lediglich lesbar zur Verfügung stehen sollen.
Die Veröffentlichung von Konfigurationsdateien und Anleitungen für VPN-Benutzer kann über diesen Webserver ebenfalls stattfinden.
\paragraph{Aktualisierung der CRL}
Damit der OpenVPN-Server immer Zugriff auf eine aktuelle CRL hat, wird ein Cronjob via \texttt{crontab -e} unter dem Benutzer \texttt{root} eingerichtet, der über die EasyRSA-Skripte eine neue CRL erzeugt und diese anschließend mit den zuvor erläuterten Dateirechten in \texttt{/public} platziert.
\chapter{Einrichtung des VPN-Servers} \label{cpt:setup_server}
Nachdem das Konzept für die Benutzerverwaltung für den VPN-Dienst fertiggestellt ist und die zu verwendende VPN-Software gewählt wurde, kann nun mit der Einrichtung des VPN-Servers begonnen werden.