diff --git a/MA-Inhalt.tex b/MA-Inhalt.tex index b685c0b..24328a4 100644 --- a/MA-Inhalt.tex +++ b/MA-Inhalt.tex @@ -443,7 +443,6 @@ Das EasyRSA-Paket wird unterhalb von \texttt{/root} ausgepackt und für den Eins \paragraph{Berechtigungen} Durch die Platzierung der CA unterhalb von \texttt{/root} kann nur der Benutzer \texttt{root} die Zertifizierungsstelle benutzen und auf den privaten Schlüssel des Wurzelzertifikats zugreifen. -Die Zugriffskontrolle lässt sich somit einfach gestalten: Lokale Benutzer können über \texttt{sudo} für die Benutzung der CA berechtigt werden. Zusätzlich können direkte Zugriffsrechte durch die Verwendung von SSH-Schlüsseln für den \texttt{root}-Login verteilt werden. @@ -451,14 +450,20 @@ Gleichzeitig beinhaltet der \texttt{root}-Benutzer eine Warnfunktion: Die Berech Auch die regelmäßige Kontrolle aller erteilten Berechtigungen und die überlegte Erteilung von Berechtigungen soll zusätzlich motiviert werden. \paragraph{Öffentliche Daten} -Damit die CA durch VPN-Benutzer korrekt verwendet werden kann, müssen einzelne Dateien für die Benutzer einfach abgerufen werden können. -Neben dem CA-Wurzelzertifikat und der jeweils aktuellen Version der CRL benötigen Benutzer eine vorkonfigurierte Version des EasyRSA-Pakets zur Erzeugung von Zertifikatsanträgen. -Um diese Daten zur Verfügung zu stellen, wird auf der virtuellen Maschine mit \texttt{apache2} ein einfacher Webserver installiert, welcher mit einer minimalen Konfiguration ausschließlich das für diesen Zweck erzeugte Verzeichnis \texttt{/public} über HTTP ausliefert. +Damit die CA durch VPN-Benutzer verwendet werden kann, müssen bestimmte Dateien für VPN-Benutzer verfügbar gemacht werden. +Neben dem Wurzelzertifikat der CA und der aktuellen CRL benötigen Benutzer eine vorkonfigurierte Version des EasyRSA-Pakets zur Erzeugung von Zertifikatsanträgen. +Um diese Daten zur Verfügung zu stellen, wird auf der virtuellen Maschine der Webserver \texttt{apache2} installiert, welcher ausschließlich das für diesen Zweck erzeugte Verzeichnis \texttt{/public} über HTTP ausliefern soll. -Alle in \texttt{/public} platzierten Dateien und Verzeichnisse gehören dem Benutzer \texttt{root} und der Gruppe \texttt{root}. Alle Dateien werden mit den Dateirechten \texttt{444} versehen, Verzeichnisse erhalten die Rechtemaske \texttt{555}. -Dadurch werden einfache Manipulationen durch nichtprivilegierte, lokale Benutzer verhindert. +Alle in \texttt{/public} platzierten Dateien und Verzeichnisse gehören dem Benutzer \texttt{root} und der Gruppe \texttt{root}. +Alle Dateien werden mit den Dateirechten \texttt{444} versehen, Verzeichnisse erhalten die Rechtemaske \texttt{555}. +Dadurch werden Manipulationen durch nichtprivilegierte, lokale Benutzer verhindert. Gleichzeitig signalisieren die Dateirechte, dass die Inhalte unter \texttt{/public} nur durch \texttt{root} verändert werden dürfen und für alle anderen lediglich lesbar zur Verfügung stehen sollen. +Die Veröffentlichung von Konfigurationsdateien und Anleitungen für VPN-Benutzer kann über diesen Webserver ebenfalls stattfinden. + +\paragraph{Aktualisierung der CRL} +Damit der OpenVPN-Server immer Zugriff auf eine aktuelle CRL hat, wird ein Cronjob via \texttt{crontab -e} unter dem Benutzer \texttt{root} eingerichtet, der über die EasyRSA-Skripte eine neue CRL erzeugt und diese anschließend mit den zuvor erläuterten Dateirechten in \texttt{/public} platziert. + \chapter{Einrichtung des VPN-Servers} \label{cpt:setup_server} Nachdem das Konzept für die Benutzerverwaltung für den VPN-Dienst fertiggestellt ist und die zu verwendende VPN-Software gewählt wurde, kann nun mit der Einrichtung des VPN-Servers begonnen werden.