Autosave
This commit is contained in:
parent
eaa60ca4e8
commit
2ef02331d4
@ -443,7 +443,6 @@ Das EasyRSA-Paket wird unterhalb von \texttt{/root} ausgepackt und für den Eins
|
||||
|
||||
\paragraph{Berechtigungen}
|
||||
Durch die Platzierung der CA unterhalb von \texttt{/root} kann nur der Benutzer \texttt{root} die Zertifizierungsstelle benutzen und auf den privaten Schlüssel des Wurzelzertifikats zugreifen.
|
||||
Die Zugriffskontrolle lässt sich somit einfach gestalten:
|
||||
Lokale Benutzer können über \texttt{sudo} für die Benutzung der CA berechtigt werden.
|
||||
Zusätzlich können direkte Zugriffsrechte durch die Verwendung von SSH-Schlüsseln für den \texttt{root}-Login verteilt werden.
|
||||
|
||||
@ -451,14 +450,20 @@ Gleichzeitig beinhaltet der \texttt{root}-Benutzer eine Warnfunktion: Die Berech
|
||||
Auch die regelmäßige Kontrolle aller erteilten Berechtigungen und die überlegte Erteilung von Berechtigungen soll zusätzlich motiviert werden.
|
||||
|
||||
\paragraph{Öffentliche Daten}
|
||||
Damit die CA durch VPN-Benutzer korrekt verwendet werden kann, müssen einzelne Dateien für die Benutzer einfach abgerufen werden können.
|
||||
Neben dem CA-Wurzelzertifikat und der jeweils aktuellen Version der CRL benötigen Benutzer eine vorkonfigurierte Version des EasyRSA-Pakets zur Erzeugung von Zertifikatsanträgen.
|
||||
Um diese Daten zur Verfügung zu stellen, wird auf der virtuellen Maschine mit \texttt{apache2} ein einfacher Webserver installiert, welcher mit einer minimalen Konfiguration ausschließlich das für diesen Zweck erzeugte Verzeichnis \texttt{/public} über HTTP ausliefert.
|
||||
Damit die CA durch VPN-Benutzer verwendet werden kann, müssen bestimmte Dateien für VPN-Benutzer verfügbar gemacht werden.
|
||||
Neben dem Wurzelzertifikat der CA und der aktuellen CRL benötigen Benutzer eine vorkonfigurierte Version des EasyRSA-Pakets zur Erzeugung von Zertifikatsanträgen.
|
||||
Um diese Daten zur Verfügung zu stellen, wird auf der virtuellen Maschine der Webserver \texttt{apache2} installiert, welcher ausschließlich das für diesen Zweck erzeugte Verzeichnis \texttt{/public} über HTTP ausliefern soll.
|
||||
|
||||
Alle in \texttt{/public} platzierten Dateien und Verzeichnisse gehören dem Benutzer \texttt{root} und der Gruppe \texttt{root}. Alle Dateien werden mit den Dateirechten \texttt{444} versehen, Verzeichnisse erhalten die Rechtemaske \texttt{555}.
|
||||
Dadurch werden einfache Manipulationen durch nichtprivilegierte, lokale Benutzer verhindert.
|
||||
Alle in \texttt{/public} platzierten Dateien und Verzeichnisse gehören dem Benutzer \texttt{root} und der Gruppe \texttt{root}.
|
||||
Alle Dateien werden mit den Dateirechten \texttt{444} versehen, Verzeichnisse erhalten die Rechtemaske \texttt{555}.
|
||||
Dadurch werden Manipulationen durch nichtprivilegierte, lokale Benutzer verhindert.
|
||||
Gleichzeitig signalisieren die Dateirechte, dass die Inhalte unter \texttt{/public} nur durch \texttt{root} verändert werden dürfen und für alle anderen lediglich lesbar zur Verfügung stehen sollen.
|
||||
|
||||
Die Veröffentlichung von Konfigurationsdateien und Anleitungen für VPN-Benutzer kann über diesen Webserver ebenfalls stattfinden.
|
||||
|
||||
\paragraph{Aktualisierung der CRL}
|
||||
Damit der OpenVPN-Server immer Zugriff auf eine aktuelle CRL hat, wird ein Cronjob via \texttt{crontab -e} unter dem Benutzer \texttt{root} eingerichtet, der über die EasyRSA-Skripte eine neue CRL erzeugt und diese anschließend mit den zuvor erläuterten Dateirechten in \texttt{/public} platziert.
|
||||
|
||||
|
||||
\chapter{Einrichtung des VPN-Servers} \label{cpt:setup_server}
|
||||
Nachdem das Konzept für die Benutzerverwaltung für den VPN-Dienst fertiggestellt ist und die zu verwendende VPN-Software gewählt wurde, kann nun mit der Einrichtung des VPN-Servers begonnen werden.
|
||||
|
Loading…
Reference in New Issue
Block a user