OpenVPN server Mandriva 2008.1

Configurare si instalare OpenVPN

Instalam OpenVPN

# urpmi openvpn

Mutam fisierele de configurare, si apoi le configuram

# cd /etc/openvpn

# cp -r /usr/share/openvpn/easy-rsa/ /etc/openvpn/

# mkdir /etc/openvpn/client

#cp -r /usr/share/openvpn/sample-config-files/client.conf /etc/openvpn/client/

#cp -r /usr/share/openvpn/sample-config-files/server.conf /etc/openvpn/

Intram acum in folderul, „easy-rsa”  „# cd /etc/openvpn/easy-rsa”, si editam fisierul „vars”

# vi vars

Si modifcam urmatoarele linii:

export KEY_COUNTRY=RO  # Prescurtarea pen tara
export KEY_PROVINCE=B  # Oras, prima litera
export KEY_CITY=BUCHAREST  # Nume Oras Intreg
export KEY_ORG=”OpenVPN-ServerClient”  # Nume server
export KEY_EMAIL=”user@domeniu.ro” # Adresa de mail admin OpenVPN

# . ./vars

# ./clean-all

# ./build-ca

# ./build-key-server server

# ./build-dh

# openvpn –genkey –secret keys/ta.key

# ./build-key client_1

# cp keys/client_1.* ../client/

# cp keys/ca.crt ../client/

# cp keys/ta.key ../client/

In fisierul /etc/openvpn/server/conf  trebuie sa il configuram astfel:

port 1194

proto udp

dev tun

ca  /etc/openvpn/easy-rsa/keys/ca.crt

cert  /etc/openvpn/easy-rsa/keys/client.crt

key  /etc/openvpn/easy-rsa/keys/client.key    #This file should be kept secret.

dh  /etc/openvpn/easy-rsa/keys/dh1024.pem

server 10.1.2.0  255.255.255.0

push  „route 192.168.3.0 255.255.255.0”

### Atentie, activati acesta doar daca mai foloseste si altcineva cheile ca sa se conecteze la OpenVPN

duplicate-cn

keepalive 10 120

tls-auth /etc/openvpn/easy-rsa/keys/ta.key 0 # This file is secret

Default vine cu  „cipher BF-CBC        # Blowfish”, dar eu folosesc asta

cipher AES-128-CBC   # AES

persist-key
persist-tun

status openvpn-status.log

Nivelul de detalii din loguri.

verb 4

Mandriva security msec

Mandriva Security este o aplicatie care seteaza un nivel de securitate pentru sistemul linux Mandriva Linux.

Nivelurile de securitate in mandriva sunt setate pe 4 default, adica High, aceata setare este scrisa in /etc/sysconfig/msec

care la un anumit interval de timp schimba parolele la un anumit timp de obicei 60 zile, ceea ce e neplacut.

Cum poti sa modifici acest nivel, din consola la un nivel normal? Modificarea se face cu urmatoarea comanda # msec 2, unde 2 este un nivel de securitate normal, care nu poate sa iti dea un nivel de securitate prea mare.

Noi vrem sa customizam nivel de securitate dupa bunul nostru plac, si dupa serviciile pe care dorim sa le configuram intr-un anuit fel.

Aceasta customizare se face modificand fisierul /etc/security/msec/level.local daca fisierul nu exista il creem, in el trebuie sa scriem asa:

from mseclib import *

allow_remote_root_login(no)

Aceasta directiva / variabila din /etc/security/msec/level.local suprascrie nivelul de securitate cu variabila pe care o vrem noi, in cazul nostru midifica optiunea PermitRootLogin yes din /etc/ssh/ssh_config  in PermitRootLogin no, aceste modificari le face scriptul din /etc/cron.hourly/msec care se executa din ora in ora.

Pentru mai multe optiuni de scris in /etc/security/msec/level.local verifica man mseclib.

Sursa de inspiratie: msec custom