Nepodcenujte zabezpeceni OpenVPN!

Michal Dobes dobes na tesnet.cz
Středa Květen 24 10:56:11 CEST 2006


Lubomír Klubus napsal(a):
>> Jinak u OpenVPN se mi nepodařilo vyřešit uspokojivě jeden problém na straně
> Windows.
>> Jak rozumně OpenVPN pouštět, pokud >uživatelé mají pouze práva user.
>> Takže při klasickém OpenVPN s OpenVPN GUI jsou nahraní, neboť se jim
> nepodaří vytvořit TAP-Win32 rozhraní po spuštění t>unelu.
> 
> Nezkoušel jsem, ale snad to řeší tento dokument z openvpn webu:
> 
> http://openvpn.se/files/howto/openvpn-howto_run_openvpn_as_nonadmin.html
> 
> A hlavně program subinacl od Microsoftu
> 
> Příklad z výše uvedené stránky:
> subinacl /SERVICE "OpenVPNService" /GRANT=john=TO

Ano, tohle umožní uživateli pustit/zastavit OpenVPN službu dle přání,
dokonce s tím umělo i spolupracovat nějaké nové OpenVPN GUI. Má to zase
nepříjemné omezení, že v případě běhu jako služby musí být klíč
nechráněný heslem (dá se částečně eliminovat uložením do systémového
cert store u novějších OpenVPN). Kdo má a nemá právo pak pustit tunel
je dáno těmi nagrantovanými právy na uživatele.

	M.



Další informace o konferenci Linux