Hallo, Liste!
Ich möchte OpenVPN als normale Nutzer starten, da ich, aus Sicherheitsgründen, die Konfigurationsdateien und die Keys-Dateien in einer EncFS-Directory (nicht von root lesbar!) gespeichert habe.
Ich habe folgende HowTo gefunden: http://openvpn.net/index.php/documentation/howto.html
dort ist geschrieben: ... In order to work with this configuration, OpenVPN must be configured to use iproute interface, this is done by specifying --enable-iproute2 to configure script. sudo package should also be available on your system. ...
Nun das Problem ist, daß höchstwahrscheinlich ist diese --enable-iproute2 nicht eingegeben werden während des Konfiguration (von den Ubuntu-Leute). Außer OpenVPN selber zu kompilieren (gefällt mir nicht), gibt es andere Lösungen?
Ich hätte prinzipiell kein Problem OpenVPN mit sudo zu starten, aber die EncFS-Directory ist, wie gesagt, nur von dem Nutzer selber lesbar, und auch von root nicht.
Hat jemand eine Idee?
Danke Luca Bertoncello (lucabert@lucabert.de)
Hallo,
openvpn nutzt das tap/tun device, um neue Netzwerkintefaces zu erzeugen. Soweit ich weiss ist das Erzeugen dieser tap devices nur von root möglich. openvpn kann glaube unter einem anderen nutzer laufen. Die ip Befehle (iproute2 packet) lassen sich aber nur von root nutzen, um die interfaces und routen im system zu setzen. Dabei würde sudo helfen. Aber soll openvpn alles automatisch konfigurieren, so muss irgendwo das passwort gespeichert werden auf das dann der "root" zugriff hat. Das lässt sich vermutlich nicht unterbinden.
Aber ich kenne nicht alle Tricks und so könnte es trotzdem noch einen anderen Weg geben (glaube das aber nicht).
/Stephan
Hallo, Liste!
Ich möchte OpenVPN als normale Nutzer starten, da ich, aus Sicherheitsgründen, die Konfigurationsdateien und die Keys-Dateien in einer EncFS-Directory (nicht von root lesbar!) gespeichert habe.
Ich habe folgende HowTo gefunden: http://openvpn.net/index.php/documentation/howto.html
dort ist geschrieben: ... In order to work with this configuration, OpenVPN must be configured to use iproute interface, this is done by specifying --enable-iproute2 to configure script. sudo package should also be available on your system. ...
Nun das Problem ist, daß höchstwahrscheinlich ist diese --enable-iproute2 nicht eingegeben werden während des Konfiguration (von den Ubuntu-Leute). Außer OpenVPN selber zu kompilieren (gefällt mir nicht), gibt es andere Lösungen?
Ich hätte prinzipiell kein Problem OpenVPN mit sudo zu starten, aber die EncFS-Directory ist, wie gesagt, nur von dem Nutzer selber lesbar, und auch von root nicht.
Hat jemand eine Idee?
Danke Luca Bertoncello (lucabert@lucabert.de)
Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
--------------------------------------- Dipl.Informatiker(FH) Stephan Enderlein Freifunk Dresden
Hi Stephan,
On Mon, Nov 17, 2008 at 14:55:29 +0100, Stephan Enderlein (Freifunk Dresden) wrote:
openvpn nutzt das tap/tun device, um neue Netzwerkintefaces zu erzeugen. Soweit ich weiss ist das Erzeugen dieser tap devices nur von root moeglich. openvpn kann glaube unter einem anderen nutzer laufen.
Das Erzeugen eines tun/tap Interface geht noch ohne root-Rechte, solange man passende Zugriffsrechte auf /dev/net/tun hat. Aber das resultierende Interface dann "up" zu setzen und mit einer IP-Adresse zu versehen braucht zwingend root-Rechte bzw. die Capability CAP_NET_ADMIN.
Die ip Befehle (iproute2 packet) lassen sich aber nur von root nutzen, um die interfaces und routen im system zu setzen. Dabei wuerde sudo helfen.
Ja, oder ausfuehren dieser Befehle nach tunctl in einem Initskript, wenn moeglich (siehe unten).
Aber soll openvpn alles automatisch konfigurieren, so muss irgendwo das passwort gespeichert werden auf das dann der "root" zugriff hat. Das laesst sich vermutlich nicht unterbinden.
Mit openvpn habe ich wenig Erfahrung. Wenn sich openvpn aber so wie qemu dazu ueberreden laesst, fertig vorkonfigurierte tap-Interfaces zu verwenden, kann man den Interface-Konfigteil/Routen setzen in ein Initskript auslagern und openvpn dann tatsaechlich ohne root-Rechte laufen lassen.
Die Frage ist: Lassen sich die IP-Adressen/Routen im voraus setzen, oder ergeben sie sich erst aus der openvpn-Konfiguration?
Gruss, Chris
On 17.11.08 Christian Perle (chris@linuxinfotag.de) wrote:
On Mon, Nov 17, 2008 at 14:55:29 +0100, Stephan Enderlein (Freifunk Dresden) wrote:
Moin,
Aber soll openvpn alles automatisch konfigurieren, so muss irgendwo das passwort gespeichert werden auf das dann der "root" zugriff hat. Das laesst sich vermutlich nicht unterbinden.
Mit openvpn habe ich wenig Erfahrung. Wenn sich openvpn aber so wie qemu dazu ueberreden laesst, fertig vorkonfigurierte tap-Interfaces zu verwenden, kann man den Interface-Konfigteil/Routen setzen in ein Initskript auslagern und openvpn dann tatsaechlich ohne root-Rechte laufen lassen.
OpenVPN kann und soll ohne root-Rechte laufen. Gestartet werden muß es mit root, aber in der config gibt es einen Punkt, wo man einstellen kann, daß die root-Rechte aufgegeben werden sollen und auch mit den Rechten welches Users es weiter laufen soll. Der Output beim Start zeigt aber, daß die Rechte relativ spät fallen gelassen werde, da z.B. bei mir noch Routen gesetzt werden müssen.
H.
Hi
Mit openvpn habe ich wenig Erfahrung. Wenn sich openvpn aber so wie qemu dazu ueberreden laesst, fertig vorkonfigurierte tap-Interfaces zu verwenden, kann man den Interface-Konfigteil/Routen setzen in ein Initskript auslagern und openvpn dann tatsaechlich ohne root-Rechte laufen lassen.
Die Frage ist: Lassen sich die IP-Adressen/Routen im voraus setzen, oder ergeben sie sich erst aus der openvpn-Konfiguration?
openvpn kann man so konfigurieren, dass keine ip oder routing Befehle ausgeführt werden. Der Server hat zwar in der Konfiguration ein IP Pool, aber dieser wird dann nicht verwendet. Die Interfaces müssen dann manuell konfiguriert werden. Das funktioniert ganz gut, wenn das Netz klein ist und nur eine handvoll Verbindungen zum Server aufgebaut werden. Aber ich glaube die Verwendung von sudo wäre hier ganz in Ordnung um die Interfaces zukonfigurieren, da ja nur das Zertifikat und die Schlüssel geschützt werden sollen.
Bye Stephan
lug-dd@mailman.schlittermann.de
-
Christian Perle -
Freifunk -
Hilmar Preusse -
Luca Bertoncello -
Stephan Enderlein (Freifunk Dresden)