OpenBSD-Wiki - Вклад участника [ru]

Алгоритм Rsync

2013-07-15T13:02:26Z

Nordwind: /* Поиск сигнатур */

:Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru] 

==Для чего он нужен?==

Современные средства и протоколы удалённого копирования файлов (например, http, ftp, rcp), каждый раз полностью пересылают данные, несмотря на возможно уже существующею старую версию этих данных. Хотя и возможно воссоздать только изменения, например, с помощью утилиты diff, если существует старая копия наряду с новой, и тем самым пересылать только изменения, но в практике это не всегда удобно и часто приводит к ошибкам.

Задачи алгоритма <tt>rsync</tt>:

# Он должен работать с произвольными данными, не только с обычным текстом.
# Размер передаваемых данных должен быть примерно равен размеру diff файла.
# Он должен быстро работать с большими файлами.
# Алгоритм не должен иметь какие-либо предварительные знания о статусе этих файлов, но должен эффективно находить их возможные сходства.
# Использовать мало ресурсов.

Представим, что у нас имеются файлы '''A''' и '''B''', и мы хотим обновить '''B''' таким образом, чтобы его содержимое было идентично содержимому файла '''A'''. Самый простой и очевидный способ — это скопировать '''A''' в '''B'''.

Теперь представим, что эти файлы находятся на двух разных машинах, соединённых медленным каналом связи, например, с помощью <tt>dialup</tt> модема. Если файл '''A''' большой, копирование '''A''' в '''B''' будет происходить очень медленно. Чтобы сделать это быстрее, мы можем сжать '''A''', перед тем как пересылать его. Но обычный коэффициент сжатия колеблется от 2 до 4, что так же не подойдёт для нашей медленной связи.

Предположим, что файлы '''A''' и '''B''' почти одинаковы (возможно, оба были получены из одного общего файла). Для увеличения производительности копирования мы можем воспользоваться преимуществом их сходства. Обычное решение этой проблемы заключается в том, чтобы пересылать только изменения между файлами '''A''' и '''B''' и затем использовать их для реконструкции фала '''B'''.

Но проблема в том, что для получения этих изменений необходимо иметь возможность чтения обоих файлов. Поэтому нам нужно иметь оба файла на одной из сторон нашего соединения. В противном случае, этот алгоритм использоваться не может. Для решения этой проблемы и был разработан алгоритм <tt>rsync</tt>.

== Алгоритм ==

'''Общий алгоритм'''

На двух разных компьютерах ''Alpha'' и ''Beta'', соединённых медленным каналом связи (например, через модем), находятся два файла '''A''' и '''B'''.

Структура алгоритма:

# ''Beta'' отсылает некоторые данные '''S''' на компьютер ''Alpha''
# ''Alpha'' сравнивает эти данные с файлом '''A''' и отсылает некоторые данные '''D''' на компьютер ''Beta''
# ''Beta'' создаёт копию файла '''A''' на основе файла '''B''', данных '''S''' и '''D'''

Главный вопрос в том, какую форму примут данные '''S''', как компьютер ''Alpha'' будет использовать '''S''' для сопоставления с файлом '''A''', и как ''Beta'' будет реконструировать ''A''.

'''Алгоритм <tt>rsync</tt>'''

Алгоритм <tt>rsync</tt>:

# ''Beta'' разбивает файл '''B''' на блоки длиной '''L''' (последний блок может быть меньше '''L'''байт) и вычисляет две сигнатуры '''Rb''' и '''Sb''' для каждого блока, после чего пересылает эти сигнатуры к ''Alpha''.
# ''Alpha'' вычисляет сигнатуры ''Ra'' для блоков длиной '''L''' для каждого байтового смещения. После чего сравнивает их с '''Rb'''.
# Для блоков, чьи '''R''' сигнатуры совпали, ''Alpha'' вычисляет '''Sa''' и сравнивает с '''Sb'''.
# Если '''S''' сигнатуры совпадают, ''Alpha'' отсылает уведомление с номером совпавшего блока, в противном случае ''Alpha'' пересылает один байт.
# ''Beta'' получает номера совпавших блоков из '''B''' или одиночные байты из файла '''A''' и на основе этих данных создаёт копию файла '''A'''.

Важно понимать, что ключом алгоритма является создание двух сигнатур — быстрой и стойкой. Быстрая ('''R''') используется как фильтр (на компьютере ''Alpha'' она вычисляется для каждого байтового смещения!). Стойкая (''S'') используется для более точной проверки.
[[File:http://www.openbsd.pw/files/openbsd_ru/docs/images/rsync.gif|link=http://www.openbsd.pw/files/openbsd_ru/docs/images/rsync.gif|Алгоритм rsync]]
Алгоритм rsync

== Стойкая сигнатура ==

Стойкая сигнатура может не быть быстрой, так как вычисляется только при совпадении простой, быстрой сигнатуры. Главным свойством стойкой сигнатуры должна быть минимальная вероятность отказа, иначе говоря, наличие одной и той же сигнатуры для двух разных блоков.

Существует множество алгоритмов с такими свойствами, возможно, наиболее известный — это алгоритм хеширования ''Message Digest''. Он часто используется в криптографических программах.

== Быстрая сигнатура ==

Быстрая сигнатура очень важна для эффективности алгоритма <tt>rsync</tt>. Она работает как фильтр, предотвращая вычисление стойкой сигнатуры. Основная задача быстрой сигнатуры — это максимально быстрое её вычисление для каждого байтового смещения в файле.

Первоначально для создания быстрой сигнатуры в <tt>rsync</tt> было опробовано простое склеивание первых и последних 4 байт блока. Хотя такой алгоритм, в принципе, работал, но был выявлен его серьёзный недостаток. Для определённых типов данных, например, для <tt>tar</tt> файла, он слишком часто создавал одинаковые сигнатуры для разных частей файла, что приводило к многократному вычислению стойкой сигнатуры и, как следствие, падению производительности всего алгоритма.

Это привело к необходимости выбора нового алгоритма для вычисления быстрой сигнатуры, значение которого зависело бы от всех байт блока, но при этом вычисление оставалось таким же простым и быстрым. Им стал алгоритм, похожий на <tt>adler32 от Марка Адлера. <tt>Adler32</tt> — алгоритм расчёта контрольных сумм, похожий на довольно распространённый алгоритм CRC32, но при этом более быстрый.

== Поиск сигнатур ==

Для эффективности поиска используется хеширование быстрой сигнатуры и трехуровневый поиск. Ключом хеш-функции является значение 32-x битной сигнатуры, а значением — сумма двух её (16-ти битных) половин.

Поиск сигнатур
<gallery>
Файл:search.gif |Поиск сигнатур
</gallery>
Поиск сигнатур

На первом уровне формируется хеш-таблица размером в 2^16 элементов. Ключом хеш-функции является быстрая 32 битная сигнатура. Для каждой пары быстрой и стойкой сигнатуры, полученной от Beta, вычисляется 16 битный хеш 32 битной сигнатуры, после чего все это сортируется согласно 16 битному хешу. Каждый элемент хеш-таблицы указывает на первый элемент сортированных сигнатур, хеш значения которых совпадают, либо хранит в себе NULL, если сигнатур с таким хешом нет. Номер элемента хеш-таблицы соответствует значению хеш-функции, а именно сумме двух половин быстрой 32 битной сигнатуры.

Затем для каждого байтового смещения вычисляется быстрая 32 битная сигнатура и 16 битное хеш-значение. Если элемент хеш-таблицы для этого хеш-значения не равен NULL, алгоритм поиска переходит на следующий уровень.

На втором уровне происходит линейный поиск по сортированному списку сигнатур, начиная с элемента, указанного в хеш-таблице. Мы ищем быструю 32 битную сигнатуру, чьё значение совпадает с необходимым нам значением. Поиск прекращается при первом же несовпадении 16 битной сигнатуры. Если мы нашли такую 32 битную сигнатуру, алгоритм переходит на следующий уровень.

На третьем уровне происходит вычисление стойкой сигнатуры для текущего смещения в файле и сравнение его со значением стойкой сигнатуры в сортированном списке. При совпадении предполагается, что мы нашли блок в файле '''A''', который есть в файле '''B'''. Фактически, блоки могут быть различны, но вероятность этого очень мала.

При совпадении блоков ''Alpha'' отсылает ''Beta'' данные из файла '''A''' между текущим смещением и предыдущим совпадением, а также индекс совпавшего блока, который есть в '''B'''. Эти данные отсылаются сразу же при нахождении совпадения.

Если совпадения найдено не было для текущего смещения в файле '''A''', вычисляется быстрая сигнатура для следующего байтового смещения и процедура поиска повторяется. При совпадении смещение увеличивается на размер совпавшего блока, и поиск продолжается.

== Реконструкция файла ==

Одна из простых частей алгоритма <tt>rsync</tt> — реконструкция файла. После того, как компьютер ''Beta'' отсылает сигнатуры, ''Alpha'' присылает байты из файла '''A''' или сообщения, которые содержат номера совпавших блоков.

Для реконструкции файла '''B''' нам необходимо последовательно вписывать полученные байты в файл и при получении сообщения о совпавшем блоке вписывать целый блок из старого файла. Реконструкция не производится непосредственно в старом файле, так как нам необходим произвольный доступ к старым данным. Для реконструкции создаётся временный файл, который затем переименовывается.

== Конвейерная обработка ==

Важным фактором быстродействия является задержка между пересылаемыми файлами. Обычно используемые протоколы передачи данных, такие как <tt>ftp</tt>, <tt>rcp</tt> или <tt>rdist</tt> обрабатывают каждый файл как отдельную операцию, тем самым ожидая подтверждения о доставке текущего файла, перед тем как обрабатывать следующий.

При использовании большого количества маленьких файлов (например, обычное зеркалирование Web-сайта) для пересылки через Internet, это время ожидания может сыграть роковую роль. Чтобы избежать этого, мы можем пересылать, не ожидая подтверждения. Этот метод также известен, как конвейерная обработка.

Схема конвейерной обработки
<gallery>
Файл:pipe.gif |Схема конвейерной обработки
</gallery>

Процесс разбивается на 3 части — <tt>Generator</tt>, <tt>Sender</tt> и <tt>Receiver</tt>. <tt>Generator</tt> запускается на компьютере ''Beta'' и генерирует сигнатуры для всех файлов, которые необходимо переслать, и отсылает эти сигнатуры к ''Alpha''. <tt>Sender</tt>, запущенный на ''Alpha'' получает сигнатуры и отсылает сообщения о совпавших блоках или целые байты ''Beta''. <tt>Receiver</tt>, запущенный на ''Beta'', реконструирует файл, после чего он связывается с <tt>Generator</tt>, чтобы сообщить об успешной передачи файла, либо передать ему, что определённый файл необходимо обработать заново.

== Заключение ==

Алгоритм rsync предоставляет эффективное решение проблемы удалённого обновления файлов. Метод двух сигнатур, используемый в алгоритме, позволяет эффективно находить совпадения на любом смещении файла. Алгоритм гарантирует точность передачи, подтверждая подлинность блока стойкой сигнатурой.
Используемая литература

# [http://rsync.samba.org/tech_report/ Rsync technical report]. Andrew Tridgell и Paul Mackerras. 1998г.
# [http://www.samba.org/~tridge/phd_thesis.pdf Efficient Algorithms for Sorting and Synchronization]. Andrew Tridgell. 2000г.
# [http://www.gzip.org/zlib/zlib_tech.html Zlib Technical Details]. Jean-loup Gailly и Mark Adler.

Алгоритм Rsync

2013-07-10T15:39:03Z

Nordwind: /* Быстрая сигнатура */

:Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru] 

==Для чего он нужен?==

Современные средства и протоколы удалённого копирования файлов (например, http, ftp, rcp), каждый раз полностью пересылают данные, несмотря на возможно уже существующею старую версию этих данных. Хотя и возможно воссоздать только изменения, например, с помощью утилиты diff, если существует старая копия наряду с новой, и тем самым пересылать только изменения, но в практике это не всегда удобно и часто приводит к ошибкам.

Задачи алгоритма <tt>rsync</tt>:

# Он должен работать с произвольными данными, не только с обычным текстом.
# Размер передаваемых данных должен быть примерно равен размеру diff файла.
# Он должен быстро работать с большими файлами.
# Алгоритм не должен иметь какие-либо предварительные знания о статусе этих файлов, но должен эффективно находить их возможные сходства.
# Использовать мало ресурсов.

Представим, что у нас имеются файлы '''A''' и '''B''', и мы хотим обновить '''B''' таким образом, чтобы его содержимое было идентично содержимому файла '''A'''. Самый простой и очевидный способ — это скопировать '''A''' в '''B'''.

Теперь представим, что эти файлы находятся на двух разных машинах, соединённых медленным каналом связи, например, с помощью <tt>dialup</tt> модема. Если файл '''A''' большой, копирование '''A''' в '''B''' будет происходить очень медленно. Чтобы сделать это быстрее, мы можем сжать '''A''', перед тем как пересылать его. Но обычный коэффициент сжатия колеблется от 2 до 4, что так же не подойдёт для нашей медленной связи.

Предположим, что файлы '''A''' и '''B''' почти одинаковы (возможно, оба были получены из одного общего файла). Для увеличения производительности копирования мы можем воспользоваться преимуществом их сходства. Обычное решение этой проблемы заключается в том, чтобы пересылать только изменения между файлами '''A''' и '''B''' и затем использовать их для реконструкции фала '''B'''.

Но проблема в том, что для получения этих изменений необходимо иметь возможность чтения обоих файлов. Поэтому нам нужно иметь оба файла на одной из сторон нашего соединения. В противном случае, этот алгоритм использоваться не может. Для решения этой проблемы и был разработан алгоритм <tt>rsync</tt>.

== Алгоритм ==

'''Общий алгоритм'''

На двух разных компьютерах ''Alpha'' и ''Beta'', соединённых медленным каналом связи (например, через модем), находятся два файла '''A''' и '''B'''.

Структура алгоритма:

# ''Beta'' отсылает некоторые данные '''S''' на компьютер ''Alpha''
# ''Alpha'' сравнивает эти данные с файлом '''A''' и отсылает некоторые данные '''D''' на компьютер ''Beta''
# ''Beta'' создаёт копию файла '''A''' на основе файла '''B''', данных '''S''' и '''D'''

Главный вопрос в том, какую форму примут данные '''S''', как компьютер ''Alpha'' будет использовать '''S''' для сопоставления с файлом '''A''', и как ''Beta'' будет реконструировать ''A''.

'''Алгоритм <tt>rsync</tt>'''

Алгоритм <tt>rsync</tt>:

# ''Beta'' разбивает файл '''B''' на блоки длиной '''L''' (последний блок может быть меньше '''L'''байт) и вычисляет две сигнатуры '''Rb''' и '''Sb''' для каждого блока, после чего пересылает эти сигнатуры к ''Alpha''.
# ''Alpha'' вычисляет сигнатуры ''Ra'' для блоков длиной '''L''' для каждого байтового смещения. После чего сравнивает их с '''Rb'''.
# Для блоков, чьи '''R''' сигнатуры совпали, ''Alpha'' вычисляет '''Sa''' и сравнивает с '''Sb'''.
# Если '''S''' сигнатуры совпадают, ''Alpha'' отсылает уведомление с номером совпавшего блока, в противном случае ''Alpha'' пересылает один байт.
# ''Beta'' получает номера совпавших блоков из '''B''' или одиночные байты из файла '''A''' и на основе этих данных создаёт копию файла '''A'''.

Важно понимать, что ключом алгоритма является создание двух сигнатур — быстрой и стойкой. Быстрая ('''R''') используется как фильтр (на компьютере ''Alpha'' она вычисляется для каждого байтового смещения!). Стойкая (''S'') используется для более точной проверки.
[[File:http://www.openbsd.pw/files/openbsd_ru/docs/images/rsync.gif|link=http://www.openbsd.pw/files/openbsd_ru/docs/images/rsync.gif|Алгоритм rsync]]
Алгоритм rsync

== Стойкая сигнатура ==

Стойкая сигнатура может не быть быстрой, так как вычисляется только при совпадении простой, быстрой сигнатуры. Главным свойством стойкой сигнатуры должна быть минимальная вероятность отказа, иначе говоря, наличие одной и той же сигнатуры для двух разных блоков.

Существует множество алгоритмов с такими свойствами, возможно, наиболее известный — это алгоритм хеширования ''Message Digest''. Он часто используется в криптографических программах.

== Быстрая сигнатура ==

Быстрая сигнатура очень важна для эффективности алгоритма <tt>rsync</tt>. Она работает как фильтр, предотвращая вычисление стойкой сигнатуры. Основная задача быстрой сигнатуры — это максимально быстрое её вычисление для каждого байтового смещения в файле.

Первоначально для создания быстрой сигнатуры в <tt>rsync</tt> было опробовано простое склеивание первых и последних 4 байт блока. Хотя такой алгоритм, в принципе, работал, но был выявлен его серьёзный недостаток. Для определённых типов данных, например, для <tt>tar</tt> файла, он слишком часто создавал одинаковые сигнатуры для разных частей файла, что приводило к многократному вычислению стойкой сигнатуры и, как следствие, падению производительности всего алгоритма.

Это привело к необходимости выбора нового алгоритма для вычисления быстрой сигнатуры, значение которого зависело бы от всех байт блока, но при этом вычисление оставалось таким же простым и быстрым. Им стал алгоритм, похожий на <tt>adler32 от Марка Адлера. <tt>Adler32</tt> — алгоритм расчёта контрольных сумм, похожий на довольно распространённый алгоритм CRC32, но при этом более быстрый.

== Поиск сигнатур ==

Для эффективности поиска используется хеширование быстрой сигнатуры и трехуровневый поиск. Ключом хеш-функции является значение 32-x битной сигнатуры, а значением — сумма двух её (16-ти битных) половин.

Поиск сигнатур
<gallery>
Файл:Example.jpg|Описание1
Файл:Example.jpg|Описание2
</gallery>
Поиск сигнатур

На первом уровне формируется хеш-таблица размером в 2^16 элементов. Ключом хеш-функции является быстрая 32 битная сигнатура. Для каждой пары быстрой и стойкой сигнатуры, полученной от Beta, вычисляется 16 битный хеш 32 битной сигнатуры, после чего все это сортируется согласно 16 битному хешу. Каждый элемент хеш-таблицы указывает на первый элемент сортированных сигнатур, хеш значения которых совпадают, либо хранит в себе NULL, если сигнатур с таким хешом нет. Номер элемента хеш-таблицы соответствует значению хеш-функции, а именно сумме двух половин быстрой 32 битной сигнатуры.

Затем для каждого байтового смещения вычисляется быстрая 32 битная сигнатура и 16 битное хеш-значение. Если элемент хеш-таблицы для этого хеш-значения не равен NULL, алгоритм поиска переходит на следующий уровень.

На втором уровне происходит линейный поиск по сортированному списку сигнатур, начиная с элемента, указанного в хеш-таблице. Мы ищем быструю 32 битную сигнатуру, чьё значение совпадает с необходимым нам значением. Поиск прекращается при первом же несовпадении 16 битной сигнатуры. Если мы нашли такую 32 битную сигнатуру, алгоритм переходит на следующий уровень.

На третьем уровне происходит вычисление стойкой сигнатуры для текущего смещения в файле и сравнение его со значением стойкой сигнатуры в сортированном списке. При совпадении предполагается, что мы нашли блок в файле A, который есть в файле B. Фактически, блоки могут быть различны, но вероятность этого очень мала.

При совпадении блоков Alpha отсылает Beta данные из файла A между текущим смещением и предыдущим совпадением, а также индекс совпавшего блока, который есть в B. Эти данные отсылаются сразу же при нахождении совпадения.

Если совпадения найдено не было для текущего смещения в файле A, вычисляется быстрая сигнатура для следующего байтового смещения и процедура поиска повторяется. При совпадении смещение увеличивается на размер совпавшего блока, и поиск продолжается.
Реконструкция файла
Одна из простых частей алгоритма rsync — реконструкция файла. После того, как компьютер Beta отсылает сигнатуры, Alpha присылает байты из файла A или сообщения, которые содержат номера совпавших блоков.

Для реконструкции файла B нам необходимо последовательно вписывать полученные байты в файл и при получении сообщения о совпавшем блоке вписывать целый блок из старого файла. Реконструкция не производится непосредственно в старом файле, так как нам необходим произвольный доступ к старым данным. Для реконструкции создаётся временный файл, который затем переименовывается.
Конвейерная обработка
Важным фактором быстродействия является задержка между пересылаемыми файлами. Обычно используемые протоколы передачи данных, такие как ftp, rcp или rdist обрабатывают каждый файл как отдельную операцию, тем самым ожидая подтверждения о доставке текущего файла, перед тем как обрабатывать следующий.

При использовании большого количества маленьких файлов (например, обычное зеркалирование Web сайта) для пересылки через Internet, это время ожидания может сыграть роковую роль. Чтобы избежать этого, мы можем пересылать, не ожидая подтверждения. Этот метод также известен, как конвейерная обработка.
Схема конвейерной обработки
Схема конвейерной обработки

Процесс разбивается на 3 части — Generator, Sender и Receiver. Generator запускается на компьютере Beta и генерирует сигнатуры для всех файлов, которые необходимо переслать, и отсылает эти сигнатуры к Alpha. Sender, запущенный на Alpha получает сигнатуры и отсылает сообщения о совпавших блоках или целые байты Beta. Receiver, запущенный на Beta, реконструирует файл, после чего он связывается с Generator, чтобы сообщить об успешной передачи файла, либо передать ему, что определённый файл необходимо обработать заново.
Заключение
Алгоритм rsync предоставляет эффективное решение проблемы удалённого обновления файлов. Метод двух сигнатур, используемый в алгоритме, позволяет эффективно находить совпадения на любом смещении файла. Алгоритм гарантирует точность передачи, подтверждая подлинность блока стойкой сигнатурой.
Используемая литература

Rsync technical report. Andrew Tridgell и Paul Mackerras. 1998г.
Efficient Algorithms for Sorting and Synchronization. Andrew Tridgell. 2000г.
Zlib Technical Details. Jean-loup Gailly и Mark Adler.

Алгоритм Rsync

2013-07-10T14:53:16Z

Nordwind: /* Алгоритм */

:Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru] 

==Для чего он нужен?==

Современные средства и протоколы удалённого копирования файлов (например, http, ftp, rcp), каждый раз полностью пересылают данные, несмотря на возможно уже существующею старую версию этих данных. Хотя и возможно воссоздать только изменения, например, с помощью утилиты diff, если существует старая копия наряду с новой, и тем самым пересылать только изменения, но в практике это не всегда удобно и часто приводит к ошибкам.

Задачи алгоритма <tt>rsync</tt>:

# Он должен работать с произвольными данными, не только с обычным текстом.
# Размер передаваемых данных должен быть примерно равен размеру diff файла.
# Он должен быстро работать с большими файлами.
# Алгоритм не должен иметь какие-либо предварительные знания о статусе этих файлов, но должен эффективно находить их возможные сходства.
# Использовать мало ресурсов.

Представим, что у нас имеются файлы '''A''' и '''B''', и мы хотим обновить '''B''' таким образом, чтобы его содержимое было идентично содержимому файла '''A'''. Самый простой и очевидный способ — это скопировать '''A''' в '''B'''.

Теперь представим, что эти файлы находятся на двух разных машинах, соединённых медленным каналом связи, например, с помощью <tt>dialup</tt> модема. Если файл '''A''' большой, копирование '''A''' в '''B''' будет происходить очень медленно. Чтобы сделать это быстрее, мы можем сжать '''A''', перед тем как пересылать его. Но обычный коэффициент сжатия колеблется от 2 до 4, что так же не подойдёт для нашей медленной связи.

Предположим, что файлы '''A''' и '''B''' почти одинаковы (возможно, оба были получены из одного общего файла). Для увеличения производительности копирования мы можем воспользоваться преимуществом их сходства. Обычное решение этой проблемы заключается в том, чтобы пересылать только изменения между файлами '''A''' и '''B''' и затем использовать их для реконструкции фала '''B'''.

Но проблема в том, что для получения этих изменений необходимо иметь возможность чтения обоих файлов. Поэтому нам нужно иметь оба файла на одной из сторон нашего соединения. В противном случае, этот алгоритм использоваться не может. Для решения этой проблемы и был разработан алгоритм <tt>rsync</tt>.

== Алгоритм ==

'''Общий алгоритм'''

На двух разных компьютерах ''Alpha'' и ''Beta'', соединённых медленным каналом связи (например, через модем), находятся два файла '''A''' и '''B'''.

Структура алгоритма:

# ''Beta'' отсылает некоторые данные '''S''' на компьютер ''Alpha''
# ''Alpha'' сравнивает эти данные с файлом '''A''' и отсылает некоторые данные '''D''' на компьютер ''Beta''
# ''Beta'' создаёт копию файла '''A''' на основе файла '''B''', данных '''S''' и '''D'''

Главный вопрос в том, какую форму примут данные '''S''', как компьютер ''Alpha'' будет использовать '''S''' для сопоставления с файлом '''A''', и как ''Beta'' будет реконструировать ''A''.

'''Алгоритм <tt>rsync</tt>'''

Алгоритм <tt>rsync</tt>:

# ''Beta'' разбивает файл '''B''' на блоки длиной '''L''' (последний блок может быть меньше '''L'''байт) и вычисляет две сигнатуры '''Rb''' и '''Sb''' для каждого блока, после чего пересылает эти сигнатуры к ''Alpha''.
# ''Alpha'' вычисляет сигнатуры ''Ra'' для блоков длиной '''L''' для каждого байтового смещения. После чего сравнивает их с '''Rb'''.
# Для блоков, чьи '''R''' сигнатуры совпали, ''Alpha'' вычисляет '''Sa''' и сравнивает с '''Sb'''.
# Если '''S''' сигнатуры совпадают, ''Alpha'' отсылает уведомление с номером совпавшего блока, в противном случае ''Alpha'' пересылает один байт.
# ''Beta'' получает номера совпавших блоков из '''B''' или одиночные байты из файла '''A''' и на основе этих данных создаёт копию файла '''A'''.

Важно понимать, что ключом алгоритма является создание двух сигнатур — быстрой и стойкой. Быстрая ('''R''') используется как фильтр (на компьютере ''Alpha'' она вычисляется для каждого байтового смещения!). Стойкая (''S'') используется для более точной проверки.
[[File:http://www.openbsd.pw/files/openbsd_ru/docs/images/rsync.gif|link=http://www.openbsd.pw/files/openbsd_ru/docs/images/rsync.gif|Алгоритм rsync]]
Алгоритм rsync

== Стойкая сигнатура ==

Стойкая сигнатура может не быть быстрой, так как вычисляется только при совпадении простой, быстрой сигнатуры. Главным свойством стойкой сигнатуры должна быть минимальная вероятность отказа, иначе говоря, наличие одной и той же сигнатуры для двух разных блоков.

Существует множество алгоритмов с такими свойствами, возможно, наиболее известный — это алгоритм хеширования ''Message Digest''. Он часто используется в криптографических программах.

== Быстрая сигнатура ==

Быстрая сигнатура очень важна для эффективности алгоритма <tt>rsync</tt>. Она работает как фильтр, предотвращая вычисление стойкой сигнатуры. Основная задача быстрой сигнатуры — это максимально быстрое её вычисление для каждого байтового смещения в файле.

Первоначально для создания быстрой сигнатуры в <tt>rsync</tt> было опробовано простое склеивание первых и последних 4 байт блока. Хотя такой алгоритм, в принципе, работал, но был выявлен его серьёзный недостаток. Для определённых типов данных, например, для <tt>tar</tt> файла, он слишком часто создавал одинаковые сигнатуры для разных частей файла, что приводило к многократному вычислению стойкой сигнатуры и, как следствие, падению производительности всего алгоритма.

Это привело к необходимости выбора нового алгоритма для вычисления быстрой сигнатуры, значение которого зависело бы от всех байт блока, но при этом вычисление оставалось таким же простым и быстрым. Им стал алгоритм, похожий на adler32 от Марка Адлера. Adler32 — алгоритм расчёта контрольных сумм, похожий на довольно распространённый алгоритм CRC32, но при этом более быстрый.
Поиск сигнатур
Для эффективности поиска используется хеширование быстрой сигнатуры и трехуровневый поиск. Ключом хеш-функции является значение 32 битной сигнатуры, а значением — сумма двух её (16 битных) половин.
Поиск сигнатур
Поиск сигнатур

На первом уровне формируется хеш-таблица размером в 2^16 элементов. Ключом хеш-функции является быстрая 32 битная сигнатура. Для каждой пары быстрой и стойкой сигнатуры, полученной от Beta, вычисляется 16 битный хеш 32 битной сигнатуры, после чего все это сортируется согласно 16 битному хешу. Каждый элемент хеш-таблицы указывает на первый элемент сортированных сигнатур, хеш значения которых совпадают, либо хранит в себе NULL, если сигнатур с таким хешом нет. Номер элемента хеш-таблицы соответствует значению хеш-функции, а именно сумме двух половин быстрой 32 битной сигнатуры.

Затем для каждого байтового смещения вычисляется быстрая 32 битная сигнатура и 16 битное хеш-значение. Если элемент хеш-таблицы для этого хеш-значения не равен NULL, алгоритм поиска переходит на следующий уровень.

На втором уровне происходит линейный поиск по сортированному списку сигнатур, начиная с элемента, указанного в хеш-таблице. Мы ищем быструю 32 битную сигнатуру, чьё значение совпадает с необходимым нам значением. Поиск прекращается при первом же несовпадении 16 битной сигнатуры. Если мы нашли такую 32 битную сигнатуру, алгоритм переходит на следующий уровень.

На третьем уровне происходит вычисление стойкой сигнатуры для текущего смещения в файле и сравнение его со значением стойкой сигнатуры в сортированном списке. При совпадении предполагается, что мы нашли блок в файле A, который есть в файле B. Фактически, блоки могут быть различны, но вероятность этого очень мала.

При совпадении блоков Alpha отсылает Beta данные из файла A между текущим смещением и предыдущим совпадением, а также индекс совпавшего блока, который есть в B. Эти данные отсылаются сразу же при нахождении совпадения.

Если совпадения найдено не было для текущего смещения в файле A, вычисляется быстрая сигнатура для следующего байтового смещения и процедура поиска повторяется. При совпадении смещение увеличивается на размер совпавшего блока, и поиск продолжается.
Реконструкция файла
Одна из простых частей алгоритма rsync — реконструкция файла. После того, как компьютер Beta отсылает сигнатуры, Alpha присылает байты из файла A или сообщения, которые содержат номера совпавших блоков.

Для реконструкции файла B нам необходимо последовательно вписывать полученные байты в файл и при получении сообщения о совпавшем блоке вписывать целый блок из старого файла. Реконструкция не производится непосредственно в старом файле, так как нам необходим произвольный доступ к старым данным. Для реконструкции создаётся временный файл, который затем переименовывается.
Конвейерная обработка
Важным фактором быстродействия является задержка между пересылаемыми файлами. Обычно используемые протоколы передачи данных, такие как ftp, rcp или rdist обрабатывают каждый файл как отдельную операцию, тем самым ожидая подтверждения о доставке текущего файла, перед тем как обрабатывать следующий.

При использовании большого количества маленьких файлов (например, обычное зеркалирование Web сайта) для пересылки через Internet, это время ожидания может сыграть роковую роль. Чтобы избежать этого, мы можем пересылать, не ожидая подтверждения. Этот метод также известен, как конвейерная обработка.
Схема конвейерной обработки
Схема конвейерной обработки

Процесс разбивается на 3 части — Generator, Sender и Receiver. Generator запускается на компьютере Beta и генерирует сигнатуры для всех файлов, которые необходимо переслать, и отсылает эти сигнатуры к Alpha. Sender, запущенный на Alpha получает сигнатуры и отсылает сообщения о совпавших блоках или целые байты Beta. Receiver, запущенный на Beta, реконструирует файл, после чего он связывается с Generator, чтобы сообщить об успешной передачи файла, либо передать ему, что определённый файл необходимо обработать заново.
Заключение
Алгоритм rsync предоставляет эффективное решение проблемы удалённого обновления файлов. Метод двух сигнатур, используемый в алгоритме, позволяет эффективно находить совпадения на любом смещении файла. Алгоритм гарантирует точность передачи, подтверждая подлинность блока стойкой сигнатурой.
Используемая литература

Rsync technical report. Andrew Tridgell и Paul Mackerras. 1998г.
Efficient Algorithms for Sorting and Synchronization. Andrew Tridgell. 2000г.
Zlib Technical Details. Jean-loup Gailly и Mark Adler.

Алгоритм Rsync

2013-07-10T14:46:31Z

Nordwind:

:Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru] 

==Для чего он нужен?==

Современные средства и протоколы удалённого копирования файлов (например, http, ftp, rcp), каждый раз полностью пересылают данные, несмотря на возможно уже существующею старую версию этих данных. Хотя и возможно воссоздать только изменения, например, с помощью утилиты diff, если существует старая копия наряду с новой, и тем самым пересылать только изменения, но в практике это не всегда удобно и часто приводит к ошибкам.

Задачи алгоритма <tt>rsync</tt>:

# Он должен работать с произвольными данными, не только с обычным текстом.
# Размер передаваемых данных должен быть примерно равен размеру diff файла.
# Он должен быстро работать с большими файлами.
# Алгоритм не должен иметь какие-либо предварительные знания о статусе этих файлов, но должен эффективно находить их возможные сходства.
# Использовать мало ресурсов.

Представим, что у нас имеются файлы '''A''' и '''B''', и мы хотим обновить '''B''' таким образом, чтобы его содержимое было идентично содержимому файла '''A'''. Самый простой и очевидный способ — это скопировать '''A''' в '''B'''.

Теперь представим, что эти файлы находятся на двух разных машинах, соединённых медленным каналом связи, например, с помощью <tt>dialup</tt> модема. Если файл '''A''' большой, копирование '''A''' в '''B''' будет происходить очень медленно. Чтобы сделать это быстрее, мы можем сжать '''A''', перед тем как пересылать его. Но обычный коэффициент сжатия колеблется от 2 до 4, что так же не подойдёт для нашей медленной связи.

Предположим, что файлы '''A''' и '''B''' почти одинаковы (возможно, оба были получены из одного общего файла). Для увеличения производительности копирования мы можем воспользоваться преимуществом их сходства. Обычное решение этой проблемы заключается в том, чтобы пересылать только изменения между файлами '''A''' и '''B''' и затем использовать их для реконструкции фала '''B'''.

Но проблема в том, что для получения этих изменений необходимо иметь возможность чтения обоих файлов. Поэтому нам нужно иметь оба файла на одной из сторон нашего соединения. В противном случае, этот алгоритм использоваться не может. Для решения этой проблемы и был разработан алгоритм <tt>rsync</tt>.

== Алгоритм ==

'''Общий алгоритм'''

На двух разных компьютерах ''Alpha'' и ''Beta'', соединённых медленным каналом связи (например, через модем), находятся два файла '''A''' и '''B'''.

Структура алгоритма:

# ''Beta'' отсылает некоторые данные '''S''' на компьютер ''Alpha''
# ''Alpha'' сравнивает эти данные с файлом '''A''' и отсылает некоторые данные '''D''' на компьютер ''Beta''
# ''Beta'' создаёт копию файла '''A''' на основе файла '''B''', данных '''S''' и '''D'''

Главный вопрос в том, какую форму примут данные '''S''', как компьютер ''Alpha'' будет использовать '''S''' для сопоставления с файлом '''A''', и как ''Beta'' будет реконструировать ''A''.

'''Алгоритм <tt>rsync</tt>'''

Алгоритм <tt>rsync</tt>:

# ''Beta'' разбивает файл '''B''' на блоки длиной '''L''' (последний блок может быть меньше '''L'''байт) и вычисляет две сигнатуры '''Rb''' и '''Sb''' для каждого блока, после чего пересылает эти сигнатуры к ''Alpha''.
# ''Alpha'' вычисляет сигнатуры ''Ra'' для блоков длиной '''L''' для каждого байтового смещения. После чего сравнивает их с '''Rb'''.
# Для блоков, чьи '''R''' сигнатуры совпали, ''Alpha'' вычисляет '''Sa''' и сравнивает с '''Sb'''.
# Если '''S''' сигнатуры совпадают, ''Alpha'' отсылает уведомление с номером совпавшего блока, в противном случае ''Alpha'' пересылает один байт.
# ''Beta'' получает номера совпавших блоков из '''B''' или одиночные байты из файла '''A''' и на основе этих данных создаёт копию файла '''A'''.

Важно понимать, что ключом алгоритма является создание двух сигнатур — быстрой и стойкой. Быстрая ('''R''') используется как фильтр (на компьютере ''Alpha'' она вычисляется для каждого байтового смещения!). Стойкая (''S'') используется для более точной проверки.
[[File:rsync.gif|link=http://www.openbsd.pw/files/openbsd_ru/docs/images/rsync.gif|Алгоритм rsync]]
Алгоритм rsync

== Стойкая сигнатура ==

Стойкая сигнатура может не быть быстрой, так как вычисляется только при совпадении простой, быстрой сигнатуры. Главным свойством стойкой сигнатуры должна быть минимальная вероятность отказа, иначе говоря, наличие одной и той же сигнатуры для двух разных блоков.

Существует множество алгоритмов с такими свойствами, возможно, наиболее известный — это алгоритм хеширования ''Message Digest''. Он часто используется в криптографических программах.

== Быстрая сигнатура ==

Быстрая сигнатура очень важна для эффективности алгоритма <tt>rsync</tt>. Она работает как фильтр, предотвращая вычисление стойкой сигнатуры. Основная задача быстрой сигнатуры — это максимально быстрое её вычисление для каждого байтового смещения в файле.

Первоначально для создания быстрой сигнатуры в <tt>rsync</tt> было опробовано простое склеивание первых и последних 4 байт блока. Хотя такой алгоритм, в принципе, работал, но был выявлен его серьёзный недостаток. Для определённых типов данных, например, для <tt>tar</tt> файла, он слишком часто создавал одинаковые сигнатуры для разных частей файла, что приводило к многократному вычислению стойкой сигнатуры и, как следствие, падению производительности всего алгоритма.

Это привело к необходимости выбора нового алгоритма для вычисления быстрой сигнатуры, значение которого зависело бы от всех байт блока, но при этом вычисление оставалось таким же простым и быстрым. Им стал алгоритм, похожий на adler32 от Марка Адлера. Adler32 — алгоритм расчёта контрольных сумм, похожий на довольно распространённый алгоритм CRC32, но при этом более быстрый.
Поиск сигнатур
Для эффективности поиска используется хеширование быстрой сигнатуры и трехуровневый поиск. Ключом хеш-функции является значение 32 битной сигнатуры, а значением — сумма двух её (16 битных) половин.
Поиск сигнатур
Поиск сигнатур

На первом уровне формируется хеш-таблица размером в 2^16 элементов. Ключом хеш-функции является быстрая 32 битная сигнатура. Для каждой пары быстрой и стойкой сигнатуры, полученной от Beta, вычисляется 16 битный хеш 32 битной сигнатуры, после чего все это сортируется согласно 16 битному хешу. Каждый элемент хеш-таблицы указывает на первый элемент сортированных сигнатур, хеш значения которых совпадают, либо хранит в себе NULL, если сигнатур с таким хешом нет. Номер элемента хеш-таблицы соответствует значению хеш-функции, а именно сумме двух половин быстрой 32 битной сигнатуры.

Затем для каждого байтового смещения вычисляется быстрая 32 битная сигнатура и 16 битное хеш-значение. Если элемент хеш-таблицы для этого хеш-значения не равен NULL, алгоритм поиска переходит на следующий уровень.

На втором уровне происходит линейный поиск по сортированному списку сигнатур, начиная с элемента, указанного в хеш-таблице. Мы ищем быструю 32 битную сигнатуру, чьё значение совпадает с необходимым нам значением. Поиск прекращается при первом же несовпадении 16 битной сигнатуры. Если мы нашли такую 32 битную сигнатуру, алгоритм переходит на следующий уровень.

На третьем уровне происходит вычисление стойкой сигнатуры для текущего смещения в файле и сравнение его со значением стойкой сигнатуры в сортированном списке. При совпадении предполагается, что мы нашли блок в файле A, который есть в файле B. Фактически, блоки могут быть различны, но вероятность этого очень мала.

При совпадении блоков Alpha отсылает Beta данные из файла A между текущим смещением и предыдущим совпадением, а также индекс совпавшего блока, который есть в B. Эти данные отсылаются сразу же при нахождении совпадения.

Если совпадения найдено не было для текущего смещения в файле A, вычисляется быстрая сигнатура для следующего байтового смещения и процедура поиска повторяется. При совпадении смещение увеличивается на размер совпавшего блока, и поиск продолжается.
Реконструкция файла
Одна из простых частей алгоритма rsync — реконструкция файла. После того, как компьютер Beta отсылает сигнатуры, Alpha присылает байты из файла A или сообщения, которые содержат номера совпавших блоков.

Для реконструкции файла B нам необходимо последовательно вписывать полученные байты в файл и при получении сообщения о совпавшем блоке вписывать целый блок из старого файла. Реконструкция не производится непосредственно в старом файле, так как нам необходим произвольный доступ к старым данным. Для реконструкции создаётся временный файл, который затем переименовывается.
Конвейерная обработка
Важным фактором быстродействия является задержка между пересылаемыми файлами. Обычно используемые протоколы передачи данных, такие как ftp, rcp или rdist обрабатывают каждый файл как отдельную операцию, тем самым ожидая подтверждения о доставке текущего файла, перед тем как обрабатывать следующий.

При использовании большого количества маленьких файлов (например, обычное зеркалирование Web сайта) для пересылки через Internet, это время ожидания может сыграть роковую роль. Чтобы избежать этого, мы можем пересылать, не ожидая подтверждения. Этот метод также известен, как конвейерная обработка.
Схема конвейерной обработки
Схема конвейерной обработки

Процесс разбивается на 3 части — Generator, Sender и Receiver. Generator запускается на компьютере Beta и генерирует сигнатуры для всех файлов, которые необходимо переслать, и отсылает эти сигнатуры к Alpha. Sender, запущенный на Alpha получает сигнатуры и отсылает сообщения о совпавших блоках или целые байты Beta. Receiver, запущенный на Beta, реконструирует файл, после чего он связывается с Generator, чтобы сообщить об успешной передачи файла, либо передать ему, что определённый файл необходимо обработать заново.
Заключение
Алгоритм rsync предоставляет эффективное решение проблемы удалённого обновления файлов. Метод двух сигнатур, используемый в алгоритме, позволяет эффективно находить совпадения на любом смещении файла. Алгоритм гарантирует точность передачи, подтверждая подлинность блока стойкой сигнатурой.
Используемая литература

Rsync technical report. Andrew Tridgell и Paul Mackerras. 1998г.
Efficient Algorithms for Sorting and Synchronization. Andrew Tridgell. 2000г.
Zlib Technical Details. Jean-loup Gailly и Mark Adler.

Алгоритм Rsync

2013-07-10T14:44:54Z

Nordwind: /* Для чего он нужен? */

:Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru] 

==Для чего он нужен?==

Современные средства и протоколы удалённого копирования файлов (например, http, ftp, rcp), каждый раз полностью пересылают данные, несмотря на возможно уже существующею старую версию этих данных. Хотя и возможно воссоздать только изменения, например, с помощью утилиты diff, если существует старая копия наряду с новой, и тем самым пересылать только изменения, но в практике это не всегда удобно и часто приводит к ошибкам.

Задачи алгоритма <tt>rsync</tt>:

# Он должен работать с произвольными данными, не только с обычным текстом.
# Размер передаваемых данных должен быть примерно равен размеру diff файла.
# Он должен быстро работать с большими файлами.
# Алгоритм не должен иметь какие-либо предварительные знания о статусе этих файлов, но должен эффективно находить их возможные сходства.
# Использовать мало ресурсов.

Представим, что у нас имеются файлы '''A''' и '''B''', и мы хотим обновить '''B''' таким образом, чтобы его содержимое было идентично содержимому файла '''A'''. Самый простой и очевидный способ — это скопировать '''A''' в '''B'''.

Теперь представим, что эти файлы находятся на двух разных машинах, соединённых медленным каналом связи, например, с помощью <tt>dialup</tt> модема. Если файл '''A''' большой, копирование '''A''' в '''B''' будет происходить очень медленно. Чтобы сделать это быстрее, мы можем сжать '''A''', перед тем как пересылать его. Но обычный коэффициент сжатия колеблется от 2 до 4, что так же не подойдёт для нашей медленной связи.

Предположим, что файлы '''A''' и '''B''' почти одинаковы (возможно, оба были получены из одного общего файла). Для увеличения производительности копирования мы можем воспользоваться преимуществом их сходства. Обычное решение этой проблемы заключается в том, чтобы пересылать только изменения между файлами '''A''' и '''B''' и затем использовать их для реконструкции фала '''B'''.

Но проблема в том, что для получения этих изменений необходимо иметь возможность чтения обоих файлов. Поэтому нам нужно иметь оба файла на одной из сторон нашего соединения. В противном случае, этот алгоритм использоваться не может. Для решения этой проблемы и был разработан алгоритм <tt>rsync</tt>.

== Алгоритм ==

'''=== Общий алгоритм ==='''

На двух разных компьютерах ''Alpha'' и ''Beta'', соединённых медленным каналом связи (например, через модем), находятся два файла '''A''' и '''B'''.

Структура алгоритма:

# ''Beta'' отсылает некоторые данные '''S''' на компьютер ''Alpha''
# ''Alpha'' сравнивает эти данные с файлом '''A''' и отсылает некоторые данные '''D''' на компьютер ''Beta''
# ''Beta'' создаёт копию файла '''A''' на основе файла '''B''', данных '''S''' и '''D'''

Главный вопрос в том, какую форму примут данные '''S''', как компьютер ''Alpha'' будет использовать '''S''' для сопоставления с файлом '''A''', и как ''Beta'' будет реконструировать ''A''.

'''=== Алгоритм <tt>rsync</tt> ==='''

Алгоритм <tt>rsync</tt>:

# ''Beta'' разбивает файл '''B''' на блоки длиной '''L''' (последний блок может быть меньше '''L'''байт) и вычисляет две сигнатуры '''Rb''' и '''Sb''' для каждого блока, после чего пересылает эти сигнатуры к ''Alpha''.
# ''Alpha'' вычисляет сигнатуры ''Ra'' для блоков длиной '''L''' для каждого байтового смещения. После чего сравнивает их с '''Rb'''.
# Для блоков, чьи '''R''' сигнатуры совпали, ''Alpha'' вычисляет '''Sa''' и сравнивает с '''Sb'''.
# Если '''S''' сигнатуры совпадают, ''Alpha'' отсылает уведомление с номером совпавшего блока, в противном случае ''Alpha'' пересылает один байт.
# ''Beta'' получает номера совпавших блоков из '''B''' или одиночные байты из файла '''A''' и на основе этих данных создаёт копию файла '''A'''.

Важно понимать, что ключом алгоритма является создание двух сигнатур — быстрой и стойкой. Быстрая ('''R''') используется как фильтр (на компьютере ''Alpha'' она вычисляется для каждого байтового смещения!). Стойкая (''S'') используется для более точной проверки.
[[File:rsync.gif|link=http://www.openbsd.pw/files/openbsd_ru/docs/images/rsync.gif|Алгоритм rsync]]
Алгоритм rsync

== Стойкая сигнатура ==

Стойкая сигнатура может не быть быстрой, так как вычисляется только при совпадении простой, быстрой сигнатуры. Главным свойством стойкой сигнатуры должна быть минимальная вероятность отказа, иначе говоря, наличие одной и той же сигнатуры для двух разных блоков.

Существует множество алгоритмов с такими свойствами, возможно, наиболее известный — это алгоритм хеширования ''Message Digest''. Он часто используется в криптографических программах.

== Быстрая сигнатура ==

Быстрая сигнатура очень важна для эффективности алгоритма <tt>rsync</tt>. Она работает как фильтр, предотвращая вычисление стойкой сигнатуры. Основная задача быстрой сигнатуры — это максимально быстрое её вычисление для каждого байтового смещения в файле.

Первоначально для создания быстрой сигнатуры в <tt>rsync</tt> было опробовано простое склеивание первых и последних 4 байт блока. Хотя такой алгоритм, в принципе, работал, но был выявлен его серьёзный недостаток. Для определённых типов данных, например, для <tt>tar</tt> файла, он слишком часто создавал одинаковые сигнатуры для разных частей файла, что приводило к многократному вычислению стойкой сигнатуры и, как следствие, падению производительности всего алгоритма.

Это привело к необходимости выбора нового алгоритма для вычисления быстрой сигнатуры, значение которого зависело бы от всех байт блока, но при этом вычисление оставалось таким же простым и быстрым. Им стал алгоритм, похожий на adler32 от Марка Адлера. Adler32 — алгоритм расчёта контрольных сумм, похожий на довольно распространённый алгоритм CRC32, но при этом более быстрый.
Поиск сигнатур
Для эффективности поиска используется хеширование быстрой сигнатуры и трехуровневый поиск. Ключом хеш-функции является значение 32 битной сигнатуры, а значением — сумма двух её (16 битных) половин.
Поиск сигнатур
Поиск сигнатур

На первом уровне формируется хеш-таблица размером в 2^16 элементов. Ключом хеш-функции является быстрая 32 битная сигнатура. Для каждой пары быстрой и стойкой сигнатуры, полученной от Beta, вычисляется 16 битный хеш 32 битной сигнатуры, после чего все это сортируется согласно 16 битному хешу. Каждый элемент хеш-таблицы указывает на первый элемент сортированных сигнатур, хеш значения которых совпадают, либо хранит в себе NULL, если сигнатур с таким хешом нет. Номер элемента хеш-таблицы соответствует значению хеш-функции, а именно сумме двух половин быстрой 32 битной сигнатуры.

Затем для каждого байтового смещения вычисляется быстрая 32 битная сигнатура и 16 битное хеш-значение. Если элемент хеш-таблицы для этого хеш-значения не равен NULL, алгоритм поиска переходит на следующий уровень.

На втором уровне происходит линейный поиск по сортированному списку сигнатур, начиная с элемента, указанного в хеш-таблице. Мы ищем быструю 32 битную сигнатуру, чьё значение совпадает с необходимым нам значением. Поиск прекращается при первом же несовпадении 16 битной сигнатуры. Если мы нашли такую 32 битную сигнатуру, алгоритм переходит на следующий уровень.

На третьем уровне происходит вычисление стойкой сигнатуры для текущего смещения в файле и сравнение его со значением стойкой сигнатуры в сортированном списке. При совпадении предполагается, что мы нашли блок в файле A, который есть в файле B. Фактически, блоки могут быть различны, но вероятность этого очень мала.

При совпадении блоков Alpha отсылает Beta данные из файла A между текущим смещением и предыдущим совпадением, а также индекс совпавшего блока, который есть в B. Эти данные отсылаются сразу же при нахождении совпадения.

Если совпадения найдено не было для текущего смещения в файле A, вычисляется быстрая сигнатура для следующего байтового смещения и процедура поиска повторяется. При совпадении смещение увеличивается на размер совпавшего блока, и поиск продолжается.
Реконструкция файла
Одна из простых частей алгоритма rsync — реконструкция файла. После того, как компьютер Beta отсылает сигнатуры, Alpha присылает байты из файла A или сообщения, которые содержат номера совпавших блоков.

Для реконструкции файла B нам необходимо последовательно вписывать полученные байты в файл и при получении сообщения о совпавшем блоке вписывать целый блок из старого файла. Реконструкция не производится непосредственно в старом файле, так как нам необходим произвольный доступ к старым данным. Для реконструкции создаётся временный файл, который затем переименовывается.
Конвейерная обработка
Важным фактором быстродействия является задержка между пересылаемыми файлами. Обычно используемые протоколы передачи данных, такие как ftp, rcp или rdist обрабатывают каждый файл как отдельную операцию, тем самым ожидая подтверждения о доставке текущего файла, перед тем как обрабатывать следующий.

При использовании большого количества маленьких файлов (например, обычное зеркалирование Web сайта) для пересылки через Internet, это время ожидания может сыграть роковую роль. Чтобы избежать этого, мы можем пересылать, не ожидая подтверждения. Этот метод также известен, как конвейерная обработка.
Схема конвейерной обработки
Схема конвейерной обработки

Процесс разбивается на 3 части — Generator, Sender и Receiver. Generator запускается на компьютере Beta и генерирует сигнатуры для всех файлов, которые необходимо переслать, и отсылает эти сигнатуры к Alpha. Sender, запущенный на Alpha получает сигнатуры и отсылает сообщения о совпавших блоках или целые байты Beta. Receiver, запущенный на Beta, реконструирует файл, после чего он связывается с Generator, чтобы сообщить об успешной передачи файла, либо передать ему, что определённый файл необходимо обработать заново.
Заключение
Алгоритм rsync предоставляет эффективное решение проблемы удалённого обновления файлов. Метод двух сигнатур, используемый в алгоритме, позволяет эффективно находить совпадения на любом смещении файла. Алгоритм гарантирует точность передачи, подтверждая подлинность блока стойкой сигнатурой.
Используемая литература

Rsync technical report. Andrew Tridgell и Paul Mackerras. 1998г.
Efficient Algorithms for Sorting and Synchronization. Andrew Tridgell. 2000г.
Zlib Technical Details. Jean-loup Gailly и Mark Adler.

Алгоритм Rsync

2013-07-10T14:42:46Z

Nordwind: Новая страница: «==Для чего он нужен?== Современные средства и протоколы удалённого копирования файлов (на…»

==Для чего он нужен?==

Современные средства и протоколы удалённого копирования файлов (например, http, ftp, rcp), каждый раз полностью пересылают данные, несмотря на возможно уже существующею старую версию этих данных. Хотя и возможно воссоздать только изменения, например, с помощью утилиты diff, если существует старая копия наряду с новой, и тем самым пересылать только изменения, но в практике это не всегда удобно и часто приводит к ошибкам.

Задачи алгоритма <tt>rsync</tt>:

# Он должен работать с произвольными данными, не только с обычным текстом.
# Размер передаваемых данных должен быть примерно равен размеру diff файла.
# Он должен быстро работать с большими файлами.
# Алгоритм не должен иметь какие-либо предварительные знания о статусе этих файлов, но должен эффективно находить их возможные сходства.
# Использовать мало ресурсов.

Представим, что у нас имеются файлы '''A''' и '''B''', и мы хотим обновить '''B''' таким образом, чтобы его содержимое было идентично содержимому файла '''A'''. Самый простой и очевидный способ — это скопировать '''A''' в '''B'''.

Теперь представим, что эти файлы находятся на двух разных машинах, соединённых медленным каналом связи, например, с помощью <tt>dialup</tt> модема. Если файл '''A''' большой, копирование '''A''' в '''B''' будет происходить очень медленно. Чтобы сделать это быстрее, мы можем сжать '''A''', перед тем как пересылать его. Но обычный коэффициент сжатия колеблется от 2 до 4, что так же не подойдёт для нашей медленной связи.

Предположим, что файлы '''A''' и '''B''' почти одинаковы (возможно, оба были получены из одного общего файла). Для увеличения производительности копирования мы можем воспользоваться преимуществом их сходства. Обычное решение этой проблемы заключается в том, чтобы пересылать только изменения между файлами '''A''' и '''B''' и затем использовать их для реконструкции фала '''B'''.

Но проблема в том, что для получения этих изменений необходимо иметь возможность чтения обоих файлов. Поэтому нам нужно иметь оба файла на одной из сторон нашего соединения. В противном случае, этот алгоритм использоваться не может. Для решения этой проблемы и был разработан алгоритм <tt>rsync</tt>.

== Алгоритм ==

'''=== Общий алгоритм ==='''

На двух разных компьютерах ''Alpha'' и ''Beta'', соединённых медленным каналом связи (например, через модем), находятся два файла '''A''' и '''B'''.

Структура алгоритма:

# ''Beta'' отсылает некоторые данные '''S''' на компьютер ''Alpha''
# ''Alpha'' сравнивает эти данные с файлом '''A''' и отсылает некоторые данные '''D''' на компьютер ''Beta''
# ''Beta'' создаёт копию файла '''A''' на основе файла '''B''', данных '''S''' и '''D'''

Главный вопрос в том, какую форму примут данные '''S''', как компьютер ''Alpha'' будет использовать '''S''' для сопоставления с файлом '''A''', и как ''Beta'' будет реконструировать ''A''.

'''=== Алгоритм <tt>rsync</tt> ==='''

Алгоритм <tt>rsync</tt>:

# ''Beta'' разбивает файл '''B''' на блоки длиной '''L''' (последний блок может быть меньше '''L'''байт) и вычисляет две сигнатуры '''Rb''' и '''Sb''' для каждого блока, после чего пересылает эти сигнатуры к ''Alpha''.
# ''Alpha'' вычисляет сигнатуры ''Ra'' для блоков длиной '''L''' для каждого байтового смещения. После чего сравнивает их с '''Rb'''.
# Для блоков, чьи '''R''' сигнатуры совпали, ''Alpha'' вычисляет '''Sa''' и сравнивает с '''Sb'''.
# Если '''S''' сигнатуры совпадают, ''Alpha'' отсылает уведомление с номером совпавшего блока, в противном случае ''Alpha'' пересылает один байт.
# ''Beta'' получает номера совпавших блоков из '''B''' или одиночные байты из файла '''A''' и на основе этих данных создаёт копию файла '''A'''.

Важно понимать, что ключом алгоритма является создание двух сигнатур — быстрой и стойкой. Быстрая ('''R''') используется как фильтр (на компьютере ''Alpha'' она вычисляется для каждого байтового смещения!). Стойкая (''S'') используется для более точной проверки.
[[File:rsync.gif|link=http://www.openbsd.pw/files/openbsd_ru/docs/images/rsync.gif|Алгоритм rsync]]
Алгоритм rsync

== Стойкая сигнатура ==

Стойкая сигнатура может не быть быстрой, так как вычисляется только при совпадении простой, быстрой сигнатуры. Главным свойством стойкой сигнатуры должна быть минимальная вероятность отказа, иначе говоря, наличие одной и той же сигнатуры для двух разных блоков.

Существует множество алгоритмов с такими свойствами, возможно, наиболее известный — это алгоритм хеширования ''Message Digest''. Он часто используется в криптографических программах.

== Быстрая сигнатура ==

Быстрая сигнатура очень важна для эффективности алгоритма <tt>rsync</tt>. Она работает как фильтр, предотвращая вычисление стойкой сигнатуры. Основная задача быстрой сигнатуры — это максимально быстрое её вычисление для каждого байтового смещения в файле.

Первоначально для создания быстрой сигнатуры в <tt>rsync</tt> было опробовано простое склеивание первых и последних 4 байт блока. Хотя такой алгоритм, в принципе, работал, но был выявлен его серьёзный недостаток. Для определённых типов данных, например, для <tt>tar</tt> файла, он слишком часто создавал одинаковые сигнатуры для разных частей файла, что приводило к многократному вычислению стойкой сигнатуры и, как следствие, падению производительности всего алгоритма.

Это привело к необходимости выбора нового алгоритма для вычисления быстрой сигнатуры, значение которого зависело бы от всех байт блока, но при этом вычисление оставалось таким же простым и быстрым. Им стал алгоритм, похожий на adler32 от Марка Адлера. Adler32 — алгоритм расчёта контрольных сумм, похожий на довольно распространённый алгоритм CRC32, но при этом более быстрый.
Поиск сигнатур
Для эффективности поиска используется хеширование быстрой сигнатуры и трехуровневый поиск. Ключом хеш-функции является значение 32 битной сигнатуры, а значением — сумма двух её (16 битных) половин.
Поиск сигнатур
Поиск сигнатур

На первом уровне формируется хеш-таблица размером в 2^16 элементов. Ключом хеш-функции является быстрая 32 битная сигнатура. Для каждой пары быстрой и стойкой сигнатуры, полученной от Beta, вычисляется 16 битный хеш 32 битной сигнатуры, после чего все это сортируется согласно 16 битному хешу. Каждый элемент хеш-таблицы указывает на первый элемент сортированных сигнатур, хеш значения которых совпадают, либо хранит в себе NULL, если сигнатур с таким хешом нет. Номер элемента хеш-таблицы соответствует значению хеш-функции, а именно сумме двух половин быстрой 32 битной сигнатуры.

Затем для каждого байтового смещения вычисляется быстрая 32 битная сигнатура и 16 битное хеш-значение. Если элемент хеш-таблицы для этого хеш-значения не равен NULL, алгоритм поиска переходит на следующий уровень.

На втором уровне происходит линейный поиск по сортированному списку сигнатур, начиная с элемента, указанного в хеш-таблице. Мы ищем быструю 32 битную сигнатуру, чьё значение совпадает с необходимым нам значением. Поиск прекращается при первом же несовпадении 16 битной сигнатуры. Если мы нашли такую 32 битную сигнатуру, алгоритм переходит на следующий уровень.

На третьем уровне происходит вычисление стойкой сигнатуры для текущего смещения в файле и сравнение его со значением стойкой сигнатуры в сортированном списке. При совпадении предполагается, что мы нашли блок в файле A, который есть в файле B. Фактически, блоки могут быть различны, но вероятность этого очень мала.

При совпадении блоков Alpha отсылает Beta данные из файла A между текущим смещением и предыдущим совпадением, а также индекс совпавшего блока, который есть в B. Эти данные отсылаются сразу же при нахождении совпадения.

Если совпадения найдено не было для текущего смещения в файле A, вычисляется быстрая сигнатура для следующего байтового смещения и процедура поиска повторяется. При совпадении смещение увеличивается на размер совпавшего блока, и поиск продолжается.
Реконструкция файла
Одна из простых частей алгоритма rsync — реконструкция файла. После того, как компьютер Beta отсылает сигнатуры, Alpha присылает байты из файла A или сообщения, которые содержат номера совпавших блоков.

Для реконструкции файла B нам необходимо последовательно вписывать полученные байты в файл и при получении сообщения о совпавшем блоке вписывать целый блок из старого файла. Реконструкция не производится непосредственно в старом файле, так как нам необходим произвольный доступ к старым данным. Для реконструкции создаётся временный файл, который затем переименовывается.
Конвейерная обработка
Важным фактором быстродействия является задержка между пересылаемыми файлами. Обычно используемые протоколы передачи данных, такие как ftp, rcp или rdist обрабатывают каждый файл как отдельную операцию, тем самым ожидая подтверждения о доставке текущего файла, перед тем как обрабатывать следующий.

При использовании большого количества маленьких файлов (например, обычное зеркалирование Web сайта) для пересылки через Internet, это время ожидания может сыграть роковую роль. Чтобы избежать этого, мы можем пересылать, не ожидая подтверждения. Этот метод также известен, как конвейерная обработка.
Схема конвейерной обработки
Схема конвейерной обработки

Процесс разбивается на 3 части — Generator, Sender и Receiver. Generator запускается на компьютере Beta и генерирует сигнатуры для всех файлов, которые необходимо переслать, и отсылает эти сигнатуры к Alpha. Sender, запущенный на Alpha получает сигнатуры и отсылает сообщения о совпавших блоках или целые байты Beta. Receiver, запущенный на Beta, реконструирует файл, после чего он связывается с Generator, чтобы сообщить об успешной передачи файла, либо передать ему, что определённый файл необходимо обработать заново.
Заключение
Алгоритм rsync предоставляет эффективное решение проблемы удалённого обновления файлов. Метод двух сигнатур, используемый в алгоритме, позволяет эффективно находить совпадения на любом смещении файла. Алгоритм гарантирует точность передачи, подтверждая подлинность блока стойкой сигнатурой.
Используемая литература

Rsync technical report. Andrew Tridgell и Paul Mackerras. 1998г.
Efficient Algorithms for Sorting and Synchronization. Andrew Tridgell. 2000г.
Zlib Technical Details. Jean-loup Gailly и Mark Adler.

OpenSSH мини-руководство

2013-06-14T17:07:05Z

Nordwind:

: Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru]

== Мини-руководство «шаг за шагом» ==

Генерируем пару ключей (секретный и публичный):

<pre>
% ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/andrushock/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/andrushock/.ssh/id_rsa.
Your public key has been saved in /home/andrushock/.ssh/id_rsa.pub.
The key fingerprint is:
25:95:5b: a6:d7:26:b6:f5:f9:a7:49:d4:a8:2a:0d:7d andrushock@midian
</pre>

Проверяем корректность прав доступа к директории .ssh и RSA-ключам:

<pre>
% ls -la .ssh | egrep -v 'total|\.\.'
drwx------ 2 andrushock wsrc 512 Oct 19 20:42 ./
-rw------- 1 andrushock wsrc 1743 Jun 11 03:35 id_rsa
-rw-r--r-- 1 andrushock wsrc 413 Jun 11 03:35 id_rsa.pub
</pre>

Добавляем публичный ключ в список авторизованных ключей на удаленной системе:

% ssh user@host «cat >> .ssh/authorized_keys» < .ssh/id_rsa.pub

В случае, если подкаталог .ssh и файл .ssh/authorized_keys на удаленной системе не существуют:

% ssh user@host «mkdir -m 700 .ssh; umask 077; cat > .ssh/authorized_keys» < .ssh/id_rsa.pub

Для сохранения парольных фраз к приватным ключам запускаем [http://www.openbsd.org/cgi-bin/man.cgi?query=ssh-agent&apropos=0&sektion=1&manpath=OpenBSD+Current&arch=i386&format=html ssh-agent(1)]:

<pre>
% eval `/usr/bin/ssh-agent`
Agent pid 3855
</pre>

С помощью [http://www.openbsd.org/cgi-bin/man.cgi?query=ssh-add&apropos=0&sektion=1&manpath=OpenBSD+Current&arch=i386&format=html ssh-add(1)] добавляем в память агента парольную фразу от нашего ключа:

<pre>
% ssh-add
Enter passphrase for /home/andrushock/.ssh/id_rsa:
Identity added: /home/andrushock/.ssh/id_rsa (/home/andrushock/.ssh/id_rsa)
</pre>

Для проверки просматриваем отпечаток секретного ключа:

<pre>
% ssh-add -l
2048 25:95:5b: a6:d7:26:b6:f5:f9:a7:49:d4:a8:2a:0d:7d /home/andrushock/.ssh/id_rsa (RSA)
</pre>

Выполняем вход на удаленный сервер без ввода пароля и парольной фразы:

<pre>
% ssh user@host
OpenBSD 3.7-current (GENERIC) #1: Mon Aug 1 00:37:53 MSD 2005

Welcome to OpenBSD: The proactively secure Unix-like operating system.

$
</pre>

Пример использования функций оболочки для упрощения беспарольной аутентификации:

% vi .profile

<source lang="bash">
ssh_agent_start() {
id1=$HOME/.ssh/identity
id2=$HOME/.ssh/id_dsa
id3=$HOME/.ssh/id_rsa
if [ ! «$SSH_AGENT_PID» ] && [ -f $id1 -o -f $id2 -o -f $id3 ]; then
eval `/usr/bin/ssh-agent -s`
/usr/bin/ssh-add < /dev/null
export SSH_AGENT_SHELL=$$
fi
}

ssh_agent_stop() {
if [ «$SSH_AGENT_PID» -a "$SSH_AGENT_SHELL"x = "$$"x ]; then
/usr/bin/ssh-add -D < /dev/null
eval `/usr/bin/ssh-agent -sk`
fi
}

ssh_agent_start
trap ssh_agent_stop 0 1
</source>

[[Категория:Howto]]

Привязка IP к MAC с помощью bridge(4) и pf(4)

2013-06-14T17:06:23Z

Nordwind:

: Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru]

== Мини-руководство "шаг за шагом" ==

Пример предоставления клиентам доступа к ресурсам сети с привязкой IP к MAC с помощью <tt>bridge</tt> и <tt>pf</tt>. В данном случае для создания моста достаточно одного внутреннего сетевого интерфейса <tt>ral0</tt>.

<pre>
Сервер. IP: 192.168.2.1
Клиент 1. Hostname: evol, IP: 192.168.2.2, MAC: 00:0f:ea:91:43:f6
Клиент 2. Hostname: aurora, IP: 192.168.2.3, MAC: 00:80:c8:2c:47:a1
</pre>

Включаем перенаправление IPv4-пакетов между сетевыми интерфейсами:

# sysctl -w net.inet.ip.forwarding=1

Добавляем соответствующую запись в /etc/sysctl.conf:

# vi /etc/sysctl.conf
net.inet.ip.forwarding=1

Редактируем /etc/bridgename.bridge0:

<pre>
# vi /etc/bridgename.bridge0
add ral0
blocknonip ral0
link0
-discover ral0
-learn ral0
flushall
static ral0 00:0f: ea:91:43:f6
static ral0 00:80:c8:2c:47:a1
up
rulefile /etc/bridge.conf
</pre>

Редактируем /etc/bridge.conf:

<pre>
# vi /etc/bridge.conf
pass in on ral0 src 00:0f: ea:91:43:f6 tag evol
pass in on ral0 src 00:80:c8:2c:47:a1 tag aurora
block in on ral0
</pre>

Создаем и поднимаем псевдоустройство <tt>bridge</tt>:

# ifconfig bridge0 create
# sh /etc/netstart bridge0

Для проверки смотрим информацию о бридже:

<pre>
# brconfig bridge0
bridge0: flags=1041<UP,RUNNING,LINK0>
Configuration:
priority 32768 hellotime 2 fwddelay 15 maxage 20
Interfaces:
ral0 flags=4<BLOCKNONIP>
port 2 ifpriority 128 ifcost 55
pass in on ral0 src 00:0f: ea:91:43:f6 tag evol
pass in on ral0 src 00:80:c8:2c:47:a1 tag aurora
block in on ral0
Addresses (max cache: 100, timeout: 240):
00:80:c8:2c:47:a1 ral0 1 flags=1<STATIC>
00:0f: ea:91:43:f6 ral0 1 flags=1<STATIC>
</pre>

Редактируем /etc/pf.conf:

<pre>
# vi /etc/pf.conf
ext_if = «vr0»
int_if = «ral0»

evol = «192.168.2.2»
aurora = «192.168.2.3»

nat on $ext_if inet from { $evol, $aurora } to any -> ($ext_if)

block in quick on $int_if from ! $evol to any tagged evol
block in quick on $int_if from ! $aurora to any tagged aurora

block return

pass quick on { lo, $int_if } inet all
pass quick on $ext_if inet all keep state
</pre>

Перезагружаем набор рулесетов файервола:

# pfctl -f /etc/pf.conf

Дополнительную информацию можно получить, прочитав статью «[[Настройка Ethernet Bridge]]», а также из справочных man-страниц: [http://www.openbsd.org/cgi-bin/man.cgi?query=bridge&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html bridge(4)], [http://www.openbsd.org/cgi-bin/man.cgi?query=pf&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html pf(4)], [http://www.openbsd.org/cgi-bin/man.cgi?query=ifconfig&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html ifconfig(8)], [http://www.openbsd.org/cgi-bin/man.cgi?query=netstart&sektion=8&apropos=0&manpath=OpenBSD+Current&arch=i386 netstart(8)].

[[Категория:Howto]]

OpenBSD-Wiki:Текущие события

2013-06-14T17:05:36Z

Nordwind: /* Устаревшее */

== Актуальное ==
Собрано всё, что применимо к текущему релизу.

* [[Введение в OpenBSD]]
* [[Аппаратное обеспечение и вопросы]]
* [[Деликатное проникновение в частную сеть]]
* [[IPsec между OpenBSD и Linux Ubuntu]]
* [[OpenSSH мини-руководство]]
* [[OpenSSH: настройки, секреты, трюки и советы]]
* [[OpenSSL: 101 прием работы]]
* [[RSA/DSA аутентификация в OpenSSH]]
* [[VPN на базе SSH]]
* [[Использование файла mk.conf]]
* [[Использование сетевой файловой системы NFS]]
* [[Написание OpenBSD Loadable Kernel Modules (LKM)]]
* [[Настройка sendmail]]
* [[Настройка PPPoE-сервера]]
* [[Настройка PPPoE-клиента с помощью pppoe(8)]]
* [[Новое IPSec howto]]
* [[Русификация OpenBSD 5.x]]
* [[Русификация OpenBSD]]
* [[Русификация консоли OpenBSD]]
* [[Создание загрузочной флешки]]
* [[Перечень Интернет ресурсов о OpenBSD]]
* [[Описание переменных sysctl]]
* [[Сборник советов с OpenBSD101.com]]

=== Переводы ===
* [[C2k10-marco]]
* [[C2k10-guenther]]
* [[C2k10-ajacoutot]]
* [[C2k10-henning]]
* [[C2k10-tedu]]

== Устаревшее ==
Данная информация сохранена для архивных версий.

* [[Зеркалирование данных с помощью ccd]]
* [[Использование Bluetooth в OpenBSD]]
* [[Настройка GPRS]]
* [[Настройка Ethernet Bridge]]
* [[Привязка IP к MAC с помощью bridge(4) и pf(4)]]

== Прочее ==

* [[Резервная копия Wiki]]

Настройка Ethernet Bridge

2013-06-14T17:04:27Z

Nordwind:

: Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru]

Использование Ethernet Bridge позволяет объединить несколько сегментов Ethernet в один логический сегмент. При этом допустимо использование правил фильтрации <tt>pf</tt>, что позволяет превратить OpenBSD в прозрачный IP фильтр.

Чтобы настроить OpenBSD в качестве Ethernet Bridge, нужно выполнить следующие шаги:

* Сконфигурировать ядро OpenBSD, включив в него псевдоустройство <tt>"bridge"</tt>. Файл конфигурации ядра должен содержать строку <tt>'''"pseudo-device bridge"'''</tt>.
* Создать файл конфигурации /etc/bridgename.bridge0, содержащий команды конфигурации Bridge, например:

<pre>
add rl0
add fxp0
up
</pre>

В данном случае мы объявляем интерфейсы <tt>fxp0</tt> и <tt>rl0</tt> одним логическим Ethernet сегментом. Подробнее о командах конфигурирования Bridge можно прочитать в [http://www.openbsd.org/cgi-bin/man.cgi?query=ifconfig&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html ifconfig(8)]. При использовании нескольких логических сегментов следует создать файл конфигурации для каждого псевдоустройства bridge.

* Создать файлы конфигурации сетевых интерфейсов:

/etc/hostname.fxp0:

inet 194.226.170.3 255.255.255.0 NONE

/etc/hostname.rl0:

up

Подробнее о файлах конфигурации сетевых интерфейсов можно прочитать в [http://www.openbsd.org/cgi-bin/man.cgi?query=hostname.if&sektion=5&arch=i386&apropos=0&manpath=OpenBSD+Current hostname.if(5)]

Обратите внимание, что в данном случае IP адрес присваивается только одному интерфейсу. Допускается также создание Bridge, не имеющего своего IP адреса.

* Перезагрузить машину.

Ethernet Bridge также позволяет с помощью протокола <tt>Ethernet-over-IP</tt> объединить в один логический сегмент сети, физически находящиеся далеко друг от друга. Рассмотрим следующий пример:

: Хост '''A''', адрес 81.1.212.10, внутренний интерфейс '''em0'''
: Хост '''B''', адрес 81.1.226.48, внутренний интерфейс '''rl0'''

Чтобы объединить сегменты интерфейса <tt>'''em0'''</tt> хоста '''A''' и <tt>'''rl0'''</tt> хоста '''B''' в один логический Ethernet сегмент, нужно подать следующие команды:

Для хоста '''A''':

# sysctl -w net.inet.etherip.allow=1
# ifconfig gif0 tunnel 81.1.212.10 81.1.226.48
# ifconfig bridge0 create
# brconfig bridge0 add em0 add gif0 up

Для хоста '''B''':

# sysctl -w net.inet.etherip.allow=1
# ifconfig gif0 tunnel 81.1.226.48 81.1.212.10
# ifconfig bridge0 create
# brconfig bridge0 add rl0 add gif0 up

Замечания

* При использовании OpenBSD Packet Filter пакет, проходящий через Bridge, попадает под проверку PF два раза: при входе на одном интерфейсе и при выходе на другом. Чтобы производить <tt>keep-state</tt> фильтрацию, нам необходимо разрешить все входящие и исходящие пакеты на одном интерфейсе, а на другом производить фильтрацию. Пример правил:

# фильтрация производится на rl0, поэтому пропускаем все пакеты на rl1
pass quick on rl1

# по умолчанию мы блокируем все пакеты и пропускаем только
# icmp запросы с получившимися keep-state ответами в обе стороны.
block on rl0
pass on rl0 inet proto icmp icmp-type echoreq code 0 keep state

* При использовании <tt>pf</tt> для фильтрации пакетов, проходящих через Bridge, действуют только правила для входящих пакетов.
* Если во время работы Bridge производится перенос какого-нибудь компьютера (или другого устройства, имеющего свой Ethernet адрес) с одного Ethernet сегмента на другой, следует выполнить команду

# brconfig bridge0 flush

(где <tt>bridge0</tt> - псевдоинтерфейс Bridge, к которому относится Ethernet сегмент, где раньше находился компьютер).

Смотрите также по данной теме пошаговое [[Привязка IP к MAC с помощью bridge(4) и pf(4)|руководство]], в котором рассматривается привязка IP к MAC с помощью <tt>bridge</tt> и <tt>pf</tt>.

[[Категория:Howto]]

Настройка Ethernet Bridge

2013-06-14T16:54:24Z

Nordwind: Новая страница: «: Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru] Использование Ethernet Bridge позволяет об…»

: Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru]

Использование Ethernet Bridge позволяет объединить несколько сегментов Ethernet в один логический сегмент. При этом допустимо использование правил фильтрации <tt>pf</tt>, что позволяет превратить OpenBSD в прозрачный IP фильтр.

Чтобы настроить OpenBSD в качестве Ethernet Bridge, нужно выполнить следующие шаги:

# Сконфигурировать ядро OpenBSD, включив в него псевдоустройство <tt>"bridge"</tt>. Файл конфигурации ядра должен содержать строку <tt>'''"pseudo-device bridge"'''</tt>.
# Создать файл конфигурации /etc/bridgename.bridge0, содержащий команды конфигурации Bridge, например:

add rl0
add fxp0
up

В данном случае мы объявляем интерфейсы <tt>fxp0</tt> и <tt>rl0</tt> одним логическим Ethernet сегментом. Подробнее о командах конфигурирования Bridge можно прочитать в [http://www.openbsd.org/cgi-bin/man.cgi?query=ifconfig&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html ifconfig(8)]. При использовании нескольких логических сегментов следует создать файл конфигурации для каждого псевдоустройства bridge.

# Создать файлы конфигурации сетевых интерфейсов:

/etc/hostname.fxp0:

inet 194.226.170.3 255.255.255.0 NONE

/etc/hostname.rl0:

up

* Подробнее о файлах конфигурации сетевых интерфейсов можно прочитать в [http://www.openbsd.org/cgi-bin/man.cgi?query=hostname.if&sektion=5&arch=i386&apropos=0&manpath=OpenBSD+Current hostname.if(5)]

* Обратите внимание, что в данном случае IP адрес присваивается только одному интерфейсу. Допускается также создание Bridge, не имеющего своего IP адреса.

# Перезагрузить машину.

Ethernet Bridge также позволяет с помощью протокола <tt>Ethernet-over-IP</tt> объединить в один логический сегмент сети, физически находящиеся далеко друг от друга. Рассмотрим следующий пример:

* Хост '''A''', адрес 81.1.212.10, внутренний интерфейс '''em0'''
* Хост '''B''', адрес 81.1.226.48, внутренний интерфейс '''rl0'''

Чтобы объединить сегменты интерфейса <tt>'''em0'''</tt> хоста '''A''' и <tt>'''rl0'''</tt> хоста '''B''' в один логический Ethernet сегмент, нужно подать следующие команды:

Для хоста '''A''':

# sysctl -w net.inet.etherip.allow=1
# ifconfig gif0 tunnel 81.1.212.10 81.1.226.48
# ifconfig bridge0 create
# brconfig bridge0 add em0 add gif0 up

Для хоста '''B''':

# sysctl -w net.inet.etherip.allow=1
# ifconfig gif0 tunnel 81.1.226.48 81.1.212.10
# ifconfig bridge0 create
# brconfig bridge0 add rl0 add gif0 up

Замечания

* При использовании OpenBSD Packet Filter пакет, проходящий через Bridge, попадает под проверку PF два раза: при входе на одном интерфейсе и при выходе на другом. Чтобы производить <tt>keep-state</tt> фильтрацию, нам необходимо разрешить все входящие и исходящие пакеты на одном интерфейсе, а на другом производить фильтрацию. Пример правил:

# фильтрация производится на rl0, поэтому пропускаем все пакеты на rl1
pass quick on rl1

# по умолчанию мы блокируем все пакеты и пропускаем только
# icmp запросы с получившимися keep-state ответами в обе стороны.
block on rl0
pass on rl0 inet proto icmp icmp-type echoreq code 0 keep state

* При использовании <tt>pf</tt> для фильтрации пакетов, проходящих через Bridge, действуют только правила для входящих пакетов.
* Если во время работы Bridge производится перенос какого-нибудь компьютера (или другого устройства, имеющего свой Ethernet адрес) с одного Ethernet сегмента на другой, следует выполнить команду

# brconfig bridge0 flush

(где <tt>bridge0</tt> - псевдоинтерфейс Bridge, к которому относится Ethernet сегмент, где раньше находился компьютер).

Смотрите также по данной теме пошаговое [[Привязка IP к MAC с помощью bridge(4) и pf(4)|руководство]], в котором рассматривается привязка IP к MAC с помощью <tt>bridge</tt> и <tt>pf</tt>.

[[Категория:Howto]]

OpenBSD-Wiki:Текущие события

2013-06-14T16:16:48Z

Nordwind: /* Устаревшее */

== Актуальное ==
Собрано всё, что применимо к текущему релизу.

* [[Введение в OpenBSD]]
* [[Аппаратное обеспечение и вопросы]]
* [[Деликатное проникновение в частную сеть]]
* [[IPsec между OpenBSD и Linux Ubuntu]]
* [[OpenSSH мини-руководство]]
* [[OpenSSH: настройки, секреты, трюки и советы]]
* [[OpenSSL: 101 прием работы]]
* [[RSA/DSA аутентификация в OpenSSH]]
* [[VPN на базе SSH]]
* [[Использование файла mk.conf]]
* [[Использование сетевой файловой системы NFS]]
* [[Написание OpenBSD Loadable Kernel Modules (LKM)]]
* [[Настройка sendmail]]
* [[Настройка PPPoE-сервера]]
* [[Настройка PPPoE-клиента с помощью pppoe(8)]]
* [[Новое IPSec howto]]
* [[Русификация OpenBSD 5.x]]
* [[Русификация OpenBSD]]
* [[Русификация консоли OpenBSD]]
* [[Создание загрузочной флешки]]
* [[Перечень Интернет ресурсов о OpenBSD]]
* [[Описание переменных sysctl]]
* [[Сборник советов с OpenBSD101.com]]

=== Переводы ===
* [[C2k10-marco]]
* [[C2k10-guenther]]
* [[C2k10-ajacoutot]]
* [[C2k10-henning]]
* [[C2k10-tedu]]

== Устаревшее ==
Данная информация сохранена для архивных версий.

* [[Зеркалирование данных с помощью ccd]]
* [[Использование Bluetooth в OpenBSD]]
* [[Настройка GPRS]]
* [[Привязка IP к MAC с помощью bridge(4) и pf(4)]]

== Прочее ==

* [[Резервная копия Wiki]]

Привязка IP к MAC с помощью bridge(4) и pf(4)

2013-06-14T16:14:07Z

Nordwind: /* Мини-руководство "шаг за шагом" */

: Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru]

== Мини-руководство "шаг за шагом" ==

Пример предоставления клиентам доступа к ресурсам сети с привязкой IP к MAC с помощью <tt>bridge</tt> и <tt>pf</tt>. В данном случае для создания моста достаточно одного внутреннего сетевого интерфейса <tt>ral0</tt>.

<pre>
Сервер. IP: 192.168.2.1
Клиент 1. Hostname: evol, IP: 192.168.2.2, MAC: 00:0f:ea:91:43:f6
Клиент 2. Hostname: aurora, IP: 192.168.2.3, MAC: 00:80:c8:2c:47:a1
</pre>

Включаем перенаправление IPv4-пакетов между сетевыми интерфейсами:

# sysctl -w net.inet.ip.forwarding=1

Добавляем соответствующую запись в /etc/sysctl.conf:

# vi /etc/sysctl.conf
net.inet.ip.forwarding=1

Редактируем /etc/bridgename.bridge0:

<pre>
# vi /etc/bridgename.bridge0
add ral0
blocknonip ral0
link0
-discover ral0
-learn ral0
flushall
static ral0 00:0f: ea:91:43:f6
static ral0 00:80:c8:2c:47:a1
up
rulefile /etc/bridge.conf
</pre>

Редактируем /etc/bridge.conf:

<pre>
# vi /etc/bridge.conf
pass in on ral0 src 00:0f: ea:91:43:f6 tag evol
pass in on ral0 src 00:80:c8:2c:47:a1 tag aurora
block in on ral0
</pre>

Создаем и поднимаем псевдоустройство <tt>bridge</tt>:

# ifconfig bridge0 create
# sh /etc/netstart bridge0

Для проверки смотрим информацию о бридже:

<pre>
# brconfig bridge0
bridge0: flags=1041<UP,RUNNING,LINK0>
Configuration:
priority 32768 hellotime 2 fwddelay 15 maxage 20
Interfaces:
ral0 flags=4<BLOCKNONIP>
port 2 ifpriority 128 ifcost 55
pass in on ral0 src 00:0f: ea:91:43:f6 tag evol
pass in on ral0 src 00:80:c8:2c:47:a1 tag aurora
block in on ral0
Addresses (max cache: 100, timeout: 240):
00:80:c8:2c:47:a1 ral0 1 flags=1<STATIC>
00:0f: ea:91:43:f6 ral0 1 flags=1<STATIC>
</pre>

Редактируем /etc/pf.conf:

<pre>
# vi /etc/pf.conf
ext_if = «vr0»
int_if = «ral0»

evol = «192.168.2.2»
aurora = «192.168.2.3»

nat on $ext_if inet from { $evol, $aurora } to any -> ($ext_if)

block in quick on $int_if from ! $evol to any tagged evol
block in quick on $int_if from ! $aurora to any tagged aurora

block return

pass quick on { lo, $int_if } inet all
pass quick on $ext_if inet all keep state
</pre>

Перезагружаем набор рулесетов файервола:

# pfctl -f /etc/pf.conf

Дополнительную информацию можно получить, прочитав статью «Настройка Ethernet Bridge», а также из справочных man-страниц: [http://www.openbsd.org/cgi-bin/man.cgi?query=bridge&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html bridge(4)], [http://www.openbsd.org/cgi-bin/man.cgi?query=pf&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html pf(4)], [http://www.openbsd.org/cgi-bin/man.cgi?query=ifconfig&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html ifconfig(8)], [http://www.openbsd.org/cgi-bin/man.cgi?query=netstart&sektion=8&apropos=0&manpath=OpenBSD+Current&arch=i386 netstart(8)].

[[Категория:Howto]]

Привязка IP к MAC с помощью bridge(4) и pf(4)

2013-06-14T16:13:05Z

Nordwind: Новая страница: «: Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru] == Мини-руководство "шаг за шагом" == П…»

: Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru]

== Мини-руководство "шаг за шагом" ==

Пример предоставления клиентам доступа к ресурсам сети с привязкой IP к MAC с помощью <tt>bridge</tt> и <tt>pf</tt>. В данном случае для создания моста достаточно одного внутреннего сетевого интерфейса <tt>ral0</tt>.

<pre>
Сервер. IP: 192.168.2.1
Клиент 1. Hostname: evol, IP: 192.168.2.2, MAC: 00:0f:ea:91:43:f6
Клиент 2. Hostname: aurora, IP: 192.168.2.3, MAC: 00:80:c8:2c:47:a1
</pre>

Включаем перенаправление IPv4-пакетов между сетевыми интерфейсами:

# sysctl -w net.inet.ip.forwarding=1

Добавляем соответствующую запись в /etc/sysctl.conf:

# vi /etc/sysctl.conf
net.inet.ip.forwarding=1

Редактируем /etc/bridgename.bridge0:

<pre>
# vi /etc/bridgename.bridge0
add ral0
blocknonip ral0
link0
-discover ral0
-learn ral0
flushall
static ral0 00:0f: ea:91:43:f6
static ral0 00:80:c8:2c:47:a1
up
rulefile /etc/bridge.conf
</pre>

Редактируем /etc/bridge.conf:

<pre>
# vi /etc/bridge.conf
pass in on ral0 src 00:0f: ea:91:43:f6 tag evol
pass in on ral0 src 00:80:c8:2c:47:a1 tag aurora
block in on ral0
</pre>

Создаем и поднимаем псевдоустройство <tt>bridge</tt>:

# ifconfig bridge0 create
# sh /etc/netstart bridge0

Для проверки смотрим информацию о бридже:

<pre>
# brconfig bridge0
bridge0: flags=1041<UP,RUNNING,LINK0>
Configuration:
priority 32768 hellotime 2 fwddelay 15 maxage 20
Interfaces:
ral0 flags=4<BLOCKNONIP>
port 2 ifpriority 128 ifcost 55
pass in on ral0 src 00:0f: ea:91:43:f6 tag evol
pass in on ral0 src 00:80:c8:2c:47:a1 tag aurora
block in on ral0
Addresses (max cache: 100, timeout: 240):
00:80:c8:2c:47:a1 ral0 1 flags=1<STATIC>
00:0f: ea:91:43:f6 ral0 1 flags=1<STATIC>
</pre>

Редактируем /etc/pf.conf:

<pre>
# vi /etc/pf.conf
ext_if = «vr0»
int_if = «ral0»

evol = «192.168.2.2»
aurora = «192.168.2.3»

nat on $ext_if inet from { $evol, $aurora } to any -> ($ext_if)

block in quick on $int_if from ! $evol to any tagged evol
block in quick on $int_if from ! $aurora to any tagged aurora

block return

pass quick on { lo, $int_if } inet all
pass quick on $ext_if inet all keep state
</pre>

Перезагружаем набор рулесетов файервола:

# pfctl -f /etc/pf.conf

Дополнительную информацию можно получить, прочитав статью «Настройка Ethernet Bridge», а также из справочных man-страниц: [http://www.openbsd.org/cgi-bin/man.cgi?query=bridge&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html bridge(4)], [http://www.openbsd.org/cgi-bin/man.cgi?query=pf&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html pf(4)], [http://www.openbsd.org/cgi-bin/man.cgi?query=ifconfig&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html ifconfig(8)], [http://www.openbsd.org/cgi-bin/man.cgi?query=netstart&sektion=8&apropos=0&manpath=OpenBSD+Current&arch=i386 netstart(8)].

[[Категория:Howto]]

Настройка PPPoE-клиента с помощью pppoe(8)

2013-06-14T14:23:51Z

Nordwind:

: Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru] 

== Мини-руководство «шаг за шагом» ==

Пример настройки PPPoE-клиента. Предположим, что <tt>vr0</tt> - это сетевой интерфейс, на котором будет работать клиент, выданы логин <tt>"test"</tt> и пароль <tt>"qwe123"</tt>.

Перейдем к настройке PPP. Обратите внимание, что в файле /etc/ppp/ppp.conf cтроки, оканчивающиеся на «<big>''':'''</big>», вводятся без отступа в начале строки. Остальные строки должны быть введены с отступом, как показано в примере.

<pre>
# vi /etc/ppp/ppp.conf
default:
Set log Phase Chat LCP IPCP CCP tun command
Disable ipv6cp

pppoe:
set device "!/usr/sbin/pppoe -i vr0"
set mtu max 1492
set mru max 1492
set speed sync
disable acfcomp protocomp
deny acfcomp
set authname test
set authkey qwe123
add! default HISADDR
</pre>

Выставляем корректные права доступа:

# chmod 600 /etc/ppp/ppp.conf

Устанавливаем соединение:

# ppp -ddial pppoe

Если тестирование прошло успешно, можно настроить автоматическое поднятие PPPoE-соединения при старте системы:

# vi /etc/hostname.tun0
!/usr/sbin/ppp -ddial pppoe

Статья основана на материалах, предоставленных Гнединым Алексеем aka Goblin.

[[Категория:Howto]]

OpenBSD-Wiki:Текущие события

2013-06-14T14:20:47Z

Nordwind: /* Актуальное */

== Актуальное ==
Собрано всё, что применимо к текущему релизу.

* [[Введение в OpenBSD]]
* [[Аппаратное обеспечение и вопросы]]
* [[Деликатное проникновение в частную сеть]]
* [[IPsec между OpenBSD и Linux Ubuntu]]
* [[OpenSSH мини-руководство]]
* [[OpenSSH: настройки, секреты, трюки и советы]]
* [[OpenSSL: 101 прием работы]]
* [[RSA/DSA аутентификация в OpenSSH]]
* [[VPN на базе SSH]]
* [[Использование файла mk.conf]]
* [[Использование сетевой файловой системы NFS]]
* [[Написание OpenBSD Loadable Kernel Modules (LKM)]]
* [[Настройка sendmail]]
* [[Настройка PPPoE-сервера]]
* [[Настройка PPPoE-клиента с помощью pppoe(8)]]
* [[Новое IPSec howto]]
* [[Русификация OpenBSD 5.x]]
* [[Русификация OpenBSD]]
* [[Русификация консоли OpenBSD]]
* [[Создание загрузочной флешки]]
* [[Перечень Интернет ресурсов о OpenBSD]]
* [[Описание переменных sysctl]]
* [[Сборник советов с OpenBSD101.com]]

=== Переводы ===
* [[C2k10-marco]]
* [[C2k10-guenther]]
* [[C2k10-ajacoutot]]
* [[C2k10-henning]]
* [[C2k10-tedu]]

== Устаревшее ==
Данная информация сохранена для архивных версий.

* [[Зеркалирование данных с помощью ccd]]
* [[Использование Bluetooth в OpenBSD]]
* [[Настройка GPRS]]

== Прочее ==

* [[Резервная копия Wiki]]

Настройка PPPoE-клиента с помощью pppoe(8)

2013-06-14T14:19:31Z

Nordwind:

: Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru] 

Пример настройки PPPoE-клиента. Предположим, что <tt>vr0</tt> - это сетевой интерфейс, на котором будет работать клиент, выданы логин <tt>"test"</tt> и пароль <tt>"qwe123"</tt>.

Перейдем к настройке PPP. Обратите внимание, что в файле /etc/ppp/ppp.conf cтроки, оканчивающиеся на «<big>''':'''</big>», вводятся без отступа в начале строки. Остальные строки должны быть введены с отступом, как показано в примере.

<pre>
# vi /etc/ppp/ppp.conf
default:
Set log Phase Chat LCP IPCP CCP tun command
Disable ipv6cp

pppoe:
set device "!/usr/sbin/pppoe -i vr0"
set mtu max 1492
set mru max 1492
set speed sync
disable acfcomp protocomp
deny acfcomp
set authname test
set authkey qwe123
add! default HISADDR
</pre>

Выставляем корректные права доступа:

# chmod 600 /etc/ppp/ppp.conf

Устанавливаем соединение:

# ppp -ddial pppoe

Если тестирование прошло успешно, можно настроить автоматическое поднятие PPPoE-соединения при старте системы:

# vi /etc/hostname.tun0
!/usr/sbin/ppp -ddial pppoe

Статья основана на материалах, предоставленных Гнединым Алексеем aka Goblin.

[[Категория:Howto]]

Настройка PPPoE-клиента с помощью pppoe(8)

2013-06-14T14:18:40Z

Nordwind: Новая страница: «:Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru] Пример настройки PPPoE-клиента. Предпол…»

:Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru]

Пример настройки PPPoE-клиента. Предположим, что <tt>vr0</tt> - это сетевой интерфейс, на котором будет работать клиент, выданы логин <tt>"test"</tt> и пароль <tt>"qwe123"</tt>.

Перейдем к настройке PPP. Обратите внимание, что в файле /etc/ppp/ppp.conf cтроки, оканчивающиеся на «<big>''':'''</big>», вводятся без отступа в начале строки. Остальные строки должны быть введены с отступом, как показано в примере.

<pre>
# vi /etc/ppp/ppp.conf
default:
Set log Phase Chat LCP IPCP CCP tun command
Disable ipv6cp

pppoe:
set device "!/usr/sbin/pppoe -i vr0"
set mtu max 1492
set mru max 1492
set speed sync
disable acfcomp protocomp
deny acfcomp
set authname test
set authkey qwe123
add! default HISADDR
</pre>

Выставляем корректные права доступа:

# chmod 600 /etc/ppp/ppp.conf

Устанавливаем соединение:

# ppp -ddial pppoe

Если тестирование прошло успешно, можно настроить автоматическое поднятие PPPoE-соединения при старте системы:

# vi /etc/hostname.tun0
!/usr/sbin/ppp -ddial pppoe

Статья основана на материалах, предоставленных Гнединым Алексеем aka Goblin.

[[Категория:Howto]]

OpenBSD-Wiki:Текущие события

2013-06-14T13:56:42Z

Nordwind: /* Актуальное */

== Актуальное ==
Собрано всё, что применимо к текущему релизу.

* [[Введение в OpenBSD]]
* [[Аппаратное обеспечение и вопросы]]
* [[Деликатное проникновение в частную сеть]]
* [[IPsec между OpenBSD и Linux Ubuntu]]
* [[OpenSSH мини-руководство]]
* [[OpenSSH: настройки, секреты, трюки и советы]]
* [[OpenSSL: 101 прием работы]]
* [[RSA/DSA аутентификация в OpenSSH]]
* [[VPN на базе SSH]]
* [[Использование файла mk.conf]]
* [[Использование сетевой файловой системы NFS]]
* [[Написание OpenBSD Loadable Kernel Modules (LKM)]]
* [[Настройка sendmail]]
* [[Настройка PPPoE-сервера]]
* [[Новое IPSec howto]]
* [[Русификация OpenBSD 5.x]]
* [[Русификация OpenBSD]]
* [[Русификация консоли OpenBSD]]
* [[Создание загрузочной флешки]]
* [[Перечень Интернет ресурсов о OpenBSD]]
* [[Описание переменных sysctl]]
* [[Сборник советов с OpenBSD101.com]]

=== Переводы ===
* [[C2k10-marco]]
* [[C2k10-guenther]]
* [[C2k10-ajacoutot]]
* [[C2k10-henning]]
* [[C2k10-tedu]]

== Устаревшее ==
Данная информация сохранена для архивных версий.

* [[Зеркалирование данных с помощью ccd]]
* [[Использование Bluetooth в OpenBSD]]
* [[Настройка GPRS]]

== Прочее ==

* [[Резервная копия Wiki]]

Настройка PPPoE-сервера

2013-06-14T13:54:30Z

Nordwind: /* Мини-руководство «шаг за шагом» */

: Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru]

== Мини-руководство «шаг за шагом» ==

Пример создания PPPoE-сервера. Предположим, <tt>vr0</tt> — это сетевой интерфейс, на котором будет работать сервер.

Перейдем к настройке PPP. Обратите внимание, что в файле /etc/ppp/ppp.conf cтроки, оканчивающиеся на «'''<big>:</big>'''», вводятся без отступа в начале строки. Остальные строки должны быть введены с отступом, как показано в примере.

<pre>
# vi /etc/ppp/ppp.conf
default:
Set log Phase Chat LCP IPCP CCP tun command
Disable ipv6cp

pppoe1:
set device "!/usr/sbin/pppoe -i vr0"
set mtu max 1492
set mru max 1492
set speed sync
disable acfcomp protocomp
deny acfcomp
set ifaddr 192.168.1.1 192.168.1.32-192.168.1.63 255.255.255.255
enable chap
</pre>

Создание или изменение учетных записей пользователей производится за счет редактирования файла /etc/ppp/ppp.secret. Если IP-адрес должен быть динамическим, тогда вместо поля <tt>ip_address</tt> нужно поставить знак звездочки («'''<big>*</big>'''»). Поле <tt>label</tt> является необязательным. Например:

# vi /etc/ppp/ppp.secret
# user password ip_address label
user1 secret123 192.168.1.40 sidorov
user2 123qwe *

Выставляем корректные права доступа:

# chmod 600 /etc/ppp/ppp.{conf, secret}

Запуск:

# pppoe -p pppoe1 -i vr0 -s &

Если тестирование прошло успешно, можно настроить автоматический запуск при старте системы:

# vi /etc/rc.local
/usr/sbin/pppoe -p pppoe1 -i vr0 -s & >/dev/null 2>&1

Статья основана на материалах, предоставленных Гнединым Алексеем aka Goblin.

[[Категория:Howto]]

Настройка PPPoE-сервера

2013-06-14T13:50:04Z

Nordwind: /* Мини-руководство «шаг за шагом» */

: Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru]

== Мини-руководство «шаг за шагом» ==

Пример создания PPPoE-сервера. Предположим, <tt>vr0</tt> — это сетевой интерфейс, на котором будет работать сервер.

Перейдем к настройке PPP. Обратите внимание, что в файле /etc/ppp/ppp.conf cтроки, оканчивающиеся на ''':''', вводятся без отступа в начале строки. Остальные строки должны быть введены с отступом, как показано в примере.

<pre>
# vi /etc/ppp/ppp.conf
default:
Set log Phase Chat LCP IPCP CCP tun command
Disable ipv6cp

pppoe1:
set device "!/usr/sbin/pppoe -i vr0"
set mtu max 1492
set mru max 1492
set speed sync
disable acfcomp protocomp
deny acfcomp
set ifaddr 192.168.1.1 192.168.1.32-192.168.1.63 255.255.255.255
enable chap
</pre>

Создание или изменение учетных записей пользователей производится за счет редактирования файла /etc/ppp/ppp.secret. Если IP-адрес должен быть динамическим, тогда вместо поля <tt>ip_address</tt> нужно поставить знак звездочки ('''*'''). Поле <tt>label</tt> является необязательным. Например:

# vi /etc/ppp/ppp.secret
# user password ip_address label
user1 secret123 192.168.1.40 sidorov
user2 123qwe *

Выставляем корректные права доступа:

# chmod 600 /etc/ppp/ppp.{conf, secret}

Запуск:

# pppoe -p pppoe1 -i vr0 -s &

Если тестирование прошло успешно, можно настроить автоматический запуск при старте системы:

# vi /etc/rc.local
/usr/sbin/pppoe -p pppoe1 -i vr0 -s & >/dev/null 2>&1

Статья основана на материалах, предоставленных Гнединым Алексеем aka Goblin.

[[Категория:Howto]]

Настройка PPPoE-сервера

2013-06-14T13:46:41Z

Nordwind: /* Мини-руководство «шаг за шагом» */

: Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru]

== Мини-руководство «шаг за шагом» ==

Пример создания PPPoE-сервера. Предположим, <tt>vr0</tt> — это сетевой интерфейс, на котором будет работать сервер.

Перейдем к настройке PPP. Обратите внимание, что в файле /etc/ppp/ppp.conf cтроки, оканчивающиеся на <nowiki>``:''</nowiki>, вводятся без отступа в начале строки. Остальные строки должны быть введены с отступом, как показано в примере.

<pre>
# vi /etc/ppp/ppp.conf
default:
Set log Phase Chat LCP IPCP CCP tun command
Disable ipv6cp

pppoe1:
set device "!/usr/sbin/pppoe -i vr0"
set mtu max 1492
set mru max 1492
set speed sync
disable acfcomp protocomp
deny acfcomp
set ifaddr 192.168.1.1 192.168.1.32-192.168.1.63 255.255.255.255
enable chap
</pre>

Создание или изменение учетных записей пользователей производится за счет редактирования файла /etc/ppp/ppp.secret. Если IP-адрес должен быть динамическим, тогда вместо поля <tt>ip_address</tt> нужно поставить знак звездочки (<nowiki>``*''</nowiki>). Поле <tt>label</tt> является необязательным. Например:

# vi /etc/ppp/ppp.secret
# user password ip_address label
user1 secret123 192.168.1.40 sidorov
user2 123qwe *

Выставляем корректные права доступа:

# chmod 600 /etc/ppp/ppp.{conf, secret}

Запуск:

# pppoe -p pppoe1 -i vr0 -s &

Если тестирование прошло успешно, можно настроить автоматический запуск при старте системы:

# vi /etc/rc.local
/usr/sbin/pppoe -p pppoe1 -i vr0 -s & >/dev/null 2>&1

Статья основана на материалах, предоставленных Гнединым Алексеем aka Goblin.

[[Категория:Howto]]

Настройка PPPoE-сервера

2013-06-14T13:40:33Z

Nordwind: Новая страница: «: Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru] == Мини-руководство «шаг за шагом» == …»

: Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru]

== Мини-руководство «шаг за шагом» ==

Пример создания PPPoE-сервера. Предположим, <tt>vr0</tt> — это сетевой интерфейс, на котором будет работать сервер.

Перейдем к настройке PPP. Обратите внимание, что в файле /etc/ppp/ppp.conf cтроки, оканчивающиеся на ``:'', вводятся без отступа в начале строки. Остальные строки должны быть введены с отступом, как показано в примере.

<pre>
# vi /etc/ppp/ppp.conf
default:
Set log Phase Chat LCP IPCP CCP tun command
Disable ipv6cp

pppoe1:
set device "!/usr/sbin/pppoe -i vr0"
set mtu max 1492
set mru max 1492
set speed sync
disable acfcomp protocomp
deny acfcomp
set ifaddr 192.168.1.1 192.168.1.32-192.168.1.63 255.255.255.255
enable chap
</pre>

Создание или изменение учетных записей пользователей производится за счет редактирования файла /etc/ppp/ppp.secret. Если IP-адрес должен быть динамическим, тогда вместо поля <tt>ip_address</tt> нужно поставить знак звездочки (``*''). Поле <tt>label</tt> является необязательным. Например:

# vi /etc/ppp/ppp.secret
# user password ip_address label
user1 secret123 192.168.1.40 sidorov
user2 123qwe *

Выставляем корректные права доступа:

# chmod 600 /etc/ppp/ppp.{conf, secret}

Запуск:

# pppoe -p pppoe1 -i vr0 -s &

Если тестирование прошло успешно, можно настроить автоматический запуск при старте системы:

# vi /etc/rc.local
/usr/sbin/pppoe -p pppoe1 -i vr0 -s & >/dev/null 2>&1

Статья основана на материалах, предоставленных Гнединым Алексеем aka Goblin.

[[Категория:Howto]]

OpenBSD-Wiki:Текущие события

2013-06-14T13:32:02Z

Nordwind: /* Актуальное */

== Актуальное ==
Собрано всё, что применимо к текущему релизу.

* [[Введение в OpenBSD]]
* [[Аппаратное обеспечение и вопросы]]
* [[Деликатное проникновение в частную сеть]]
* [[IPsec между OpenBSD и Linux Ubuntu]]
* [[OpenSSH мини-руководство]]
* [[OpenSSH: настройки, секреты, трюки и советы]]
* [[OpenSSL: 101 прием работы]]
* [[RSA/DSA аутентификация в OpenSSH]]
* [[VPN на базе SSH]]
* [[Использование файла mk.conf]]
* [[Использование сетевой файловой системы NFS]]
* [[Написание OpenBSD Loadable Kernel Modules (LKM)]]
* [[Настройка sendmail]]
* [[Новое IPSec howto]]
* [[Русификация OpenBSD 5.x]]
* [[Русификация OpenBSD]]
* [[Русификация консоли OpenBSD]]
* [[Создание загрузочной флешки]]
* [[Перечень Интернет ресурсов о OpenBSD]]
* [[Описание переменных sysctl]]
* [[Сборник советов с OpenBSD101.com]]

=== Переводы ===
* [[C2k10-marco]]
* [[C2k10-guenther]]
* [[C2k10-ajacoutot]]
* [[C2k10-henning]]
* [[C2k10-tedu]]

== Устаревшее ==
Данная информация сохранена для архивных версий.

* [[Зеркалирование данных с помощью ccd]]
* [[Использование Bluetooth в OpenBSD]]
* [[Настройка GPRS]]

== Прочее ==

* [[Резервная копия Wiki]]

Использование сетевой файловой системы NFS

2013-06-14T13:31:02Z

Nordwind: /* Мини-руководство «шаг за шагом» */

: Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru]

== Мини-руководство «шаг за шагом» ==

В файле [http://www.openbsd.org/cgi-bin/man.cgi?query=exports&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html exports(5)] перечисляем каталоги, которые должны быть предоставлены для общего доступа через NFS, а также задаем права доступа к ним:

# vi /etc/exports
/export -alldirs -ro -network=192.168.2.0 -mask=255.255.255.0
/usr/src /usr/ports -maproot=root 192.168.2.3

Последовательно загружаем [http://www.openbsd.org/cgi-bin/man.cgi?query=portmap&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html portmap(8)], [http://www.openbsd.org/cgi-bin/man.cgi?query=nfsd&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html nfsd(8)], [http://www.openbsd.org/cgi-bin/man.cgi?query=mountd&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html mountd(8)]:

# portmap
# nfsd -tun 4
# touch /var/db/mountdtab
# mountd

Для того чтобы <tt>mountd</tt> смог перечитать /etc/exports, следует отправить ему сигнал '''SIGHUP''':

# kill -HUP `head −1 /var/run/mountd.pid`

Проверить корректность работы RPC-служб можно с помощью следующей команды:

<pre>
% rpcinfo -p 192.168.2.1
program vers proto port
100000 2 tcp 111 portmapper
100000 2 udp 111 portmapper
100003 2 udp 2049 nfs
100003 3 udp 2049 nfs
100003 2 tcp 2049 nfs
100003 3 tcp 2049 nfs
100005 1 udp 772 mountd
100005 3 udp 772 mountd
100005 1 tcp 804 mountd
100005 3 tcp 804 mountd
</pre>

Вот таким образом можно получить список экспортируемых общих ресурсов:

% showmount -e
Exports list on localhost:
/export 192.168.2.0
/usr/src 192.168.2.3
/usr/ports 192.168.2.3

В [http://www.openbsd.org/cgi-bin/man.cgi?query=rc.conf&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html rc.conf(8)] прописываем автозапуск служб NFS:

# vi /etc/rc.conf
nfs_server=YES
portmap=YES
nfsd_flags="-tun 4"

Конфигурирование клиента NFS заключается в выполнении следующих шагов. В первую очередь изменяем значение переменной [http://www.openbsd.org/cgi-bin/man.cgi?query=sysctl&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html sysctl(8)]:

# sysctl -w vfs.nfs.iothreads=4

Добавляем соответствующую запись в [http://www.openbsd.org/cgi-bin/man.cgi?query=sysctl.conf&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html sysctl.conf(5)]:

# vi /etc/sysctl.conf
vfs.nfs.iothreads=4

Задаем опции монтирования общих ресурсов NFS в [http://www.openbsd.org/cgi-bin/man.cgi?query=fstab&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html fstab(5)]:

# vi /etc/fstab
192.168.2.1:/export /mnt nfs ro, nodev, nosuid, tcp, soft, intr 0 0
192.168.2.1:/usr/src /usr/src nfs rw, noauto, nodev, nosuid, soft, intr 0 0
192.168.2.1:/usr/ports /usr/ports nfs rw, noauto, nodev, nosuid, soft, intr 0 0

Пример монтирования удаленной файловой системы:

# mount /usr/ports

[[Категория:Howto]]

Использование сетевой файловой системы NFS

2013-06-14T13:27:20Z

: Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru]

== Мини-руководство «шаг за шагом» ==

В файле [exports(5)http://www.openbsd.org/cgi-bin/man.cgi?query=exports&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html] перечисляем каталоги, которые должны быть предоставлены для общего доступа через NFS, а также задаем права доступа к ним:

# vi /etc/exports
/export -alldirs -ro -network=192.168.2.0 -mask=255.255.255.0
/usr/src /usr/ports -maproot=root 192.168.2.3

Последовательно загружаем [portmap(8) http://www.openbsd.org/cgi-bin/man.cgi?query=portmap&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html], [nfsd(8) http://www.openbsd.org/cgi-bin/man.cgi?query=nfsd&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html], [mountd(8) http://www.openbsd.org/cgi-bin/man.cgi?query=mountd&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html]:

# portmap
# nfsd -tun 4
# touch /var/db/mountdtab
# mountd

Для того чтобы <tt>mountd</tt> смог перечитать /etc/exports, следует отправить ему сигнал '''SIGHUP''':

# kill -HUP `head −1 /var/run/mountd.pid`

Проверить корректность работы RPC-служб можно с помощью следующей команды:

<pre>
% rpcinfo -p 192.168.2.1
program vers proto port
100000 2 tcp 111 portmapper
100000 2 udp 111 portmapper
100003 2 udp 2049 nfs
100003 3 udp 2049 nfs
100003 2 tcp 2049 nfs
100003 3 tcp 2049 nfs
100005 1 udp 772 mountd
100005 3 udp 772 mountd
100005 1 tcp 804 mountd
100005 3 tcp 804 mountd
</pre>

Вот таким образом можно получить список экспортируемых общих ресурсов:

% showmount -e
Exports list on localhost:
/export 192.168.2.0
/usr/src 192.168.2.3
/usr/ports 192.168.2.3

В [rc.conf(8) http://www.openbsd.org/cgi-bin/man.cgi?query=rc.conf&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html] прописываем автозапуск служб NFS:

# vi /etc/rc.conf
nfs_server=YES
portmap=YES
nfsd_flags="-tun 4"

Конфигурирование клиента NFS заключается в выполнении следующих шагов. В первую очередь изменяем значение переменной [sysctl(8) http://www.openbsd.org/cgi-bin/man.cgi?query=sysctl&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html]:

# sysctl -w vfs.nfs.iothreads=4

Добавляем соответствующую запись в [sysctl.conf(5) http://www.openbsd.org/cgi-bin/man.cgi?query=sysctl.conf&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html]:

# vi /etc/sysctl.conf
vfs.nfs.iothreads=4

Задаем опции монтирования общих ресурсов NFS в [fstab(5) http://www.openbsd.org/cgi-bin/man.cgi?query=fstab&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html]:

# vi /etc/fstab
192.168.2.1:/export /mnt nfs ro, nodev, nosuid, tcp, soft, intr 0 0
192.168.2.1:/usr/src /usr/src nfs rw, noauto, nodev, nosuid, soft, intr 0 0
192.168.2.1:/usr/ports /usr/ports nfs rw, noauto, nodev, nosuid, soft, intr 0 0

Пример монтирования удаленной файловой системы:

# mount /usr/ports

[[Категория:Howto]]

OpenBSD-Wiki:Текущие события

2013-06-05T14:55:12Z

Nordwind: /* Актуальное */

== Актуальное ==
Собрано всё, что применимо к текущему релизу.

* [[Введение в OpenBSD]]
* [[Аппаратное обеспечение и вопросы]]
* [[Деликатное проникновение в частную сеть]]
* [[IPsec между OpenBSD и Linux Ubuntu]]
* [[OpenSSH мини-руководство]]
* [[OpenSSH: настройки, секреты, трюки и советы]]
* [[OpenSSL: 101 прием работы]]
* [[RSA/DSA аутентификация в OpenSSH]]
* [[VPN на базе SSH]]
* [[Использование файла mk.conf]]
* [[Написание OpenBSD Loadable Kernel Modules (LKM)]]
* [[Настройка sendmail]]
* [[Новое IPSec howto]]
* [[Русификация OpenBSD 5.x]]
* [[Русификация OpenBSD]]
* [[Русификация консоли OpenBSD]]
* [[Создание загрузочной флешки]]
* [[Перечень Интернет ресурсов о OpenBSD]]
* [[Описание переменных sysctl]]
* [[Сборник советов с OpenBSD101.com]]

=== Переводы ===
* [[C2k10-marco]]
* [[C2k10-guenther]]
* [[C2k10-ajacoutot]]
* [[C2k10-henning]]
* [[C2k10-tedu]]

== Устаревшее ==
Данная информация сохранена для архивных версий.

* [[Зеркалирование данных с помощью ccd]]
* [[Использование Bluetooth в OpenBSD]]
* [[Настройка GPRS]]

== Прочее ==

* [[Резервная копия Wiki]]

VPN на базе SSH

2013-06-05T14:53:13Z

Nordwind: /* Мини-руководство «шаг за шагом» */

:Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru]

== Мини-руководство «шаг за шагом» ==

Для примера возьмем два сервера: <tt>srv1</tt> с IP-адресами 212.34.XX.YY и 192.168.2.1 подключен к сегменту внутренней сети 192.168.2.0/24, а <tt>srv2</tt> с 213.167.XX.YY и 192.168.1.1 шефствует над подопечными из 192.168.1.0/24. Настроим VPN-туннель средствами OpenSSH, в котором будут использоваться адреса 10.0.0.1 и 10.0.0.2. Для наглядности сценарий можно представить следующим образом:

<pre>
(10.0.0.1) 212.34.XX.YY 213.167.XX.YY (10.0.0.2)
192.168.2.0/24 — srv1 — [ internet ] — srv2 — 192.168.1.0/24
192.168.2.1 192.168.1.1
</pre>

Ключевые элементы сетевой конфигурации рассмотрены, теперь приступаем к настройкам. Логинимся на <tt>srv1</tt> и правим главный конфигурационный файл [http://www.openbsd.org/cgi-bin/man.cgi?query=sshd&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html sshd(8)]:

<pre>
srv1# vi /etc/ssh/sshd_config

# Разрешаем туннелирование layer-3
#
PermitTunnel point-to-point

# VPN на базе OpenSSH требует привилегий суперпользователя,
# поэтому аутентификацию под учетной записью root разрешаем
# только с доверенных хостов
#
PermitRootLogin no
Match Host 213.167.XX.YY,192.168.2.*,127.0.0.1
PermitRootLogin yes
</pre>

По окончании настроек не забываем отправить демону сигнал SIGHUP, чтобы он смог перечитать свой конфиг:

srv1# kill -HUP `sed q /var/run/sshd.pid`

Далее разрешаем прохождение пакетов на используемых туннельных псевдоустройствах [http://www.openbsd.org/cgi-bin/man.cgi?query=tun&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html tun(4)] (на <tt>tun0</tt> у меня висит OpenVPN, <tt>tun1</tt> — для OpenSSH):

srv1# vi /etc/pf.conf
pass quick on { tun0, tun1 } inet all

Загружаем правила из конфига:

srv1# pfctl -f /etc/pf.conf

Создаем интерфейс <tt>tun1</tt> и назначаем ему IP-адрес:

srv1# ifconfig tun1 create
srv1# ifconfig tun1 10.0.0.1 10.0.0.2 netmask 255.255.255.252

При помощи команды [http://www.openbsd.org/cgi-bin/man.cgi?query=ifconfig&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html ifconfig(8)] проверяем его состояние:

<pre>
srv1% ifconfig tun1
tun1: flags=51<UP,POINTOPOINT,RUNNING> mtu 1500
groups: tun
inet 10.0.0.1 --> 10.0.0.2 netmask 255.255.255.252
</pre>

Не забываем добавить в таблицу маршрутизации удаленную подсеть:

srv1# route add 192.168.1.0/24 10.0.0.2

Второй сервер выступает в роли SSH-клиента, поэтому процедура конфигурирования здесь чуть проще:

srv2# echo 'Tunnel point-to-point' >> /etc/ssh/ssh_config

Остальные настройки и действия практически идентичны описанным выше: правим и активируем рулесеты файервола, поднимаем <tt>tun1</tt>, присваиваем ему сетевой адрес (обратите внимание, порядок следования IP-адресов изменен) и добавляем статический маршрут:

<pre>
srv2# vi /etc/pf.conf
pass quick on { tun0, tun1 } inet all

srv2# pfctl -f /etc/pf.conf
srv2# ifconfig tun1 create
srv2# ifconfig tun1 10.0.0.2 10.0.0.1 netmask 255.255.255.252
srv2# route add 192.168.2.0/24 10.0.0.1
</pre>

И, наконец, самый ответственный момент: устанавливаем защищенное соединение между двумя сетями:

srv2# ssh -f -w 1:1 212.34.XX.YY true

Чтобы снизить накладные расходы, к списку аргументов имеет смысл добавить ключи «-o Compression=yes -x -a -n» (сжимать передаваемые данные, отключить пересылку пакетов X11, запретить аутентификацию с помощью агента и направить /dev/null на стандартный входной поток [http://www.openbsd.org/cgi-bin/man.cgi?query=stdin&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html stdin(4))]. Теперь проверим доступность удаленного узла, находящегося «за первым сервером»:

<pre>
srv2% ping 192.168.2.101
PING 192.168.2.101 (192.168.2.101): 56 data bytes
64 bytes from 192.168.2.101: icmp_seq=0 ttl=127 time=2.508 ms
</pre>

Если все ОК, можно дальше развивать предложенную схему, упрощая или, наоборот, усложняя настройки. Например, применить беспарольную аутентификацию на базе ключей, создать конфигурационный файл для автоматического создания псевдоустройства <tt>tun1</tt>:

srv2# echo '10.0.0.2 10.0.0.1 netmask 255.255.255.252' > /etc/hostname.tun1

Занести необходимые статические маршруты и запуск «'''ssh -f -w'''» в один из сценариев начальной загрузки (/etc/rc.local) или в отдельный скрипт, чтобы все выполнялось одной командой, без дополнительных телодвижений. Чтобы использовать OpenSSH на уровне OSI 2, в качестве значения директив <tt>PermitTunnel</tt> и <tt>Tunnel</tt> следует использовать <tt>ethernet</tt>, а затем объединить в мост внешний сетевой интерфейс и псевдоустройство <tt>tunX</tt> (см. [http://www.openbsd.org/cgi-bin/man.cgi?query=bridge&sektion=4&apropos=0&manpath=OpenBSD+Current&arch=i386 bridge(4)]).

Стоит отметить, с помощью OpenSSH возможно построение не только Site-to-Site VPN (межсайтовое подключение, в котором два маршрутизатора создают туннель в интернете), но и Client-to-Site (VPN-подключение удаленного доступа для проводных и беспроводных клиентов).

Данное пошаговое руководство основано на статье «Волшебные криптотуннели», опубликованной в июльском номере журнала [http://www.xakep.ru/magazine/xa/115/132/1.asp «Хакер»] за 2008 год. Авторы оригинальной статьи: Андрей Матвеев и Сергей Яремчук.

[[Категория:Howto]]

VPN на базе SSH

2013-06-05T14:49:55Z

Nordwind: /* Мини-руководство «шаг за шагом» */

:Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru]

== Мини-руководство «шаг за шагом» ==

Для примера возьмем два сервера: <tt>srv1</tt> с IP-адресами 212.34.XX.YY и 192.168.2.1 подключен к сегменту внутренней сети 192.168.2.0/24, а <tt>srv2</tt> с 213.167.XX.YY и 192.168.1.1 шефствует над подопечными из 192.168.1.0/24. Настроим VPN-туннель средствами OpenSSH, в котором будут использоваться адреса 10.0.0.1 и 10.0.0.2. Для наглядности сценарий можно представить следующим образом:

<pre>
(10.0.0.1) 212.34.XX.YY 213.167.XX.YY (10.0.0.2)
192.168.2.0/24 — srv1 — [ internet ] — srv2 — 192.168.1.0/24
192.168.2.1 192.168.1.1
</pre>

Ключевые элементы сетевой конфигурации рассмотрены, теперь приступаем к настройкам. Логинимся на <tt>srv1</tt> и правим главный конфигурационный файл [http://www.openbsd.org/cgi-bin/man.cgi?query=sshd&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html sshd(8)]:

<pre>
srv1# vi /etc/ssh/sshd_config

# Разрешаем туннелирование layer-3
#
PermitTunnel point-to-point

# VPN на базе OpenSSH требует привилегий суперпользователя,
# поэтому аутентификацию под учетной записью root разрешаем
# только с доверенных хостов
#
PermitRootLogin no
Match Host 213.167.XX.YY,192.168.2.*,127.0.0.1
PermitRootLogin yes
</pre>

По окончании настроек не забываем отправить демону сигнал SIGHUP, чтобы он смог перечитать свой конфиг:

srv1# kill -HUP `sed q /var/run/sshd.pid`

Далее разрешаем прохождение пакетов на используемых туннельных псевдоустройствах [http://www.openbsd.org/cgi-bin/man.cgi?query=tun&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html tun(4)] (на <tt>tun0</tt> у меня висит OpenVPN, <tt>tun1</tt> — для OpenSSH):

srv1# vi /etc/pf.conf
pass quick on { tun0, tun1 } inet all

Загружаем правила из конфига:

srv1# pfctl -f /etc/pf.conf

Создаем интерфейс <tt>tun1</tt> и назначаем ему IP-адрес:

srv1# ifconfig tun1 create
srv1# ifconfig tun1 10.0.0.1 10.0.0.2 netmask 255.255.255.252

При помощи команды [http://www.openbsd.org/cgi-bin/man.cgi?query=ifconfig&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html ifconfig(8)] проверяем его состояние:

<pre>
srv1% ifconfig tun1
tun1: flags=51<UP,POINTOPOINT,RUNNING> mtu 1500
groups: tun
inet 10.0.0.1 --> 10.0.0.2 netmask 255.255.255.252
</pre>

Не забываем добавить в таблицу маршрутизации удаленную подсеть:

srv1# route add 192.168.1.0/24 10.0.0.2

Второй сервер выступает в роли SSH-клиента, поэтому процедура конфигурирования здесь чуть проще:

srv2# echo 'Tunnel point-to-point' >> /etc/ssh/ssh_config

Остальные настройки и действия практически идентичны описанным выше: правим и активируем рулесеты файервола, поднимаем <tt>tun1</tt>, присваиваем ему сетевой адрес (обратите внимание, порядок следования IP-адресов изменен) и добавляем статический маршрут:

<pre>
srv2# vi /etc/pf.conf
pass quick on { tun0, tun1 } inet all

srv2# pfctl -f /etc/pf.conf
srv2# ifconfig tun1 create
srv2# ifconfig tun1 10.0.0.2 10.0.0.1 netmask 255.255.255.252
srv2# route add 192.168.2.0/24 10.0.0.1
</pre>

И, наконец, самый ответственный момент: устанавливаем защищенное соединение между двумя сетями:

srv2# ssh -f -w 1:1 212.34.XX.YY true

Чтобы снизить накладные расходы, к списку аргументов имеет смысл добавить ключи «-o Compression=yes -x -a -n» (сжимать передаваемые данные, отключить пересылку пакетов X11, запретить аутентификацию с помощью агента и направить /dev/null на стандартный входной поток [http://www.openbsd.org/cgi-bin/man.cgi?query=stdin&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html stdin(4))]. Теперь проверим доступность удаленного узла, находящегося «за первым сервером»:

<pre>
srv2% ping 192.168.2.101
PING 192.168.2.101 (192.168.2.101): 56 data bytes
64 bytes from 192.168.2.101: icmp_seq=0 ttl=127 time=2.508 ms
</pre>

Если все ОК, можно дальше развивать предложенную схему, упрощая или, наоборот, усложняя настройки. Например, применить беспарольную аутентификацию на базе ключей, создать конфигурационный файл для автоматического создания псевдоустройства <tt>tun1</tt>:

srv2# echo '10.0.0.2 10.0.0.1 netmask 255.255.255.252' > /etc/hostname.tun1

Занести необходимые статические маршруты и запуск «ssh -f -w» в один из сценариев начальной загрузки (/etc/rc.local) или в отдельный скрипт, чтобы все выполнялось одной командой, без дополнительных телодвижений. Чтобы использовать OpenSSH на уровне OSI 2, в качестве значения директив <tt>PermitTunnel</tt> и <tt>Tunnel</tt> следует использовать <tt>ethernet</tt>, а затем объединить в мост внешний сетевой интерфейс и псевдоустройство <tt>tunX</tt> (см. [http://www.openbsd.org/cgi-bin/man.cgi?query=bridge&sektion=4&apropos=0&manpath=OpenBSD+Current&arch=i386 bridge(4)]).

Стоит отметить, с помощью OpenSSH возможно построение не только Site-to-Site VPN (межсайтовое подключение, в котором два маршрутизатора создают туннель в интернете), но и Client-to-Site (VPN-подключение удаленного доступа для проводных и беспроводных клиентов).

Данное пошаговое руководство основано на статье «Волшебные криптотуннели», опубликованной в июльском номере журнала [http://www.xakep.ru/magazine/xa/115/132/1.asp «Хакер»] за 2008 год. Авторы оригинальной статьи: Андрей Матвеев и Сергей Яремчук.

[[Категория:Howto]]

VPN на базе SSH

2013-06-05T14:39:23Z

Nordwind: Новая страница: «:Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru] == Мини-руководство «шаг за шагом» == Д…»

:Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru]

== Мини-руководство «шаг за шагом» ==

Для примера возьмем два сервера: <tt>srv1</tt> с IP-адресами 212.34.XX.YY и 192.168.2.1 подключен к сегменту внутренней сети 192.168.2.0/24, а <tt>srv2</tt> с 213.167.XX.YY и 192.168.1.1 шефствует над подопечными из 192.168.1.0/24. Настроим VPN-туннель средствами OpenSSH, в котором будут использоваться адреса 10.0.0.1 и 10.0.0.2. Для наглядности сценарий можно представить следующим образом:

<pre>
(10.0.0.1) 212.34.XX.YY 213.167.XX.YY (10.0.0.2)
192.168.2.0/24 — srv1 — [ internet ] — srv2 — 192.168.1.0/24
192.168.2.1 192.168.1.1
</pre>

Ключевые элементы сетевой конфигурации рассмотрены, теперь приступаем к настройкам. Логинимся на <tt>srv1</tt> и правим главный конфигурационный файл sshd(8):

<pre>
srv1# vi /etc/ssh/sshd_config

# Разрешаем туннелирование layer-3
#
PermitTunnel point-to-point

# VPN на базе OpenSSH требует привилегий суперпользователя,
# поэтому аутентификацию под учетной записью root разрешаем
# только с доверенных хостов
#
PermitRootLogin no
Match Host 213.167.XX.YY,192.168.2.*,127.0.0.1
PermitRootLogin yes
</pre>

По окончании настроек не забываем отправить демону сигнал SIGHUP, чтобы он смог перечитать свой конфиг:

srv1# kill -HUP `sed q /var/run/sshd.pid`

Далее разрешаем прохождение пакетов на используемых туннельных псевдоустройствах tun(4) (на tun0 у меня висит OpenVPN, tun1 — для OpenSSH):

srv1# vi /etc/pf.conf
pass quick on { tun0, tun1 } inet all

Загружаем правила из конфига:

srv1# pfctl -f /etc/pf.conf

Создаем интерфейс tun1 и назначаем ему IP-адрес:

srv1# ifconfig tun1 create
srv1# ifconfig tun1 10.0.0.1 10.0.0.2 netmask 255.255.255.252

При помощи команды ifconfig(8) проверяем его состояние:

<pre>
srv1% ifconfig tun1
tun1: flags=51<UP,POINTOPOINT,RUNNING> mtu 1500
groups: tun
inet 10.0.0.1 --> 10.0.0.2 netmask 255.255.255.252
</pre>

Не забываем добавить в таблицу маршрутизации удаленную подсеть:

srv1# route add 192.168.1.0/24 10.0.0.2

Второй сервер выступает в роли SSH-клиента, поэтому процедура конфигурирования здесь чуть проще:

srv2# echo 'Tunnel point-to-point' >> /etc/ssh/ssh_config

Остальные настройки и действия практически идентичны описанным выше: правим и активируем рулесеты файервола, поднимаем tun1, присваиваем ему сетевой адрес (обратите внимание, порядок следования IP-адресов изменен) и добавляем статический маршрут:

<pre>
srv2# vi /etc/pf.conf
pass quick on { tun0, tun1 } inet all

srv2# pfctl -f /etc/pf.conf
srv2# ifconfig tun1 create
srv2# ifconfig tun1 10.0.0.2 10.0.0.1 netmask 255.255.255.252
srv2# route add 192.168.2.0/24 10.0.0.1
</pre>

И, наконец, самый ответственный момент: устанавливаем защищенное соединение между двумя сетями:

srv2# ssh -f -w 1:1 212.34.XX.YY true

Чтобы снизить накладные расходы, к списку аргументов имеет смысл добавить ключи «-o Compression=yes -x -a -n» (сжимать передаваемые данные, отключить пересылку пакетов X11, запретить аутентификацию с помощью агента и направить /dev/null на стандартный входной поток stdin(4)). Теперь проверим доступность удаленного узла, находящегося «за первым сервером»:

<pre>
srv2% ping 192.168.2.101
PING 192.168.2.101 (192.168.2.101): 56 data bytes
64 bytes from 192.168.2.101: icmp_seq=0 ttl=127 time=2.508 ms
</pre>

Если все ОК, можно дальше развивать предложенную схему, упрощая или, наоборот, усложняя настройки. Например, применить беспарольную аутентификацию на базе ключей, создать конфигурационный файл для автоматического создания псевдоустройства tun1:

srv2# echo '10.0.0.2 10.0.0.1 netmask 255.255.255.252' > /etc/hostname.tun1

Занести необходимые статические маршруты и запуск «ssh -f -w» в один из сценариев начальной загрузки (/etc/rc.local) или в отдельный скрипт, чтобы все выполнялось одной командой, без дополнительных телодвижений. Чтобы использовать OpenSSH на уровне OSI 2, в качестве значения директив PermitTunnel и Tunnel следует использовать ethernet, а затем объединить в мост внешний сетевой интерфейс и псевдоустройство tunX (см. bridge(4)).

Стоит отметить, с помощью OpenSSH возможно построение не только Site-to-Site VPN (межсайтовое подключение, в котором два маршрутизатора создают туннель в интернете), но и Client-to-Site (VPN-подключение удаленного доступа для проводных и беспроводных клиентов).

Данное пошаговое руководство основано на статье «Волшебные криптотуннели», опубликованной в июльском номере журнала [http://www.xakep.ru/magazine/xa/115/132/1.asp «Хакер»] за 2008 год. Авторы оригинальной статьи: Андрей Матвеев и Сергей Яремчук.

[[Категория:Howto]]

OpenBSD-Wiki:Текущие события

2013-06-05T14:12:02Z

Nordwind: /* Актуальное */

== Актуальное ==
Собрано всё, что применимо к текущему релизу.

* [[Введение в OpenBSD]]
* [[Аппаратное обеспечение и вопросы]]
* [[Деликатное проникновение в частную сеть]]
* [[IPsec между OpenBSD и Linux Ubuntu]]
* [[OpenSSH мини-руководство]]
* [[OpenSSH: настройки, секреты, трюки и советы]]
* [[RSA/DSA аутентификация в OpenSSH]]
* [[Использование файла mk.conf]]
* [[Написание OpenBSD Loadable Kernel Modules (LKM)]]
* [[Настройка sendmail]]
* [[Новое IPSec howto]]
* [[OpenSSL: 101 прием работы]]
* [[Русификация OpenBSD 5.x]]
* [[Русификация OpenBSD]]
* [[Русификация консоли OpenBSD]]
* [[Создание загрузочной флешки]]
* [[Перечень Интернет ресурсов о OpenBSD]]
* [[Описание переменных sysctl]]
* [[Сборник советов с OpenBSD101.com]]

=== Переводы ===
* [[C2k10-marco]]
* [[C2k10-guenther]]
* [[C2k10-ajacoutot]]
* [[C2k10-henning]]
* [[C2k10-tedu]]

== Устаревшее ==
Данная информация сохранена для архивных версий.

* [[Зеркалирование данных с помощью ccd]]
* [[Использование Bluetooth в OpenBSD]]
* [[Настройка GPRS]]

== Прочее ==

* [[Резервная копия Wiki]]

OpenSSL: 101 прием работы

2013-06-05T14:09:34Z

Nordwind: Новая страница: «:Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru] == Мини-руководство «шаг за шагом» == П…»

:Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru]

== Мини-руководство «шаг за шагом» ==

Пример шифрования файла симметричным алгоритмом <tt>des3</tt> с помощью <tt>openssl enc</tt>:

<pre>
% openssl enc -des3 -e -in plain.txt -out enc.txt
enter des-ede3-cbc encryption password:
Verifying — enter des-ede3-cbc encryption password:
</pre>

Расшифровать файл можно, заменив ключ '-e' ключом '-d':

<pre>
% openssl enc -des3 -d -in enc.txt -out plain.txt
enter des-ede3-cbc decryption password:
</pre>

Для того, чтобы собеседник мог передать нам файл в зашифрованном виде, а мы бы смогли его расшифровать, стоит воспользоваться ассиметричной криптографией, сгенерировав пару RSA-ключей (публичный и приватный):

<pre>
% openssl genrsa -out rsaprivatekey.pem -des3 2048
Generating RSA private key, 2048 bit long modulus
……………..+++
…………….+++
e is 65537 (0x10001)
Enter pass phrase for rsaprivatekey.pem:
Verifying — Enter pass phrase for rsaprivatekey.pem:
</pre>

Выставляем корректные права доступа:

% chmod 600 rsaprivatekey.pem

Получить соответствующий закрытому публичный ключ можно с помощью openssl rsa:

<pre>
% openssl rsa -in rsaprivatekey.pem -pubout -out rsapublickey.pem
Enter pass phrase for rsaprivatekey.pem:
writing RSA key
</pre>

Публичный ключ мы передаем собеседнику. Он шифрует файл на нем, используя <tt>openssl rsautl</tt>:

% openssl rsautl -encrypt -pubin -inkey rsapublickey.pem -in plain.txt -out cipher.txt

Мы получаем файл, расшифровываем его, используя свой секретный ключ:

% openssl rsault -decrypt -inkey rsaprivatekey.pem -in cipher.txt -out plain.txt

Кроме шифрования, можно также подписывать файлы, предоставляя гарантии, что данный файл послан лично нами, и давая возможность проверить его аутентичность:

% openssl dgst -sha1 -sign rsaprivatekey.pem -out sign.txt myfile.tar.gz

Все, что нужно получателю файла — это проверить подпись, используя наш публичный ключ:

% openssl dgst -sha1 -verify rsapublickey.pem -signature sign.txt myfile.tar.gz
Verified OK.

Вычислить контрольную сумму файла можно с помощью <tt>openssl dgst</tt>:

% openssl dgst -md5 myfile.tar.gz
MD5(myfile.tar.gz) =65b36f8d54b8bab0a787cbd4a8dd8aef

Чтобы быстро сгенерировать пароль, WEP или IPsec-ключи, можно воспользоваться <tt>openssl rand</tt>:

% openssl rand -base64 45
0JZmfHQL3WI7PTUYcq1w8yQ8wFE3mB7Wd7vdAYd2A6x0cTHmVYqI/Su3o5qh

Если нужно найти соответствие пароля его md5-шифру, можно использовать <tt>openssl passwd</tt>:

% openssl passwd −1 mypassword
$1$OsmexMtO$0CtV.Lb6nhGOSGKM8jKNO.

Пример подписи почтового сообщения своим сертификатом:

% openssl smime -sign -signer server.crt -inkey server.key \
-in message.txt -text | mail mailbox@domain.ru

А теперь еще зашифруем:

<pre>
% openssl smime -encrypt -in message.txt -signer server.crt \
-inkey server.key -text | openssl smime -encrypt \
-des3 myserver.crt -out mail.msg | mail mailbox@domain.ru
</pre>

Чтобы протестировать работу сетевого сервиса, который работает через SSL, выполним:

% openssl s_client -connect myserver:443

Статья основана на материалах, предоставленных Антоном Карповым [http://www.toxahost.ru/ www.toxahost.ru].

[[Категория:Howto]]

OpenBSD-Wiki:Текущие события

2013-06-05T14:01:20Z

Nordwind: /* Устаревшее */

== Актуальное ==
Собрано всё, что применимо к текущему релизу.

* [[Введение в OpenBSD]]
* [[Аппаратное обеспечение и вопросы]]
* [[Деликатное проникновение в частную сеть]]
* [[IPsec между OpenBSD и Linux Ubuntu]]
* [[OpenSSH мини-руководство]]
* [[OpenSSH: настройки, секреты, трюки и советы]]
* [[RSA/DSA аутентификация в OpenSSH]]
* [[Использование файла mk.conf]]
* [[Написание OpenBSD Loadable Kernel Modules (LKM)]]
* [[Настройка sendmail]]
* [[Новое IPSec howto]]
* [[Русификация OpenBSD 5.x]]
* [[Русификация OpenBSD]]
* [[Русификация консоли OpenBSD]]
* [[Создание загрузочной флешки]]
* [[Перечень Интернет ресурсов о OpenBSD]]
* [[Описание переменных sysctl]]
* [[Сборник советов с OpenBSD101.com]]

=== Переводы ===
* [[C2k10-marco]]
* [[C2k10-guenther]]
* [[C2k10-ajacoutot]]
* [[C2k10-henning]]
* [[C2k10-tedu]]

== Устаревшее ==
Данная информация сохранена для архивных версий.

* [[Зеркалирование данных с помощью ccd]]
* [[Использование Bluetooth в OpenBSD]]
* [[Настройка GPRS]]

== Прочее ==

* [[Резервная копия Wiki]]

Зеркалирование данных с помощью ccd

2013-06-05T13:58:21Z

Nordwind: /* Мини-руководство «шаг за шагом» */

:Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru]

== Мини-руководство «шаг за шагом» ==

OpenBSD установлена на sd0. Требуется подключить sd1 и производить автоматическое копирование данных с sd0. Для этих целей будем использовать ccd(4). На разделы ccd(4) следует перенести /home, /var и /usr. Перенести корневую файловую систему нельзя, поскольку ядро не поддерживает загрузку с этого типа устройств. Рекомендуется остановить запущенные процессы и при наличии локального доступа к машине выполнять все операции в однопользовательском режиме.

Текущая система:

<pre>
# df -h
Filesystem Size Used Avail Capacity Mounted on
/dev/sd0a 490M 27.6M 438M 6 % /
/dev/sd0d 38.4G 4.0M 36.5G 0 % /home
/dev/sd0e 982M 6.0K 933M 0 % /tmp
/dev/sd0f 17.5G 821M 15.9G 5 % /usr
/dev/sd0g 9.6G 7.1M 9.1G 0 % /var
</pre>

Уже сейчас можно составить конфиг для создания устройств ccd(4) при загрузке системы:

<pre>
# vi /etc/ccd.conf
ccd0 16 CCDF_MIRROR /dev/sd0d /dev/sd1d
ccd1 16 CCDF_MIRROR /dev/sd0g /dev/sd1g
ccd2 16 CCDF_MIRROR /dev/sd0f /dev/sd1f
</pre>

Предварительно делаем бэкап /home и /var в /usr/dump, иначе данные на дисках будут утеряны:

<pre>
# mkdir /usr/dump
# dump -a -f /usr/dump/var.dump /var
# dump -a -f /usr/dump/home.dump /home
# umount -f /var
# umount -f /home
</pre>

После размонтирования необходимо внести соответствующие изменения в /etc/fstab (старые записи больше не понадобятся):

<pre>
# vi /etc/fstab
/dev/sd0a / ffs rw 1 1
/dev/ccd1e /home ffs rw, nodev, nosuid 1 2
/dev/sd0e /tmp ffs rw, nodev, nosuid 1 2
/dev/ccd2e /usr ffs rw, nodev 1 2
/dev/ccd0e /var ffs rw, nodev, nosuid 1 2
</pre>

Создаем два устройства ccd(4) (для /home и /var):

# ccdconfig ccd0 16 CCDF_MIRROR /dev/sd0d /dev/sd1d
# ccdconfig ccd1 16 CCDF_MIRROR /dev/sd0g /dev/sd1g

Для каждого из созданных устройств меняем тип раздела «с» на <tt>unused</tt> и создаем одну большую партицию «e» с типом 4.2BSD на весь диск:

<pre>
# disklabel -E ccd0
> m c
> [4.2BSD] unused
> a e
</pre>

И для ccd1:

<pre>
# disklabel -E ccd1
> m c
> [4.2BSD] unused
> a e
</pre>

Создаем файловые системы:

# newfs ccd0e
# newfs ccd1e

Снова монтируем //var и /home, но уже как устройства ccd(4). Восстанавливаем данные из резервной копии:

<pre>
# mount /var
# cd /var && restore -r -f /usr/dump/var.dump
# mount /home
# cd /home && restore -r -f /usr/dump/home.dump
</pre>

Подготавливаем бэкап /usr:

# mkdir /home/dump
# dump -a -f /home/dump/usr.dump /usr

Перегружаемся в <tt>single user mode</tt> (удаленно размонтировать /usr нельзя). Делаем с ccd2 то же самое, что делали ранее с ccd0 и ccd1:

<pre>
# ccdconfig ccd2 16 CCDF_MIRROR /dev/sd0f /dev/sd1f
# disklabel -E ccd2
> m c
> [4.2BSD] unused
> a e

# newfs ccd2e
# mount /usr
</pre>

Создаем ccd0 и монтируем /home:

# ccdconfig ccd0 16 CCDF_MIRROR /dev/sd0d /dev/sd1d
# mount /home

Возвращаем данные на /usr:

# cd /usr && restore -r -f /home/dump/usr.dump

Перезагружаемся:

# reboot

В итоге получаем:

<pre>
# df -h
Filesystem Size Used Avail Capacity Mounted on
/dev/sd0a 490M 27.6M 438M 6 % /
/dev/ccd1e 38.4G 4.0M 36.5G 0 % /home
/dev/sd0e 982M 6.0K 933M 0 % /tmp
/dev/ccd2e 17.5G 815M 15.9G 5 % /usr
/dev/ccd0e 9.6G 7.1M 9.1G 0 % /var
</pre>

Статья основана на материалах, предоставленных Антоном Карповым [http://www.toxahost.ru/ www.toxahost.ru].

[[Категория:Howto]]

Зеркалирование данных с помощью ccd

2013-06-05T13:56:09Z

Nordwind: Новая страница: «:Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru] == Мини-руководство «шаг за шагом» == Ope…»

:Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru]

== Мини-руководство «шаг за шагом» ==

OpenBSD установлена на sd0. Требуется подключить sd1 и производить автоматическое копирование данных с sd0. Для этих целей будем использовать ccd(4). На разделы ccd(4) следует перенести /home, /var и /usr. Перенести корневую файловую систему нельзя, поскольку ядро не поддерживает загрузку с этого типа устройств. Рекомендуется остановить запущенные процессы и при наличии локального доступа к машине выполнять все операции в однопользовательском режиме.

Текущая система:

<pre>
# df -h
Filesystem Size Used Avail Capacity Mounted on
/dev/sd0a 490M 27.6M 438M 6 % /
/dev/sd0d 38.4G 4.0M 36.5G 0 % /home
/dev/sd0e 982M 6.0K 933M 0 % /tmp
/dev/sd0f 17.5G 821M 15.9G 5 % /usr
/dev/sd0g 9.6G 7.1M 9.1G 0 % /var
</pre>

Уже сейчас можно составить конфиг для создания устройств ccd(4) при загрузке системы:

<pre>
# vi /etc/ccd.conf
ccd0 16 CCDF_MIRROR /dev/sd0d /dev/sd1d
ccd1 16 CCDF_MIRROR /dev/sd0g /dev/sd1g
ccd2 16 CCDF_MIRROR /dev/sd0f /dev/sd1f
</pre>

Предварительно делаем бэкап /home и /var в /usr/dump, иначе данные на дисках будут утеряны:

<pre>
# mkdir /usr/dump
# dump -a -f /usr/dump/var.dump /var
# dump -a -f /usr/dump/home.dump /home
# umount -f /var
# umount -f /home
</pre>

После размонтирования необходимо внести соответствующие изменения в /etc/fstab (старые записи больше не понадобятся):

<pre>
# vi /etc/fstab
/dev/sd0a / ffs rw 1 1
/dev/ccd1e /home ffs rw, nodev, nosuid 1 2
/dev/sd0e /tmp ffs rw, nodev, nosuid 1 2
/dev/ccd2e /usr ffs rw, nodev 1 2
/dev/ccd0e /var ffs rw, nodev, nosuid 1 2
</pre>

Создаем два устройства ccd(4) (для /home и /var):

# ccdconfig ccd0 16 CCDF_MIRROR /dev/sd0d /dev/sd1d
# ccdconfig ccd1 16 CCDF_MIRROR /dev/sd0g /dev/sd1g

Для каждого из созданных устройств меняем тип раздела «с» на <tt>unused</tt> и создаем одну большую партицию «e» с типом 4.2BSD на весь диск:

<pre>
# disklabel -E ccd0
> m c
> [4.2BSD] unused
> a e
</pre>

И для ccd1:

<pre>
# disklabel -E ccd1
> m c
> [4.2BSD] unused
> a e
</pre>

Создаем файловые системы:

# newfs ccd0e
# newfs ccd1e

Снова монтируем //var и /home, но уже как устройства ccd(4). Восстанавливаем данные из резервной копии:

<pre>
# mount /var
# cd /var && restore -r -f /usr/dump/var.dump
# mount /home
# cd /home && restore -r -f /usr/dump/home.dump
</pre>

Подготавливаем бэкап //usr:

# mkdir /home/dump
# dump -a -f /home/dump/usr.dump /usr

Перегружаемся в <tt>single user mode</tt> (удаленно размонтировать //usr нельзя). Делаем с ccd2 то же самое, что делали ранее с ccd0 и ccd1:

<pre>
# ccdconfig ccd2 16 CCDF_MIRROR /dev/sd0f /dev/sd1f
# disklabel -E ccd2
> m c
> [4.2BSD] unused
> a e

# newfs ccd2e
# mount /usr
</pre>

Создаем ccd0 и монтируем /home:

# ccdconfig ccd0 16 CCDF_MIRROR /dev/sd0d /dev/sd1d
# mount /home

Возвращаем данные на /usr:

# cd /usr && restore -r -f /home/dump/usr.dump

Перезагружаемся:

# reboot

В итоге получаем:

<pre>
# df -h
Filesystem Size Used Avail Capacity Mounted on
/dev/sd0a 490M 27.6M 438M 6 % /
/dev/ccd1e 38.4G 4.0M 36.5G 0 % /home
/dev/sd0e 982M 6.0K 933M 0 % /tmp
/dev/ccd2e 17.5G 815M 15.9G 5 % /usr
/dev/ccd0e 9.6G 7.1M 9.1G 0 % /var
</pre

Статья основана на материалах, предоставленных Антоном Карповым [http://www.toxahost.ru/ www.toxahost.ru].

[[Категория:Howto]]

Деликатное проникновение в частную сеть

2013-06-05T12:14:36Z

Nordwind: /* Инсталляция на стороне клиента */

:Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru]
 
Статья [http://www.xakep.ru/magazine/xa/110/156/1.asp опубликована] в февральском номере журнала Хакер за 2008 год. Автор оригинального текста: Andrey Matveev (andrey at openbsd dot ru).

== Введение ==

Когда речь заходит о необходимости предоставления авторизированному пользователю доступа к защищенным ресурсам частной сети, на ум сразу приходят примеры построения VPN на базе IPSec, PPTP, L2TP и SSL. Однако если требуется в кратчайшие сроки развернуть бесплатное, кроссплатформенное, полнофункциональное ПО с гибкими возможностями конфигурирования и относительно простой установкой, не требующей вмешательства в ядро ОС, то из всех доступных решений выбор невольно падает на OpenVPN.

== Поем дифирамбы OpenVPN ==

OpenVPN является реализацией технологии VPN с использованием протокола SSL/TLS. С его помощью можно поднять надежный, достаточно быстрый и в то же время защищенный от прослушивания и вмешательства злоумышленников криптотуннель поверх общедоступной сети, такой, как Интернет. В двух словах схему работы этого приложения можно описать следующим образом: любой сетевой трафик, посылаемый или принимаемый для сетевого адаптера, инкапсулируется в зашифрованный пакет и доставляется в другой конечный пункт туннеля OpenVPN, где данные расшифровываются и попадают в удаленную сеть.
К числу основных преимуществ применения OpenVPN стоит отнести:

* высокая переносимость между платформами – пакет работает на Windows 2000/XP/2003/Vista, Linux, Free/Net/OpenBSD, Mac OS X и Solaris;
* поддержка режимов маршрутизации (routed) и моста (bridged), другими словами, нам под силу туннелировать как IP-пакеты, так и Ethernet-фреймы;
* для транспорта можно использовать UDP/TCP;
* клиентские хосты могут иметь статические и динамические IP-адреса;
* туннели можно создавать поверх NAT;
* работа через межсетевые экраны, в которых реализован контроль состояния соединений (достигается за счет отправки через определенные промежутки времени echo-запросов);
* ассиметричное шифрование с использованием статических ключей и SSL/TLS сертификатов;
* встроенные меры безопасности для предотвращения DoS-атак и повторного проигрывания злоумышленником последовательности записанных пакетов;
* адаптивная компрессия передаваемых данных;
* способность "проталкивать" маршруты для клиента;
* использование всех механизмов шифрования, встроенных в библиотеку OpenSSL;
* работа в chroot-окружении;
* поддержка мультипоточной библиотеки pthread (положительно влияет на быстродействие при динамическом обмене SSL/TLS ключами).

Как видишь, список возможностей впечатляет, но в отличие от других SSL VPN, достоинством которых считается безклиентская установка (соединение SSL VPN устанавливается через браузер), для OpenVPN необходим специальный клиент (поговорим об этом ниже).

== Увертюра к основному действию ==

Предположим, одним прекрасным солнечным утром твое высокое начальство впечатлилось идеей создания виртуальной частной сети, и теперь перед тобой стоит задача поднять VPN-сервер для служащих, которым требуется работать с корпоративными ресурсами, находясь вне стен офиса (это могут быть надомные, командировочные сотрудники или просто фрилансеры).
Функции шлюза компании, выпускающего сотрудников в Интернет, выполняет компьютер с тремя сетевыми картами (213.167.XX.YY, 192.168.1.1, 192.168.2.1) под управлением… хотя это не так важно, настройки в поддерживаемых операционках будут отличаться минимально. В моем случае на сервере заказчика была установлена OpenBSD 3.9. Что касается корпоративной внутренней сети, то она состоит из двух участков: проводного (192.168.1.0/24) и беспроводного (192.168.2.0/24). После рекогносцировки на местности переходим к установке OpenVPN.

== Серверная инсталляция ==

OpenVPN без труда можно найти в любом репозитарии или дереве портов:

# cd /usr/ports/net/openvpn
# make install clean

В случае установки из исходных кодов в некоторых системах может понадобиться отключить поддержку реализации потоков выполнения и указать местоположение библиотек и заголовочных файлов <tt>lzo</tt>:

# ./configure --disable-pthread --with-lzo-lib=/usr/local/lib \
--with-lzoheaders=/usr/local/include
# make
# make install

Для проверки с помощью следующих команд можно посмотреть, какие дайджесты (применяются для аутентификации каждой получаемой UDP-датаграммы) и алгоритмы шифрования доступны:

# /usr/local/sbin/openvpn --show-digests
# /usr/local/sbin/openvpn --show-ciphers

Чтобы обеспечить дополнительный уровень защиты и избежать возможный ущерб при взломе, нужно дать указание демону OpenVPN работать с правами непривилегированного пользователя в chroot’ной среде — среде с измененным корневым каталогом. Первый шаг для этого — добавить в систему группу <tt>_openvpn</tt> и одноименного пользователя:

# groupadd -g 500 _openvpn
# useradd -u 500 -g 500 -c 'OpenVPN Server' -s /sbin/nologin \
-d /var/openvpn -m _openvpn

Проверяем правильность выполнения двух последних команд:

# grep 500 /etc/passwd
_openvpn:*:500:500:OpenVPN Server:/var/openvpn:/sbin/nologin

== Золотые ключики и подарочные сертификаты ==

Думаю, ни для кого не секрет, что сертификаты открытых ключей предоставляют удобный и надежный способ аутентификации пользователей, поэтому не будем сейчас тратить время на теоретическую часть и перейдем непосредственно к процедуре генерирования надлежащих сертификатов.
Создаем директорию, где будут лежать конфигурационные файлы, скрипты и сертификаты:

# mkdir -p /etc/openvpn/keys

Копируем комплект скриптов easy-rsa, предназначенный для упрощения создания сертификатов, которые предъявляются в процессе аутентификации для подтверждения валидности клиентов. Теперь о монстроидальных командах <tt>openssl</tt> можно забыть.

# cp -r /usr/local/share/examples/openvpn/easy-rsa /etc/openvpn

Далее следует экспортировать переменные KEY_*, они необходимы для работы build-* скриптов:

# cd /etc/openvpn/easy-rsa
# . ./vars

Инициализируем директорию /etc/openvpn/easy-rsa/keys:

# ./clean-all

Создаем корневой и серверный сертификаты:

# ./build-ca
# ./build-key-server server

Для создания файла параметров Диффи-Хэлмана, предназначенного для обеспечения более надежной защиты данных при установке соединения клиента с сервером, выполняем:

# ./build-dh

Снизить вероятность успешного проведения DoS-атаки на сервер OpenVPN можно за счет использования клиентом и сервером статического ключа HMAC (так называемый <tt>shared secret</tt>):

# /usr/local/sbin/openvpn --genkey --secret keys/ta.key

Перемещаем все созданные файлы в подкаталог keys и выставляем для них корректные права доступа:

# cd keys/
# mv ca.crt dh1024.pem server.crt server.key ta.key /etc/openvpn/keys
# chown -R root:wheel /etc/openvpn
# chmod 700 /etc/openvpn/keys
# chmod 644 /etc/openvpn/keys/{ca.crt,dh1024.pem,server.crt}
# chmod 600 /etc/openvpn/keys/{server.key,ta.key}

Процедура создания клиентских сертификатов практически аналогична соответствующей процедуре для сервера:

# ./build-key client1
# mkdir -p /home/vpn/client1
# mv client1.crt client1.key /home/vpn/client1
# cp /etc/openvpn/keys/{ca.crt,ta.key} /home/vpn/client1

Теперь подкаталог client1 следует перенести на винч или флешку «географически изолированного» сотрудника.

== Щепетильное конфигурирование ==

Конфигурация сервера OpenVPN хранится в файле /etc/openvpn/server.conf. Ниже приведен пример подобного конфига. Все опции детально прокомментированы, поэтому сложностей возникнуть не должно. При настройке старайся «не срезать углы» — за один шаг добавляй/изменяй что-то одно и сразу же тестируй. Все действия в server.conf желательно фиксировать в локальном cvs-репозитории, чтобы можно было быстро просмотреть историю изменений и вернуться к рабочей ревизии.

# vi /etc/openvpn/server.conf
; Работаем в режиме демона
daemon openvpn
; Указываем местоположение файла с уникальным идентификатором процесса сервера
; OpenVPN
writepid /var/openvpn/pid
; Определяем файл, содержащий список текущих клиентских соединений
status /var/openvpn/status 10
; Внешний IP-адрес нашего сервера
local 213.167.XX.YY
; Используемый порт
port 1194
; Для транспорта по умолчанию применяется протокол UDP. Это вполне резонный
; подход. Во-первых, благодаря меньшему размеру заголовков и отсутствию
; встроенной функции подтверждения доставки пакетов, производительность UDP
; значительно выше. А во-вторых, при использовании UDP общая надежность не
; снижается, так как OpenVPN шифрует исходные пакеты, обеспечивая проверку
; ошибок и повторную передачу. В связи с этим TCP рекомендуется применять
; только в тех случаях, когда UDP не работает, например, если брандмауэр
; блокирует весь UDP-трафик.
proto udp
; Выбираем тип виртуального устройства туннеля (tun, tap или null)
dev tun0
; Включаем компрессию передаваемых данных
comp-lzo
; Указываем абсолютные пути к созданным сертификатам и ключам
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
; Значение 0 следует использовать на сервере, 1 - на клиенте
tls-auth /etc/openvpn/keys/ta.key 0
; Для большинства сетей подойдет режим маршрутизатора (routed). Да, в этом
; случае широковещательный трафик отсутствует, соответственно, не будут работать
; некоторые протоколы, которые его используют, например NetBIOS поверх TCP. Но
; последнее нивелируется развертыванием WINS-сервера, либо подключением сетевых
; дисков/созданием ярлыков на расшаренные ресурсы
server 192.168.3.0 255.255.255.0
; Проталкиваем подключенным клиентам статические маршруты, чтобы они могли
; получить доступ к ресурсам проводной и беспроводной сети
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.2.0 255.255.255.0"
; Не позволяем соединению разорваться при простое
keepalive 10 120
; Алгоритмы, используемые для аутентификации и шифрования пакетов
auth SHA1
cipher AES-256-CBC
; Максимальное число одновременно подключенных VPN-пользователей
max-clients 10
; Задаем файл журналирования событий и уровень детализации журнала, отображаем
; не более 20 экземпляров одного сообщения (остальные отбрасываем)
log-append /var/log/openvpn.log
verb 3
mute 20
; Пользователь и группа, с правами которых работает демон
user _openvpn
group _openvpn
; Эти опции предотвращают доступ к некоторым ресурсам (например,
; tun-устройству) при перезапуске демона (рекомендуется применять только при
; снижении привилегий)
persist-key
persist-tun
; Сажаем демона в chroot-окружение
chroot /var/empty

Чтобы не вбивать директивы вручную, можно воспользоваться примером конфига, любезно предоставленным разработчиками:

# cp /usr/local/share/examples/openvpn/sample-config-files/server.conf /etc/openvpn

Поднимаем виртуальный интерфейс <tt>tun0</tt>:

# echo "up" > /etc/hostname.tun0
# sh /etc/netstart tun0

Запускаем сервер OpenVPN командой:

# /usr/local/sbin/openvpn --config /etc/openvpn/server.conf

Для автоматической загрузки OpenVPN достаточно прописать эту строчку в стартовый сценарий /etc/rc.local, например, так:

# vi /etc/rc.local
if [ -x /usr/local/sbin/openvpn ]; then
echo -n ' openvpn'; /usr/local/sbin/openvpn --config /etc/openvpn/server.conf
fi

Далее смотрим в логи, чтобы убедиться в успешной загрузке нашего демона:

# tail /var/log/openvpn.log
Sun Dec 2 15:31:37 2007 IFCONFIG POOL: base=192.168.3.4 size=62
Sun Dec 2 15:31:37 2007 Initialization Sequence Completed

Чтобы проверить состояние псевдоустройства туннелирования, можно воспользоваться утилитой <tt>ifconfig</tt>:

# ifconfig tun0
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500
groups: tun
inet 192.168.3.1 --> 192.168.3.2 netmask 0xffffffff

Для корректной работы сервера OpenVPN необходимо разрешить прохождение любого трафика через интерфейс OpenVPN, а также входящие подключения на внешний адрес сервера порт <tt>1194/udp</tt>:

# vi /etc/pf.conf
pass quick on { lo tun0 $int_if } inet
pass in on $ext_if inet proto udp from any to $ext_if port 1194 \
keep state

Перезагружаем набор рулесетов файервола:

# pfctl -f /etc/pf.conf

== Инсталляция на стороне клиента ==

Итак, VPN-сервер работает и готов принимать подключения. Развертывание VPN-клиентов для VPN-подключений удаленного доступа состоит из двух действий: установка программы [http://openvpn.se/files/install_packages/openvpn-2.0.9-gui-1.0.3-install.exe OpenVPN GUI] и правка конфигурационного файла client*.ovpn.

C:\Program Files\OpenVPN\config\mycompany_client1.ovpn
; Работаем в режиме клиента
client
dev tun
; Указываем IP-адрес и порт VPN-сервера
remote 213.167.XX.YY 1194
proto udp
resolv-retry infinite
nobind
pull
comp-lzo
persist-key
persist-tun
verb 3
; Я предпочитаю хранить crt и key файлы на флешке
ca "f:\\vpn\\mycompany\\ca.crt"
cert "f:\\vpn\\mycompany\\client1.crt"
key "f:\\vpn\\mycompany\\client1.key"
tls-auth "f:\\vpn\\mycompany\\ta.key" 1
ns-cert-type server
; Нижеследующие алгоритмы должны совпадать с теми, что заданы на сервере
auth SHA1
cipher AES-256-CBC
; Без этих двух директив Vista-клиенты не смогут получать маршруты от сервера
; route-method exe
; route-delay 2

Теперь для подключения к VPN-серверу достаточно в трее щелкнуть правой кнопкой мыши на значке с красными мониторчиками, выбрать конфиг <tt>mycompany_client1</tt> и нажать Connect.

== Аутентификационный шлюз на базе pf и authpf ==

В BSD-системах, используя связку пакетного фильтра pf и авторизационного шелла authpf, можно контролировать доступ клиентов, подключающихся к VPN-службе и корпоративной сети. Схема работы такой конструкции довольно проста: пользователь логинится по ssh, и, в зависимости от введенных данных (имя и пароль), на сервере вступают в силу персональные правила файервола, в данном случае разрешающие прохождение UDP-пакетов к порту 1194.
Но прежде, чем производить настройку <tt>authpf</tt>, необходимо переопределить некоторые дефолтные значения переменных демона [http://www.openbsd.org/cgi-bin/man.cgi?query=sshd&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html sshd(8)]. Так мы усложним потенциальному злоумышленнику успешное проведение атаки с целью перехвата и подмены ssh-сессии.

# vi /etc/ssh/sshd_config
# Работаем с использованием протоколов IPv4 и ssh2
AddressFamily inet
Protocol 2
# Ожидаем подключения по всем доступным сетевым интерфейсам
ListenAddress 0.0.0.0
# Запрещаем регистрацию root'а и применение пустых паролей
PermitRootLogin no
PermitEmptyPasswords no
# За счет использования протокола ssh2 и этих двух опций усложняем проведение
# атак типа ARP- и IP-spoofing
ClientAliveInterval 15
ClientAliveCountMax 3
# Отключаем DNS-резолвинг
UseDNS no
# Определяем списки контроля доступом
AllowGroups wheel users authpf

Для того чтобы внесенные изменения вступили в силу, необходимо дать указание демону перечитать свой конфиг:

# kill -HUP `sed q /var/run/sshd.pid`

Authpf представляет собой псевдооболочку, которая назначается пользователю системы в качестве <tt>login shell</tt> (примечание: запись «/usr/sbin/authpf» в файл /etc/shells добавлять не следует). При авторизации пользователя по ssh к текущим правилам фильтра пакетов с помощью так называемых якорей <tt>(anchors)</tt> будут присоединены правила, указанные в файле /etc/authpf/authpf.rules, либо в /etc/authpf/users/$USER. В добавляемых правилах допускается использование зарезервированных макросов <tt>$user_id</tt> и <tt>$user_ip</tt>, за счет которых будет происходить автоматическая подстановка имени и IP-адреса подключившегося пользователя (значения макросов считываются из переменных окружения ssh автоматически).
В конец файла [http://www.openbsd.org/cgi-bin/man.cgi?query=login.conf&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html login.conf(5)] заносим сведения о новом классе <tt>authpf</tt>, пользователи которого в качестве стандартного шелла будут получать authpf:

# vi /etc/login.conf
authpf:\
:shell=/usr/sbin/authpf:\
:tc=default:

С помощью штатной утилиты [http://www.openbsd.org/cgi-bin/man.cgi?query=cap_mkdb&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html cap_mkdb(1)] обновляем хэшированную базу данных /etc/login.conf.db:

# cap_mkdb /etc/login.conf

Мы не будем переопределять умолчальные значения директив <tt>anchor</tt> и <tt>table</tt>, поэтому файл authpf.conf оставляем пустым:

# echo -n > /etc/authpf/authpf.conf

Подготавливаем приветственное сообщение authpf.message (аналог /etc/motd):

# vi /etc/authpf/authpf.message
This service is for authorised VPN-clients only. Please play nice.

Создаем нового пользователя, который принадлежит классу authpf, входит в группу authpf и в качестве оболочки получает /usr/sbin/authpf:

# useradd -m -c 'authpf vpn user' -g authpf -L authpf \
-s /usr/sbin/authpf client1
# passwd client1

Рисуем правило файервола, разрешающее пользователю client1 доступ к серверу OpenVPN:

# mkdir -p /etc/authpf/users/client1

# vi /etc/authpf/users/client1/authpf.rules
pass in log quick on fxp0 inet proto udp from $user_ip to fxp0 \
port 1194 keep state

Теперь для подключения механизма якорей добавим следующие записи в [http://www.openbsd.org/cgi-bin/man.cgi?query=pf.conf&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html pf.conf(5)]:

# vi /etc/pf.conf
nat-anchor "authpf/*"
rdr-anchor "authpf/*"
binat-anchor "authpf/*"
...
pass in log on $ext_if inet proto tcp to fxp0 port ssh keep state
...
anchor "authpf/*"

И перезагрузим набор рулесетов файервола:

# pfctl -f /etc/pf.conf

На стороне клиента открываем любой ssh-клиент, например, Putty или SecureCRT, создаем новую сессию, указываем IP-адрес сервера и имя пользователя. Если все настроено правильно, после успешной авторизации правила файервола на сервере для этого пользователя изменятся, и он получит доступ к VPN-службе.

# f:\vpn\putty> plink.exe -pw mypassword client1@213.167.XX.YY
Hello client1. You are authenticated from host "77.41.XX.YY"
This service is for authorised VPN-clients only. Please play nice.

А чтобы постоянно не вводить пароль, можно настроить аутентификацию на базе публичного ключа.

== Эндшпиль ==

Эта статья включает полный набор пошаговых действий, необходимых для внедрения базового VPN-решения удаленного доступа, используя BSD-систему в качестве VPN-сервера и WinXP/Vista в качестве VPN-клиента. Развернув в 3-4 компаниях подобную конфигурацию, ты сможешь не с пустыми кредиткой и кошельком ехать в Египет греть пятки. Удачи.

[[Категория:Howto]]

OpenBSD-Wiki:Текущие события

2013-06-05T12:09:52Z

Nordwind: /* Актуальное */

== Актуальное ==
Собрано всё, что применимо к текущему релизу.

* [[Введение в OpenBSD]]
* [[Аппаратное обеспечение и вопросы]]
* [[Деликатное проникновение в частную сеть]]
* [[IPsec между OpenBSD и Linux Ubuntu]]
* [[OpenSSH мини-руководство]]
* [[OpenSSH: настройки, секреты, трюки и советы]]
* [[RSA/DSA аутентификация в OpenSSH]]
* [[Использование файла mk.conf]]
* [[Написание OpenBSD Loadable Kernel Modules (LKM)]]
* [[Настройка sendmail]]
* [[Новое IPSec howto]]
* [[Русификация OpenBSD 5.x]]
* [[Русификация OpenBSD]]
* [[Русификация консоли OpenBSD]]
* [[Создание загрузочной флешки]]
* [[Перечень Интернет ресурсов о OpenBSD]]
* [[Описание переменных sysctl]]
* [[Сборник советов с OpenBSD101.com]]

=== Переводы ===
* [[C2k10-marco]]
* [[C2k10-guenther]]
* [[C2k10-ajacoutot]]
* [[C2k10-henning]]
* [[C2k10-tedu]]

== Устаревшее ==
Данная информация сохранена для архивных версий.

* [[Использование Bluetooth в OpenBSD]]
* [[Настройка GPRS]]

== Прочее ==

* [[Резервная копия Wiki]]

Деликатное проникновение в частную сеть

2013-06-05T12:06:55Z

Nordwind: /* Щепетильное конфигурирование */

:Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru]
 
Статья [http://www.xakep.ru/magazine/xa/110/156/1.asp опубликована] в февральском номере журнала Хакер за 2008 год. Автор оригинального текста: Andrey Matveev (andrey at openbsd dot ru).

== Введение ==

Когда речь заходит о необходимости предоставления авторизированному пользователю доступа к защищенным ресурсам частной сети, на ум сразу приходят примеры построения VPN на базе IPSec, PPTP, L2TP и SSL. Однако если требуется в кратчайшие сроки развернуть бесплатное, кроссплатформенное, полнофункциональное ПО с гибкими возможностями конфигурирования и относительно простой установкой, не требующей вмешательства в ядро ОС, то из всех доступных решений выбор невольно падает на OpenVPN.

== Поем дифирамбы OpenVPN ==

OpenVPN является реализацией технологии VPN с использованием протокола SSL/TLS. С его помощью можно поднять надежный, достаточно быстрый и в то же время защищенный от прослушивания и вмешательства злоумышленников криптотуннель поверх общедоступной сети, такой, как Интернет. В двух словах схему работы этого приложения можно описать следующим образом: любой сетевой трафик, посылаемый или принимаемый для сетевого адаптера, инкапсулируется в зашифрованный пакет и доставляется в другой конечный пункт туннеля OpenVPN, где данные расшифровываются и попадают в удаленную сеть.
К числу основных преимуществ применения OpenVPN стоит отнести:

* высокая переносимость между платформами – пакет работает на Windows 2000/XP/2003/Vista, Linux, Free/Net/OpenBSD, Mac OS X и Solaris;
* поддержка режимов маршрутизации (routed) и моста (bridged), другими словами, нам под силу туннелировать как IP-пакеты, так и Ethernet-фреймы;
* для транспорта можно использовать UDP/TCP;
* клиентские хосты могут иметь статические и динамические IP-адреса;
* туннели можно создавать поверх NAT;
* работа через межсетевые экраны, в которых реализован контроль состояния соединений (достигается за счет отправки через определенные промежутки времени echo-запросов);
* ассиметричное шифрование с использованием статических ключей и SSL/TLS сертификатов;
* встроенные меры безопасности для предотвращения DoS-атак и повторного проигрывания злоумышленником последовательности записанных пакетов;
* адаптивная компрессия передаваемых данных;
* способность "проталкивать" маршруты для клиента;
* использование всех механизмов шифрования, встроенных в библиотеку OpenSSL;
* работа в chroot-окружении;
* поддержка мультипоточной библиотеки pthread (положительно влияет на быстродействие при динамическом обмене SSL/TLS ключами).

Как видишь, список возможностей впечатляет, но в отличие от других SSL VPN, достоинством которых считается безклиентская установка (соединение SSL VPN устанавливается через браузер), для OpenVPN необходим специальный клиент (поговорим об этом ниже).

== Увертюра к основному действию ==

Предположим, одним прекрасным солнечным утром твое высокое начальство впечатлилось идеей создания виртуальной частной сети, и теперь перед тобой стоит задача поднять VPN-сервер для служащих, которым требуется работать с корпоративными ресурсами, находясь вне стен офиса (это могут быть надомные, командировочные сотрудники или просто фрилансеры).
Функции шлюза компании, выпускающего сотрудников в Интернет, выполняет компьютер с тремя сетевыми картами (213.167.XX.YY, 192.168.1.1, 192.168.2.1) под управлением… хотя это не так важно, настройки в поддерживаемых операционках будут отличаться минимально. В моем случае на сервере заказчика была установлена OpenBSD 3.9. Что касается корпоративной внутренней сети, то она состоит из двух участков: проводного (192.168.1.0/24) и беспроводного (192.168.2.0/24). После рекогносцировки на местности переходим к установке OpenVPN.

== Серверная инсталляция ==

OpenVPN без труда можно найти в любом репозитарии или дереве портов:

# cd /usr/ports/net/openvpn
# make install clean

В случае установки из исходных кодов в некоторых системах может понадобиться отключить поддержку реализации потоков выполнения и указать местоположение библиотек и заголовочных файлов <tt>lzo</tt>:

# ./configure --disable-pthread --with-lzo-lib=/usr/local/lib \
--with-lzoheaders=/usr/local/include
# make
# make install

Для проверки с помощью следующих команд можно посмотреть, какие дайджесты (применяются для аутентификации каждой получаемой UDP-датаграммы) и алгоритмы шифрования доступны:

# /usr/local/sbin/openvpn --show-digests
# /usr/local/sbin/openvpn --show-ciphers

Чтобы обеспечить дополнительный уровень защиты и избежать возможный ущерб при взломе, нужно дать указание демону OpenVPN работать с правами непривилегированного пользователя в chroot’ной среде — среде с измененным корневым каталогом. Первый шаг для этого — добавить в систему группу <tt>_openvpn</tt> и одноименного пользователя:

# groupadd -g 500 _openvpn
# useradd -u 500 -g 500 -c 'OpenVPN Server' -s /sbin/nologin \
-d /var/openvpn -m _openvpn

Проверяем правильность выполнения двух последних команд:

# grep 500 /etc/passwd
_openvpn:*:500:500:OpenVPN Server:/var/openvpn:/sbin/nologin

== Золотые ключики и подарочные сертификаты ==

Думаю, ни для кого не секрет, что сертификаты открытых ключей предоставляют удобный и надежный способ аутентификации пользователей, поэтому не будем сейчас тратить время на теоретическую часть и перейдем непосредственно к процедуре генерирования надлежащих сертификатов.
Создаем директорию, где будут лежать конфигурационные файлы, скрипты и сертификаты:

# mkdir -p /etc/openvpn/keys

Копируем комплект скриптов easy-rsa, предназначенный для упрощения создания сертификатов, которые предъявляются в процессе аутентификации для подтверждения валидности клиентов. Теперь о монстроидальных командах <tt>openssl</tt> можно забыть.

# cp -r /usr/local/share/examples/openvpn/easy-rsa /etc/openvpn

Далее следует экспортировать переменные KEY_*, они необходимы для работы build-* скриптов:

# cd /etc/openvpn/easy-rsa
# . ./vars

Инициализируем директорию /etc/openvpn/easy-rsa/keys:

# ./clean-all

Создаем корневой и серверный сертификаты:

# ./build-ca
# ./build-key-server server

Для создания файла параметров Диффи-Хэлмана, предназначенного для обеспечения более надежной защиты данных при установке соединения клиента с сервером, выполняем:

# ./build-dh

Снизить вероятность успешного проведения DoS-атаки на сервер OpenVPN можно за счет использования клиентом и сервером статического ключа HMAC (так называемый <tt>shared secret</tt>):

# /usr/local/sbin/openvpn --genkey --secret keys/ta.key

Перемещаем все созданные файлы в подкаталог keys и выставляем для них корректные права доступа:

# cd keys/
# mv ca.crt dh1024.pem server.crt server.key ta.key /etc/openvpn/keys
# chown -R root:wheel /etc/openvpn
# chmod 700 /etc/openvpn/keys
# chmod 644 /etc/openvpn/keys/{ca.crt,dh1024.pem,server.crt}
# chmod 600 /etc/openvpn/keys/{server.key,ta.key}

Процедура создания клиентских сертификатов практически аналогична соответствующей процедуре для сервера:

# ./build-key client1
# mkdir -p /home/vpn/client1
# mv client1.crt client1.key /home/vpn/client1
# cp /etc/openvpn/keys/{ca.crt,ta.key} /home/vpn/client1

Теперь подкаталог client1 следует перенести на винч или флешку «географически изолированного» сотрудника.

== Щепетильное конфигурирование ==

Конфигурация сервера OpenVPN хранится в файле /etc/openvpn/server.conf. Ниже приведен пример подобного конфига. Все опции детально прокомментированы, поэтому сложностей возникнуть не должно. При настройке старайся «не срезать углы» — за один шаг добавляй/изменяй что-то одно и сразу же тестируй. Все действия в server.conf желательно фиксировать в локальном cvs-репозитории, чтобы можно было быстро просмотреть историю изменений и вернуться к рабочей ревизии.

# vi /etc/openvpn/server.conf
; Работаем в режиме демона
daemon openvpn
; Указываем местоположение файла с уникальным идентификатором процесса сервера
; OpenVPN
writepid /var/openvpn/pid
; Определяем файл, содержащий список текущих клиентских соединений
status /var/openvpn/status 10
; Внешний IP-адрес нашего сервера
local 213.167.XX.YY
; Используемый порт
port 1194
; Для транспорта по умолчанию применяется протокол UDP. Это вполне резонный
; подход. Во-первых, благодаря меньшему размеру заголовков и отсутствию
; встроенной функции подтверждения доставки пакетов, производительность UDP
; значительно выше. А во-вторых, при использовании UDP общая надежность не
; снижается, так как OpenVPN шифрует исходные пакеты, обеспечивая проверку
; ошибок и повторную передачу. В связи с этим TCP рекомендуется применять
; только в тех случаях, когда UDP не работает, например, если брандмауэр
; блокирует весь UDP-трафик.
proto udp
; Выбираем тип виртуального устройства туннеля (tun, tap или null)
dev tun0
; Включаем компрессию передаваемых данных
comp-lzo
; Указываем абсолютные пути к созданным сертификатам и ключам
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
; Значение 0 следует использовать на сервере, 1 - на клиенте
tls-auth /etc/openvpn/keys/ta.key 0
; Для большинства сетей подойдет режим маршрутизатора (routed). Да, в этом
; случае широковещательный трафик отсутствует, соответственно, не будут работать
; некоторые протоколы, которые его используют, например NetBIOS поверх TCP. Но
; последнее нивелируется развертыванием WINS-сервера, либо подключением сетевых
; дисков/созданием ярлыков на расшаренные ресурсы
server 192.168.3.0 255.255.255.0
; Проталкиваем подключенным клиентам статические маршруты, чтобы они могли
; получить доступ к ресурсам проводной и беспроводной сети
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.2.0 255.255.255.0"
; Не позволяем соединению разорваться при простое
keepalive 10 120
; Алгоритмы, используемые для аутентификации и шифрования пакетов
auth SHA1
cipher AES-256-CBC
; Максимальное число одновременно подключенных VPN-пользователей
max-clients 10
; Задаем файл журналирования событий и уровень детализации журнала, отображаем
; не более 20 экземпляров одного сообщения (остальные отбрасываем)
log-append /var/log/openvpn.log
verb 3
mute 20
; Пользователь и группа, с правами которых работает демон
user _openvpn
group _openvpn
; Эти опции предотвращают доступ к некоторым ресурсам (например,
; tun-устройству) при перезапуске демона (рекомендуется применять только при
; снижении привилегий)
persist-key
persist-tun
; Сажаем демона в chroot-окружение
chroot /var/empty

Чтобы не вбивать директивы вручную, можно воспользоваться примером конфига, любезно предоставленным разработчиками:

# cp /usr/local/share/examples/openvpn/sample-config-files/server.conf /etc/openvpn

Поднимаем виртуальный интерфейс <tt>tun0</tt>:

# echo "up" > /etc/hostname.tun0
# sh /etc/netstart tun0

Запускаем сервер OpenVPN командой:

# /usr/local/sbin/openvpn --config /etc/openvpn/server.conf

Для автоматической загрузки OpenVPN достаточно прописать эту строчку в стартовый сценарий /etc/rc.local, например, так:

# vi /etc/rc.local
if [ -x /usr/local/sbin/openvpn ]; then
echo -n ' openvpn'; /usr/local/sbin/openvpn --config /etc/openvpn/server.conf
fi

Далее смотрим в логи, чтобы убедиться в успешной загрузке нашего демона:

# tail /var/log/openvpn.log
Sun Dec 2 15:31:37 2007 IFCONFIG POOL: base=192.168.3.4 size=62
Sun Dec 2 15:31:37 2007 Initialization Sequence Completed

Чтобы проверить состояние псевдоустройства туннелирования, можно воспользоваться утилитой <tt>ifconfig</tt>:

# ifconfig tun0
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500
groups: tun
inet 192.168.3.1 --> 192.168.3.2 netmask 0xffffffff

Для корректной работы сервера OpenVPN необходимо разрешить прохождение любого трафика через интерфейс OpenVPN, а также входящие подключения на внешний адрес сервера порт <tt>1194/udp</tt>:

# vi /etc/pf.conf
pass quick on { lo tun0 $int_if } inet
pass in on $ext_if inet proto udp from any to $ext_if port 1194 \
keep state

Перезагружаем набор рулесетов файервола:

# pfctl -f /etc/pf.conf

== Инсталляция на стороне клиента ==

Итак, VPN-сервер работает и готов принимать подключения. Развертывание VPN-клиентов для VPN-подключений удаленного доступа состоит из двух действий: установка программы OpenVPN GUI и правка конфигурационного файла client*.ovpn.

C:\Program Files\OpenVPN\config\mycompany_client1.ovpn
; Работаем в режиме клиента
client
dev tun
; Указываем IP-адрес и порт VPN-сервера
remote 213.167.XX.YY 1194
proto udp
resolv-retry infinite
nobind
pull
comp-lzo
persist-key
persist-tun
verb 3
; Я предпочитаю хранить crt и key файлы на флешке
ca "f:\\vpn\\mycompany\\ca.crt"
cert "f:\\vpn\\mycompany\\client1.crt"
key "f:\\vpn\\mycompany\\client1.key"
tls-auth "f:\\vpn\\mycompany\\ta.key" 1
ns-cert-type server
; Нижеследующие алгоритмы должны совпадать с теми, что заданы на сервере
auth SHA1
cipher AES-256-CBC
; Без этих двух директив Vista-клиенты не смогут получать маршруты от сервера
; route-method exe
; route-delay 2

Теперь для подключения к VPN-серверу достаточно в трее щелкнуть правой кнопкой мыши на значке с красными мониторчиками, выбрать конфиг <tt>mycompany_client1</tt> и нажать Connect.

== Аутентификационный шлюз на базе pf и authpf ==

В BSD-системах, используя связку пакетного фильтра pf и авторизационного шелла authpf, можно контролировать доступ клиентов, подключающихся к VPN-службе и корпоративной сети. Схема работы такой конструкции довольно проста: пользователь логинится по ssh, и, в зависимости от введенных данных (имя и пароль), на сервере вступают в силу персональные правила файервола, в данном случае разрешающие прохождение UDP-пакетов к порту 1194.
Но прежде, чем производить настройку <tt>authpf</tt>, необходимо переопределить некоторые дефолтные значения переменных демона [http://www.openbsd.org/cgi-bin/man.cgi?query=sshd&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html sshd(8)]. Так мы усложним потенциальному злоумышленнику успешное проведение атаки с целью перехвата и подмены ssh-сессии.

# vi /etc/ssh/sshd_config
# Работаем с использованием протоколов IPv4 и ssh2
AddressFamily inet
Protocol 2
# Ожидаем подключения по всем доступным сетевым интерфейсам
ListenAddress 0.0.0.0
# Запрещаем регистрацию root'а и применение пустых паролей
PermitRootLogin no
PermitEmptyPasswords no
# За счет использования протокола ssh2 и этих двух опций усложняем проведение
# атак типа ARP- и IP-spoofing
ClientAliveInterval 15
ClientAliveCountMax 3
# Отключаем DNS-резолвинг
UseDNS no
# Определяем списки контроля доступом
AllowGroups wheel users authpf

Для того чтобы внесенные изменения вступили в силу, необходимо дать указание демону перечитать свой конфиг:

# kill -HUP `sed q /var/run/sshd.pid`

Authpf представляет собой псевдооболочку, которая назначается пользователю системы в качестве <tt>login shell</tt> (примечание: запись «/usr/sbin/authpf» в файл /etc/shells добавлять не следует). При авторизации пользователя по ssh к текущим правилам фильтра пакетов с помощью так называемых якорей <tt>(anchors)</tt> будут присоединены правила, указанные в файле /etc/authpf/authpf.rules, либо в /etc/authpf/users/$USER. В добавляемых правилах допускается использование зарезервированных макросов <tt>$user_id</tt> и <tt>$user_ip</tt>, за счет которых будет происходить автоматическая подстановка имени и IP-адреса подключившегося пользователя (значения макросов считываются из переменных окружения ssh автоматически).
В конец файла [http://www.openbsd.org/cgi-bin/man.cgi?query=login.conf&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html login.conf(5)] заносим сведения о новом классе <tt>authpf</tt>, пользователи которого в качестве стандартного шелла будут получать authpf:

# vi /etc/login.conf
authpf:\
:shell=/usr/sbin/authpf:\
:tc=default:

С помощью штатной утилиты [http://www.openbsd.org/cgi-bin/man.cgi?query=cap_mkdb&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html cap_mkdb(1)] обновляем хэшированную базу данных /etc/login.conf.db:

# cap_mkdb /etc/login.conf

Мы не будем переопределять умолчальные значения директив <tt>anchor</tt> и <tt>table</tt>, поэтому файл authpf.conf оставляем пустым:

# echo -n > /etc/authpf/authpf.conf

Подготавливаем приветственное сообщение authpf.message (аналог /etc/motd):

# vi /etc/authpf/authpf.message
This service is for authorised VPN-clients only. Please play nice.

Создаем нового пользователя, который принадлежит классу authpf, входит в группу authpf и в качестве оболочки получает /usr/sbin/authpf:

# useradd -m -c 'authpf vpn user' -g authpf -L authpf \
-s /usr/sbin/authpf client1
# passwd client1

Рисуем правило файервола, разрешающее пользователю client1 доступ к серверу OpenVPN:

# mkdir -p /etc/authpf/users/client1

# vi /etc/authpf/users/client1/authpf.rules
pass in log quick on fxp0 inet proto udp from $user_ip to fxp0 \
port 1194 keep state

Теперь для подключения механизма якорей добавим следующие записи в [http://www.openbsd.org/cgi-bin/man.cgi?query=pf.conf&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html pf.conf(5)]:

# vi /etc/pf.conf
nat-anchor "authpf/*"
rdr-anchor "authpf/*"
binat-anchor "authpf/*"
...
pass in log on $ext_if inet proto tcp to fxp0 port ssh keep state
...
anchor "authpf/*"

И перезагрузим набор рулесетов файервола:

# pfctl -f /etc/pf.conf

На стороне клиента открываем любой ssh-клиент, например, Putty или SecureCRT, создаем новую сессию, указываем IP-адрес сервера и имя пользователя. Если все настроено правильно, после успешной авторизации правила файервола на сервере для этого пользователя изменятся, и он получит доступ к VPN-службе.

# f:\vpn\putty> plink.exe -pw mypassword client1@213.167.XX.YY
Hello client1. You are authenticated from host "77.41.XX.YY"
This service is for authorised VPN-clients only. Please play nice.

А чтобы постоянно не вводить пароль, можно настроить аутентификацию на базе публичного ключа.

== Эндшпиль ==

Эта статья включает полный набор пошаговых действий, необходимых для внедрения базового VPN-решения удаленного доступа, используя BSD-систему в качестве VPN-сервера и WinXP/Vista в качестве VPN-клиента. Развернув в 3-4 компаниях подобную конфигурацию, ты сможешь не с пустыми кредиткой и кошельком ехать в Египет греть пятки. Удачи.

[[Категория:Howto]]

Деликатное проникновение в частную сеть

2013-06-05T12:04:43Z

Nordwind: /* Золотые ключики и подарочные сертификаты */

:Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru]
 
Статья [http://www.xakep.ru/magazine/xa/110/156/1.asp опубликована] в февральском номере журнала Хакер за 2008 год. Автор оригинального текста: Andrey Matveev (andrey at openbsd dot ru).

== Введение ==

Когда речь заходит о необходимости предоставления авторизированному пользователю доступа к защищенным ресурсам частной сети, на ум сразу приходят примеры построения VPN на базе IPSec, PPTP, L2TP и SSL. Однако если требуется в кратчайшие сроки развернуть бесплатное, кроссплатформенное, полнофункциональное ПО с гибкими возможностями конфигурирования и относительно простой установкой, не требующей вмешательства в ядро ОС, то из всех доступных решений выбор невольно падает на OpenVPN.

== Поем дифирамбы OpenVPN ==

OpenVPN является реализацией технологии VPN с использованием протокола SSL/TLS. С его помощью можно поднять надежный, достаточно быстрый и в то же время защищенный от прослушивания и вмешательства злоумышленников криптотуннель поверх общедоступной сети, такой, как Интернет. В двух словах схему работы этого приложения можно описать следующим образом: любой сетевой трафик, посылаемый или принимаемый для сетевого адаптера, инкапсулируется в зашифрованный пакет и доставляется в другой конечный пункт туннеля OpenVPN, где данные расшифровываются и попадают в удаленную сеть.
К числу основных преимуществ применения OpenVPN стоит отнести:

* высокая переносимость между платформами – пакет работает на Windows 2000/XP/2003/Vista, Linux, Free/Net/OpenBSD, Mac OS X и Solaris;
* поддержка режимов маршрутизации (routed) и моста (bridged), другими словами, нам под силу туннелировать как IP-пакеты, так и Ethernet-фреймы;
* для транспорта можно использовать UDP/TCP;
* клиентские хосты могут иметь статические и динамические IP-адреса;
* туннели можно создавать поверх NAT;
* работа через межсетевые экраны, в которых реализован контроль состояния соединений (достигается за счет отправки через определенные промежутки времени echo-запросов);
* ассиметричное шифрование с использованием статических ключей и SSL/TLS сертификатов;
* встроенные меры безопасности для предотвращения DoS-атак и повторного проигрывания злоумышленником последовательности записанных пакетов;
* адаптивная компрессия передаваемых данных;
* способность "проталкивать" маршруты для клиента;
* использование всех механизмов шифрования, встроенных в библиотеку OpenSSL;
* работа в chroot-окружении;
* поддержка мультипоточной библиотеки pthread (положительно влияет на быстродействие при динамическом обмене SSL/TLS ключами).

Как видишь, список возможностей впечатляет, но в отличие от других SSL VPN, достоинством которых считается безклиентская установка (соединение SSL VPN устанавливается через браузер), для OpenVPN необходим специальный клиент (поговорим об этом ниже).

== Увертюра к основному действию ==

Предположим, одним прекрасным солнечным утром твое высокое начальство впечатлилось идеей создания виртуальной частной сети, и теперь перед тобой стоит задача поднять VPN-сервер для служащих, которым требуется работать с корпоративными ресурсами, находясь вне стен офиса (это могут быть надомные, командировочные сотрудники или просто фрилансеры).
Функции шлюза компании, выпускающего сотрудников в Интернет, выполняет компьютер с тремя сетевыми картами (213.167.XX.YY, 192.168.1.1, 192.168.2.1) под управлением… хотя это не так важно, настройки в поддерживаемых операционках будут отличаться минимально. В моем случае на сервере заказчика была установлена OpenBSD 3.9. Что касается корпоративной внутренней сети, то она состоит из двух участков: проводного (192.168.1.0/24) и беспроводного (192.168.2.0/24). После рекогносцировки на местности переходим к установке OpenVPN.

== Серверная инсталляция ==

OpenVPN без труда можно найти в любом репозитарии или дереве портов:

# cd /usr/ports/net/openvpn
# make install clean

В случае установки из исходных кодов в некоторых системах может понадобиться отключить поддержку реализации потоков выполнения и указать местоположение библиотек и заголовочных файлов <tt>lzo</tt>:

# ./configure --disable-pthread --with-lzo-lib=/usr/local/lib \
--with-lzoheaders=/usr/local/include
# make
# make install

Для проверки с помощью следующих команд можно посмотреть, какие дайджесты (применяются для аутентификации каждой получаемой UDP-датаграммы) и алгоритмы шифрования доступны:

# /usr/local/sbin/openvpn --show-digests
# /usr/local/sbin/openvpn --show-ciphers

Чтобы обеспечить дополнительный уровень защиты и избежать возможный ущерб при взломе, нужно дать указание демону OpenVPN работать с правами непривилегированного пользователя в chroot’ной среде — среде с измененным корневым каталогом. Первый шаг для этого — добавить в систему группу <tt>_openvpn</tt> и одноименного пользователя:

# groupadd -g 500 _openvpn
# useradd -u 500 -g 500 -c 'OpenVPN Server' -s /sbin/nologin \
-d /var/openvpn -m _openvpn

Проверяем правильность выполнения двух последних команд:

# grep 500 /etc/passwd
_openvpn:*:500:500:OpenVPN Server:/var/openvpn:/sbin/nologin

== Золотые ключики и подарочные сертификаты ==

Думаю, ни для кого не секрет, что сертификаты открытых ключей предоставляют удобный и надежный способ аутентификации пользователей, поэтому не будем сейчас тратить время на теоретическую часть и перейдем непосредственно к процедуре генерирования надлежащих сертификатов.
Создаем директорию, где будут лежать конфигурационные файлы, скрипты и сертификаты:

# mkdir -p /etc/openvpn/keys

Копируем комплект скриптов easy-rsa, предназначенный для упрощения создания сертификатов, которые предъявляются в процессе аутентификации для подтверждения валидности клиентов. Теперь о монстроидальных командах <tt>openssl</tt> можно забыть.

# cp -r /usr/local/share/examples/openvpn/easy-rsa /etc/openvpn

Далее следует экспортировать переменные KEY_*, они необходимы для работы build-* скриптов:

# cd /etc/openvpn/easy-rsa
# . ./vars

Инициализируем директорию /etc/openvpn/easy-rsa/keys:

# ./clean-all

Создаем корневой и серверный сертификаты:

# ./build-ca
# ./build-key-server server

Для создания файла параметров Диффи-Хэлмана, предназначенного для обеспечения более надежной защиты данных при установке соединения клиента с сервером, выполняем:

# ./build-dh

Снизить вероятность успешного проведения DoS-атаки на сервер OpenVPN можно за счет использования клиентом и сервером статического ключа HMAC (так называемый <tt>shared secret</tt>):

# /usr/local/sbin/openvpn --genkey --secret keys/ta.key

Перемещаем все созданные файлы в подкаталог keys и выставляем для них корректные права доступа:

# cd keys/
# mv ca.crt dh1024.pem server.crt server.key ta.key /etc/openvpn/keys
# chown -R root:wheel /etc/openvpn
# chmod 700 /etc/openvpn/keys
# chmod 644 /etc/openvpn/keys/{ca.crt,dh1024.pem,server.crt}
# chmod 600 /etc/openvpn/keys/{server.key,ta.key}

Процедура создания клиентских сертификатов практически аналогична соответствующей процедуре для сервера:

# ./build-key client1
# mkdir -p /home/vpn/client1
# mv client1.crt client1.key /home/vpn/client1
# cp /etc/openvpn/keys/{ca.crt,ta.key} /home/vpn/client1

Теперь подкаталог client1 следует перенести на винч или флешку «географически изолированного» сотрудника.

== Щепетильное конфигурирование ==

Конфигурация сервера OpenVPN хранится в файле /etc/openvpn/server.conf. Ниже приведен пример подобного конфига. Все опции детально прокомментированы, поэтому сложностей возникнуть не должно. При настройке старайся «не срезать углы» — за один шаг добавляй/изменяй что-то одно и сразу же тестируй. Все действия в server.conf желательно фиксировать в локальном cvs-репозитории, чтобы можно было быстро просмотреть историю изменений и вернуться к рабочей ревизии.

# vi /etc/openvpn/server.conf
; Работаем в режиме демона
daemon openvpn
; Указываем местоположение файла с уникальным идентификатором процесса сервера
; OpenVPN
writepid /var/openvpn/pid
; Определяем файл, содержащий список текущих клиентских соединений
status /var/openvpn/status 10
; Внешний IP-адрес нашего сервера
local 213.167.XX.YY
; Используемый порт
port 1194
; Для транспорта по умолчанию применяется протокол UDP. Это вполне резонный
; подход. Во-первых, благодаря меньшему размеру заголовков и отсутствию
; встроенной функции подтверждения доставки пакетов, производительность UDP
; значительно выше. А во-вторых, при использовании UDP общая надежность не
; снижается, так как OpenVPN шифрует исходные пакеты, обеспечивая проверку
; ошибок и повторную передачу. В связи с этим TCP рекомендуется применять
; только в тех случаях, когда UDP не работает, например, если брандмауэр
; блокирует весь UDP-трафик.
proto udp
; Выбираем тип виртуального устройства туннеля (tun, tap или null)
dev tun0
; Включаем компрессию передаваемых данных
comp-lzo
; Указываем абсолютные пути к созданным сертификатам и ключам
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
; Значение 0 следует использовать на сервере, 1 - на клиенте
tls-auth /etc/openvpn/keys/ta.key 0
; Для большинства сетей подойдет режим маршрутизатора (routed). Да, в этом
; случае широковещательный трафик отсутствует, соответственно, не будут работать
; некоторые протоколы, которые его используют, например NetBIOS поверх TCP. Но
; последнее нивелируется развертыванием WINS-сервера, либо подключением сетевых
; дисков/созданием ярлыков на расшаренные ресурсы
server 192.168.3.0 255.255.255.0
; Проталкиваем подключенным клиентам статические маршруты, чтобы они могли
; получить доступ к ресурсам проводной и беспроводной сети
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.2.0 255.255.255.0"
; Не позволяем соединению разорваться при простое
keepalive 10 120
; Алгоритмы, используемые для аутентификации и шифрования пакетов
auth SHA1
cipher AES-256-CBC
; Максимальное число одновременно подключенных VPN-пользователей
max-clients 10
; Задаем файл журналирования событий и уровень детализации журнала, отображаем
; не более 20 экземпляров одного сообщения (остальные отбрасываем)
log-append /var/log/openvpn.log
verb 3
mute 20
; Пользователь и группа, с правами которых работает демон
user _openvpn
group _openvpn
; Эти опции предотвращают доступ к некоторым ресурсам (например,
; tun-устройству) при перезапуске демона (рекомендуется применять только при
; снижении привилегий)
persist-key
persist-tun
; Сажаем демона в chroot-окружение
chroot /var/empty

Чтобы не вбивать директивы вручную, можно воспользоваться примером конфига, любезно предоставленным разработчиками:

# cp /usr/local/share/examples/openvpn/sample-config-files/server.conf /etc/openvpn

Поднимаем виртуальный интерфейс tun0:

# echo "up" > /etc/hostname.tun0
# sh /etc/netstart tun0

Запускаем сервер OpenVPN командой:

# /usr/local/sbin/openvpn --config /etc/openvpn/server.conf

Для автоматической загрузки OpenVPN достаточно прописать эту строчку в стартовый сценарий /etc/rc.local, например, так:

# vi /etc/rc.local
if [ -x /usr/local/sbin/openvpn ]; then
echo -n ' openvpn'; /usr/local/sbin/openvpn --config /etc/openvpn/server.conf
fi

Далее смотрим в логи, чтобы убедиться в успешной загрузке нашего демона:

# tail /var/log/openvpn.log
Sun Dec 2 15:31:37 2007 IFCONFIG POOL: base=192.168.3.4 size=62
Sun Dec 2 15:31:37 2007 Initialization Sequence Completed

Чтобы проверить состояние псевдоустройства туннелирования, можно воспользоваться утилитой <tt>ifconfig</tt>:

# ifconfig tun0
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500
groups: tun
inet 192.168.3.1 --> 192.168.3.2 netmask 0xffffffff

Для корректной работы сервера OpenVPN необходимо разрешить прохождение любого трафика через интерфейс OpenVPN, а также входящие подключения на внешний адрес сервера порт 1194/udp:

# vi /etc/pf.conf
pass quick on { lo tun0 $int_if } inet
pass in on $ext_if inet proto udp from any to $ext_if port 1194 \
keep state

Перезагружаем набор рулесетов файервола:

# pfctl -f /etc/pf.conf

== Инсталляция на стороне клиента ==

Итак, VPN-сервер работает и готов принимать подключения. Развертывание VPN-клиентов для VPN-подключений удаленного доступа состоит из двух действий: установка программы OpenVPN GUI и правка конфигурационного файла client*.ovpn.

C:\Program Files\OpenVPN\config\mycompany_client1.ovpn
; Работаем в режиме клиента
client
dev tun
; Указываем IP-адрес и порт VPN-сервера
remote 213.167.XX.YY 1194
proto udp
resolv-retry infinite
nobind
pull
comp-lzo
persist-key
persist-tun
verb 3
; Я предпочитаю хранить crt и key файлы на флешке
ca "f:\\vpn\\mycompany\\ca.crt"
cert "f:\\vpn\\mycompany\\client1.crt"
key "f:\\vpn\\mycompany\\client1.key"
tls-auth "f:\\vpn\\mycompany\\ta.key" 1
ns-cert-type server
; Нижеследующие алгоритмы должны совпадать с теми, что заданы на сервере
auth SHA1
cipher AES-256-CBC
; Без этих двух директив Vista-клиенты не смогут получать маршруты от сервера
; route-method exe
; route-delay 2

Теперь для подключения к VPN-серверу достаточно в трее щелкнуть правой кнопкой мыши на значке с красными мониторчиками, выбрать конфиг <tt>mycompany_client1</tt> и нажать Connect.

== Аутентификационный шлюз на базе pf и authpf ==

В BSD-системах, используя связку пакетного фильтра pf и авторизационного шелла authpf, можно контролировать доступ клиентов, подключающихся к VPN-службе и корпоративной сети. Схема работы такой конструкции довольно проста: пользователь логинится по ssh, и, в зависимости от введенных данных (имя и пароль), на сервере вступают в силу персональные правила файервола, в данном случае разрешающие прохождение UDP-пакетов к порту 1194.
Но прежде, чем производить настройку <tt>authpf</tt>, необходимо переопределить некоторые дефолтные значения переменных демона [http://www.openbsd.org/cgi-bin/man.cgi?query=sshd&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html sshd(8)]. Так мы усложним потенциальному злоумышленнику успешное проведение атаки с целью перехвата и подмены ssh-сессии.

# vi /etc/ssh/sshd_config
# Работаем с использованием протоколов IPv4 и ssh2
AddressFamily inet
Protocol 2
# Ожидаем подключения по всем доступным сетевым интерфейсам
ListenAddress 0.0.0.0
# Запрещаем регистрацию root'а и применение пустых паролей
PermitRootLogin no
PermitEmptyPasswords no
# За счет использования протокола ssh2 и этих двух опций усложняем проведение
# атак типа ARP- и IP-spoofing
ClientAliveInterval 15
ClientAliveCountMax 3
# Отключаем DNS-резолвинг
UseDNS no
# Определяем списки контроля доступом
AllowGroups wheel users authpf

Для того чтобы внесенные изменения вступили в силу, необходимо дать указание демону перечитать свой конфиг:

# kill -HUP `sed q /var/run/sshd.pid`

Authpf представляет собой псевдооболочку, которая назначается пользователю системы в качестве <tt>login shell</tt> (примечание: запись «/usr/sbin/authpf» в файл /etc/shells добавлять не следует). При авторизации пользователя по ssh к текущим правилам фильтра пакетов с помощью так называемых якорей <tt>(anchors)</tt> будут присоединены правила, указанные в файле /etc/authpf/authpf.rules, либо в /etc/authpf/users/$USER. В добавляемых правилах допускается использование зарезервированных макросов <tt>$user_id</tt> и <tt>$user_ip</tt>, за счет которых будет происходить автоматическая подстановка имени и IP-адреса подключившегося пользователя (значения макросов считываются из переменных окружения ssh автоматически).
В конец файла [http://www.openbsd.org/cgi-bin/man.cgi?query=login.conf&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html login.conf(5)] заносим сведения о новом классе <tt>authpf</tt>, пользователи которого в качестве стандартного шелла будут получать authpf:

# vi /etc/login.conf
authpf:\
:shell=/usr/sbin/authpf:\
:tc=default:

С помощью штатной утилиты [http://www.openbsd.org/cgi-bin/man.cgi?query=cap_mkdb&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html cap_mkdb(1)] обновляем хэшированную базу данных /etc/login.conf.db:

# cap_mkdb /etc/login.conf

Мы не будем переопределять умолчальные значения директив <tt>anchor</tt> и <tt>table</tt>, поэтому файл authpf.conf оставляем пустым:

# echo -n > /etc/authpf/authpf.conf

Подготавливаем приветственное сообщение authpf.message (аналог /etc/motd):

# vi /etc/authpf/authpf.message
This service is for authorised VPN-clients only. Please play nice.

Создаем нового пользователя, который принадлежит классу authpf, входит в группу authpf и в качестве оболочки получает /usr/sbin/authpf:

# useradd -m -c 'authpf vpn user' -g authpf -L authpf \
-s /usr/sbin/authpf client1
# passwd client1

Рисуем правило файервола, разрешающее пользователю client1 доступ к серверу OpenVPN:

# mkdir -p /etc/authpf/users/client1

# vi /etc/authpf/users/client1/authpf.rules
pass in log quick on fxp0 inet proto udp from $user_ip to fxp0 \
port 1194 keep state

Теперь для подключения механизма якорей добавим следующие записи в [http://www.openbsd.org/cgi-bin/man.cgi?query=pf.conf&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html pf.conf(5)]:

# vi /etc/pf.conf
nat-anchor "authpf/*"
rdr-anchor "authpf/*"
binat-anchor "authpf/*"
...
pass in log on $ext_if inet proto tcp to fxp0 port ssh keep state
...
anchor "authpf/*"

И перезагрузим набор рулесетов файервола:

# pfctl -f /etc/pf.conf

На стороне клиента открываем любой ssh-клиент, например, Putty или SecureCRT, создаем новую сессию, указываем IP-адрес сервера и имя пользователя. Если все настроено правильно, после успешной авторизации правила файервола на сервере для этого пользователя изменятся, и он получит доступ к VPN-службе.

# f:\vpn\putty> plink.exe -pw mypassword client1@213.167.XX.YY
Hello client1. You are authenticated from host "77.41.XX.YY"
This service is for authorised VPN-clients only. Please play nice.

А чтобы постоянно не вводить пароль, можно настроить аутентификацию на базе публичного ключа.

== Эндшпиль ==

Эта статья включает полный набор пошаговых действий, необходимых для внедрения базового VPN-решения удаленного доступа, используя BSD-систему в качестве VPN-сервера и WinXP/Vista в качестве VPN-клиента. Развернув в 3-4 компаниях подобную конфигурацию, ты сможешь не с пустыми кредиткой и кошельком ехать в Египет греть пятки. Удачи.

[[Категория:Howto]]

Деликатное проникновение в частную сеть

2013-06-05T12:03:00Z

Nordwind:

:Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru]
 
Статья [http://www.xakep.ru/magazine/xa/110/156/1.asp опубликована] в февральском номере журнала Хакер за 2008 год. Автор оригинального текста: Andrey Matveev (andrey at openbsd dot ru).

== Введение ==

Когда речь заходит о необходимости предоставления авторизированному пользователю доступа к защищенным ресурсам частной сети, на ум сразу приходят примеры построения VPN на базе IPSec, PPTP, L2TP и SSL. Однако если требуется в кратчайшие сроки развернуть бесплатное, кроссплатформенное, полнофункциональное ПО с гибкими возможностями конфигурирования и относительно простой установкой, не требующей вмешательства в ядро ОС, то из всех доступных решений выбор невольно падает на OpenVPN.

== Поем дифирамбы OpenVPN ==

OpenVPN является реализацией технологии VPN с использованием протокола SSL/TLS. С его помощью можно поднять надежный, достаточно быстрый и в то же время защищенный от прослушивания и вмешательства злоумышленников криптотуннель поверх общедоступной сети, такой, как Интернет. В двух словах схему работы этого приложения можно описать следующим образом: любой сетевой трафик, посылаемый или принимаемый для сетевого адаптера, инкапсулируется в зашифрованный пакет и доставляется в другой конечный пункт туннеля OpenVPN, где данные расшифровываются и попадают в удаленную сеть.
К числу основных преимуществ применения OpenVPN стоит отнести:

* высокая переносимость между платформами – пакет работает на Windows 2000/XP/2003/Vista, Linux, Free/Net/OpenBSD, Mac OS X и Solaris;
* поддержка режимов маршрутизации (routed) и моста (bridged), другими словами, нам под силу туннелировать как IP-пакеты, так и Ethernet-фреймы;
* для транспорта можно использовать UDP/TCP;
* клиентские хосты могут иметь статические и динамические IP-адреса;
* туннели можно создавать поверх NAT;
* работа через межсетевые экраны, в которых реализован контроль состояния соединений (достигается за счет отправки через определенные промежутки времени echo-запросов);
* ассиметричное шифрование с использованием статических ключей и SSL/TLS сертификатов;
* встроенные меры безопасности для предотвращения DoS-атак и повторного проигрывания злоумышленником последовательности записанных пакетов;
* адаптивная компрессия передаваемых данных;
* способность "проталкивать" маршруты для клиента;
* использование всех механизмов шифрования, встроенных в библиотеку OpenSSL;
* работа в chroot-окружении;
* поддержка мультипоточной библиотеки pthread (положительно влияет на быстродействие при динамическом обмене SSL/TLS ключами).

Как видишь, список возможностей впечатляет, но в отличие от других SSL VPN, достоинством которых считается безклиентская установка (соединение SSL VPN устанавливается через браузер), для OpenVPN необходим специальный клиент (поговорим об этом ниже).

== Увертюра к основному действию ==

Предположим, одним прекрасным солнечным утром твое высокое начальство впечатлилось идеей создания виртуальной частной сети, и теперь перед тобой стоит задача поднять VPN-сервер для служащих, которым требуется работать с корпоративными ресурсами, находясь вне стен офиса (это могут быть надомные, командировочные сотрудники или просто фрилансеры).
Функции шлюза компании, выпускающего сотрудников в Интернет, выполняет компьютер с тремя сетевыми картами (213.167.XX.YY, 192.168.1.1, 192.168.2.1) под управлением… хотя это не так важно, настройки в поддерживаемых операционках будут отличаться минимально. В моем случае на сервере заказчика была установлена OpenBSD 3.9. Что касается корпоративной внутренней сети, то она состоит из двух участков: проводного (192.168.1.0/24) и беспроводного (192.168.2.0/24). После рекогносцировки на местности переходим к установке OpenVPN.

== Серверная инсталляция ==

OpenVPN без труда можно найти в любом репозитарии или дереве портов:

# cd /usr/ports/net/openvpn
# make install clean

В случае установки из исходных кодов в некоторых системах может понадобиться отключить поддержку реализации потоков выполнения и указать местоположение библиотек и заголовочных файлов <tt>lzo</tt>:

# ./configure --disable-pthread --with-lzo-lib=/usr/local/lib \
--with-lzoheaders=/usr/local/include
# make
# make install

Для проверки с помощью следующих команд можно посмотреть, какие дайджесты (применяются для аутентификации каждой получаемой UDP-датаграммы) и алгоритмы шифрования доступны:

# /usr/local/sbin/openvpn --show-digests
# /usr/local/sbin/openvpn --show-ciphers

Чтобы обеспечить дополнительный уровень защиты и избежать возможный ущерб при взломе, нужно дать указание демону OpenVPN работать с правами непривилегированного пользователя в chroot’ной среде — среде с измененным корневым каталогом. Первый шаг для этого — добавить в систему группу <tt>_openvpn</tt> и одноименного пользователя:

# groupadd -g 500 _openvpn
# useradd -u 500 -g 500 -c 'OpenVPN Server' -s /sbin/nologin \
-d /var/openvpn -m _openvpn

Проверяем правильность выполнения двух последних команд:

# grep 500 /etc/passwd
_openvpn:*:500:500:OpenVPN Server:/var/openvpn:/sbin/nologin

== Золотые ключики и подарочные сертификаты ==

Думаю, ни для кого не секрет, что сертификаты открытых ключей предоставляют удобный и надежный способ аутентификации пользователей, поэтому не будем сейчас тратить время на теоретическую часть и перейдем непосредственно к процедуре генерирования надлежащих сертификатов.
Создаем директорию, где будут лежать конфигурационные файлы, скрипты и сертификаты:

# mkdir -p /etc/openvpn/keys

Копируем комплект скриптов easy-rsa, предназначенный для упрощения создания сертификатов, которые предъявляются в процессе аутентификации для подтверждения валидности клиентов. Теперь о монстроидальных командах openssl можно забыть.

# cp -r /usr/local/share/examples/openvpn/easy-rsa /etc/openvpn

Далее следует экспортировать переменные KEY_*, они необходимы для работы build-* скриптов:

# cd /etc/openvpn/easy-rsa
# . ./vars

Инициализируем директорию /etc/openvpn/easy-rsa/keys:

# ./clean-all

Создаем корневой и серверный сертификаты:

# ./build-ca
# ./build-key-server server

Для создания файла параметров Диффи-Хэлмана, предназначенного для обеспечения более надежной защиты данных при установке соединения клиента с сервером, выполняем:

# ./build-dh

Снизить вероятность успешного проведения DoS-атаки на сервер OpenVPN можно за счет использования клиентом и сервером статического ключа HMAC (так называемый shared secret):

# /usr/local/sbin/openvpn --genkey --secret keys/ta.key

Перемещаем все созданные файлы в подкаталог keys и выставляем для них корректные права доступа:

# cd keys/
# mv ca.crt dh1024.pem server.crt server.key ta.key /etc/openvpn/keys
# chown -R root:wheel /etc/openvpn
# chmod 700 /etc/openvpn/keys
# chmod 644 /etc/openvpn/keys/{ca.crt,dh1024.pem,server.crt}
# chmod 600 /etc/openvpn/keys/{server.key,ta.key}

Процедура создания клиентских сертификатов практически аналогична соответствующей процедуре для сервера:

# ./build-key client1
# mkdir -p /home/vpn/client1
# mv client1.crt client1.key /home/vpn/client1
# cp /etc/openvpn/keys/{ca.crt,ta.key} /home/vpn/client1

Теперь подкаталог client1 следует перенести на винч или флешку «географически изолированного» сотрудника.

== Щепетильное конфигурирование ==

Конфигурация сервера OpenVPN хранится в файле /etc/openvpn/server.conf. Ниже приведен пример подобного конфига. Все опции детально прокомментированы, поэтому сложностей возникнуть не должно. При настройке старайся «не срезать углы» — за один шаг добавляй/изменяй что-то одно и сразу же тестируй. Все действия в server.conf желательно фиксировать в локальном cvs-репозитории, чтобы можно было быстро просмотреть историю изменений и вернуться к рабочей ревизии.

# vi /etc/openvpn/server.conf
; Работаем в режиме демона
daemon openvpn
; Указываем местоположение файла с уникальным идентификатором процесса сервера
; OpenVPN
writepid /var/openvpn/pid
; Определяем файл, содержащий список текущих клиентских соединений
status /var/openvpn/status 10
; Внешний IP-адрес нашего сервера
local 213.167.XX.YY
; Используемый порт
port 1194
; Для транспорта по умолчанию применяется протокол UDP. Это вполне резонный
; подход. Во-первых, благодаря меньшему размеру заголовков и отсутствию
; встроенной функции подтверждения доставки пакетов, производительность UDP
; значительно выше. А во-вторых, при использовании UDP общая надежность не
; снижается, так как OpenVPN шифрует исходные пакеты, обеспечивая проверку
; ошибок и повторную передачу. В связи с этим TCP рекомендуется применять
; только в тех случаях, когда UDP не работает, например, если брандмауэр
; блокирует весь UDP-трафик.
proto udp
; Выбираем тип виртуального устройства туннеля (tun, tap или null)
dev tun0
; Включаем компрессию передаваемых данных
comp-lzo
; Указываем абсолютные пути к созданным сертификатам и ключам
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
; Значение 0 следует использовать на сервере, 1 - на клиенте
tls-auth /etc/openvpn/keys/ta.key 0
; Для большинства сетей подойдет режим маршрутизатора (routed). Да, в этом
; случае широковещательный трафик отсутствует, соответственно, не будут работать
; некоторые протоколы, которые его используют, например NetBIOS поверх TCP. Но
; последнее нивелируется развертыванием WINS-сервера, либо подключением сетевых
; дисков/созданием ярлыков на расшаренные ресурсы
server 192.168.3.0 255.255.255.0
; Проталкиваем подключенным клиентам статические маршруты, чтобы они могли
; получить доступ к ресурсам проводной и беспроводной сети
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.2.0 255.255.255.0"
; Не позволяем соединению разорваться при простое
keepalive 10 120
; Алгоритмы, используемые для аутентификации и шифрования пакетов
auth SHA1
cipher AES-256-CBC
; Максимальное число одновременно подключенных VPN-пользователей
max-clients 10
; Задаем файл журналирования событий и уровень детализации журнала, отображаем
; не более 20 экземпляров одного сообщения (остальные отбрасываем)
log-append /var/log/openvpn.log
verb 3
mute 20
; Пользователь и группа, с правами которых работает демон
user _openvpn
group _openvpn
; Эти опции предотвращают доступ к некоторым ресурсам (например,
; tun-устройству) при перезапуске демона (рекомендуется применять только при
; снижении привилегий)
persist-key
persist-tun
; Сажаем демона в chroot-окружение
chroot /var/empty

Чтобы не вбивать директивы вручную, можно воспользоваться примером конфига, любезно предоставленным разработчиками:

# cp /usr/local/share/examples/openvpn/sample-config-files/server.conf /etc/openvpn

Поднимаем виртуальный интерфейс tun0:

# echo "up" > /etc/hostname.tun0
# sh /etc/netstart tun0

Запускаем сервер OpenVPN командой:

# /usr/local/sbin/openvpn --config /etc/openvpn/server.conf

Для автоматической загрузки OpenVPN достаточно прописать эту строчку в стартовый сценарий /etc/rc.local, например, так:

# vi /etc/rc.local
if [ -x /usr/local/sbin/openvpn ]; then
echo -n ' openvpn'; /usr/local/sbin/openvpn --config /etc/openvpn/server.conf
fi

Далее смотрим в логи, чтобы убедиться в успешной загрузке нашего демона:

# tail /var/log/openvpn.log
Sun Dec 2 15:31:37 2007 IFCONFIG POOL: base=192.168.3.4 size=62
Sun Dec 2 15:31:37 2007 Initialization Sequence Completed

Чтобы проверить состояние псевдоустройства туннелирования, можно воспользоваться утилитой <tt>ifconfig</tt>:

# ifconfig tun0
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500
groups: tun
inet 192.168.3.1 --> 192.168.3.2 netmask 0xffffffff

Для корректной работы сервера OpenVPN необходимо разрешить прохождение любого трафика через интерфейс OpenVPN, а также входящие подключения на внешний адрес сервера порт 1194/udp:

# vi /etc/pf.conf
pass quick on { lo tun0 $int_if } inet
pass in on $ext_if inet proto udp from any to $ext_if port 1194 \
keep state

Перезагружаем набор рулесетов файервола:

# pfctl -f /etc/pf.conf

== Инсталляция на стороне клиента ==

Итак, VPN-сервер работает и готов принимать подключения. Развертывание VPN-клиентов для VPN-подключений удаленного доступа состоит из двух действий: установка программы OpenVPN GUI и правка конфигурационного файла client*.ovpn.

C:\Program Files\OpenVPN\config\mycompany_client1.ovpn
; Работаем в режиме клиента
client
dev tun
; Указываем IP-адрес и порт VPN-сервера
remote 213.167.XX.YY 1194
proto udp
resolv-retry infinite
nobind
pull
comp-lzo
persist-key
persist-tun
verb 3
; Я предпочитаю хранить crt и key файлы на флешке
ca "f:\\vpn\\mycompany\\ca.crt"
cert "f:\\vpn\\mycompany\\client1.crt"
key "f:\\vpn\\mycompany\\client1.key"
tls-auth "f:\\vpn\\mycompany\\ta.key" 1
ns-cert-type server
; Нижеследующие алгоритмы должны совпадать с теми, что заданы на сервере
auth SHA1
cipher AES-256-CBC
; Без этих двух директив Vista-клиенты не смогут получать маршруты от сервера
; route-method exe
; route-delay 2

Теперь для подключения к VPN-серверу достаточно в трее щелкнуть правой кнопкой мыши на значке с красными мониторчиками, выбрать конфиг <tt>mycompany_client1</tt> и нажать Connect.

== Аутентификационный шлюз на базе pf и authpf ==

В BSD-системах, используя связку пакетного фильтра pf и авторизационного шелла authpf, можно контролировать доступ клиентов, подключающихся к VPN-службе и корпоративной сети. Схема работы такой конструкции довольно проста: пользователь логинится по ssh, и, в зависимости от введенных данных (имя и пароль), на сервере вступают в силу персональные правила файервола, в данном случае разрешающие прохождение UDP-пакетов к порту 1194.
Но прежде, чем производить настройку <tt>authpf</tt>, необходимо переопределить некоторые дефолтные значения переменных демона [http://www.openbsd.org/cgi-bin/man.cgi?query=sshd&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html sshd(8)]. Так мы усложним потенциальному злоумышленнику успешное проведение атаки с целью перехвата и подмены ssh-сессии.

# vi /etc/ssh/sshd_config
# Работаем с использованием протоколов IPv4 и ssh2
AddressFamily inet
Protocol 2
# Ожидаем подключения по всем доступным сетевым интерфейсам
ListenAddress 0.0.0.0
# Запрещаем регистрацию root'а и применение пустых паролей
PermitRootLogin no
PermitEmptyPasswords no
# За счет использования протокола ssh2 и этих двух опций усложняем проведение
# атак типа ARP- и IP-spoofing
ClientAliveInterval 15
ClientAliveCountMax 3
# Отключаем DNS-резолвинг
UseDNS no
# Определяем списки контроля доступом
AllowGroups wheel users authpf

Для того чтобы внесенные изменения вступили в силу, необходимо дать указание демону перечитать свой конфиг:

# kill -HUP `sed q /var/run/sshd.pid`

Authpf представляет собой псевдооболочку, которая назначается пользователю системы в качестве <tt>login shell</tt> (примечание: запись «/usr/sbin/authpf» в файл /etc/shells добавлять не следует). При авторизации пользователя по ssh к текущим правилам фильтра пакетов с помощью так называемых якорей <tt>(anchors)</tt> будут присоединены правила, указанные в файле /etc/authpf/authpf.rules, либо в /etc/authpf/users/$USER. В добавляемых правилах допускается использование зарезервированных макросов <tt>$user_id</tt> и <tt>$user_ip</tt>, за счет которых будет происходить автоматическая подстановка имени и IP-адреса подключившегося пользователя (значения макросов считываются из переменных окружения ssh автоматически).
В конец файла [http://www.openbsd.org/cgi-bin/man.cgi?query=login.conf&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html login.conf(5)] заносим сведения о новом классе <tt>authpf</tt>, пользователи которого в качестве стандартного шелла будут получать authpf:

# vi /etc/login.conf
authpf:\
:shell=/usr/sbin/authpf:\
:tc=default:

С помощью штатной утилиты [http://www.openbsd.org/cgi-bin/man.cgi?query=cap_mkdb&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html cap_mkdb(1)] обновляем хэшированную базу данных /etc/login.conf.db:

# cap_mkdb /etc/login.conf

Мы не будем переопределять умолчальные значения директив <tt>anchor</tt> и <tt>table</tt>, поэтому файл authpf.conf оставляем пустым:

# echo -n > /etc/authpf/authpf.conf

Подготавливаем приветственное сообщение authpf.message (аналог /etc/motd):

# vi /etc/authpf/authpf.message
This service is for authorised VPN-clients only. Please play nice.

Создаем нового пользователя, который принадлежит классу authpf, входит в группу authpf и в качестве оболочки получает /usr/sbin/authpf:

# useradd -m -c 'authpf vpn user' -g authpf -L authpf \
-s /usr/sbin/authpf client1
# passwd client1

Рисуем правило файервола, разрешающее пользователю client1 доступ к серверу OpenVPN:

# mkdir -p /etc/authpf/users/client1

# vi /etc/authpf/users/client1/authpf.rules
pass in log quick on fxp0 inet proto udp from $user_ip to fxp0 \
port 1194 keep state

Теперь для подключения механизма якорей добавим следующие записи в [http://www.openbsd.org/cgi-bin/man.cgi?query=pf.conf&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html pf.conf(5)]:

# vi /etc/pf.conf
nat-anchor "authpf/*"
rdr-anchor "authpf/*"
binat-anchor "authpf/*"
...
pass in log on $ext_if inet proto tcp to fxp0 port ssh keep state
...
anchor "authpf/*"

И перезагрузим набор рулесетов файервола:

# pfctl -f /etc/pf.conf

На стороне клиента открываем любой ssh-клиент, например, Putty или SecureCRT, создаем новую сессию, указываем IP-адрес сервера и имя пользователя. Если все настроено правильно, после успешной авторизации правила файервола на сервере для этого пользователя изменятся, и он получит доступ к VPN-службе.

# f:\vpn\putty> plink.exe -pw mypassword client1@213.167.XX.YY
Hello client1. You are authenticated from host "77.41.XX.YY"
This service is for authorised VPN-clients only. Please play nice.

А чтобы постоянно не вводить пароль, можно настроить аутентификацию на базе публичного ключа.

== Эндшпиль ==

Эта статья включает полный набор пошаговых действий, необходимых для внедрения базового VPN-решения удаленного доступа, используя BSD-систему в качестве VPN-сервера и WinXP/Vista в качестве VPN-клиента. Развернув в 3-4 компаниях подобную конфигурацию, ты сможешь не с пустыми кредиткой и кошельком ехать в Египет греть пятки. Удачи.

[[Категория:Howto]]

Деликатное проникновение в частную сеть

2013-06-05T12:02:09Z

Nordwind: /* Серверная инсталляция */

:Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru]
 
Статья [http://www.xakep.ru/magazine/xa/110/156/1.asp опубликована] в февральском номере журнала Хакер за 2008 год. Автор оригинального текста: Andrey Matveev (andrey at openbsd dot ru).

== Введение ==

Когда речь заходит о необходимости предоставления авторизированному пользователю доступа к защищенным ресурсам частной сети, на ум сразу приходят примеры построения VPN на базе IPSec, PPTP, L2TP и SSL. Однако если требуется в кратчайшие сроки развернуть бесплатное, кроссплатформенное, полнофункциональное ПО с гибкими возможностями конфигурирования и относительно простой установкой, не требующей вмешательства в ядро ОС, то из всех доступных решений выбор невольно падает на OpenVPN.

== Поем дифирамбы OpenVPN ==

OpenVPN является реализацией технологии VPN с использованием протокола SSL/TLS. С его помощью можно поднять надежный, достаточно быстрый и в то же время защищенный от прослушивания и вмешательства злоумышленников криптотуннель поверх общедоступной сети, такой, как Интернет. В двух словах схему работы этого приложения можно описать следующим образом: любой сетевой трафик, посылаемый или принимаемый для сетевого адаптера, инкапсулируется в зашифрованный пакет и доставляется в другой конечный пункт туннеля OpenVPN, где данные расшифровываются и попадают в удаленную сеть.
К числу основных преимуществ применения OpenVPN стоит отнести:

* высокая переносимость между платформами – пакет работает на Windows 2000/XP/2003/Vista, Linux, Free/Net/OpenBSD, Mac OS X и Solaris;
* поддержка режимов маршрутизации (routed) и моста (bridged), другими словами, нам под силу туннелировать как IP-пакеты, так и Ethernet-фреймы;
* для транспорта можно использовать UDP/TCP;
* клиентские хосты могут иметь статические и динамические IP-адреса;
* туннели можно создавать поверх NAT;
* работа через межсетевые экраны, в которых реализован контроль состояния соединений (достигается за счет отправки через определенные промежутки времени echo-запросов);
* ассиметричное шифрование с использованием статических ключей и SSL/TLS сертификатов;
* встроенные меры безопасности для предотвращения DoS-атак и повторного проигрывания злоумышленником последовательности записанных пакетов;
* адаптивная компрессия передаваемых данных;
* способность "проталкивать" маршруты для клиента;
* использование всех механизмов шифрования, встроенных в библиотеку OpenSSL;
* работа в chroot-окружении;
* поддержка мультипоточной библиотеки pthread (положительно влияет на быстродействие при динамическом обмене SSL/TLS ключами).

Как видишь, список возможностей впечатляет, но в отличие от других SSL VPN, достоинством которых считается безклиентская установка (соединение SSL VPN устанавливается через браузер), для OpenVPN необходим специальный клиент (поговорим об этом ниже).

== Увертюра к основному действию ==

Предположим, одним прекрасным солнечным утром твое высокое начальство впечатлилось идеей создания виртуальной частной сети, и теперь перед тобой стоит задача поднять VPN-сервер для служащих, которым требуется работать с корпоративными ресурсами, находясь вне стен офиса (это могут быть надомные, командировочные сотрудники или просто фрилансеры).
Функции шлюза компании, выпускающего сотрудников в Интернет, выполняет компьютер с тремя сетевыми картами (213.167.XX.YY, 192.168.1.1, 192.168.2.1) под управлением… хотя это не так важно, настройки в поддерживаемых операционках будут отличаться минимально. В моем случае на сервере заказчика была установлена OpenBSD 3.9. Что касается корпоративной внутренней сети, то она состоит из двух участков: проводного (192.168.1.0/24) и беспроводного (192.168.2.0/24). После рекогносцировки на местности переходим к установке OpenVPN.

== Серверная инсталляция ==

OpenVPN без труда можно найти в любом репозитарии или дереве портов:

# cd /usr/ports/net/openvpn
# make install clean

В случае установки из исходных кодов в некоторых системах может понадобиться отключить поддержку реализации потоков выполнения и указать местоположение библиотек и заголовочных файлов <tt>lzo</tt>:

# ./configure --disable-pthread --with-lzo-lib=/usr/local/lib \
--with-lzoheaders=/usr/local/include
# make
# make install

Для проверки с помощью следующих команд можно посмотреть, какие дайджесты (применяются для аутентификации каждой получаемой UDP-датаграммы) и алгоритмы шифрования доступны:

# /usr/local/sbin/openvpn --show-digests
# /usr/local/sbin/openvpn --show-ciphers

Чтобы обеспечить дополнительный уровень защиты и избежать возможный ущерб при взломе, нужно дать указание демону OpenVPN работать с правами непривилегированного пользователя в chroot’ной среде — среде с измененным корневым каталогом. Первый шаг для этого — добавить в систему группу <tt>_openvpn</tt> и одноименного пользователя:

# groupadd -g 500 _openvpn
# useradd -u 500 -g 500 -c 'OpenVPN Server' -s /sbin/nologin \
-d /var/openvpn -m _openvpn

Проверяем правильность выполнения двух последних команд:

# grep 500 /etc/passwd
_openvpn:*:500:500:OpenVPN Server:/var/openvpn:/sbin/nologin

== Золотые ключики и подарочные сертификаты ==

Думаю, ни для кого не секрет, что сертификаты открытых ключей предоставляют удобный и надежный способ аутентификации пользователей, поэтому не будем сейчас тратить время на теоретическую часть и перейдем непосредственно к процедуре генерирования надлежащих сертификатов.
Создаем директорию, где будут лежать конфигурационные файлы, скрипты и сертификаты:

# mkdir -p /etc/openvpn/keys

Копируем комплект скриптов easy-rsa, предназначенный для упрощения создания сертификатов, которые предъявляются в процессе аутентификации для подтверждения валидности клиентов. Теперь о монстроидальных командах openssl можно забыть.

# cp -r /usr/local/share/examples/openvpn/easy-rsa /etc/openvpn

Далее следует экспортировать переменные KEY_*, они необходимы для работы build-* скриптов:

# cd /etc/openvpn/easy-rsa
# . ./vars

Инициализируем директорию /etc/openvpn/easy-rsa/keys:

# ./clean-all

Создаем корневой и серверный сертификаты:

# ./build-ca
# ./build-key-server server

Для создания файла параметров Диффи-Хэлмана, предназначенного для обеспечения более надежной защиты данных при установке соединения клиента с сервером, выполняем:

# ./build-dh

Снизить вероятность успешного проведения DoS-атаки на сервер OpenVPN можно за счет использования клиентом и сервером статического ключа HMAC (так называемый shared secret):

# /usr/local/sbin/openvpn --genkey --secret keys/ta.key

Перемещаем все созданные файлы в подкаталог keys и выставляем для них корректные права доступа:

# cd keys/
# mv ca.crt dh1024.pem server.crt server.key ta.key /etc/openvpn/keys
# chown -R root:wheel /etc/openvpn
# chmod 700 /etc/openvpn/keys
# chmod 644 /etc/openvpn/keys/{ca.crt,dh1024.pem,server.crt}
# chmod 600 /etc/openvpn/keys/{server.key,ta.key}

Процедура создания клиентских сертификатов практически аналогична соответствующей процедуре для сервера:

# ./build-key client1
# mkdir -p /home/vpn/client1
# mv client1.crt client1.key /home/vpn/client1
# cp /etc/openvpn/keys/{ca.crt,ta.key} /home/vpn/client1

Теперь подкаталог client1 следует перенести на винч или флешку «географически изолированного» сотрудника.

== Щепетильное конфигурирование ==

Конфигурация сервера OpenVPN хранится в файле /etc/openvpn/server.conf. Ниже приведен пример подобного конфига. Все опции детально прокомментированы, поэтому сложностей возникнуть не должно. При настройке старайся «не срезать углы» — за один шаг добавляй/изменяй что-то одно и сразу же тестируй. Все действия в server.conf желательно фиксировать в локальном cvs-репозитории, чтобы можно было быстро просмотреть историю изменений и вернуться к рабочей ревизии.

# vi /etc/openvpn/server.conf
; Работаем в режиме демона
daemon openvpn
; Указываем местоположение файла с уникальным идентификатором процесса сервера
; OpenVPN
writepid /var/openvpn/pid
; Определяем файл, содержащий список текущих клиентских соединений
status /var/openvpn/status 10
; Внешний IP-адрес нашего сервера
local 213.167.XX.YY
; Используемый порт
port 1194
; Для транспорта по умолчанию применяется протокол UDP. Это вполне резонный
; подход. Во-первых, благодаря меньшему размеру заголовков и отсутствию
; встроенной функции подтверждения доставки пакетов, производительность UDP
; значительно выше. А во-вторых, при использовании UDP общая надежность не
; снижается, так как OpenVPN шифрует исходные пакеты, обеспечивая проверку
; ошибок и повторную передачу. В связи с этим TCP рекомендуется применять
; только в тех случаях, когда UDP не работает, например, если брандмауэр
; блокирует весь UDP-трафик.
proto udp
; Выбираем тип виртуального устройства туннеля (tun, tap или null)
dev tun0
; Включаем компрессию передаваемых данных
comp-lzo
; Указываем абсолютные пути к созданным сертификатам и ключам
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
; Значение 0 следует использовать на сервере, 1 - на клиенте
tls-auth /etc/openvpn/keys/ta.key 0
; Для большинства сетей подойдет режим маршрутизатора (routed). Да, в этом
; случае широковещательный трафик отсутствует, соответственно, не будут работать
; некоторые протоколы, которые его используют, например NetBIOS поверх TCP. Но
; последнее нивелируется развертыванием WINS-сервера, либо подключением сетевых
; дисков/созданием ярлыков на расшаренные ресурсы
server 192.168.3.0 255.255.255.0
; Проталкиваем подключенным клиентам статические маршруты, чтобы они могли
; получить доступ к ресурсам проводной и беспроводной сети
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.2.0 255.255.255.0"
; Не позволяем соединению разорваться при простое
keepalive 10 120
; Алгоритмы, используемые для аутентификации и шифрования пакетов
auth SHA1
cipher AES-256-CBC
; Максимальное число одновременно подключенных VPN-пользователей
max-clients 10
; Задаем файл журналирования событий и уровень детализации журнала, отображаем
; не более 20 экземпляров одного сообщения (остальные отбрасываем)
log-append /var/log/openvpn.log
verb 3
mute 20
; Пользователь и группа, с правами которых работает демон
user _openvpn
group _openvpn
; Эти опции предотвращают доступ к некоторым ресурсам (например,
; tun-устройству) при перезапуске демона (рекомендуется применять только при
; снижении привилегий)
persist-key
persist-tun
; Сажаем демона в chroot-окружение
chroot /var/empty

Чтобы не вбивать директивы вручную, можно воспользоваться примером конфига, любезно предоставленным разработчиками:

# cp /usr/local/share/examples/openvpn/sample-config-files/server.conf /etc/openvpn

Поднимаем виртуальный интерфейс tun0:

# echo "up" > /etc/hostname.tun0
# sh /etc/netstart tun0

Запускаем сервер OpenVPN командой:

# /usr/local/sbin/openvpn --config /etc/openvpn/server.conf

Для автоматической загрузки OpenVPN достаточно прописать эту строчку в стартовый сценарий /etc/rc.local, например, так:

# vi /etc/rc.local
if [ -x /usr/local/sbin/openvpn ]; then
echo -n ' openvpn'; /usr/local/sbin/openvpn --config /etc/openvpn/server.conf
fi

Далее смотрим в логи, чтобы убедиться в успешной загрузке нашего демона:

# tail /var/log/openvpn.log
Sun Dec 2 15:31:37 2007 IFCONFIG POOL: base=192.168.3.4 size=62
Sun Dec 2 15:31:37 2007 Initialization Sequence Completed

Чтобы проверить состояние псевдоустройства туннелирования, можно воспользоваться утилитой <tt>ifconfig</tt>:

# ifconfig tun0
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500
groups: tun
inet 192.168.3.1 --> 192.168.3.2 netmask 0xffffffff

Для корректной работы сервера OpenVPN необходимо разрешить прохождение любого трафика через интерфейс OpenVPN, а также входящие подключения на внешний адрес сервера порт 1194/udp:

# vi /etc/pf.conf
pass quick on { lo tun0 $int_if } inet
pass in on $ext_if inet proto udp from any to $ext_if port 1194 \
keep state

Перезагружаем набор рулесетов файервола:

# pfctl -f /etc/pf.conf

== Инсталляция на стороне клиента ==

Итак, VPN-сервер работает и готов принимать подключения. Развертывание VPN-клиентов для VPN-подключений удаленного доступа состоит из двух действий: установка программы OpenVPN GUI и правка конфигурационного файла client*.ovpn.

C:\Program Files\OpenVPN\config\mycompany_client1.ovpn
; Работаем в режиме клиента
client
dev tun
; Указываем IP-адрес и порт VPN-сервера
remote 213.167.XX.YY 1194
proto udp
resolv-retry infinite
nobind
pull
comp-lzo
persist-key
persist-tun
verb 3
; Я предпочитаю хранить crt и key файлы на флешке
ca "f:\\vpn\\mycompany\\ca.crt"
cert "f:\\vpn\\mycompany\\client1.crt"
key "f:\\vpn\\mycompany\\client1.key"
tls-auth "f:\\vpn\\mycompany\\ta.key" 1
ns-cert-type server
; Нижеследующие алгоритмы должны совпадать с теми, что заданы на сервере
auth SHA1
cipher AES-256-CBC
; Без этих двух директив Vista-клиенты не смогут получать маршруты от сервера
; route-method exe
; route-delay 2

Теперь для подключения к VPN-серверу достаточно в трее щелкнуть правой кнопкой мыши на значке с красными мониторчиками, выбрать конфиг <tt>mycompany_client1</tt> и нажать Connect.

== Аутентификационный шлюз на базе pf и authpf ==

В BSD-системах, используя связку пакетного фильтра pf и авторизационного шелла authpf, можно контролировать доступ клиентов, подключающихся к VPN-службе и корпоративной сети. Схема работы такой конструкции довольно проста: пользователь логинится по ssh, и, в зависимости от введенных данных (имя и пароль), на сервере вступают в силу персональные правила файервола, в данном случае разрешающие прохождение UDP-пакетов к порту 1194.
Но прежде, чем производить настройку <tt>authpf</tt>, необходимо переопределить некоторые дефолтные значения переменных демона [http://www.openbsd.org/cgi-bin/man.cgi?query=sshd&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html sshd(8)]. Так мы усложним потенциальному злоумышленнику успешное проведение атаки с целью перехвата и подмены ssh-сессии.

# vi /etc/ssh/sshd_config
# Работаем с использованием протоколов IPv4 и ssh2
AddressFamily inet
Protocol 2
# Ожидаем подключения по всем доступным сетевым интерфейсам
ListenAddress 0.0.0.0
# Запрещаем регистрацию root'а и применение пустых паролей
PermitRootLogin no
PermitEmptyPasswords no
# За счет использования протокола ssh2 и этих двух опций усложняем проведение
# атак типа ARP- и IP-spoofing
ClientAliveInterval 15
ClientAliveCountMax 3
# Отключаем DNS-резолвинг
UseDNS no
# Определяем списки контроля доступом
AllowGroups wheel users authpf

Для того чтобы внесенные изменения вступили в силу, необходимо дать указание демону перечитать свой конфиг:

# kill -HUP `sed q /var/run/sshd.pid`

Authpf представляет собой псевдооболочку, которая назначается пользователю системы в качестве <tt>login shell</tt> (примечание: запись «/usr/sbin/authpf» в файл /etc/shells добавлять не следует). При авторизации пользователя по ssh к текущим правилам фильтра пакетов с помощью так называемых якорей <tt>(anchors)</tt> будут присоединены правила, указанные в файле /etc/authpf/authpf.rules, либо в /etc/authpf/users/$USER. В добавляемых правилах допускается использование зарезервированных макросов <tt>$user_id</tt> и <tt>$user_ip</tt>, за счет которых будет происходить автоматическая подстановка имени и IP-адреса подключившегося пользователя (значения макросов считываются из переменных окружения ssh автоматически).
В конец файла [http://www.openbsd.org/cgi-bin/man.cgi?query=login.conf&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html login.conf(5)] заносим сведения о новом классе <tt>authpf</tt>, пользователи которого в качестве стандартного шелла будут получать authpf:

# vi /etc/login.conf
authpf:\
:shell=/usr/sbin/authpf:\
:tc=default:

С помощью штатной утилиты [http://www.openbsd.org/cgi-bin/man.cgi?query=cap_mkdb&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html cap_mkdb(1)] обновляем хэшированную базу данных /etc/login.conf.db:

# cap_mkdb /etc/login.conf

Мы не будем переопределять умолчальные значения директив <tt>anchor</tt> и <tt>table</tt>, поэтому файл authpf.conf оставляем пустым:

# echo -n > /etc/authpf/authpf.conf

Подготавливаем приветственное сообщение authpf.message (аналог /etc/motd):

# vi /etc/authpf/authpf.message
This service is for authorised VPN-clients only. Please play nice.

Создаем нового пользователя, который принадлежит классу authpf, входит в группу authpf и в качестве оболочки получает /usr/sbin/authpf:

# useradd -m -c 'authpf vpn user' -g authpf -L authpf \
-s /usr/sbin/authpf client1
# passwd client1

Рисуем правило файервола, разрешающее пользователю client1 доступ к серверу OpenVPN:

# mkdir -p /etc/authpf/users/client1

# vi /etc/authpf/users/client1/authpf.rules
pass in log quick on fxp0 inet proto udp from $user_ip to fxp0 \
port 1194 keep state

Теперь для подключения механизма якорей добавим следующие записи в [http://www.openbsd.org/cgi-bin/man.cgi?query=pf.conf&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html pf.conf(5)]:

# vi /etc/pf.conf
nat-anchor "authpf/*"
rdr-anchor "authpf/*"
binat-anchor "authpf/*"
...
pass in log on $ext_if inet proto tcp to fxp0 port ssh keep state
...
anchor "authpf/*"

И перезагрузим набор рулесетов файервола:

# pfctl -f /etc/pf.conf

На стороне клиента открываем любой ssh-клиент, например, Putty или SecureCRT, создаем новую сессию, указываем IP-адрес сервера и имя пользователя. Если все настроено правильно, после успешной авторизации правила файервола на сервере для этого пользователя изменятся, и он получит доступ к VPN-службе.

# f:\vpn\putty> plink.exe -pw mypassword client1@213.167.XX.YY
Hello client1. You are authenticated from host "77.41.XX.YY"
This service is for authorised VPN-clients only. Please play nice.

А чтобы постоянно не вводить пароль, можно настроить аутентификацию на базе публичного ключа.

== Эндшпиль ==

Эта статья включает полный набор пошаговых действий, необходимых для внедрения базового VPN-решения удаленного доступа, используя BSD-систему в качестве VPN-сервера и WinXP/Vista в качестве VPN-клиента. Развернув в 3-4 компаниях подобную конфигурацию, ты сможешь не с пустыми кредиткой и кошельком ехать в Египет греть пятки. Удачи.

Деликатное проникновение в частную сеть

2013-06-05T12:01:04Z

Nordwind: /* Серверная инсталляция */

:Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru]
 
Статья [http://www.xakep.ru/magazine/xa/110/156/1.asp опубликована] в февральском номере журнала Хакер за 2008 год. Автор оригинального текста: Andrey Matveev (andrey at openbsd dot ru).

== Введение ==

Когда речь заходит о необходимости предоставления авторизированному пользователю доступа к защищенным ресурсам частной сети, на ум сразу приходят примеры построения VPN на базе IPSec, PPTP, L2TP и SSL. Однако если требуется в кратчайшие сроки развернуть бесплатное, кроссплатформенное, полнофункциональное ПО с гибкими возможностями конфигурирования и относительно простой установкой, не требующей вмешательства в ядро ОС, то из всех доступных решений выбор невольно падает на OpenVPN.

== Поем дифирамбы OpenVPN ==

OpenVPN является реализацией технологии VPN с использованием протокола SSL/TLS. С его помощью можно поднять надежный, достаточно быстрый и в то же время защищенный от прослушивания и вмешательства злоумышленников криптотуннель поверх общедоступной сети, такой, как Интернет. В двух словах схему работы этого приложения можно описать следующим образом: любой сетевой трафик, посылаемый или принимаемый для сетевого адаптера, инкапсулируется в зашифрованный пакет и доставляется в другой конечный пункт туннеля OpenVPN, где данные расшифровываются и попадают в удаленную сеть.
К числу основных преимуществ применения OpenVPN стоит отнести:

* высокая переносимость между платформами – пакет работает на Windows 2000/XP/2003/Vista, Linux, Free/Net/OpenBSD, Mac OS X и Solaris;
* поддержка режимов маршрутизации (routed) и моста (bridged), другими словами, нам под силу туннелировать как IP-пакеты, так и Ethernet-фреймы;
* для транспорта можно использовать UDP/TCP;
* клиентские хосты могут иметь статические и динамические IP-адреса;
* туннели можно создавать поверх NAT;
* работа через межсетевые экраны, в которых реализован контроль состояния соединений (достигается за счет отправки через определенные промежутки времени echo-запросов);
* ассиметричное шифрование с использованием статических ключей и SSL/TLS сертификатов;
* встроенные меры безопасности для предотвращения DoS-атак и повторного проигрывания злоумышленником последовательности записанных пакетов;
* адаптивная компрессия передаваемых данных;
* способность "проталкивать" маршруты для клиента;
* использование всех механизмов шифрования, встроенных в библиотеку OpenSSL;
* работа в chroot-окружении;
* поддержка мультипоточной библиотеки pthread (положительно влияет на быстродействие при динамическом обмене SSL/TLS ключами).

Как видишь, список возможностей впечатляет, но в отличие от других SSL VPN, достоинством которых считается безклиентская установка (соединение SSL VPN устанавливается через браузер), для OpenVPN необходим специальный клиент (поговорим об этом ниже).

== Увертюра к основному действию ==

Предположим, одним прекрасным солнечным утром твое высокое начальство впечатлилось идеей создания виртуальной частной сети, и теперь перед тобой стоит задача поднять VPN-сервер для служащих, которым требуется работать с корпоративными ресурсами, находясь вне стен офиса (это могут быть надомные, командировочные сотрудники или просто фрилансеры).
Функции шлюза компании, выпускающего сотрудников в Интернет, выполняет компьютер с тремя сетевыми картами (213.167.XX.YY, 192.168.1.1, 192.168.2.1) под управлением… хотя это не так важно, настройки в поддерживаемых операционках будут отличаться минимально. В моем случае на сервере заказчика была установлена OpenBSD 3.9. Что касается корпоративной внутренней сети, то она состоит из двух участков: проводного (192.168.1.0/24) и беспроводного (192.168.2.0/24). После рекогносцировки на местности переходим к установке OpenVPN.

== Серверная инсталляция ==

OpenVPN без труда можно найти в любом репозитарии или дереве портов:

# cd /usr/ports/net/openvpn
# make install clean

В случае установки из исходных кодов в некоторых системах может понадобиться отключить поддержку реализации потоков выполнения и указать местоположение библиотек и заголовочных файлов <tt>lzo</tt>:

# ./configure --disable-pthread --with-lzo-lib=/usr/local/lib \
--with-lzoheaders=/usr/local/include
# make
# make install

Для проверки с помощью следующих команд можно посмотреть, какие дайджесты (применяются для аутентификации каждой получаемой UDP-датаграммы) и алгоритмы шифрования доступны:

# /usr/local/sbin/openvpn --show-digests
# /usr/local/sbin/openvpn --show-ciphers

Чтобы обеспечить дополнительный уровень защиты и избежать возможный ущерб при взломе, нужно дать указание демону OpenVPN работать с правами непривилегированного пользователя в chroot’ной среде — среде с измененным корневым каталогом. Первый шаг для этого — добавить в систему группу _openvpn и одноименного пользователя:

# groupadd -g 500 _openvpn
# useradd -u 500 -g 500 -c 'OpenVPN Server' -s /sbin/nologin \
-d /var/openvpn -m _openvpn

Проверяем правильность выполнения двух последних команд:

# grep 500 /etc/passwd
_openvpn:*:500:500:OpenVPN Server:/var/openvpn:/sbin/nologin

== Золотые ключики и подарочные сертификаты ==

Думаю, ни для кого не секрет, что сертификаты открытых ключей предоставляют удобный и надежный способ аутентификации пользователей, поэтому не будем сейчас тратить время на теоретическую часть и перейдем непосредственно к процедуре генерирования надлежащих сертификатов.
Создаем директорию, где будут лежать конфигурационные файлы, скрипты и сертификаты:

# mkdir -p /etc/openvpn/keys

Копируем комплект скриптов easy-rsa, предназначенный для упрощения создания сертификатов, которые предъявляются в процессе аутентификации для подтверждения валидности клиентов. Теперь о монстроидальных командах openssl можно забыть.

# cp -r /usr/local/share/examples/openvpn/easy-rsa /etc/openvpn

Далее следует экспортировать переменные KEY_*, они необходимы для работы build-* скриптов:

# cd /etc/openvpn/easy-rsa
# . ./vars

Инициализируем директорию /etc/openvpn/easy-rsa/keys:

# ./clean-all

Создаем корневой и серверный сертификаты:

# ./build-ca
# ./build-key-server server

Для создания файла параметров Диффи-Хэлмана, предназначенного для обеспечения более надежной защиты данных при установке соединения клиента с сервером, выполняем:

# ./build-dh

Снизить вероятность успешного проведения DoS-атаки на сервер OpenVPN можно за счет использования клиентом и сервером статического ключа HMAC (так называемый shared secret):

# /usr/local/sbin/openvpn --genkey --secret keys/ta.key

Перемещаем все созданные файлы в подкаталог keys и выставляем для них корректные права доступа:

# cd keys/
# mv ca.crt dh1024.pem server.crt server.key ta.key /etc/openvpn/keys
# chown -R root:wheel /etc/openvpn
# chmod 700 /etc/openvpn/keys
# chmod 644 /etc/openvpn/keys/{ca.crt,dh1024.pem,server.crt}
# chmod 600 /etc/openvpn/keys/{server.key,ta.key}

Процедура создания клиентских сертификатов практически аналогична соответствующей процедуре для сервера:

# ./build-key client1
# mkdir -p /home/vpn/client1
# mv client1.crt client1.key /home/vpn/client1
# cp /etc/openvpn/keys/{ca.crt,ta.key} /home/vpn/client1

Теперь подкаталог client1 следует перенести на винч или флешку «географически изолированного» сотрудника.

== Щепетильное конфигурирование ==

Конфигурация сервера OpenVPN хранится в файле /etc/openvpn/server.conf. Ниже приведен пример подобного конфига. Все опции детально прокомментированы, поэтому сложностей возникнуть не должно. При настройке старайся «не срезать углы» — за один шаг добавляй/изменяй что-то одно и сразу же тестируй. Все действия в server.conf желательно фиксировать в локальном cvs-репозитории, чтобы можно было быстро просмотреть историю изменений и вернуться к рабочей ревизии.

# vi /etc/openvpn/server.conf
; Работаем в режиме демона
daemon openvpn
; Указываем местоположение файла с уникальным идентификатором процесса сервера
; OpenVPN
writepid /var/openvpn/pid
; Определяем файл, содержащий список текущих клиентских соединений
status /var/openvpn/status 10
; Внешний IP-адрес нашего сервера
local 213.167.XX.YY
; Используемый порт
port 1194
; Для транспорта по умолчанию применяется протокол UDP. Это вполне резонный
; подход. Во-первых, благодаря меньшему размеру заголовков и отсутствию
; встроенной функции подтверждения доставки пакетов, производительность UDP
; значительно выше. А во-вторых, при использовании UDP общая надежность не
; снижается, так как OpenVPN шифрует исходные пакеты, обеспечивая проверку
; ошибок и повторную передачу. В связи с этим TCP рекомендуется применять
; только в тех случаях, когда UDP не работает, например, если брандмауэр
; блокирует весь UDP-трафик.
proto udp
; Выбираем тип виртуального устройства туннеля (tun, tap или null)
dev tun0
; Включаем компрессию передаваемых данных
comp-lzo
; Указываем абсолютные пути к созданным сертификатам и ключам
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
; Значение 0 следует использовать на сервере, 1 - на клиенте
tls-auth /etc/openvpn/keys/ta.key 0
; Для большинства сетей подойдет режим маршрутизатора (routed). Да, в этом
; случае широковещательный трафик отсутствует, соответственно, не будут работать
; некоторые протоколы, которые его используют, например NetBIOS поверх TCP. Но
; последнее нивелируется развертыванием WINS-сервера, либо подключением сетевых
; дисков/созданием ярлыков на расшаренные ресурсы
server 192.168.3.0 255.255.255.0
; Проталкиваем подключенным клиентам статические маршруты, чтобы они могли
; получить доступ к ресурсам проводной и беспроводной сети
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.2.0 255.255.255.0"
; Не позволяем соединению разорваться при простое
keepalive 10 120
; Алгоритмы, используемые для аутентификации и шифрования пакетов
auth SHA1
cipher AES-256-CBC
; Максимальное число одновременно подключенных VPN-пользователей
max-clients 10
; Задаем файл журналирования событий и уровень детализации журнала, отображаем
; не более 20 экземпляров одного сообщения (остальные отбрасываем)
log-append /var/log/openvpn.log
verb 3
mute 20
; Пользователь и группа, с правами которых работает демон
user _openvpn
group _openvpn
; Эти опции предотвращают доступ к некоторым ресурсам (например,
; tun-устройству) при перезапуске демона (рекомендуется применять только при
; снижении привилегий)
persist-key
persist-tun
; Сажаем демона в chroot-окружение
chroot /var/empty

Чтобы не вбивать директивы вручную, можно воспользоваться примером конфига, любезно предоставленным разработчиками:

# cp /usr/local/share/examples/openvpn/sample-config-files/server.conf /etc/openvpn

Поднимаем виртуальный интерфейс tun0:

# echo "up" > /etc/hostname.tun0
# sh /etc/netstart tun0

Запускаем сервер OpenVPN командой:

# /usr/local/sbin/openvpn --config /etc/openvpn/server.conf

Для автоматической загрузки OpenVPN достаточно прописать эту строчку в стартовый сценарий /etc/rc.local, например, так:

# vi /etc/rc.local
if [ -x /usr/local/sbin/openvpn ]; then
echo -n ' openvpn'; /usr/local/sbin/openvpn --config /etc/openvpn/server.conf
fi

Далее смотрим в логи, чтобы убедиться в успешной загрузке нашего демона:

# tail /var/log/openvpn.log
Sun Dec 2 15:31:37 2007 IFCONFIG POOL: base=192.168.3.4 size=62
Sun Dec 2 15:31:37 2007 Initialization Sequence Completed

Чтобы проверить состояние псевдоустройства туннелирования, можно воспользоваться утилитой <tt>ifconfig</tt>:

# ifconfig tun0
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500
groups: tun
inet 192.168.3.1 --> 192.168.3.2 netmask 0xffffffff

Для корректной работы сервера OpenVPN необходимо разрешить прохождение любого трафика через интерфейс OpenVPN, а также входящие подключения на внешний адрес сервера порт 1194/udp:

# vi /etc/pf.conf
pass quick on { lo tun0 $int_if } inet
pass in on $ext_if inet proto udp from any to $ext_if port 1194 \
keep state

Перезагружаем набор рулесетов файервола:

# pfctl -f /etc/pf.conf

== Инсталляция на стороне клиента ==

Итак, VPN-сервер работает и готов принимать подключения. Развертывание VPN-клиентов для VPN-подключений удаленного доступа состоит из двух действий: установка программы OpenVPN GUI и правка конфигурационного файла client*.ovpn.

C:\Program Files\OpenVPN\config\mycompany_client1.ovpn
; Работаем в режиме клиента
client
dev tun
; Указываем IP-адрес и порт VPN-сервера
remote 213.167.XX.YY 1194
proto udp
resolv-retry infinite
nobind
pull
comp-lzo
persist-key
persist-tun
verb 3
; Я предпочитаю хранить crt и key файлы на флешке
ca "f:\\vpn\\mycompany\\ca.crt"
cert "f:\\vpn\\mycompany\\client1.crt"
key "f:\\vpn\\mycompany\\client1.key"
tls-auth "f:\\vpn\\mycompany\\ta.key" 1
ns-cert-type server
; Нижеследующие алгоритмы должны совпадать с теми, что заданы на сервере
auth SHA1
cipher AES-256-CBC
; Без этих двух директив Vista-клиенты не смогут получать маршруты от сервера
; route-method exe
; route-delay 2

Теперь для подключения к VPN-серверу достаточно в трее щелкнуть правой кнопкой мыши на значке с красными мониторчиками, выбрать конфиг <tt>mycompany_client1</tt> и нажать Connect.

== Аутентификационный шлюз на базе pf и authpf ==

В BSD-системах, используя связку пакетного фильтра pf и авторизационного шелла authpf, можно контролировать доступ клиентов, подключающихся к VPN-службе и корпоративной сети. Схема работы такой конструкции довольно проста: пользователь логинится по ssh, и, в зависимости от введенных данных (имя и пароль), на сервере вступают в силу персональные правила файервола, в данном случае разрешающие прохождение UDP-пакетов к порту 1194.
Но прежде, чем производить настройку <tt>authpf</tt>, необходимо переопределить некоторые дефолтные значения переменных демона [http://www.openbsd.org/cgi-bin/man.cgi?query=sshd&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html sshd(8)]. Так мы усложним потенциальному злоумышленнику успешное проведение атаки с целью перехвата и подмены ssh-сессии.

# vi /etc/ssh/sshd_config
# Работаем с использованием протоколов IPv4 и ssh2
AddressFamily inet
Protocol 2
# Ожидаем подключения по всем доступным сетевым интерфейсам
ListenAddress 0.0.0.0
# Запрещаем регистрацию root'а и применение пустых паролей
PermitRootLogin no
PermitEmptyPasswords no
# За счет использования протокола ssh2 и этих двух опций усложняем проведение
# атак типа ARP- и IP-spoofing
ClientAliveInterval 15
ClientAliveCountMax 3
# Отключаем DNS-резолвинг
UseDNS no
# Определяем списки контроля доступом
AllowGroups wheel users authpf

Для того чтобы внесенные изменения вступили в силу, необходимо дать указание демону перечитать свой конфиг:

# kill -HUP `sed q /var/run/sshd.pid`

Authpf представляет собой псевдооболочку, которая назначается пользователю системы в качестве <tt>login shell</tt> (примечание: запись «/usr/sbin/authpf» в файл /etc/shells добавлять не следует). При авторизации пользователя по ssh к текущим правилам фильтра пакетов с помощью так называемых якорей <tt>(anchors)</tt> будут присоединены правила, указанные в файле /etc/authpf/authpf.rules, либо в /etc/authpf/users/$USER. В добавляемых правилах допускается использование зарезервированных макросов <tt>$user_id</tt> и <tt>$user_ip</tt>, за счет которых будет происходить автоматическая подстановка имени и IP-адреса подключившегося пользователя (значения макросов считываются из переменных окружения ssh автоматически).
В конец файла [http://www.openbsd.org/cgi-bin/man.cgi?query=login.conf&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html login.conf(5)] заносим сведения о новом классе <tt>authpf</tt>, пользователи которого в качестве стандартного шелла будут получать authpf:

# vi /etc/login.conf
authpf:\
:shell=/usr/sbin/authpf:\
:tc=default:

С помощью штатной утилиты [http://www.openbsd.org/cgi-bin/man.cgi?query=cap_mkdb&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html cap_mkdb(1)] обновляем хэшированную базу данных /etc/login.conf.db:

# cap_mkdb /etc/login.conf

Мы не будем переопределять умолчальные значения директив <tt>anchor</tt> и <tt>table</tt>, поэтому файл authpf.conf оставляем пустым:

# echo -n > /etc/authpf/authpf.conf

Подготавливаем приветственное сообщение authpf.message (аналог /etc/motd):

# vi /etc/authpf/authpf.message
This service is for authorised VPN-clients only. Please play nice.

Создаем нового пользователя, который принадлежит классу authpf, входит в группу authpf и в качестве оболочки получает /usr/sbin/authpf:

# useradd -m -c 'authpf vpn user' -g authpf -L authpf \
-s /usr/sbin/authpf client1
# passwd client1

Рисуем правило файервола, разрешающее пользователю client1 доступ к серверу OpenVPN:

# mkdir -p /etc/authpf/users/client1

# vi /etc/authpf/users/client1/authpf.rules
pass in log quick on fxp0 inet proto udp from $user_ip to fxp0 \
port 1194 keep state

Теперь для подключения механизма якорей добавим следующие записи в [http://www.openbsd.org/cgi-bin/man.cgi?query=pf.conf&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html pf.conf(5)]:

# vi /etc/pf.conf
nat-anchor "authpf/*"
rdr-anchor "authpf/*"
binat-anchor "authpf/*"
...
pass in log on $ext_if inet proto tcp to fxp0 port ssh keep state
...
anchor "authpf/*"

И перезагрузим набор рулесетов файервола:

# pfctl -f /etc/pf.conf

На стороне клиента открываем любой ssh-клиент, например, Putty или SecureCRT, создаем новую сессию, указываем IP-адрес сервера и имя пользователя. Если все настроено правильно, после успешной авторизации правила файервола на сервере для этого пользователя изменятся, и он получит доступ к VPN-службе.

# f:\vpn\putty> plink.exe -pw mypassword client1@213.167.XX.YY
Hello client1. You are authenticated from host "77.41.XX.YY"
This service is for authorised VPN-clients only. Please play nice.

А чтобы постоянно не вводить пароль, можно настроить аутентификацию на базе публичного ключа.

== Эндшпиль ==

Эта статья включает полный набор пошаговых действий, необходимых для внедрения базового VPN-решения удаленного доступа, используя BSD-систему в качестве VPN-сервера и WinXP/Vista в качестве VPN-клиента. Развернув в 3-4 компаниях подобную конфигурацию, ты сможешь не с пустыми кредиткой и кошельком ехать в Египет греть пятки. Удачи.

Деликатное проникновение в частную сеть

2013-06-05T11:59:26Z

Nordwind:

:Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru]
 
Статья [http://www.xakep.ru/magazine/xa/110/156/1.asp опубликована] в февральском номере журнала Хакер за 2008 год. Автор оригинального текста: Andrey Matveev (andrey at openbsd dot ru).

== Введение ==

Когда речь заходит о необходимости предоставления авторизированному пользователю доступа к защищенным ресурсам частной сети, на ум сразу приходят примеры построения VPN на базе IPSec, PPTP, L2TP и SSL. Однако если требуется в кратчайшие сроки развернуть бесплатное, кроссплатформенное, полнофункциональное ПО с гибкими возможностями конфигурирования и относительно простой установкой, не требующей вмешательства в ядро ОС, то из всех доступных решений выбор невольно падает на OpenVPN.

== Поем дифирамбы OpenVPN ==

OpenVPN является реализацией технологии VPN с использованием протокола SSL/TLS. С его помощью можно поднять надежный, достаточно быстрый и в то же время защищенный от прослушивания и вмешательства злоумышленников криптотуннель поверх общедоступной сети, такой, как Интернет. В двух словах схему работы этого приложения можно описать следующим образом: любой сетевой трафик, посылаемый или принимаемый для сетевого адаптера, инкапсулируется в зашифрованный пакет и доставляется в другой конечный пункт туннеля OpenVPN, где данные расшифровываются и попадают в удаленную сеть.
К числу основных преимуществ применения OpenVPN стоит отнести:

* высокая переносимость между платформами – пакет работает на Windows 2000/XP/2003/Vista, Linux, Free/Net/OpenBSD, Mac OS X и Solaris;
* поддержка режимов маршрутизации (routed) и моста (bridged), другими словами, нам под силу туннелировать как IP-пакеты, так и Ethernet-фреймы;
* для транспорта можно использовать UDP/TCP;
* клиентские хосты могут иметь статические и динамические IP-адреса;
* туннели можно создавать поверх NAT;
* работа через межсетевые экраны, в которых реализован контроль состояния соединений (достигается за счет отправки через определенные промежутки времени echo-запросов);
* ассиметричное шифрование с использованием статических ключей и SSL/TLS сертификатов;
* встроенные меры безопасности для предотвращения DoS-атак и повторного проигрывания злоумышленником последовательности записанных пакетов;
* адаптивная компрессия передаваемых данных;
* способность "проталкивать" маршруты для клиента;
* использование всех механизмов шифрования, встроенных в библиотеку OpenSSL;
* работа в chroot-окружении;
* поддержка мультипоточной библиотеки pthread (положительно влияет на быстродействие при динамическом обмене SSL/TLS ключами).

Как видишь, список возможностей впечатляет, но в отличие от других SSL VPN, достоинством которых считается безклиентская установка (соединение SSL VPN устанавливается через браузер), для OpenVPN необходим специальный клиент (поговорим об этом ниже).

== Увертюра к основному действию ==

Предположим, одним прекрасным солнечным утром твое высокое начальство впечатлилось идеей создания виртуальной частной сети, и теперь перед тобой стоит задача поднять VPN-сервер для служащих, которым требуется работать с корпоративными ресурсами, находясь вне стен офиса (это могут быть надомные, командировочные сотрудники или просто фрилансеры).
Функции шлюза компании, выпускающего сотрудников в Интернет, выполняет компьютер с тремя сетевыми картами (213.167.XX.YY, 192.168.1.1, 192.168.2.1) под управлением… хотя это не так важно, настройки в поддерживаемых операционках будут отличаться минимально. В моем случае на сервере заказчика была установлена OpenBSD 3.9. Что касается корпоративной внутренней сети, то она состоит из двух участков: проводного (192.168.1.0/24) и беспроводного (192.168.2.0/24). После рекогносцировки на местности переходим к установке OpenVPN.

== Серверная инсталляция ==

OpenVPN без труда можно найти в любом репозитарии или дереве портов:

# cd /usr/ports/net/openvpn
# make install clean

В случае установки из исходных кодов в некоторых системах может понадобиться отключить поддержку реализации потоков выполнения и указать местоположение библиотек и заголовочных файлов lzo:

# ./configure --disable-pthread --with-lzo-lib=/usr/local/lib \
--with-lzoheaders=/usr/local/include
# make
# make install

Для проверки с помощью следующих команд можно посмотреть, какие дайджесты (применяются для аутентификации каждой получаемой UDP-датаграммы) и алгоритмы шифрования доступны:

# /usr/local/sbin/openvpn --show-digests
# /usr/local/sbin/openvpn --show-ciphers

Чтобы обеспечить дополнительный уровень защиты и избежать возможный ущерб при взломе, нужно дать указание демону OpenVPN работать с правами непривилегированного пользователя в chroot’ной среде — среде с измененным корневым каталогом. Первый шаг для этого — добавить в систему группу _openvpn и одноименного пользователя:

# groupadd -g 500 _openvpn
# useradd -u 500 -g 500 -c 'OpenVPN Server' -s /sbin/nologin \
-d /var/openvpn -m _openvpn

Проверяем правильность выполнения двух последних команд:

# grep 500 /etc/passwd
_openvpn:*:500:500:OpenVPN Server:/var/openvpn:/sbin/nologin

== Золотые ключики и подарочные сертификаты ==

Думаю, ни для кого не секрет, что сертификаты открытых ключей предоставляют удобный и надежный способ аутентификации пользователей, поэтому не будем сейчас тратить время на теоретическую часть и перейдем непосредственно к процедуре генерирования надлежащих сертификатов.
Создаем директорию, где будут лежать конфигурационные файлы, скрипты и сертификаты:

# mkdir -p /etc/openvpn/keys

Копируем комплект скриптов easy-rsa, предназначенный для упрощения создания сертификатов, которые предъявляются в процессе аутентификации для подтверждения валидности клиентов. Теперь о монстроидальных командах openssl можно забыть.

# cp -r /usr/local/share/examples/openvpn/easy-rsa /etc/openvpn

Далее следует экспортировать переменные KEY_*, они необходимы для работы build-* скриптов:

# cd /etc/openvpn/easy-rsa
# . ./vars

Инициализируем директорию /etc/openvpn/easy-rsa/keys:

# ./clean-all

Создаем корневой и серверный сертификаты:

# ./build-ca
# ./build-key-server server

Для создания файла параметров Диффи-Хэлмана, предназначенного для обеспечения более надежной защиты данных при установке соединения клиента с сервером, выполняем:

# ./build-dh

Снизить вероятность успешного проведения DoS-атаки на сервер OpenVPN можно за счет использования клиентом и сервером статического ключа HMAC (так называемый shared secret):

# /usr/local/sbin/openvpn --genkey --secret keys/ta.key

Перемещаем все созданные файлы в подкаталог keys и выставляем для них корректные права доступа:

# cd keys/
# mv ca.crt dh1024.pem server.crt server.key ta.key /etc/openvpn/keys
# chown -R root:wheel /etc/openvpn
# chmod 700 /etc/openvpn/keys
# chmod 644 /etc/openvpn/keys/{ca.crt,dh1024.pem,server.crt}
# chmod 600 /etc/openvpn/keys/{server.key,ta.key}

Процедура создания клиентских сертификатов практически аналогична соответствующей процедуре для сервера:

# ./build-key client1
# mkdir -p /home/vpn/client1
# mv client1.crt client1.key /home/vpn/client1
# cp /etc/openvpn/keys/{ca.crt,ta.key} /home/vpn/client1

Теперь подкаталог client1 следует перенести на винч или флешку «географически изолированного» сотрудника.

== Щепетильное конфигурирование ==

Конфигурация сервера OpenVPN хранится в файле /etc/openvpn/server.conf. Ниже приведен пример подобного конфига. Все опции детально прокомментированы, поэтому сложностей возникнуть не должно. При настройке старайся «не срезать углы» — за один шаг добавляй/изменяй что-то одно и сразу же тестируй. Все действия в server.conf желательно фиксировать в локальном cvs-репозитории, чтобы можно было быстро просмотреть историю изменений и вернуться к рабочей ревизии.

# vi /etc/openvpn/server.conf
; Работаем в режиме демона
daemon openvpn
; Указываем местоположение файла с уникальным идентификатором процесса сервера
; OpenVPN
writepid /var/openvpn/pid
; Определяем файл, содержащий список текущих клиентских соединений
status /var/openvpn/status 10
; Внешний IP-адрес нашего сервера
local 213.167.XX.YY
; Используемый порт
port 1194
; Для транспорта по умолчанию применяется протокол UDP. Это вполне резонный
; подход. Во-первых, благодаря меньшему размеру заголовков и отсутствию
; встроенной функции подтверждения доставки пакетов, производительность UDP
; значительно выше. А во-вторых, при использовании UDP общая надежность не
; снижается, так как OpenVPN шифрует исходные пакеты, обеспечивая проверку
; ошибок и повторную передачу. В связи с этим TCP рекомендуется применять
; только в тех случаях, когда UDP не работает, например, если брандмауэр
; блокирует весь UDP-трафик.
proto udp
; Выбираем тип виртуального устройства туннеля (tun, tap или null)
dev tun0
; Включаем компрессию передаваемых данных
comp-lzo
; Указываем абсолютные пути к созданным сертификатам и ключам
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
; Значение 0 следует использовать на сервере, 1 - на клиенте
tls-auth /etc/openvpn/keys/ta.key 0
; Для большинства сетей подойдет режим маршрутизатора (routed). Да, в этом
; случае широковещательный трафик отсутствует, соответственно, не будут работать
; некоторые протоколы, которые его используют, например NetBIOS поверх TCP. Но
; последнее нивелируется развертыванием WINS-сервера, либо подключением сетевых
; дисков/созданием ярлыков на расшаренные ресурсы
server 192.168.3.0 255.255.255.0
; Проталкиваем подключенным клиентам статические маршруты, чтобы они могли
; получить доступ к ресурсам проводной и беспроводной сети
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.2.0 255.255.255.0"
; Не позволяем соединению разорваться при простое
keepalive 10 120
; Алгоритмы, используемые для аутентификации и шифрования пакетов
auth SHA1
cipher AES-256-CBC
; Максимальное число одновременно подключенных VPN-пользователей
max-clients 10
; Задаем файл журналирования событий и уровень детализации журнала, отображаем
; не более 20 экземпляров одного сообщения (остальные отбрасываем)
log-append /var/log/openvpn.log
verb 3
mute 20
; Пользователь и группа, с правами которых работает демон
user _openvpn
group _openvpn
; Эти опции предотвращают доступ к некоторым ресурсам (например,
; tun-устройству) при перезапуске демона (рекомендуется применять только при
; снижении привилегий)
persist-key
persist-tun
; Сажаем демона в chroot-окружение
chroot /var/empty

Чтобы не вбивать директивы вручную, можно воспользоваться примером конфига, любезно предоставленным разработчиками:

# cp /usr/local/share/examples/openvpn/sample-config-files/server.conf /etc/openvpn

Поднимаем виртуальный интерфейс tun0:

# echo "up" > /etc/hostname.tun0
# sh /etc/netstart tun0

Запускаем сервер OpenVPN командой:

# /usr/local/sbin/openvpn --config /etc/openvpn/server.conf

Для автоматической загрузки OpenVPN достаточно прописать эту строчку в стартовый сценарий /etc/rc.local, например, так:

# vi /etc/rc.local
if [ -x /usr/local/sbin/openvpn ]; then
echo -n ' openvpn'; /usr/local/sbin/openvpn --config /etc/openvpn/server.conf
fi

Далее смотрим в логи, чтобы убедиться в успешной загрузке нашего демона:

# tail /var/log/openvpn.log
Sun Dec 2 15:31:37 2007 IFCONFIG POOL: base=192.168.3.4 size=62
Sun Dec 2 15:31:37 2007 Initialization Sequence Completed

Чтобы проверить состояние псевдоустройства туннелирования, можно воспользоваться утилитой <tt>ifconfig</tt>:

# ifconfig tun0
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500
groups: tun
inet 192.168.3.1 --> 192.168.3.2 netmask 0xffffffff

Для корректной работы сервера OpenVPN необходимо разрешить прохождение любого трафика через интерфейс OpenVPN, а также входящие подключения на внешний адрес сервера порт 1194/udp:

# vi /etc/pf.conf
pass quick on { lo tun0 $int_if } inet
pass in on $ext_if inet proto udp from any to $ext_if port 1194 \
keep state

Перезагружаем набор рулесетов файервола:

# pfctl -f /etc/pf.conf

== Инсталляция на стороне клиента ==

Итак, VPN-сервер работает и готов принимать подключения. Развертывание VPN-клиентов для VPN-подключений удаленного доступа состоит из двух действий: установка программы OpenVPN GUI и правка конфигурационного файла client*.ovpn.

C:\Program Files\OpenVPN\config\mycompany_client1.ovpn
; Работаем в режиме клиента
client
dev tun
; Указываем IP-адрес и порт VPN-сервера
remote 213.167.XX.YY 1194
proto udp
resolv-retry infinite
nobind
pull
comp-lzo
persist-key
persist-tun
verb 3
; Я предпочитаю хранить crt и key файлы на флешке
ca "f:\\vpn\\mycompany\\ca.crt"
cert "f:\\vpn\\mycompany\\client1.crt"
key "f:\\vpn\\mycompany\\client1.key"
tls-auth "f:\\vpn\\mycompany\\ta.key" 1
ns-cert-type server
; Нижеследующие алгоритмы должны совпадать с теми, что заданы на сервере
auth SHA1
cipher AES-256-CBC
; Без этих двух директив Vista-клиенты не смогут получать маршруты от сервера
; route-method exe
; route-delay 2

Теперь для подключения к VPN-серверу достаточно в трее щелкнуть правой кнопкой мыши на значке с красными мониторчиками, выбрать конфиг <tt>mycompany_client1</tt> и нажать Connect.

== Аутентификационный шлюз на базе pf и authpf ==

В BSD-системах, используя связку пакетного фильтра pf и авторизационного шелла authpf, можно контролировать доступ клиентов, подключающихся к VPN-службе и корпоративной сети. Схема работы такой конструкции довольно проста: пользователь логинится по ssh, и, в зависимости от введенных данных (имя и пароль), на сервере вступают в силу персональные правила файервола, в данном случае разрешающие прохождение UDP-пакетов к порту 1194.
Но прежде, чем производить настройку <tt>authpf</tt>, необходимо переопределить некоторые дефолтные значения переменных демона [http://www.openbsd.org/cgi-bin/man.cgi?query=sshd&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html sshd(8)]. Так мы усложним потенциальному злоумышленнику успешное проведение атаки с целью перехвата и подмены ssh-сессии.

# vi /etc/ssh/sshd_config
# Работаем с использованием протоколов IPv4 и ssh2
AddressFamily inet
Protocol 2
# Ожидаем подключения по всем доступным сетевым интерфейсам
ListenAddress 0.0.0.0
# Запрещаем регистрацию root'а и применение пустых паролей
PermitRootLogin no
PermitEmptyPasswords no
# За счет использования протокола ssh2 и этих двух опций усложняем проведение
# атак типа ARP- и IP-spoofing
ClientAliveInterval 15
ClientAliveCountMax 3
# Отключаем DNS-резолвинг
UseDNS no
# Определяем списки контроля доступом
AllowGroups wheel users authpf

Для того чтобы внесенные изменения вступили в силу, необходимо дать указание демону перечитать свой конфиг:

# kill -HUP `sed q /var/run/sshd.pid`

Authpf представляет собой псевдооболочку, которая назначается пользователю системы в качестве <tt>login shell</tt> (примечание: запись «/usr/sbin/authpf» в файл /etc/shells добавлять не следует). При авторизации пользователя по ssh к текущим правилам фильтра пакетов с помощью так называемых якорей <tt>(anchors)</tt> будут присоединены правила, указанные в файле /etc/authpf/authpf.rules, либо в /etc/authpf/users/$USER. В добавляемых правилах допускается использование зарезервированных макросов <tt>$user_id</tt> и <tt>$user_ip</tt>, за счет которых будет происходить автоматическая подстановка имени и IP-адреса подключившегося пользователя (значения макросов считываются из переменных окружения ssh автоматически).
В конец файла [http://www.openbsd.org/cgi-bin/man.cgi?query=login.conf&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html login.conf(5)] заносим сведения о новом классе <tt>authpf</tt>, пользователи которого в качестве стандартного шелла будут получать authpf:

# vi /etc/login.conf
authpf:\
:shell=/usr/sbin/authpf:\
:tc=default:

С помощью штатной утилиты [http://www.openbsd.org/cgi-bin/man.cgi?query=cap_mkdb&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html cap_mkdb(1)] обновляем хэшированную базу данных /etc/login.conf.db:

# cap_mkdb /etc/login.conf

Мы не будем переопределять умолчальные значения директив <tt>anchor</tt> и <tt>table</tt>, поэтому файл authpf.conf оставляем пустым:

# echo -n > /etc/authpf/authpf.conf

Подготавливаем приветственное сообщение authpf.message (аналог /etc/motd):

# vi /etc/authpf/authpf.message
This service is for authorised VPN-clients only. Please play nice.

Создаем нового пользователя, который принадлежит классу authpf, входит в группу authpf и в качестве оболочки получает /usr/sbin/authpf:

# useradd -m -c 'authpf vpn user' -g authpf -L authpf \
-s /usr/sbin/authpf client1
# passwd client1

Рисуем правило файервола, разрешающее пользователю client1 доступ к серверу OpenVPN:

# mkdir -p /etc/authpf/users/client1

# vi /etc/authpf/users/client1/authpf.rules
pass in log quick on fxp0 inet proto udp from $user_ip to fxp0 \
port 1194 keep state

Теперь для подключения механизма якорей добавим следующие записи в [http://www.openbsd.org/cgi-bin/man.cgi?query=pf.conf&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html pf.conf(5)]:

# vi /etc/pf.conf
nat-anchor "authpf/*"
rdr-anchor "authpf/*"
binat-anchor "authpf/*"
...
pass in log on $ext_if inet proto tcp to fxp0 port ssh keep state
...
anchor "authpf/*"

И перезагрузим набор рулесетов файервола:

# pfctl -f /etc/pf.conf

На стороне клиента открываем любой ssh-клиент, например, Putty или SecureCRT, создаем новую сессию, указываем IP-адрес сервера и имя пользователя. Если все настроено правильно, после успешной авторизации правила файервола на сервере для этого пользователя изменятся, и он получит доступ к VPN-службе.

# f:\vpn\putty> plink.exe -pw mypassword client1@213.167.XX.YY
Hello client1. You are authenticated from host "77.41.XX.YY"
This service is for authorised VPN-clients only. Please play nice.

А чтобы постоянно не вводить пароль, можно настроить аутентификацию на базе публичного ключа.

== Эндшпиль ==

Эта статья включает полный набор пошаговых действий, необходимых для внедрения базового VPN-решения удаленного доступа, используя BSD-систему в качестве VPN-сервера и WinXP/Vista в качестве VPN-клиента. Развернув в 3-4 компаниях подобную конфигурацию, ты сможешь не с пустыми кредиткой и кошельком ехать в Египет греть пятки. Удачи.

Деликатное проникновение в частную сеть

2013-06-05T11:57:27Z

Nordwind: Новая страница: «:Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru] Статья [http://www.xakep.ru/magazine/xa/110/156/1.asp о…»

:Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru]
 

Статья [http://www.xakep.ru/magazine/xa/110/156/1.asp опубликована] в февральском номере журнала Хакер за 2008 год. Автор оригинального текста: Andrey Matveev (andrey at openbsd dot ru).

== Введение ==

Когда речь заходит о необходимости предоставления авторизированному пользователю доступа к защищенным ресурсам частной сети, на ум сразу приходят примеры построения VPN на базе IPSec, PPTP, L2TP и SSL. Однако если требуется в кратчайшие сроки развернуть бесплатное, кроссплатформенное, полнофункциональное ПО с гибкими возможностями конфигурирования и относительно простой установкой, не требующей вмешательства в ядро ОС, то из всех доступных решений выбор невольно падает на OpenVPN.

== Поем дифирамбы OpenVPN ==

OpenVPN является реализацией технологии VPN с использованием протокола SSL/TLS. С его помощью можно поднять надежный, достаточно быстрый и в то же время защищенный от прослушивания и вмешательства злоумышленников криптотуннель поверх общедоступной сети, такой, как Интернет. В двух словах схему работы этого приложения можно описать следующим образом: любой сетевой трафик, посылаемый или принимаемый для сетевого адаптера, инкапсулируется в зашифрованный пакет и доставляется в другой конечный пункт туннеля OpenVPN, где данные расшифровываются и попадают в удаленную сеть.
К числу основных преимуществ применения OpenVPN стоит отнести:

* высокая переносимость между платформами – пакет работает на Windows 2000/XP/2003/Vista, Linux, Free/Net/OpenBSD, Mac OS X и Solaris;
* поддержка режимов маршрутизации (routed) и моста (bridged), другими словами, нам под силу туннелировать как IP-пакеты, так и Ethernet-фреймы;
* для транспорта можно использовать UDP/TCP;
* клиентские хосты могут иметь статические и динамические IP-адреса;
* туннели можно создавать поверх NAT;
* работа через межсетевые экраны, в которых реализован контроль состояния соединений (достигается за счет отправки через определенные промежутки времени echo-запросов);
* ассиметричное шифрование с использованием статических ключей и SSL/TLS сертификатов;
* встроенные меры безопасности для предотвращения DoS-атак и повторного проигрывания злоумышленником последовательности записанных пакетов;
* адаптивная компрессия передаваемых данных;
* способность "проталкивать" маршруты для клиента;
* использование всех механизмов шифрования, встроенных в библиотеку OpenSSL;
* работа в chroot-окружении;
* поддержка мультипоточной библиотеки pthread (положительно влияет на быстродействие при динамическом обмене SSL/TLS ключами).

Как видишь, список возможностей впечатляет, но в отличие от других SSL VPN, достоинством которых считается безклиентская установка (соединение SSL VPN устанавливается через браузер), для OpenVPN необходим специальный клиент (поговорим об этом ниже).

== Увертюра к основному действию ==

Предположим, одним прекрасным солнечным утром твое высокое начальство впечатлилось идеей создания виртуальной частной сети, и теперь перед тобой стоит задача поднять VPN-сервер для служащих, которым требуется работать с корпоративными ресурсами, находясь вне стен офиса (это могут быть надомные, командировочные сотрудники или просто фрилансеры).
Функции шлюза компании, выпускающего сотрудников в Интернет, выполняет компьютер с тремя сетевыми картами (213.167.XX.YY, 192.168.1.1, 192.168.2.1) под управлением… хотя это не так важно, настройки в поддерживаемых операционках будут отличаться минимально. В моем случае на сервере заказчика была установлена OpenBSD 3.9. Что касается корпоративной внутренней сети, то она состоит из двух участков: проводного (192.168.1.0/24) и беспроводного (192.168.2.0/24). После рекогносцировки на местности переходим к установке OpenVPN.

== Серверная инсталляция ==

OpenVPN без труда можно найти в любом репозитарии или дереве портов:

# cd /usr/ports/net/openvpn
# make install clean

В случае установки из исходных кодов в некоторых системах может понадобиться отключить поддержку реализации потоков выполнения и указать местоположение библиотек и заголовочных файлов lzo:

# ./configure --disable-pthread --with-lzo-lib=/usr/local/lib \
--with-lzoheaders=/usr/local/include
# make
# make install

Для проверки с помощью следующих команд можно посмотреть, какие дайджесты (применяются для аутентификации каждой получаемой UDP-датаграммы) и алгоритмы шифрования доступны:

# /usr/local/sbin/openvpn --show-digests
# /usr/local/sbin/openvpn --show-ciphers

Чтобы обеспечить дополнительный уровень защиты и избежать возможный ущерб при взломе, нужно дать указание демону OpenVPN работать с правами непривилегированного пользователя в chroot’ной среде — среде с измененным корневым каталогом. Первый шаг для этого — добавить в систему группу _openvpn и одноименного пользователя:

# groupadd -g 500 _openvpn
# useradd -u 500 -g 500 -c 'OpenVPN Server' -s /sbin/nologin \
-d /var/openvpn -m _openvpn

Проверяем правильность выполнения двух последних команд:

# grep 500 /etc/passwd
_openvpn:*:500:500:OpenVPN Server:/var/openvpn:/sbin/nologin

== Золотые ключики и подарочные сертификаты ==

Думаю, ни для кого не секрет, что сертификаты открытых ключей предоставляют удобный и надежный способ аутентификации пользователей, поэтому не будем сейчас тратить время на теоретическую часть и перейдем непосредственно к процедуре генерирования надлежащих сертификатов.
Создаем директорию, где будут лежать конфигурационные файлы, скрипты и сертификаты:

# mkdir -p /etc/openvpn/keys

Копируем комплект скриптов easy-rsa, предназначенный для упрощения создания сертификатов, которые предъявляются в процессе аутентификации для подтверждения валидности клиентов. Теперь о монстроидальных командах openssl можно забыть.

# cp -r /usr/local/share/examples/openvpn/easy-rsa /etc/openvpn

Далее следует экспортировать переменные KEY_*, они необходимы для работы build-* скриптов:

# cd /etc/openvpn/easy-rsa
# . ./vars

Инициализируем директорию /etc/openvpn/easy-rsa/keys:

# ./clean-all

Создаем корневой и серверный сертификаты:

# ./build-ca
# ./build-key-server server

Для создания файла параметров Диффи-Хэлмана, предназначенного для обеспечения более надежной защиты данных при установке соединения клиента с сервером, выполняем:

# ./build-dh

Снизить вероятность успешного проведения DoS-атаки на сервер OpenVPN можно за счет использования клиентом и сервером статического ключа HMAC (так называемый shared secret):

# /usr/local/sbin/openvpn --genkey --secret keys/ta.key

Перемещаем все созданные файлы в подкаталог keys и выставляем для них корректные права доступа:

# cd keys/
# mv ca.crt dh1024.pem server.crt server.key ta.key /etc/openvpn/keys
# chown -R root:wheel /etc/openvpn
# chmod 700 /etc/openvpn/keys
# chmod 644 /etc/openvpn/keys/{ca.crt,dh1024.pem,server.crt}
# chmod 600 /etc/openvpn/keys/{server.key,ta.key}

Процедура создания клиентских сертификатов практически аналогична соответствующей процедуре для сервера:

# ./build-key client1
# mkdir -p /home/vpn/client1
# mv client1.crt client1.key /home/vpn/client1
# cp /etc/openvpn/keys/{ca.crt,ta.key} /home/vpn/client1

Теперь подкаталог client1 следует перенести на винч или флешку «географически изолированного» сотрудника.

== Щепетильное конфигурирование ==

Конфигурация сервера OpenVPN хранится в файле /etc/openvpn/server.conf. Ниже приведен пример подобного конфига. Все опции детально прокомментированы, поэтому сложностей возникнуть не должно. При настройке старайся «не срезать углы» — за один шаг добавляй/изменяй что-то одно и сразу же тестируй. Все действия в server.conf желательно фиксировать в локальном cvs-репозитории, чтобы можно было быстро просмотреть историю изменений и вернуться к рабочей ревизии.

# vi /etc/openvpn/server.conf
; Работаем в режиме демона
daemon openvpn
; Указываем местоположение файла с уникальным идентификатором процесса сервера
; OpenVPN
writepid /var/openvpn/pid
; Определяем файл, содержащий список текущих клиентских соединений
status /var/openvpn/status 10
; Внешний IP-адрес нашего сервера
local 213.167.XX.YY
; Используемый порт
port 1194
; Для транспорта по умолчанию применяется протокол UDP. Это вполне резонный
; подход. Во-первых, благодаря меньшему размеру заголовков и отсутствию
; встроенной функции подтверждения доставки пакетов, производительность UDP
; значительно выше. А во-вторых, при использовании UDP общая надежность не
; снижается, так как OpenVPN шифрует исходные пакеты, обеспечивая проверку
; ошибок и повторную передачу. В связи с этим TCP рекомендуется применять
; только в тех случаях, когда UDP не работает, например, если брандмауэр
; блокирует весь UDP-трафик.
proto udp
; Выбираем тип виртуального устройства туннеля (tun, tap или null)
dev tun0
; Включаем компрессию передаваемых данных
comp-lzo
; Указываем абсолютные пути к созданным сертификатам и ключам
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
; Значение 0 следует использовать на сервере, 1 - на клиенте
tls-auth /etc/openvpn/keys/ta.key 0
; Для большинства сетей подойдет режим маршрутизатора (routed). Да, в этом
; случае широковещательный трафик отсутствует, соответственно, не будут работать
; некоторые протоколы, которые его используют, например NetBIOS поверх TCP. Но
; последнее нивелируется развертыванием WINS-сервера, либо подключением сетевых
; дисков/созданием ярлыков на расшаренные ресурсы
server 192.168.3.0 255.255.255.0
; Проталкиваем подключенным клиентам статические маршруты, чтобы они могли
; получить доступ к ресурсам проводной и беспроводной сети
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.2.0 255.255.255.0"
; Не позволяем соединению разорваться при простое
keepalive 10 120
; Алгоритмы, используемые для аутентификации и шифрования пакетов
auth SHA1
cipher AES-256-CBC
; Максимальное число одновременно подключенных VPN-пользователей
max-clients 10
; Задаем файл журналирования событий и уровень детализации журнала, отображаем
; не более 20 экземпляров одного сообщения (остальные отбрасываем)
log-append /var/log/openvpn.log
verb 3
mute 20
; Пользователь и группа, с правами которых работает демон
user _openvpn
group _openvpn
; Эти опции предотвращают доступ к некоторым ресурсам (например,
; tun-устройству) при перезапуске демона (рекомендуется применять только при
; снижении привилегий)
persist-key
persist-tun
; Сажаем демона в chroot-окружение
chroot /var/empty

Чтобы не вбивать директивы вручную, можно воспользоваться примером конфига, любезно предоставленным разработчиками:

# cp /usr/local/share/examples/openvpn/sample-config-files/server.conf /etc/openvpn

Поднимаем виртуальный интерфейс tun0:

# echo "up" > /etc/hostname.tun0
# sh /etc/netstart tun0

Запускаем сервер OpenVPN командой:

# /usr/local/sbin/openvpn --config /etc/openvpn/server.conf

Для автоматической загрузки OpenVPN достаточно прописать эту строчку в стартовый сценарий /etc/rc.local, например, так:

# vi /etc/rc.local
if [ -x /usr/local/sbin/openvpn ]; then
echo -n ' openvpn'; /usr/local/sbin/openvpn --config /etc/openvpn/server.conf
fi

Далее смотрим в логи, чтобы убедиться в успешной загрузке нашего демона:

# tail /var/log/openvpn.log
Sun Dec 2 15:31:37 2007 IFCONFIG POOL: base=192.168.3.4 size=62
Sun Dec 2 15:31:37 2007 Initialization Sequence Completed

Чтобы проверить состояние псевдоустройства туннелирования, можно воспользоваться утилитой <tt>ifconfig</tt>:

# ifconfig tun0
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500
groups: tun
inet 192.168.3.1 --> 192.168.3.2 netmask 0xffffffff

Для корректной работы сервера OpenVPN необходимо разрешить прохождение любого трафика через интерфейс OpenVPN, а также входящие подключения на внешний адрес сервера порт 1194/udp:

# vi /etc/pf.conf
pass quick on { lo tun0 $int_if } inet
pass in on $ext_if inet proto udp from any to $ext_if port 1194 \
keep state

Перезагружаем набор рулесетов файервола:

# pfctl -f /etc/pf.conf

== Инсталляция на стороне клиента ==

Итак, VPN-сервер работает и готов принимать подключения. Развертывание VPN-клиентов для VPN-подключений удаленного доступа состоит из двух действий: установка программы OpenVPN GUI и правка конфигурационного файла client*.ovpn.

C:\Program Files\OpenVPN\config\mycompany_client1.ovpn
; Работаем в режиме клиента
client
dev tun
; Указываем IP-адрес и порт VPN-сервера
remote 213.167.XX.YY 1194
proto udp
resolv-retry infinite
nobind
pull
comp-lzo
persist-key
persist-tun
verb 3
; Я предпочитаю хранить crt и key файлы на флешке
ca "f:\\vpn\\mycompany\\ca.crt"
cert "f:\\vpn\\mycompany\\client1.crt"
key "f:\\vpn\\mycompany\\client1.key"
tls-auth "f:\\vpn\\mycompany\\ta.key" 1
ns-cert-type server
; Нижеследующие алгоритмы должны совпадать с теми, что заданы на сервере
auth SHA1
cipher AES-256-CBC
; Без этих двух директив Vista-клиенты не смогут получать маршруты от сервера
; route-method exe
; route-delay 2

Теперь для подключения к VPN-серверу достаточно в трее щелкнуть правой кнопкой мыши на значке с красными мониторчиками, выбрать конфиг <tt>mycompany_client1</tt> и нажать Connect.

== Аутентификационный шлюз на базе pf и authpf ==

В BSD-системах, используя связку пакетного фильтра pf и авторизационного шелла authpf, можно контролировать доступ клиентов, подключающихся к VPN-службе и корпоративной сети. Схема работы такой конструкции довольно проста: пользователь логинится по ssh, и, в зависимости от введенных данных (имя и пароль), на сервере вступают в силу персональные правила файервола, в данном случае разрешающие прохождение UDP-пакетов к порту 1194.
Но прежде, чем производить настройку <tt>authpf</tt>, необходимо переопределить некоторые дефолтные значения переменных демона [http://www.openbsd.org/cgi-bin/man.cgi?query=sshd&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html sshd(8)]. Так мы усложним потенциальному злоумышленнику успешное проведение атаки с целью перехвата и подмены ssh-сессии.

# vi /etc/ssh/sshd_config
# Работаем с использованием протоколов IPv4 и ssh2
AddressFamily inet
Protocol 2
# Ожидаем подключения по всем доступным сетевым интерфейсам
ListenAddress 0.0.0.0
# Запрещаем регистрацию root'а и применение пустых паролей
PermitRootLogin no
PermitEmptyPasswords no
# За счет использования протокола ssh2 и этих двух опций усложняем проведение
# атак типа ARP- и IP-spoofing
ClientAliveInterval 15
ClientAliveCountMax 3
# Отключаем DNS-резолвинг
UseDNS no
# Определяем списки контроля доступом
AllowGroups wheel users authpf

Для того чтобы внесенные изменения вступили в силу, необходимо дать указание демону перечитать свой конфиг:

# kill -HUP `sed q /var/run/sshd.pid`

Authpf представляет собой псевдооболочку, которая назначается пользователю системы в качестве <tt>login shell</tt> (примечание: запись «/usr/sbin/authpf» в файл /etc/shells добавлять не следует). При авторизации пользователя по ssh к текущим правилам фильтра пакетов с помощью так называемых якорей <tt>(anchors)</tt> будут присоединены правила, указанные в файле /etc/authpf/authpf.rules, либо в /etc/authpf/users/$USER. В добавляемых правилах допускается использование зарезервированных макросов <tt>$user_id</tt> и <tt>$user_ip</tt>, за счет которых будет происходить автоматическая подстановка имени и IP-адреса подключившегося пользователя (значения макросов считываются из переменных окружения ssh автоматически).
В конец файла [http://www.openbsd.org/cgi-bin/man.cgi?query=login.conf&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html login.conf(5)] заносим сведения о новом классе <tt>authpf</tt>, пользователи которого в качестве стандартного шелла будут получать authpf:

# vi /etc/login.conf
authpf:\
:shell=/usr/sbin/authpf:\
:tc=default:

С помощью штатной утилиты [http://www.openbsd.org/cgi-bin/man.cgi?query=cap_mkdb&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html cap_mkdb(1)] обновляем хэшированную базу данных /etc/login.conf.db:

# cap_mkdb /etc/login.conf

Мы не будем переопределять умолчальные значения директив <tt>anchor</tt> и <tt>table</tt>, поэтому файл authpf.conf оставляем пустым:

# echo -n > /etc/authpf/authpf.conf

Подготавливаем приветственное сообщение authpf.message (аналог /etc/motd):

# vi /etc/authpf/authpf.message
This service is for authorised VPN-clients only. Please play nice.

Создаем нового пользователя, который принадлежит классу authpf, входит в группу authpf и в качестве оболочки получает /usr/sbin/authpf:

# useradd -m -c 'authpf vpn user' -g authpf -L authpf \
-s /usr/sbin/authpf client1
# passwd client1

Рисуем правило файервола, разрешающее пользователю client1 доступ к серверу OpenVPN:

# mkdir -p /etc/authpf/users/client1

# vi /etc/authpf/users/client1/authpf.rules
pass in log quick on fxp0 inet proto udp from $user_ip to fxp0 \
port 1194 keep state

Теперь для подключения механизма якорей добавим следующие записи в [http://www.openbsd.org/cgi-bin/man.cgi?query=pf.conf&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html pf.conf(5)]:

# vi /etc/pf.conf
nat-anchor "authpf/*"
rdr-anchor "authpf/*"
binat-anchor "authpf/*"
...
pass in log on $ext_if inet proto tcp to fxp0 port ssh keep state
...
anchor "authpf/*"

И перезагрузим набор рулесетов файервола:

# pfctl -f /etc/pf.conf

На стороне клиента открываем любой ssh-клиент, например, Putty или SecureCRT, создаем новую сессию, указываем IP-адрес сервера и имя пользователя. Если все настроено правильно, после успешной авторизации правила файервола на сервере для этого пользователя изменятся, и он получит доступ к VPN-службе.

# f:\vpn\putty> plink.exe -pw mypassword client1@213.167.XX.YY
Hello client1. You are authenticated from host "77.41.XX.YY"
This service is for authorised VPN-clients only. Please play nice.

А чтобы постоянно не вводить пароль, можно настроить аутентификацию на базе публичного ключа.

== Эндшпиль ==

Эта статья включает полный набор пошаговых действий, необходимых для внедрения базового VPN-решения удаленного доступа, используя BSD-систему в качестве VPN-сервера и WinXP/Vista в качестве VPN-клиента. Развернув в 3-4 компаниях подобную конфигурацию, ты сможешь не с пустыми кредиткой и кошельком ехать в Египет греть пятки. Удачи.

Настройка sendmail

2013-06-03T12:32:43Z

Nordwind: /* Как заставить sendmail использовать /etc/hosts */

:Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru]
 

== Настройка TLS и SSL ==

Начиная с версии 8.11, sendmail поддерживает защиту ESMTP соединения с помощью расширения STARTTLS (RFC 2487). Для настройки TLS прежде всего нужно создать SSL сертификат и секретный DSA-ключ для шифрования:

<pre>
# mkdir -m 700 /etc/mail/certs
# openssl dsaparam 1024 -out dsa1024.pem
# openssl req -x509 -nodes -days 365 -newkey dsa: dsa1024.pem \
-out /etc/mail/certs/mycert.pem -keyout /etc/mail/certs/mykey.pem
# rm -f dsa1024.pem
</pre>

Если у вас уже есть ключ шифрования, то для создания сертификата следует подать команду:

<pre>
# openssl req -x509 -new -days 365 -key /etc/mail/certs/mykey.pem \
-out /etc/mail/certs/mycert.pem
</pre>

Параметр ''-days'' позволяет указать количество дней, в течение которых сертификат будет действительным. Чтобы проверить созданный сертификат, можно воспользоваться следующей командой:

# openssl x509 -in /etc/mail/certs/mycert.pem -text

Если вы не планируете использовать TLS для авторизации (не путать с [[#Настройка SMTP авторизации|SMTP авторизацией]]) или используете сертификат, подписанный самим собой, следует создать symlink:

# ln -s /etc/mail/certs/mycert.pem /etc/mail/certs/CAcert.pem

В противном случае следует поместить сертификат авторизации в файл /etc/mail/certs/CAcert.pem Не забудьте установить права, запрещающие чтение/запись файлов сертификатов и ключей простым пользователям:

# chmod 600 /etc/mail/certs/*

Теперь следует настроить sendmail. В .mc файле конфигурации нужно добавить следующие строки:

<pre>
define(`CERT_DIR', `MAIL_SETTINGS_DIR`'certs')dnl
define(`confCACERT_PATH', `CERT_DIR')dnl
define(`confCACERT', `CERT_DIR/CAcert.pem')dnl
define(`confSERVER_CERT', `CERT_DIR/mycert.pem')dnl
define(`confSERVER_KEY', `CERT_DIR/mykey.pem')dnl
define(`confCLIENT_CERT', `CERT_DIR/mycert.pem')dnl
define(`confCLIENT_KEY', `CERT_DIR/mykey.pem')dnl
</pre>

После добавления вышеуказанных строк в файл конфигурации следует пересобрать его с помощью m4 (см. файл /usr/share/sendmail/README) и рестартовать уже запущенный sendmail:

# kill -HUP `head −1 /var/run/sendmail.pid`

Для проверки настроек TLS можно воспользоваться командой telnet:

<pre>
# telnet localhost smtp
Trying 127.0.0.1…
Connected to localhost.
Escape character is '^]'.
220 form.home.lan ESMTP Sendmail 8.13.1/8.13.1; Wed, 17 Nov 2004 13:42:08 +0600
(NOVT)
EHLO localhost
250-form.home.lan Hello root@localhost.home.lan [127.0.0.1], pleased to meet you
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-8BITMIME
250-SIZE
250-DSN
250-ETRN
250-AUTH PLAIN
250-STARTTLS
250-DELIVERBY
250 HELP
</pre>

При правильной настройке в ответе сервера на команду «EHLO» должна присутствовать строка «250-STARTTLS». Смотрите также по данной теме
[http://www.openbsd.pw/files/www.openbsd.org/cgi-bin/man.cgi@query=starttls&sektion=8 starttls(8)],
[http://www.openbsd.pw/files/www.openbsd.org/cgi-bin/man.cgi@query=ssl&sektion=8 ssl(8)],
[http://www.sendmail.org/~ca/email/starttls.html http://www.sendmail.org/~ca/email/starttls.html], /usr/share/sendmail/README.

Для того чтобы научить sendmail работать по SSL (без использования STARTTLS), нужно создать и добавить в .mc файл сертификат и ключ для шифрования, как описано выше, а также добавить следующие строки:

<pre>
DAEMON_OPTIONS(`Name=MTA')dnl
DAEMON_OPTIONS(`Port=465, Name=MTA-SSL, M=s')dnl
</pre>

Не забудьте перезапустить sendmail:

# kill -HUP `head −1 /var/run/sendmail.pid`

Для проверки можно воспользоваться командой openssl:

<pre>
# openssl s_client -connect localhost:465
CONNECTED(00000004)

[…]

---
SSL handshake has read 1409 bytes and written 288 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-DSS-AES256-SHA
Server public key is 1024 bit
SSL-Session:
Protocol : TLSv1
Cipher : DHE-DSS-AES256-SHA
Session-ID:
28CAD859854BC30F61B0013DF835E69CDB0037D82FD741F9C7A56DD1E25B655
Session-ID-ctx:
Master-Key:
F5BA53F5C0659E3E12D1057FE8D4AEA8177A868169B35949793ABECED7870A29FF4B3AFB9D479EA86618185D5192B837
Key-Arg : None
Start Time: 1119252698
Timeout : 300 (sec)
Verify return code: 18 (self signed certificate)
---
220 cvs.openbsd.ru ESMTP Sendmail 8.12.11/8.12.11; Mon, 20 Jun 2005 11:37:06 +0400 (MSD)
</pre>

== Настройка SMTP авторизации ==

Для настройки авторизации следует пересобрать sendmail с поддержкой SASL. Для этого следует установить пакет ''cyrus-sasl2'' или порт ''security/cyrus-sasl2''. Для включения поддержки SASL нам потребуется перекомпилировать sendmail следующим образом:

<pre>
# echo WANT_SMTPAUTH=yes >> /etc/mk.conf
# cd /usr/src/gnu/usr.sbin/sendmail
# make cleandir
# make obj
# make depend
# make
# make install
</pre>

Также можно воспользоваться набором site.tar.gz и пересобрать sendmail, установив настройку SENDMAIL_SASL=Yes в mk.conf.

Далее следует создать файл конфигурации SASL для sendmail ( /usr/local/lib/sasl2/Sendmail.conf):

pwcheck_method: saslauthd

Добавляем в /etc/rc.local строки для запуска saslauthd:

<pre>
if [ -x /usr/local/sbin/saslauthd ]; then
echo -n ' saslauthd'; /usr/local/sbin/saslauthd -a getpwent
fi
</pre>

Теперь остается только включить поддержку авторизации в .mc файле конфигурации sendmail:

<pre>
dnl
dnl Эту опцию следует включить, чтобы запретить авторизацию с помощью
dnl механизмов PLAIN и LOGIN по незащищенному соединению
dnl (без использования TLS).
dnl
define(`confAUTH_OPTIONS', `p')dnl
dnl
dnl Список допустимых механизмов авторизации. Для всех механизмов,
dnl кроме PLAIN и LOGIN, невозможна авторизация по системному файлу
dnl паролей. Для них следует использовать sasldb или другие способы
dnl авторизации (см. документацию sasl2).
dnl
define(`confAUTH_MECHANISMS', `DIGEST-MD5 CRAM-MD5 PLAIN LOGIN')dnl
dnl
dnl Список механизмов, авторизация по которым разрешает использовать
dnl сервер для пересылки почты (relaying).
dnl
TRUST_AUTH_MECH(`DIGEST-MD5 CRAM-MD5 PLAIN LOGIN')dnl
</pre>

Не забудьте перезапустить sendmail:

# kill -HUP `head −1 /var/run/sendmail.pid`

Для проверки настройки авторизации можно воспользоваться командой telnet:

<pre>
# telnet localhost smtp
Trying 127.0.0.1…
Connected to localhost.
Escape character is '^]'.
220 form.home.lan ESMTP Sendmail 8.13.1/8.13.1; Wed, 17 Nov 2004 13:42:08 +0600
(NOVT)
EHLO localhost
250-form.home.lan Hello root@localhost.home.lan [127.0.0.1], pleased to meet you
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-8BITMIME
250-SIZE
250-DSN
250-ETRN
250-AUTH DIGEST-MD5 CRAM-MD5
250-STARTTLS
250-DELIVERBY
250 HELP
</pre>

При правильной настройке в ответе сервера на команду «EHLO» должна присутствовать строка «250-AUTH». В случае если в файле конфигурации запрещено использование PLAIN авторизации по незащищенному соединению, вместо команды telnet следует использовать команду openssl:

# openssl s_client -starttls smtp -connect localhost: smtp

Смотрите также /usr/share/sendmail/README, [[#Настройка TLS и SSL|Настройка TLS и SSL]].

== Настройка sendmail как SMTP клиента с авторизацией ==

В случае, когда sendmail выступает в роли клиента, демон saslauthd не требуется. В файл конфигурации необходимо внести следующие изменения:

<pre>
define(`SMART_HOST', `smtp: smtp.domain.ru')dnl
define(`confAUTH_MECHANISMS', `DIGEST-MD5 CRAM-MD5 PLAIN LOGIN')dnl
FEATURE(`authinfo', `hash /etc/mail/authinfo')dnl
</pre>

Указываем SMTP-сервер, имя и пароль пользователя, а также метод аутентификации в отдельном файле /etc/mail/authinfo:

AuthInfo: smtp.domain.ru «U:username@domain.ru» «P:mypassword» «M:CRAM-MD5»

Создаем хэшированную базу данных /etc/mail/authinfo.db:

# makemap hash /etc/mail/authinfo < /etc/mail/authinfo

== Как заставить sendmail использовать /etc/hosts ==

По умолчанию sendmail использует в первую очередь DNS. Чтобы заставить его сначала смотреть /etc/hosts, нужно создать файл /etc/mail/service.switch и прописать в нем следующую строку:

hosts files dns

После этого достаточно перезапустить sendmail:

# kill -HUP `head −1 /var/run/sendmail.pid`

== Хранение писем в Maildir ==

По умолчанию sendmail использует mail.local в качестве локального агента доставки почты. При этом почта доставляется в формате стандартного BSD mailbox. Чтобы доставлять почту в Maildir, нам потребуется установить альтернативный агент доставки mail.buhal, который можно скачать [http://pdp-11.org.ru/~form/openbsd/files/sys/mail.buhal-1.0.tar.gz отсюда].

Сначала нужно собрать и установить mail.buhal:

# make depend && make && make install

Далее следует указать mail.buhal в файле конфигурации sendmail в качестве локального агента доставки:

<pre>
define(`LOCAL_MAILER_PATH', `/usr/libexec/mail.buhal')dnl
MODIFY_MAILER_FLAGS(`LOCAL', `-m')dnl
</pre>

Теперь достаточно перекомпилировать файл конфигурации и перезапустить sendmail.

В портах OpenBSD, в категории mail, есть программы ''procmail'' и ''maildrop'', которые также поддерживают формат Maildir и дополнительные расширения данного формата.

== Использование procmail в качестве LDA ==

После установки procmail из портов или пакетов, необходимо создать глобальный конфигурационный файл. Пример конфигурации:

<pre>
# Секция общих настроек.
#
DROPPRIVS=yes
COMSAT=no
VERBOSE=off
SHELL=/bin/sh
PATH=/bin:/usr/bin:/usr/local/bin
LOCKFILE=$HOME/.lockmail
LOGFILE=$HOME/procmail.log

# Складываем почту в формате Maildir.
#
MAILDIR=$HOME/Maildir/
DEFAULT=$MAILDIR

# Входящую корреспонденцию можно резервировать в файлы формата mbox.
#
#: 0 c
# /var/mail/$LOGNAME

# Либо передавать в хранилище на другом хосте.
#
#: 0 c
# ! mail@mx2.domain.ru
</pre>

Далее необходимо изменить локальный агент доставки (LDA) с mail.local на procmail:

<pre>
FEATURE(local_procmail)dnl
MAILER(local)dnl
MAILER(smtp)dnl
</pre>

Теперь достаточно перекомпилировать файл конфигурации и перезапустить sendmail.

[[Категория:Howto]]

Настройка sendmail

2013-06-03T12:31:20Z

Nordwind: /* Настройка sendmail как SMTP клиента с авторизацией */

:Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru]
 

== Настройка TLS и SSL ==

Начиная с версии 8.11, sendmail поддерживает защиту ESMTP соединения с помощью расширения STARTTLS (RFC 2487). Для настройки TLS прежде всего нужно создать SSL сертификат и секретный DSA-ключ для шифрования:

<pre>
# mkdir -m 700 /etc/mail/certs
# openssl dsaparam 1024 -out dsa1024.pem
# openssl req -x509 -nodes -days 365 -newkey dsa: dsa1024.pem \
-out /etc/mail/certs/mycert.pem -keyout /etc/mail/certs/mykey.pem
# rm -f dsa1024.pem
</pre>

Если у вас уже есть ключ шифрования, то для создания сертификата следует подать команду:

<pre>
# openssl req -x509 -new -days 365 -key /etc/mail/certs/mykey.pem \
-out /etc/mail/certs/mycert.pem
</pre>

Параметр ''-days'' позволяет указать количество дней, в течение которых сертификат будет действительным. Чтобы проверить созданный сертификат, можно воспользоваться следующей командой:

# openssl x509 -in /etc/mail/certs/mycert.pem -text

Если вы не планируете использовать TLS для авторизации (не путать с [[#Настройка SMTP авторизации|SMTP авторизацией]]) или используете сертификат, подписанный самим собой, следует создать symlink:

# ln -s /etc/mail/certs/mycert.pem /etc/mail/certs/CAcert.pem

В противном случае следует поместить сертификат авторизации в файл /etc/mail/certs/CAcert.pem Не забудьте установить права, запрещающие чтение/запись файлов сертификатов и ключей простым пользователям:

# chmod 600 /etc/mail/certs/*

Теперь следует настроить sendmail. В .mc файле конфигурации нужно добавить следующие строки:

<pre>
define(`CERT_DIR', `MAIL_SETTINGS_DIR`'certs')dnl
define(`confCACERT_PATH', `CERT_DIR')dnl
define(`confCACERT', `CERT_DIR/CAcert.pem')dnl
define(`confSERVER_CERT', `CERT_DIR/mycert.pem')dnl
define(`confSERVER_KEY', `CERT_DIR/mykey.pem')dnl
define(`confCLIENT_CERT', `CERT_DIR/mycert.pem')dnl
define(`confCLIENT_KEY', `CERT_DIR/mykey.pem')dnl
</pre>

После добавления вышеуказанных строк в файл конфигурации следует пересобрать его с помощью m4 (см. файл /usr/share/sendmail/README) и рестартовать уже запущенный sendmail:

# kill -HUP `head −1 /var/run/sendmail.pid`

Для проверки настроек TLS можно воспользоваться командой telnet:

<pre>
# telnet localhost smtp
Trying 127.0.0.1…
Connected to localhost.
Escape character is '^]'.
220 form.home.lan ESMTP Sendmail 8.13.1/8.13.1; Wed, 17 Nov 2004 13:42:08 +0600
(NOVT)
EHLO localhost
250-form.home.lan Hello root@localhost.home.lan [127.0.0.1], pleased to meet you
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-8BITMIME
250-SIZE
250-DSN
250-ETRN
250-AUTH PLAIN
250-STARTTLS
250-DELIVERBY
250 HELP
</pre>

При правильной настройке в ответе сервера на команду «EHLO» должна присутствовать строка «250-STARTTLS». Смотрите также по данной теме
[http://www.openbsd.pw/files/www.openbsd.org/cgi-bin/man.cgi@query=starttls&sektion=8 starttls(8)],
[http://www.openbsd.pw/files/www.openbsd.org/cgi-bin/man.cgi@query=ssl&sektion=8 ssl(8)],
[http://www.sendmail.org/~ca/email/starttls.html http://www.sendmail.org/~ca/email/starttls.html], /usr/share/sendmail/README.

Для того чтобы научить sendmail работать по SSL (без использования STARTTLS), нужно создать и добавить в .mc файл сертификат и ключ для шифрования, как описано выше, а также добавить следующие строки:

<pre>
DAEMON_OPTIONS(`Name=MTA')dnl
DAEMON_OPTIONS(`Port=465, Name=MTA-SSL, M=s')dnl
</pre>

Не забудьте перезапустить sendmail:

# kill -HUP `head −1 /var/run/sendmail.pid`

Для проверки можно воспользоваться командой openssl:

<pre>
# openssl s_client -connect localhost:465
CONNECTED(00000004)

[…]

---
SSL handshake has read 1409 bytes and written 288 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-DSS-AES256-SHA
Server public key is 1024 bit
SSL-Session:
Protocol : TLSv1
Cipher : DHE-DSS-AES256-SHA
Session-ID:
28CAD859854BC30F61B0013DF835E69CDB0037D82FD741F9C7A56DD1E25B655
Session-ID-ctx:
Master-Key:
F5BA53F5C0659E3E12D1057FE8D4AEA8177A868169B35949793ABECED7870A29FF4B3AFB9D479EA86618185D5192B837
Key-Arg : None
Start Time: 1119252698
Timeout : 300 (sec)
Verify return code: 18 (self signed certificate)
---
220 cvs.openbsd.ru ESMTP Sendmail 8.12.11/8.12.11; Mon, 20 Jun 2005 11:37:06 +0400 (MSD)
</pre>

== Настройка SMTP авторизации ==

Для настройки авторизации следует пересобрать sendmail с поддержкой SASL. Для этого следует установить пакет ''cyrus-sasl2'' или порт ''security/cyrus-sasl2''. Для включения поддержки SASL нам потребуется перекомпилировать sendmail следующим образом:

<pre>
# echo WANT_SMTPAUTH=yes >> /etc/mk.conf
# cd /usr/src/gnu/usr.sbin/sendmail
# make cleandir
# make obj
# make depend
# make
# make install
</pre>

Также можно воспользоваться набором site.tar.gz и пересобрать sendmail, установив настройку SENDMAIL_SASL=Yes в mk.conf.

Далее следует создать файл конфигурации SASL для sendmail ( /usr/local/lib/sasl2/Sendmail.conf):

pwcheck_method: saslauthd

Добавляем в /etc/rc.local строки для запуска saslauthd:

<pre>
if [ -x /usr/local/sbin/saslauthd ]; then
echo -n ' saslauthd'; /usr/local/sbin/saslauthd -a getpwent
fi
</pre>

Теперь остается только включить поддержку авторизации в .mc файле конфигурации sendmail:

<pre>
dnl
dnl Эту опцию следует включить, чтобы запретить авторизацию с помощью
dnl механизмов PLAIN и LOGIN по незащищенному соединению
dnl (без использования TLS).
dnl
define(`confAUTH_OPTIONS', `p')dnl
dnl
dnl Список допустимых механизмов авторизации. Для всех механизмов,
dnl кроме PLAIN и LOGIN, невозможна авторизация по системному файлу
dnl паролей. Для них следует использовать sasldb или другие способы
dnl авторизации (см. документацию sasl2).
dnl
define(`confAUTH_MECHANISMS', `DIGEST-MD5 CRAM-MD5 PLAIN LOGIN')dnl
dnl
dnl Список механизмов, авторизация по которым разрешает использовать
dnl сервер для пересылки почты (relaying).
dnl
TRUST_AUTH_MECH(`DIGEST-MD5 CRAM-MD5 PLAIN LOGIN')dnl
</pre>

Не забудьте перезапустить sendmail:

# kill -HUP `head −1 /var/run/sendmail.pid`

Для проверки настройки авторизации можно воспользоваться командой telnet:

<pre>
# telnet localhost smtp
Trying 127.0.0.1…
Connected to localhost.
Escape character is '^]'.
220 form.home.lan ESMTP Sendmail 8.13.1/8.13.1; Wed, 17 Nov 2004 13:42:08 +0600
(NOVT)
EHLO localhost
250-form.home.lan Hello root@localhost.home.lan [127.0.0.1], pleased to meet you
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-8BITMIME
250-SIZE
250-DSN
250-ETRN
250-AUTH DIGEST-MD5 CRAM-MD5
250-STARTTLS
250-DELIVERBY
250 HELP
</pre>

При правильной настройке в ответе сервера на команду «EHLO» должна присутствовать строка «250-AUTH». В случае если в файле конфигурации запрещено использование PLAIN авторизации по незащищенному соединению, вместо команды telnet следует использовать команду openssl:

# openssl s_client -starttls smtp -connect localhost: smtp

Смотрите также /usr/share/sendmail/README, [[#Настройка TLS и SSL|Настройка TLS и SSL]].

== Настройка sendmail как SMTP клиента с авторизацией ==

В случае, когда sendmail выступает в роли клиента, демон saslauthd не требуется. В файл конфигурации необходимо внести следующие изменения:

<pre>
define(`SMART_HOST', `smtp: smtp.domain.ru')dnl
define(`confAUTH_MECHANISMS', `DIGEST-MD5 CRAM-MD5 PLAIN LOGIN')dnl
FEATURE(`authinfo', `hash /etc/mail/authinfo')dnl
</pre>

Указываем SMTP-сервер, имя и пароль пользователя, а также метод аутентификации в отдельном файле /etc/mail/authinfo:

AuthInfo: smtp.domain.ru «U:username@domain.ru» «P:mypassword» «M:CRAM-MD5»

Создаем хэшированную базу данных /etc/mail/authinfo.db:

# makemap hash /etc/mail/authinfo < /etc/mail/authinfo

== Как заставить sendmail использовать /etc/hosts ==

По умолчанию sendmail использует в первую очередь DNS. Чтобы заставить его сначала смотреть <tt>/etc/hosts</tt>, нужно создать файл <tt>/etc/mail/service.switch</tt> и прописать в нем следующую строку:

hosts files dns

После этого достаточно перезапустить sendmail:

# kill -HUP `head −1 /var/run/sendmail.pid`

== Хранение писем в Maildir ==

По умолчанию sendmail использует mail.local в качестве локального агента доставки почты. При этом почта доставляется в формате стандартного BSD mailbox. Чтобы доставлять почту в Maildir, нам потребуется установить альтернативный агент доставки mail.buhal, который можно скачать [http://pdp-11.org.ru/~form/openbsd/files/sys/mail.buhal-1.0.tar.gz отсюда].

Сначала нужно собрать и установить mail.buhal:

# make depend && make && make install

Далее следует указать mail.buhal в файле конфигурации sendmail в качестве локального агента доставки:

<pre>
define(`LOCAL_MAILER_PATH', `/usr/libexec/mail.buhal')dnl
MODIFY_MAILER_FLAGS(`LOCAL', `-m')dnl
</pre>

Теперь достаточно перекомпилировать файл конфигурации и перезапустить sendmail.

В портах OpenBSD, в категории mail, есть программы ''procmail'' и ''maildrop'', которые также поддерживают формат Maildir и дополнительные расширения данного формата.

== Использование procmail в качестве LDA ==

После установки procmail из портов или пакетов, необходимо создать глобальный конфигурационный файл. Пример конфигурации:

<pre>
# Секция общих настроек.
#
DROPPRIVS=yes
COMSAT=no
VERBOSE=off
SHELL=/bin/sh
PATH=/bin:/usr/bin:/usr/local/bin
LOCKFILE=$HOME/.lockmail
LOGFILE=$HOME/procmail.log

# Складываем почту в формате Maildir.
#
MAILDIR=$HOME/Maildir/
DEFAULT=$MAILDIR

# Входящую корреспонденцию можно резервировать в файлы формата mbox.
#
#: 0 c
# /var/mail/$LOGNAME

# Либо передавать в хранилище на другом хосте.
#
#: 0 c
# ! mail@mx2.domain.ru
</pre>

Далее необходимо изменить локальный агент доставки (LDA) с mail.local на procmail:

<pre>
FEATURE(local_procmail)dnl
MAILER(local)dnl
MAILER(smtp)dnl
</pre>

Теперь достаточно перекомпилировать файл конфигурации и перезапустить sendmail.

[[Категория:Howto]]

Настройка sendmail

2013-06-03T12:29:45Z

Nordwind: /* Настройка SMTP авторизации */

:Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru]
 

== Настройка TLS и SSL ==

Начиная с версии 8.11, sendmail поддерживает защиту ESMTP соединения с помощью расширения STARTTLS (RFC 2487). Для настройки TLS прежде всего нужно создать SSL сертификат и секретный DSA-ключ для шифрования:

<pre>
# mkdir -m 700 /etc/mail/certs
# openssl dsaparam 1024 -out dsa1024.pem
# openssl req -x509 -nodes -days 365 -newkey dsa: dsa1024.pem \
-out /etc/mail/certs/mycert.pem -keyout /etc/mail/certs/mykey.pem
# rm -f dsa1024.pem
</pre>

Если у вас уже есть ключ шифрования, то для создания сертификата следует подать команду:

<pre>
# openssl req -x509 -new -days 365 -key /etc/mail/certs/mykey.pem \
-out /etc/mail/certs/mycert.pem
</pre>

Параметр ''-days'' позволяет указать количество дней, в течение которых сертификат будет действительным. Чтобы проверить созданный сертификат, можно воспользоваться следующей командой:

# openssl x509 -in /etc/mail/certs/mycert.pem -text

Если вы не планируете использовать TLS для авторизации (не путать с [[#Настройка SMTP авторизации|SMTP авторизацией]]) или используете сертификат, подписанный самим собой, следует создать symlink:

# ln -s /etc/mail/certs/mycert.pem /etc/mail/certs/CAcert.pem

В противном случае следует поместить сертификат авторизации в файл /etc/mail/certs/CAcert.pem Не забудьте установить права, запрещающие чтение/запись файлов сертификатов и ключей простым пользователям:

# chmod 600 /etc/mail/certs/*

Теперь следует настроить sendmail. В .mc файле конфигурации нужно добавить следующие строки:

<pre>
define(`CERT_DIR', `MAIL_SETTINGS_DIR`'certs')dnl
define(`confCACERT_PATH', `CERT_DIR')dnl
define(`confCACERT', `CERT_DIR/CAcert.pem')dnl
define(`confSERVER_CERT', `CERT_DIR/mycert.pem')dnl
define(`confSERVER_KEY', `CERT_DIR/mykey.pem')dnl
define(`confCLIENT_CERT', `CERT_DIR/mycert.pem')dnl
define(`confCLIENT_KEY', `CERT_DIR/mykey.pem')dnl
</pre>

После добавления вышеуказанных строк в файл конфигурации следует пересобрать его с помощью m4 (см. файл /usr/share/sendmail/README) и рестартовать уже запущенный sendmail:

# kill -HUP `head −1 /var/run/sendmail.pid`

Для проверки настроек TLS можно воспользоваться командой telnet:

<pre>
# telnet localhost smtp
Trying 127.0.0.1…
Connected to localhost.
Escape character is '^]'.
220 form.home.lan ESMTP Sendmail 8.13.1/8.13.1; Wed, 17 Nov 2004 13:42:08 +0600
(NOVT)
EHLO localhost
250-form.home.lan Hello root@localhost.home.lan [127.0.0.1], pleased to meet you
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-8BITMIME
250-SIZE
250-DSN
250-ETRN
250-AUTH PLAIN
250-STARTTLS
250-DELIVERBY
250 HELP
</pre>

При правильной настройке в ответе сервера на команду «EHLO» должна присутствовать строка «250-STARTTLS». Смотрите также по данной теме
[http://www.openbsd.pw/files/www.openbsd.org/cgi-bin/man.cgi@query=starttls&sektion=8 starttls(8)],
[http://www.openbsd.pw/files/www.openbsd.org/cgi-bin/man.cgi@query=ssl&sektion=8 ssl(8)],
[http://www.sendmail.org/~ca/email/starttls.html http://www.sendmail.org/~ca/email/starttls.html], /usr/share/sendmail/README.

Для того чтобы научить sendmail работать по SSL (без использования STARTTLS), нужно создать и добавить в .mc файл сертификат и ключ для шифрования, как описано выше, а также добавить следующие строки:

<pre>
DAEMON_OPTIONS(`Name=MTA')dnl
DAEMON_OPTIONS(`Port=465, Name=MTA-SSL, M=s')dnl
</pre>

Не забудьте перезапустить sendmail:

# kill -HUP `head −1 /var/run/sendmail.pid`

Для проверки можно воспользоваться командой openssl:

<pre>
# openssl s_client -connect localhost:465
CONNECTED(00000004)

[…]

---
SSL handshake has read 1409 bytes and written 288 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-DSS-AES256-SHA
Server public key is 1024 bit
SSL-Session:
Protocol : TLSv1
Cipher : DHE-DSS-AES256-SHA
Session-ID:
28CAD859854BC30F61B0013DF835E69CDB0037D82FD741F9C7A56DD1E25B655
Session-ID-ctx:
Master-Key:
F5BA53F5C0659E3E12D1057FE8D4AEA8177A868169B35949793ABECED7870A29FF4B3AFB9D479EA86618185D5192B837
Key-Arg : None
Start Time: 1119252698
Timeout : 300 (sec)
Verify return code: 18 (self signed certificate)
---
220 cvs.openbsd.ru ESMTP Sendmail 8.12.11/8.12.11; Mon, 20 Jun 2005 11:37:06 +0400 (MSD)
</pre>

== Настройка SMTP авторизации ==

Для настройки авторизации следует пересобрать sendmail с поддержкой SASL. Для этого следует установить пакет ''cyrus-sasl2'' или порт ''security/cyrus-sasl2''. Для включения поддержки SASL нам потребуется перекомпилировать sendmail следующим образом:

<pre>
# echo WANT_SMTPAUTH=yes >> /etc/mk.conf
# cd /usr/src/gnu/usr.sbin/sendmail
# make cleandir
# make obj
# make depend
# make
# make install
</pre>

Также можно воспользоваться набором site.tar.gz и пересобрать sendmail, установив настройку SENDMAIL_SASL=Yes в mk.conf.

Далее следует создать файл конфигурации SASL для sendmail ( /usr/local/lib/sasl2/Sendmail.conf):

pwcheck_method: saslauthd

Добавляем в /etc/rc.local строки для запуска saslauthd:

<pre>
if [ -x /usr/local/sbin/saslauthd ]; then
echo -n ' saslauthd'; /usr/local/sbin/saslauthd -a getpwent
fi
</pre>

Теперь остается только включить поддержку авторизации в .mc файле конфигурации sendmail:

<pre>
dnl
dnl Эту опцию следует включить, чтобы запретить авторизацию с помощью
dnl механизмов PLAIN и LOGIN по незащищенному соединению
dnl (без использования TLS).
dnl
define(`confAUTH_OPTIONS', `p')dnl
dnl
dnl Список допустимых механизмов авторизации. Для всех механизмов,
dnl кроме PLAIN и LOGIN, невозможна авторизация по системному файлу
dnl паролей. Для них следует использовать sasldb или другие способы
dnl авторизации (см. документацию sasl2).
dnl
define(`confAUTH_MECHANISMS', `DIGEST-MD5 CRAM-MD5 PLAIN LOGIN')dnl
dnl
dnl Список механизмов, авторизация по которым разрешает использовать
dnl сервер для пересылки почты (relaying).
dnl
TRUST_AUTH_MECH(`DIGEST-MD5 CRAM-MD5 PLAIN LOGIN')dnl
</pre>

Не забудьте перезапустить sendmail:

# kill -HUP `head −1 /var/run/sendmail.pid`

Для проверки настройки авторизации можно воспользоваться командой telnet:

<pre>
# telnet localhost smtp
Trying 127.0.0.1…
Connected to localhost.
Escape character is '^]'.
220 form.home.lan ESMTP Sendmail 8.13.1/8.13.1; Wed, 17 Nov 2004 13:42:08 +0600
(NOVT)
EHLO localhost
250-form.home.lan Hello root@localhost.home.lan [127.0.0.1], pleased to meet you
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-8BITMIME
250-SIZE
250-DSN
250-ETRN
250-AUTH DIGEST-MD5 CRAM-MD5
250-STARTTLS
250-DELIVERBY
250 HELP
</pre>

При правильной настройке в ответе сервера на команду «EHLO» должна присутствовать строка «250-AUTH». В случае если в файле конфигурации запрещено использование PLAIN авторизации по незащищенному соединению, вместо команды telnet следует использовать команду openssl:

# openssl s_client -starttls smtp -connect localhost: smtp

Смотрите также /usr/share/sendmail/README, [[#Настройка TLS и SSL|Настройка TLS и SSL]].

== Настройка sendmail как SMTP клиента с авторизацией ==

В случае, когда sendmail выступает в роли клиента, демон saslauthd не требуется. В файл конфигурации необходимо внести следующие изменения:

<pre>
define(`SMART_HOST', `smtp: smtp.domain.ru')dnl
define(`confAUTH_MECHANISMS', `DIGEST-MD5 CRAM-MD5 PLAIN LOGIN')dnl
FEATURE(`authinfo', `hash /etc/mail/authinfo')dnl
</pre>

Указываем SMTP-сервер, имя и пароль пользователя, а также метод аутентификации в отдельном файле <tt>/etc/mail/authinfo</tt>:

AuthInfo: smtp.domain.ru «U:username@domain.ru» «P:mypassword» «M:CRAM-MD5»

Создаем хэшированную базу данных /etc/mail/authinfo.db:

# makemap hash /etc/mail/authinfo < /etc/mail/authinfo

== Как заставить sendmail использовать /etc/hosts ==

По умолчанию sendmail использует в первую очередь DNS. Чтобы заставить его сначала смотреть <tt>/etc/hosts</tt>, нужно создать файл <tt>/etc/mail/service.switch</tt> и прописать в нем следующую строку:

hosts files dns

После этого достаточно перезапустить sendmail:

# kill -HUP `head −1 /var/run/sendmail.pid`

== Хранение писем в Maildir ==

По умолчанию sendmail использует mail.local в качестве локального агента доставки почты. При этом почта доставляется в формате стандартного BSD mailbox. Чтобы доставлять почту в Maildir, нам потребуется установить альтернативный агент доставки mail.buhal, который можно скачать [http://pdp-11.org.ru/~form/openbsd/files/sys/mail.buhal-1.0.tar.gz отсюда].

Сначала нужно собрать и установить mail.buhal:

# make depend && make && make install

Далее следует указать mail.buhal в файле конфигурации sendmail в качестве локального агента доставки:

<pre>
define(`LOCAL_MAILER_PATH', `/usr/libexec/mail.buhal')dnl
MODIFY_MAILER_FLAGS(`LOCAL', `-m')dnl
</pre>

Теперь достаточно перекомпилировать файл конфигурации и перезапустить sendmail.

В портах OpenBSD, в категории mail, есть программы ''procmail'' и ''maildrop'', которые также поддерживают формат Maildir и дополнительные расширения данного формата.

== Использование procmail в качестве LDA ==

После установки procmail из портов или пакетов, необходимо создать глобальный конфигурационный файл. Пример конфигурации:

<pre>
# Секция общих настроек.
#
DROPPRIVS=yes
COMSAT=no
VERBOSE=off
SHELL=/bin/sh
PATH=/bin:/usr/bin:/usr/local/bin
LOCKFILE=$HOME/.lockmail
LOGFILE=$HOME/procmail.log

# Складываем почту в формате Maildir.
#
MAILDIR=$HOME/Maildir/
DEFAULT=$MAILDIR

# Входящую корреспонденцию можно резервировать в файлы формата mbox.
#
#: 0 c
# /var/mail/$LOGNAME

# Либо передавать в хранилище на другом хосте.
#
#: 0 c
# ! mail@mx2.domain.ru
</pre>

Далее необходимо изменить локальный агент доставки (LDA) с mail.local на procmail:

<pre>
FEATURE(local_procmail)dnl
MAILER(local)dnl
MAILER(smtp)dnl
</pre>

Теперь достаточно перекомпилировать файл конфигурации и перезапустить sendmail.

[[Категория:Howto]]

Настройка sendmail

2013-06-03T12:26:45Z

Nordwind: /* Настройка TLS и SSL */

:Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru]
 

== Настройка TLS и SSL ==

Начиная с версии 8.11, sendmail поддерживает защиту ESMTP соединения с помощью расширения STARTTLS (RFC 2487). Для настройки TLS прежде всего нужно создать SSL сертификат и секретный DSA-ключ для шифрования:

<pre>
# mkdir -m 700 /etc/mail/certs
# openssl dsaparam 1024 -out dsa1024.pem
# openssl req -x509 -nodes -days 365 -newkey dsa: dsa1024.pem \
-out /etc/mail/certs/mycert.pem -keyout /etc/mail/certs/mykey.pem
# rm -f dsa1024.pem
</pre>

Если у вас уже есть ключ шифрования, то для создания сертификата следует подать команду:

<pre>
# openssl req -x509 -new -days 365 -key /etc/mail/certs/mykey.pem \
-out /etc/mail/certs/mycert.pem
</pre>

Параметр ''-days'' позволяет указать количество дней, в течение которых сертификат будет действительным. Чтобы проверить созданный сертификат, можно воспользоваться следующей командой:

# openssl x509 -in /etc/mail/certs/mycert.pem -text

Если вы не планируете использовать TLS для авторизации (не путать с [[#Настройка SMTP авторизации|SMTP авторизацией]]) или используете сертификат, подписанный самим собой, следует создать symlink:

# ln -s /etc/mail/certs/mycert.pem /etc/mail/certs/CAcert.pem

В противном случае следует поместить сертификат авторизации в файл /etc/mail/certs/CAcert.pem Не забудьте установить права, запрещающие чтение/запись файлов сертификатов и ключей простым пользователям:

# chmod 600 /etc/mail/certs/*

Теперь следует настроить sendmail. В .mc файле конфигурации нужно добавить следующие строки:

<pre>
define(`CERT_DIR', `MAIL_SETTINGS_DIR`'certs')dnl
define(`confCACERT_PATH', `CERT_DIR')dnl
define(`confCACERT', `CERT_DIR/CAcert.pem')dnl
define(`confSERVER_CERT', `CERT_DIR/mycert.pem')dnl
define(`confSERVER_KEY', `CERT_DIR/mykey.pem')dnl
define(`confCLIENT_CERT', `CERT_DIR/mycert.pem')dnl
define(`confCLIENT_KEY', `CERT_DIR/mykey.pem')dnl
</pre>

После добавления вышеуказанных строк в файл конфигурации следует пересобрать его с помощью m4 (см. файл /usr/share/sendmail/README) и рестартовать уже запущенный sendmail:

# kill -HUP `head −1 /var/run/sendmail.pid`

Для проверки настроек TLS можно воспользоваться командой telnet:

<pre>
# telnet localhost smtp
Trying 127.0.0.1…
Connected to localhost.
Escape character is '^]'.
220 form.home.lan ESMTP Sendmail 8.13.1/8.13.1; Wed, 17 Nov 2004 13:42:08 +0600
(NOVT)
EHLO localhost
250-form.home.lan Hello root@localhost.home.lan [127.0.0.1], pleased to meet you
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-8BITMIME
250-SIZE
250-DSN
250-ETRN
250-AUTH PLAIN
250-STARTTLS
250-DELIVERBY
250 HELP
</pre>

При правильной настройке в ответе сервера на команду «EHLO» должна присутствовать строка «250-STARTTLS». Смотрите также по данной теме
[http://www.openbsd.pw/files/www.openbsd.org/cgi-bin/man.cgi@query=starttls&sektion=8 starttls(8)],
[http://www.openbsd.pw/files/www.openbsd.org/cgi-bin/man.cgi@query=ssl&sektion=8 ssl(8)],
[http://www.sendmail.org/~ca/email/starttls.html http://www.sendmail.org/~ca/email/starttls.html], /usr/share/sendmail/README.

Для того чтобы научить sendmail работать по SSL (без использования STARTTLS), нужно создать и добавить в .mc файл сертификат и ключ для шифрования, как описано выше, а также добавить следующие строки:

<pre>
DAEMON_OPTIONS(`Name=MTA')dnl
DAEMON_OPTIONS(`Port=465, Name=MTA-SSL, M=s')dnl
</pre>

Не забудьте перезапустить sendmail:

# kill -HUP `head −1 /var/run/sendmail.pid`

Для проверки можно воспользоваться командой openssl:

<pre>
# openssl s_client -connect localhost:465
CONNECTED(00000004)

[…]

---
SSL handshake has read 1409 bytes and written 288 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-DSS-AES256-SHA
Server public key is 1024 bit
SSL-Session:
Protocol : TLSv1
Cipher : DHE-DSS-AES256-SHA
Session-ID:
28CAD859854BC30F61B0013DF835E69CDB0037D82FD741F9C7A56DD1E25B655
Session-ID-ctx:
Master-Key:
F5BA53F5C0659E3E12D1057FE8D4AEA8177A868169B35949793ABECED7870A29FF4B3AFB9D479EA86618185D5192B837
Key-Arg : None
Start Time: 1119252698
Timeout : 300 (sec)
Verify return code: 18 (self signed certificate)
---
220 cvs.openbsd.ru ESMTP Sendmail 8.12.11/8.12.11; Mon, 20 Jun 2005 11:37:06 +0400 (MSD)
</pre>

== Настройка SMTP авторизации ==

Для настройки авторизации следует пересобрать sendmail с поддержкой SASL. Для этого следует установить пакет ''cyrus-sasl2'' или порт ''security/cyrus-sasl2''. Для включения поддержки SASL нам потребуется перекомпилировать sendmail следующим образом:

<pre>
# echo WANT_SMTPAUTH=yes >> /etc/mk.conf
# cd /usr/src/gnu/usr.sbin/sendmail
# make cleandir
# make obj
# make depend
# make
# make install
</pre>

Также можно воспользоваться набором site.tar.gz и пересобрать sendmail, установив настройку SENDMAIL_SASL=Yes в mk.conf.

Далее следует создать файл конфигурации SASL для sendmail (<tt>/usr/local/lib/sasl2/Sendmail.conf</tt>):

pwcheck_method: saslauthd

Добавляем в <tt>/etc/rc.local</tt> строки для запуска saslauthd:

<pre>
if [ -x /usr/local/sbin/saslauthd ]; then
echo -n ' saslauthd'; /usr/local/sbin/saslauthd -a getpwent
fi
</pre>

Теперь остается только включить поддержку авторизации в .mc файле конфигурации sendmail:

<pre>
dnl
dnl Эту опцию следует включить, чтобы запретить авторизацию с помощью
dnl механизмов PLAIN и LOGIN по незащищенному соединению
dnl (без использования TLS).
dnl
define(`confAUTH_OPTIONS', `p')dnl
dnl
dnl Список допустимых механизмов авторизации. Для всех механизмов,
dnl кроме PLAIN и LOGIN, невозможна авторизация по системному файлу
dnl паролей. Для них следует использовать sasldb или другие способы
dnl авторизации (см. документацию sasl2).
dnl
define(`confAUTH_MECHANISMS', `DIGEST-MD5 CRAM-MD5 PLAIN LOGIN')dnl
dnl
dnl Список механизмов, авторизация по которым разрешает использовать
dnl сервер для пересылки почты (relaying).
dnl
TRUST_AUTH_MECH(`DIGEST-MD5 CRAM-MD5 PLAIN LOGIN')dnl
</pre>

Не забудьте перезапустить sendmail:

# kill -HUP `head −1 /var/run/sendmail.pid`

Для проверки настройки авторизации можно воспользоваться командой telnet:

<pre>
# telnet localhost smtp
Trying 127.0.0.1…
Connected to localhost.
Escape character is '^]'.
220 form.home.lan ESMTP Sendmail 8.13.1/8.13.1; Wed, 17 Nov 2004 13:42:08 +0600
(NOVT)
EHLO localhost
250-form.home.lan Hello root@localhost.home.lan [127.0.0.1], pleased to meet you
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-8BITMIME
250-SIZE
250-DSN
250-ETRN
250-AUTH DIGEST-MD5 CRAM-MD5
250-STARTTLS
250-DELIVERBY
250 HELP
</pre>

При правильной настройке в ответе сервера на команду «EHLO» должна присутствовать строка «250-AUTH». В случае если в файле конфигурации запрещено использование PLAIN авторизации по незащищенному соединению, вместо команды telnet следует использовать команду openssl:

# openssl s_client -starttls smtp -connect localhost: smtp

Смотрите также <tt>/usr/share/sendmail/README</tt>, [[#Настройка TLS и SSL|Настройка TLS и SSL]].

== Настройка sendmail как SMTP клиента с авторизацией ==

В случае, когда sendmail выступает в роли клиента, демон saslauthd не требуется. В файл конфигурации необходимо внести следующие изменения:

<pre>
define(`SMART_HOST', `smtp: smtp.domain.ru')dnl
define(`confAUTH_MECHANISMS', `DIGEST-MD5 CRAM-MD5 PLAIN LOGIN')dnl
FEATURE(`authinfo', `hash /etc/mail/authinfo')dnl
</pre>

Указываем SMTP-сервер, имя и пароль пользователя, а также метод аутентификации в отдельном файле <tt>/etc/mail/authinfo</tt>:

AuthInfo: smtp.domain.ru «U:username@domain.ru» «P:mypassword» «M:CRAM-MD5»

Создаем хэшированную базу данных /etc/mail/authinfo.db:

# makemap hash /etc/mail/authinfo < /etc/mail/authinfo

== Как заставить sendmail использовать /etc/hosts ==

По умолчанию sendmail использует в первую очередь DNS. Чтобы заставить его сначала смотреть <tt>/etc/hosts</tt>, нужно создать файл <tt>/etc/mail/service.switch</tt> и прописать в нем следующую строку:

hosts files dns

После этого достаточно перезапустить sendmail:

# kill -HUP `head −1 /var/run/sendmail.pid`

== Хранение писем в Maildir ==

По умолчанию sendmail использует mail.local в качестве локального агента доставки почты. При этом почта доставляется в формате стандартного BSD mailbox. Чтобы доставлять почту в Maildir, нам потребуется установить альтернативный агент доставки mail.buhal, который можно скачать [http://pdp-11.org.ru/~form/openbsd/files/sys/mail.buhal-1.0.tar.gz отсюда].

Сначала нужно собрать и установить mail.buhal:

# make depend && make && make install

Далее следует указать mail.buhal в файле конфигурации sendmail в качестве локального агента доставки:

<pre>
define(`LOCAL_MAILER_PATH', `/usr/libexec/mail.buhal')dnl
MODIFY_MAILER_FLAGS(`LOCAL', `-m')dnl
</pre>

Теперь достаточно перекомпилировать файл конфигурации и перезапустить sendmail.

В портах OpenBSD, в категории mail, есть программы ''procmail'' и ''maildrop'', которые также поддерживают формат Maildir и дополнительные расширения данного формата.

== Использование procmail в качестве LDA ==

После установки procmail из портов или пакетов, необходимо создать глобальный конфигурационный файл. Пример конфигурации:

<pre>
# Секция общих настроек.
#
DROPPRIVS=yes
COMSAT=no
VERBOSE=off
SHELL=/bin/sh
PATH=/bin:/usr/bin:/usr/local/bin
LOCKFILE=$HOME/.lockmail
LOGFILE=$HOME/procmail.log

# Складываем почту в формате Maildir.
#
MAILDIR=$HOME/Maildir/
DEFAULT=$MAILDIR

# Входящую корреспонденцию можно резервировать в файлы формата mbox.
#
#: 0 c
# /var/mail/$LOGNAME

# Либо передавать в хранилище на другом хосте.
#
#: 0 c
# ! mail@mx2.domain.ru
</pre>

Далее необходимо изменить локальный агент доставки (LDA) с mail.local на procmail:

<pre>
FEATURE(local_procmail)dnl
MAILER(local)dnl
MAILER(smtp)dnl
</pre>

Теперь достаточно перекомпилировать файл конфигурации и перезапустить sendmail.

[[Категория:Howto]]

OpenBSD-Wiki:Текущие события

2013-06-02T10:12:50Z

Nordwind: /* Актуальное */

== Актуальное ==
Собрано всё, что применимо к текущему релизу.

* [[Введение в OpenBSD]]
* [[Аппаратное обеспечение и вопросы]]
* [[IPsec между OpenBSD и Linux Ubuntu]]
* [[OpenSSH мини-руководство]]
* [[OpenSSH: настройки, секреты, трюки и советы]]
* [[RSA/DSA аутентификация в OpenSSH]]
* [[Использование файла mk.conf]]
* [[Написание OpenBSD Loadable Kernel Modules (LKM)]]
* [[Настройка sendmail]]
* [[Новое IPSec howto]]
* [[Русификация OpenBSD 5.x]]
* [[Русификация OpenBSD]]
* [[Русификация консоли OpenBSD]]
* [[Создание загрузочной флешки]]
* [[Перечень Интернет ресурсов о OpenBSD]]
* [[Описание переменных sysctl]]
* [[Сборник советов с OpenBSD101.com]]

=== Переводы ===
* [[C2k10-marco]]
* [[C2k10-guenther]]
* [[C2k10-ajacoutot]]
* [[C2k10-henning]]
* [[C2k10-tedu]]

== Устаревшее ==
Данная информация сохранена для архивных версий.

* [[Использование Bluetooth в OpenBSD]]
* [[Настройка GPRS]]

== Прочее ==

* [[Резервная копия Wiki]]

RSA/DSA аутентификация в OpenSSH

2013-06-02T10:10:04Z

Nordwind: /* Что это такое? */

: Данная статья 100 % копипаст с [http://www.openbsd.ru www.openbsd.ru]

== Что это такое? ==

OpenSSH — замена стандартных уязвимых протоколов, таких как <tt>telnet</tt> или <tt>rsh</tt>. OpenSSH использует шифрованный канал для передачи данных. В нем могут быть задействованы алгоритмы аутентификации RSA или DSA.

Эти протоколы основаны на базе специально созданной паре ключей, а именно публичном и приватном ключах. Это асимметричные алгоритмы шифрования, то есть мы можем зашифровать информацию одним ключом, а расшифровать другим, в отличие, например от DES, где используется один и тот же ключ для шифрования и расшифровки информации.

Первым делом следует сгенеровать пару ключей. Опцией -t мы задаём тип ключа. Доступны следующие типы ключей: '''rsa''', '''dsa''' для протокола SSH 2 и '''rsa1''' для SSH 1.

<pre>
$ ssh-keygen -t dsa
Generating public/private dsa key pair.
Enter file in which to save the key (/home/dfa/.ssh/id_dsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/dfa/.ssh/id_dsa.
Your public key has been saved in /home/dfa/.ssh/id_dsa.pub.
The key fingerprint is:
27:33:40:91:0f:81:df:0a:87:f5:58:60:bb:28:c8:ad dfa@zinc
</pre>

Далее, если необходимо, указываем место, куда сохранить ключ, по умолчанию предлагается /home/$USER/.ssh/id_dsa. Если ввести пароль, наш приватный ключ будет зашифрован, и для того чтобы позднее воспользоваться этим ключом, нам необходимо будет вводить данный пароль. Публичный ключ имеет суффикс '''.pub'''.

При использовании беспарольной аутентификации любой, кто имеет доступ к приватному ключу, может беспрепятственно проникнуть на удалённую машину, для которой этот ключ используется.

Публичный ключ не представляет угрозу для безопасности, мы можем пересылать его по <tt>email</tt> или по <tt>ftp</tt>.

Далее рассмотрим способ аутентификации, при котором приватный ключ будет зашифрован паролем, и нам не нужно будет каждый раз вводить его при соединении, за нас это будет делать [[#Парольная аутентификация с использованием ssh-agent|<tt>ssh-agent</tt>]], занимающийся кэшированием дешифрованных личных ключей.

== Беспарольная аутентификация ==

После успешной генерации ключей необходимо скопировать публичный ключ на удалённую машину в файл ~/.ssh/authorized_keys:

<pre>
$ scp ~/.ssh/id_dsa.pub cvs.openbsd.ru:~/.ssh/authorized_keys
dfa@cvs.openbsd.ru password:
id_dsa.pub 100 % |***************************| 598 00:00
</pre>

Пример файла конфигурации клиента ~/.ssh/config:

<pre>
Host cvs.openbsd.ru
IdentityFile ~/.ssh/id_dsa
RSAAuthentication yes

Host anoncvs.ca.openbsd.org
Compression no

Host *
Cipher blowfish
Compression yes
EscapeChar ~
Port 22
Protocol 2,1
User dfa
</pre>

Пробуем присоединиться к удалённой машине <tt>cvs.openbsd.ru</tt>

<pre>
$ ssh cvs.openbsd.ru
OpenBSD 3.0-current (RUOBSD) #19: Sat Dec 1 11:57:43 NOVT 2001

Welcome to OpenBSD: The proactively secure Unix-like operating system.

$
</pre>

== Парольная аутентификация с использованием <tt>ssh-agent</tt> ==

<tt>ssh-agent</tt> — специальная программа-демон, которая разработана для протоколов аутентификации RSA/DSA и применяется для хранения парольной фразы приватного ключа. Используя эту программу, вы можете соединяться с удалённой машиной, не набирая пароль, и при этом ваши приватные ключи остаются защищёнными. Клиент <tt>ssh</tt> поддерживает <tt>ssh-agent</tt> и может взаимодействовать с ней.

Ключи и их пароли добавляются к <tt>ssh-agent</tt> только один раз, используя <tt>ssh-add</tt>, и далее <tt>ssh</tt> будет обращаться к <tt>ssh-agent</tt> для определения парольной фразы для данного приватного ключа.

При запуске <tt>ssh-agent</tt>, в зависимости от вашего $SHELL, выводит команды для установки переменных окружения:

<pre>
$ ssh-agent
SSH_AUTH_SOCK=/tmp/ssh-jyw17290/agent.17290; export SSH_AUTH_SOCK;
SSH_AGENT_PID=8809; export SSH_AGENT_PID;
echo Agent pid 8809;
$
</pre>

<tt>ssh-agent</tt> открывает сокет для взаимодействия с <tt>ssh</tt> и сообщает об этом через переменную окружения $SSH_AUTH_SOCK, а также сообщает свой уникальный идентификатор процесса, который установлен в переменной окружения $SSH_AGENT_PID и выводится командой <tt>echo</tt>.

Правильный запуск <tt>ssh-agent</tt>, используя встроенную в оболочку команду eval, выполняется следующим образом:

<pre>
$ eval `ssh-agent`
Agent pid 17522
$
</pre>

Или можно задать программу, использующую ssh, как аргумент ssh-agent. В данном случае — это командный интерпретатор ksh:

<pre>
$ ssh-agent /bin/ksh
$ env | grep SSH
SSH_AUTH_SOCK=/tmp/ssh-SAe17087/agent.17087
SSH_AGENT_PID=20652
$
</pre>

Теперь, используя ssh-add, необходимо добавить ключ и парольную фразу к нему:

<pre>
$ ssh-add ~/.ssh/id_dsa
Enter passphrase for /home/dfa/.ssh/id_dsa:
Identity added: /home/dfa/.ssh/id_dsa (/home/user/.ssh/id_dsa)
$
</pre>

Пробуем присоединиться к удалённой машине <tt>cvs.openbsd.ru</tt>

<pre>
$ ssh cvs.openbsd.ru
OpenBSD 3.0-current (RUOBSD) #19: Sat Dec 1 11:57:43 NOVT 2001

Welcome to OpenBSD: The proactively secure Unix-like operating system.

$
</pre>

[[Категория:Howto]]