„OpenVPN“ neabejotinai yra geriausias būdas saugiai prisijungti prie tinklo internete, „OpenVPN“ yra atvirojo kodo VPN šaltinis, leidžiantis mums kaip vartotojams užmaskuoti naršymą, kad netaptume aukomis tinkle.
Tai yra labai svarbūs saugumo lygio aspektai, į kuriuos turime atsižvelgti ir šį kartą analizuosime procesą „OpenVPN“ konfigūracija aplinkoje Debian 8.
PastabaPrieš pradedant diegimo procesą, svarbu atitikti tam tikrus reikalavimus:
- Šakninis vartotojas.
- „Droplet Debian 8“, šiuo metu turime „Debian 8.1“
1. Kaip įdiegti „OpenVPN“
Pirmas žingsnis, kurį žengsime atnaujinti visus aplinkos paketus naudojant komandą:
apt-get atnaujinimas
Kai paketai bus atsisiųsti ir atnaujinti įdiekime „OpenVPN“ naudodami „easy-RSA“ dėl šifravimo problemų. Mes vykdysime šią komandą:
apt-get install openvpn easy-rsa
Tada turime sukonfigūruoti savo „OpenVPN“, „OpenVPN“ konfigūracijos failai saugomi tokiu keliu: / etc / openvpn ir mes turime juos pridėti prie savo konfigūracijos, mes naudosime šią komandą:
gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz> /etc/openvpn/server.confIštraukę šiuos failus pasirinktu keliu, atidarysime juos naudodami nano redaktorių, vykdysime šią komandą:
nano /etc/openvpn/server.confPamatysime šį langą:
Kai jau esame turime atlikti kai kuriuos failo pakeitimusŠie pakeitimai iš esmės yra šie:
- Serverio apsauga naudojant aukšto lygio šifravimą
- Leisti žiniatinklio srautą į paskirties vietą
- Neleiskite DNS užklausoms filtruoti ne VPN ryšio
- Diegimo leidimai
Mes ketiname padvigubinti RSA rakto ilgį kuris naudojamas, kai sugeneruojami serverio ir kliento raktai, tam mes ieškosime failo šių verčių ir pakeisime reikšmę dh1024.pem reikšme dh2048.pem:
# Diffie hellman parametrai. # Sukurkite savo naudodami: # openssl dhparam -out dh1024.pem 1024 # Jei naudojate # 2048 bitų raktus, 1024 pakeiskite 2048. dh dh1024.pem
Dabar leiskime įsitikinkite, kad srautas teisingai nukreiptas į paskirties vietą, palikime komentarą, stumdami „redirect-gateway def1 bypass-dhcp“ pašalindami; jo pradžioje. failą server.conf:
# Jei įjungta, ši direktyva sukonfigūruos # visus klientus peradresuoti numatytuosius # tinklo šliuzus per VPN, todėl visas IP srautas, pvz., Naršymas internete ir # bei DNS peržiūros, eis per VPN # („OpenVPN“ serverio mašinai gali reikėti NAT # arba prijunkite TUN / TAP sąsają prie interneto # *****, kad tai tinkamai veiktų). ; paspauskite "peradresavimo vartai def1 bypass-dhcp"
Kitas žingsnis bus liepkite serveriui naudoti „OpenDNS“ DNS vardų sprendimui Jei įmanoma, tokiu būdu išvengiame, kad DNS užklausos nepatenka į VPN ryšį, savo faile turime rasti šį tekstą:
# Tam tikrus „Windows“ tinklo nustatymus # galima perkelti į klientus, pvz., DNS # arba WINS serverio adresus. CAVEAT: # http://openvpn.net/faq.html#dhcpcaveats # Žemiau esantys adresai yra susiję su viešaisiais # DNS serveriais, kuriuos teikia opendns.com. ; paspauskite "dhcp-option DNS 208.67.222.222"; paspauskite "dhcp-option DNS 208.67.220.220"Ten mes turime panaikinti „dhcp-option DNS 208.67.222.222“ ir pažymėti „dhcp-option DNS 208.67.220.220“ komentarus, pašalindami; nuo pradžios.
Pagaliau padarysime apibrėžti leidimus Tame pačiame faile, prie kurio dirbame, dedame šį tekstą:
# Galite atšaukti komentarą # ne „Windows“ sistemose. ; vartotojas niekas; grupių grupėMes panaikiname žymės pašalinimą; nuo tekstų pradžios vartotojas niekas Y grupės grupę.
Kaip žinome, „OpenVPN“ pagal numatytuosius nustatymus veikia kaip pagrindinis vartotojas, leidžiantis redaguoti bet kurį parametrą, o paskutinį kartą pakeisime saugumo sumetimais jį tik naudotojams ir grupei.
Pakeitimus išsaugome naudodami klavišų kombinaciją:
Ctrl + O
Ir mes paliekame redaktorių naudodami:
„Ctrl“ + X
Dabar mes ketiname įgalinti paketų persiuntimą į išorinį tinklą, tam mes vykdysime šią komandą:
echo 1> / proc / sys / net / ipv4 / ip_forwardTurime padaryti šį pakeitimą nuolatinį, o ne tai, kad turime tai daryti kiekvieną kartą paleidę sistemą, kad ji būtų tęstinė, įvesime „systcl“ failą naudodami „nano“ redaktorių, todėl atliksime šiuos veiksmus:
nano /etc/sysctl.confBus parodytas toks langas:
Mes surasime šią eilutę:
# Atsisakykite kitos eilutės, kad įgalintumėte IPv4 paketų persiuntimą # net.ipv4.ip_forward = 1PastabaPrisiminkite, kad redaktoriaus paiešką galime naudoti naudodami klavišų kombinaciją:
Ctrl + W
Ten panaikinsime komentaro žymėjimą net.ipv4.ip_forward = 1 pašalinus # simbolį.
Kitas žingsnis, kurį turime žengti, yra sukonfigūruoti UFW. UFW yra ip lentelių užkardos konfigūracija, todėl ketiname atlikti kai kuriuos pakeitimus, kad pakeistume UFW saugumą. Pirmiausia įdiegsime UFW paketus naudodami šią komandą:
apt-get install ufw
Atsisiuntę ir įdiegę reikiamus UFW paketus, sukonfigūruosime UFW, kad būtų leidžiami SSH ryšiai, todėl atliksime šiuos veiksmus:
ufw leisti ssh
Mūsų atveju mes dirbame prie UDP 1194 prievado, turime sukonfigūruoti šį prievadą, kad ryšys būtų patenkinamas, įvesime:
ufw leisti 1194 / udpPastabaMes galime pamatyti savo konsolės prievadus naudodami komandą lsof -iUDP
Toliau redaguosime UFW konfigūracijos failą, kurį įvesime naudodami nano redaktorių tokiu keliu:
nano / etc / default / ufwAtsidarys šis langas:
Ten mes padarysime keletą pakeitimų, surasime šią eilutę, kur mes pakeisime DROP į ACCEPT.
DEFAULT_FORWARD_POLICY = "DROP"Kitas žingsnis yra pridėkite keletą UFW taisyklių, skirtų tinklo adresų vertimui ir teisingam IP adresų maskavimui prisijungusių vartotojų. Atidarykime šį failą naudodami nano redaktorių:
nano /etc/ufw/before.rulesPamatysime, kad rodomas šis langas:
Mes pridėsime šį tekstą:
# PRADĖTI OPENVPN TAISYKLES # NAT lentelės taisyklės * nat: POSTROUTING ACCEPT [0: 0] # Leisti srautą iš „OpenVPN“ kliento į eth0 -A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE COMMIT # END OPENVPN TAISYKLĖS
Kai atliksime šiuos pakeitimus, mes tęsime įjungti UFW naudojant šią komandą:
ufw įjungti
Į patikrinkite užkardos taisyklesAš naudoju šią komandą:
ufw būsena
2. Sukurkite „OpenVPN“ įgaliojimo sertifikatą
Kitas mūsų proceso žingsnis yra sukurkite prisijungimo per „OpenVPN“ įgaliojimo sertifikatąPrisiminkime, kad „OpenVPN“ naudoja šiuos sertifikatus srautui užšifruoti. „OpenVPN“ palaiko dvikryptį sertifikavimą, tai yra, klientas turi patvirtinti serverio sertifikatą ir atvirkščiai.
Mes nukopijuosime scenarijus per „easy-RSA“ naudodami šią komandą:
cp -r / usr / share / easy -rsa / / etc / openvpnMes ketiname sukurkite katalogą raktams saugoti, naudosime šią komandą:
mkdir / etc / openvpn / easy-rsa / keysKitas žingsnis yra redaguoti sertifikato parametrus, naudosime šią komandą:
nano / etc / openvpn / easy-rsa / varsBus parodytas toks langas:
Mes pakeisime šiuos parametrus pagal savo reikalavimus:
export KEY_COUNTRY = "CO" export KEY_PROVINCE = "BO" export KEY_CITY = "Bogota" export KEY_ORG = "Solvetic" export KEY_EMAIL = "[email protected]" export KEY_OU = "Solvetic"
Tame pačiame faile redaguosime šią eilutę:
# X509 Temos lauko eksportas KEY_NAME = "EasyRSA"Mes ketiname pakeiskite „EasyRSA“ reikšmę į norimo serverio pavadinimą, naudosime Solvetic pavadinimą.
Dabar mes ketiname sukonfigūruokite Diffie-Helmano parametrus naudojant įrankį, kuris yra integruotas su „OpenSSL“ ir vadinamas dhparam. Mes įvesime ir vykdysime šią komandą:
openssl dhparam -out /etc/openvpn/dh2048.pem 2048
Sukūrę sertifikatą, mes tai padarysime pakeisti easy-RSA katalogą naudojant komandą:
cd / etc / openvpn / easy-rsaMes ketiname inicijuoti PKI, naudosime komandą:
… / Varsas
Mes ketiname išvalykite kitus raktus kad jie netrukdytų diegti naudojant komandą:
./valyti- visiDabar mes ketiname sukurti sertifikatą naudojant šią „OpenSSL“ komandą:
./build-ca
Galėsime pamatyti daugybę klausimų, susijusių su anksčiau įvesta informacija, tokiu būdu sugeneruotas sertifikatas. Toliau ketiname paleisti savo „OpenVPN“ serverį Mes redaguosime failą, esantį kelyje / etc / openvpn / easy-rsa naudojant anksčiau nurodytą rakto pavadinimą, mūsų atveju - „Solvetic“. Mes vykdysime šią komandą:
./kurtų raktų serveris Solvetic
Žemiau esančiose eilutėse mes galime palikti tuščią vietą ir paspausti Enter:
Įveskite šiuos „papildomus“ atributus, kurie bus išsiųsti su jūsų sertifikato užklausa. Iššūkio slaptažodis []: pasirenkamas įmonės pavadinimas []:Bus parodytas šis langas, kuriame turime įvesti raidę y (taip), kad galėtume priimti šiuos du klausimus: Pasirašykite sertifikatą ir prašykite sertifikatų.
Dabar leiskime perkelkite sertifikatus ir raktus į / etc / openvpn kelią, vykdysime šią komandą:
cp /etc/openvpn/easy-rsa/keys/[Solvetic.crt,Solvetic.key,ca.crt}/etc/openvpnKai šis procesas bus atliktas, mes tai padarysime paleiskite „OpenVPN“ paslaugą naudojant komandą:
„openvpn“ paslaugos paleidimasĮ pamatyti būseną naudosime komandą:
paslaugos „oopenvpn“ būsena
Kitas žingsnis bus sukurti sertifikatus ir raktus klientams, norintiems prisijungti prie VPN. Idealiu atveju, siekiant saugumo, kiekvienas klientas, prisijungęs prie serverio, turi savo sertifikatą ir raktą, niekada nesidalykite ja, pagal numatytuosius nustatymus „OpenVPN“ neleidžia vienu metu prisijungti su tuo pačiu sertifikatu ir raktu. Mes sukursime raktą savo klientui, tam įvesime šią komandą:
./build-key Client_Name, mūsų pavyzdyje naudosime šią komandą: ./build-key Tests
Užpildome reikiamus laukus ir tada užpildysime nukopijuokite sukurtą raktą į „easy-RSA“ katalogą.
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/easy-rsa/keys/client.ovpn.Dabar leiskime Atsisiųskite „Winscp“ įrankį nemokamai iš žemiau esančios nuorodos. Šis įrankis leis mums prisijungti per SFTP arba FTP prie „Debian“ įrenginio, kad patikrintume, ar failai sukurti teisingai. Atsisiuntę ir įvykdę, pamatysime šį langą:
Ten įvedame „Debian“ įrenginio IP adresą, atsiminkite, kad IP galima patvirtinti naudojant komandą „ifconfig“, įvedame kredencialus ir spustelėję „Prisijungti“ matome:
DIDELIS
Ten dešinėje pusėje matome atitinkamus klavišų ir klavišų failus. Norėdami pasiekti naudodami „OpenVPN“, mes atsisiųsime įrankį iš šios nuorodos „OpenVPN“ versija 2.3.11. Kai jį atsisiuntėme, turime atsižvelgti į kai kuriuos minėto įrankio pakeitimus, pirmas dalykas, kurį ketiname padaryti, yra nukopijuoti pagrindinius failus ir raktus kelyje, kuriame paprastai įdiegta „OpenVPN“:
C: \ Program Files \ OpenVPN \ configVėliau užrašų knygelėje arba teksto rengyklėje sukursime failą, kuriame yra ši informacija:
client dev tun proto udp remote 192.168.0.12 1194 key client.key cert client.crt ca ca.crt auth-user-pass persist-key persist-tun comp-lzo veiksmažodis 3PastabaIP yra mūsų „Debian“ įrenginio IP, o prievadas, kaip matėme anksčiau, yra UDP 1194.
Šis failas turi būti išsaugotas su plėtiniu .ovpn.
3. „OpenVPN“ kliento prieigos testas
Paleiskite „OPenVPN“ ir tai bus aplinka, kurioje mes atsidursime:
Įvedame vartotojo kredencialus norėdami prisijungti ir spustelėkite Gerai ir galime matyti štai ką
pastabąMes užmezgame šį ryšį iš „Windows 7“ kompiuterio.
Dabar pranešimų juostoje matome, kad ryšys buvo sėkmingas, ir galime pamatyti naują IP adresą.
Jei dešiniuoju pelės mygtuku spustelėkite įrankį (piktograma pranešimų juostoje), turime šias parinktis:
Iš čia mes galime atlikti užduotis, kurias manome esant būtinas. Pavyzdžiui, taip mes pasirenkame Rodyti būseną pamatysime šiuos dalykus:
4. „OpenVPN“ saugos įrankiai “]
Nėra jokių abejonių, kad Naršymas internete gali sukelti saugumo problemų pvz., virusai, informacijos vagystės, šnipinėjimo programos ir pan., todėl yra keletas įrankių, kuriuos galime įdiegti, kad pagerintume savo kompiuterio saugumą. „OpenVPN“.
Pakalbėkim apie Clamav Tai galinga antivirusinė programa, kuri padės mums kontroliuoti užkrėstus failus ar procesus „Debian 8.1“. Tai atvirojo kodo programinė įranga, leidžianti aptikti Trojos arklius, kenkėjiškas programas ir kitas paslėptas grėsmes savo kompiuteriuose. Diegimo procesas yra labai paprastas, todėl mes vykdysime šią komandą:
Sudo apt-get install clamav
Vėliau vykdysime šviežias moliuskas kad būtų atnaujinta visa „Clamav“ duomenų bazė.
Norėdami nuskaityti įrenginį, įvesime šią sintaksę:
„Clamscan“ -užsikrėtęs -pašalintas -rekursyvus / namuosePo akimirkos pamatysime nuskaitymo užduoties santrauką:
Kitas įrankis, kurį galime panaudoti savo saugumui pagerinti Privoxy kuris veikia kaip žiniatinklio tarpinis serveris ir apima išplėstines funkcijas, skirtas apsaugoti privatumą, valdyti slapukus, kontroliuoti prieigą, pašalinti skelbimus ir kt. Norėdami jį įdiegti mūsų „Debian 8.1“ sistemoje, vykdysime šią komandą:
Sudo apt-get install privoxy
Atminkite, kad jei mes esame root vartotojai, sudo nebūtina. Atsisiuntę ir įdiegę visus „Privoxy“ paketus, pakeisime kai kuriuos jo konfigūracijos failo parametrus, todėl vykdysime šią komandą:
Sudo nano / etc / privoxy / configBus rodoma:
Ten mes turime rasti liniją klausytis adreso localhost: 8118 ir mes turime pridėti 2 parametrus, pirmiausia šios eilutės pradžioje pridėkite # simbolį ir po juo įveskite terminą klausytis adreso ip_of_nour machine: 8118, mūsų atveju tai yra:
klausytis-adresas 192.168.0.10:8118.Kai tai bus padaryta, iš naujo paleisime paslaugą naudodami:
sudo /etc/init.d/privoxy paleiskite iš naujo
Tada einame į „Debian“ naršyklę ir keičiame tarpinio serverio parametrus, turime patvirtinti, kad IP yra tas, kurį pridėjome, o prievadas yra 8118. Mūsų pavyzdyje mes naudojame „IceWeasel“ ir turime įvesti:
- nuostatas
- Išplėstinė
- Grynasis
- Ryšio sąranka
- Rankinė tarpinio serverio konfigūracija
Kai sukonfigūruosime, spustelėkite Gerai. Dabar galime pamatyti, kaip „Privoxy“ padeda mums užtikrinti saugumą:
Yra ir kitų įrankių, kurie gali padėti mums pagerinti navigaciją naudojant „OpenVPN“.
DnsmasqJis teikia mums DNS paslaugas tokiu būdu, mes naudojame tik DNS talpyklą.
HAVPNaudodami šį įrankį turime tarpinį serverį su antivirusine programa, ji nuskaito visą srautą ieškodama virusų ar keisto elgesio.
Kaip matome, labai svarbu imtis priemonių, kurios padėtų mums kontroliuoti navigaciją ir būti labai aišku, kad teisingas „Debian“ 8.1
Tęskime visų didelių „Debian 8.1“ teikiamų pranašumų tyrimus ir gerinkime aplinką, nes daugelis iš mūsų yra administratoriai, koordinatoriai ar žmonės, atsakingi už IT sritį, ir šie patarimai padeda mums lengviau ir lengviau susidoroti su kasdiene situacija kad ateityje nekiltų kritinių problemų, kurios gali sukelti didelį galvos skausmą.
Įdiekite LAMP „Debian 8“