vpn技術(shù)支持
式
* pppd 程式
* sudo 程式
* pty-redir 程式
目前使用的版本:
* 核心: 2.0.29 �。請(qǐng)使用穩(wěn)定的核心��,而且��,必須比 2.0.20 還新���,因?yàn)?br />
ping'o'death 的錯(cuò)誤���。在撰寫(xiě)本文時(shí),最後一個(gè)穩(wěn)定的核心是版本 2.0.30
�����,但是它有一些錯(cuò)誤�。如果 ,你想要使用最新版核心所提供���,既快又酷的網(wǎng)
路程式碼�,你自己可以www.592jsq.com 金色百貨 http://www.jsbhsc.com| www.modedy.com/嘗試看看,版本 2.0.30 對(duì)我而言��,已經(jīng)很好用了�。
* 基本的作業(yè)系統(tǒng):我比較喜歡 Debian 所發(fā)行的版本。你絕對(duì)使用不到任何
大型的 軟體套件��,當(dāng)然�����,也包含 sendmail 在內(nèi)����。你也絕對(duì)不能像其它的
UNIX 主機(jī)一樣�,允許 telnet、ftp�����、和 'r' 命令���,等功能的使用�����。
* ipfwadm 程式: 我使用的是 2.3.0��。
* fwtk 程式: 我使用的是 1.3���。
* ssh 程式: >= 1.2.20��。較舊的版本���,下層的協(xié)定會(huì)有問(wèn)題。
* pppd 程式: 我測(cè)試的是 2.2.0f�����,但是我無(wú)法確定它是否安全����,這就是為什
麼我會(huì) 將它的 setuid 位元拿掉,并透過(guò) sudo 來(lái)執(zhí)行它的原因�����。
* sudo 程式: 我所知道的最新版本是 1.5.2�����。
* pty-redir 程式: 這是我寫(xiě)。請(qǐng)至
取得?����,F(xiàn)在的
版本是 0.1 �。如果使用上有任何問(wèn)題,請(qǐng)來(lái)信告知���。
4.3 編譯與安裝
你現(xiàn)在的工作不是編譯就是安裝所搜集到的工具����。 并參閱其(以及
firewall-howto) 詳細(xì)的說(shuō)明文件?����,F(xiàn)在����,我們已經(jīng)安裝好這些工具了���。
4.4 其它子系統(tǒng)的設(shè)定
設(shè)定防火墻以及其它的項(xiàng)目���。你必須在兩臺(tái)防火墻主機(jī)之間�����,允許 ssh 資料的流
通�。這 是指�����,主防火墻會(huì)有網(wǎng)路連線到次防火墻的埠 22����。在次防火墻上啟動(dòng)
sshd,來(lái)驗(yàn)證是否 允許你“登入(login)”�。這個(gè)步驟尚未測(cè)試過(guò),請(qǐng)告訴我你
的測(cè)試結(jié)果�。
4.5 設(shè)定 VPN 的使用者帳戶
以你日常使用的工具(例如,vi�����、mkdir�、chown、chmod)在次防火墻上建立一個(gè)
使用者帳 戶���,你也可以在主防火墻上建立一個(gè)使用者帳戶����,但是,我認(rèn)為在開(kāi)機(jī)
階段設(shè)定連線就可以 了����,所以,使用原始的 root 帳戶就已足夠�。有任何人可以
為我們說(shuō)明一下,在主防火墻上 使用 root 帳戶����,會(huì)有什麼危險(xiǎn)性?
4.6 為 master 帳戶���,產(chǎn)生一個(gè) ssh key
你可以使用 ssh-keygen 程式。如果�,你要www.ieyou.net自動(dòng)設(shè)置 VPN,你可以設(shè)定一個(gè)沒(méi)有
密碼的 “私人鑰匙(private key)”���。
4.7 為 slave 帳戶�,設(shè)置自動(dòng)的 ssh 登入環(huán)境���。
在次防火墻中���,復(fù)制你剛才產(chǎn)生的“公共鑰匙(public key)”到��,使用者帳戶
slave 中 的 .ssh/authorized_keys 檔案里�,并且��,設(shè)定檔案的使用權(quán)限����,如下
:
drwx------ 2 slave slave 1024 Apr 7 23:49 ./
drwx------ 4 slave slave 1024 Apr 24 14:05 ../
-rwx------ 1 slave slave 328 Apr 7 03:04 authorized_keys
-rw------- 1 slave slave 660 Apr 14 15:23 known_hosts
-rw------- 1 slave slave 512 Apr 21 10:03 random_seed
其中,第一行是 ~slave/.ssh����,第二行是 ~slave。
4.8 加強(qiáng) ssh 在 bastion 主機(jī)上的安全性��。
請(qǐng)按照我在 sshd_conf 上的設(shè)定:
PermitRootLogin no
IgnoreRhosts yes
StrictModes yes
QuietMode no
FascistLogging yes
KeepAlive yes
RhostsAuthentication no
RhostsRSAAuthentication no
RSAAuthentication yes
PasswordAuthentication no
PermitEmptyPasswords no
密碼認(rèn)證(PasswordAuthentication)被關(guān)閉了�,所以,你只有使用授權(quán)過(guò)的 key
�,才能夠 完成登入的動(dòng)作。(當(dāng)然�����,你也已經(jīng)關(guān)閉了,telnet 與 'r' 命令)��。
4.9 允許 ppp 的執(zhí)行��,和這兩個(gè)帳戶的路由����。
當(dāng)你的 master 帳戶是 root 時(shí)(以我的例子而言),你不必做任何事情�。至於
slave 帳戶,則會(huì)在你的 /etc/sudoers 的檔案中出現(xiàn)一行:
Cmnd_Alias VPN=/usr/sbin/pppd,/usr/local/vpn/route
slave ALL=NOPASSWD: VPN
正如你所看到的���,我在次防火墻主機(jī)上�����,使用了一些命令稿(scripts)�����,來(lái)設(shè)定
ppp 和路由表。
4.10 撰寫(xiě)命令稿程式
在主防火墻主機(jī)上�,我使用了一個(gè)成熟的啟始命令稿:
#! /bin/sh
# 程式架構(gòu) 這個(gè)檔案是個(gè)建立在 /etc/init.d/ 目錄下的命令稿實(shí)例。
# 你應(yīng)該在 /etc/init.d 目錄下使用這個(gè)命令稿��。
#
# 作者 M
