Страшная уязвимость в OpenVPN

Читаю, как OpenVPN с AD подружить, и не сразу понял, почему кофе не в то горло потек.

The 2 lines highlighted in the config file above (User: Nobody and Group: Nogroup) means that anybody who has the client profile (.ovpn) file can connect to your OpenVPN server without having to authenticate.

So the first step in configuring authentication via AD is to comment out those 2 lines or remove them so that users who have the client profile cannot login anonymously.

Страшная уязвимость в OpenVPN

Лига Сисадминов

2.7K постов19.2K подписчик

Правила сообщества

Мы здесь рады любым постам связанным с рабочими буднями специалистов нашей сферы деятельности.

Вы смотрите срез комментариев. Показать все
16
Автор поста оценил этот комментарий

поясните тем, кто мимокрокодил, пожалст

раскрыть ветку (6)
8
Автор поста оценил этот комментарий

Эти директивы отвечают исключительно за то, будет ли служба сервиса запущена от рута, или от непривелигерованного пользователя. Комментируя их, мы запускаем сервис от рута, что серьезно снижает безопасность. К аутентификации они никакого отношения не имеют, хоть и называются красиво.

раскрыть ветку (2)
10
Рррррррр
Автор поста оценил этот комментарий

Я так понимаю, проблема в конкретном мануале какого-то индуса, который ты читаешь)

Есть такое, когда хрен какой-то пишет, а его спокойно копируют сотни админов на сотни машин, бездумно.

В данном случае мы обсуждаем машину клиента, она во многих случаях не считается безопасной по-умолчанию)

Собственно, а кто еще кроме тебя может пользоваться всякими уязвимостями на твоей же пользовательской машине? По-хорошему не иметь проходной двор там у себя)


Если хотим труъ безопасность, значит мы работаем в серьёзной фирме, её стоит на каком-то более высоком уровне настраивать. Например подключать клиента по vpn к dmz серверу, а с него он пусть цепляется по RDP к выделенной виртуальной машине внутри предприятия. И что бы там этот клиент ни делал у себя на клиентской машине, пусть хоть обмажется вирусами и уязвимостями на своём клиентском компьютере - критически важных данных он на нём не имеет, ибо они все там, в сердце предприятия (или может на VPS и прочих облаках, нуачо, тоже возможно)


В общем, ничего страшного, клиент это клиент, бывает у него в жизни и похуже. Индуса этого не читай больше...

раскрыть ветку (1)
0
Рррррррр
Автор поста оценил этот комментарий

Аа, это даже не клиентский конфиг, а серверный. Ну тогда тем более.

1
Автор поста оценил этот комментарий

всё, понял)

раскрыть ветку (2)
Рррррррр
Автор поста оценил этот комментарий
И что ты понял?
раскрыть ветку (1)
0
Автор поста оценил этот комментарий

Что индус нехорошие слова пишет на разных языках)

Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку

Темы

Политика

Теги

Популярные авторы

Сообщества

18+

Теги

Популярные авторы

Сообщества

Игры

Теги

Популярные авторы

Сообщества

Юмор

Теги

Популярные авторы

Сообщества

Отношения

Теги

Популярные авторы

Сообщества

Здоровье

Теги

Популярные авторы

Сообщества

Путешествия

Теги

Популярные авторы

Сообщества

Спорт

Теги

Популярные авторы

Сообщества

Хобби

Теги

Популярные авторы

Сообщества

Сервис

Теги

Популярные авторы

Сообщества

Природа

Теги

Популярные авторы

Сообщества

Бизнес

Теги

Популярные авторы

Сообщества

Транспорт

Теги

Популярные авторы

Сообщества

Общение

Теги

Популярные авторы

Сообщества

Юриспруденция

Теги

Популярные авторы

Сообщества

Наука

Теги

Популярные авторы

Сообщества

IT

Теги

Популярные авторы

Сообщества

Животные

Теги

Популярные авторы

Сообщества

Кино и сериалы

Теги

Популярные авторы

Сообщества

Экономика

Теги

Популярные авторы

Сообщества

Кулинария

Теги

Популярные авторы

Сообщества

История

Теги

Популярные авторы

Сообщества

Недвижимость и ремонт

Теги

Популярные авторы

Сообщества