[Eisfair] [E1] OpenVPN lässt gesperrte User rein
Olaf Jaehrling
eisfair at ojaehrling.de
Mi Okt 15 19:21:47 CEST 2014
Hallo Armin,
--- Original-Nachricht ---
Absender: Armin Weinmann
Datum: 15.10.2014 16:28
>> Als erstes würde ich mal schauen, ob der gesperrte User/Client noch in
>> der Datei
>> /etc/openvpn/clients
> neine, da sind nur die richtigen drin
>> zu finden ist. Wenn nein, dann prüfe bitte ob folgende Zeile in deiner
>> /etc/openvpn/server.conf steht:
>> tls-verify /etc/openvpn/verify
> Zeile ist da, nicht auskommentiert.
> Da ist mir aber aufgefallen, dass die Datei /etc/openvpn/verify ein
> script zu sein scheint in dem die clients-Datei gegengecheckt wird.
> Korrekt?
Korrekt.
>
> Ich musste User sperren deren Zertifikate evtl. in falsche Hände geraten
> sind (Diebstahl des Laptop) sperren. Da gab es z. B. den Benutzer MM der
> durch MM02 ersetzt wurde. Kann es sein, dass da eine Prüfung zu kurz ist
> und nach MM das OK gegeben wird?
Sieht so aus. Jetzt weiß ich aber nicht genau. Du kannst es testet.
Ändere das script einfach um und mache aus 'grep' -> 'grep -w'
ist
clientenabled=`/bin/grep $name3 ./clients`
soll
clientenabled=`/bin/grep -w $name3 ./clients`
>
>> P.S. Wenn du Clients den Zugang für immer verweigern willst, ist es
>> besser die Zertifikate zu löschen.
>> (/usr/local/openvpn/keys/$client.crt|csr|key|p12)
>>
> Speziell in o.e. Fall des Diebstahls bin ich mir ziemlich sicher, dass
> ich die User nicht mehr haben will, das wäre das Löschen eine Option.
> Gibts da NEbenwirkungen?
Nicht wirklich. Du musst aber noch ein bisschen mehr löschen
Du musst noch die .pem Dateien finden und in der index.txt das
Zertifikat löschen.
Das geht aber relativ einfach:
Finden kannst Du die Dateien so:
grep -wr MM /etc/openvpn/*
dann die gefundenen Dateien öffnen und die Einträge mit MM löschen
grep -wr MM /usr/local/openvpn/*
Du wirst eine .pem Datei finden. Die kannst du löschen (nach
Sicherheitsbackup) :)
Weiter wirst du eine index.txt finden. In der musst du auch den Eintrag
mit MM löschen.
Das war's dann schon. :)
Denke bitte daran von allen Dateien, die du bearbeitest, ein Backup zu
machen.
Gruß
Olaf
Mehr Informationen über die Mailingliste Eisfair