vpn技術(shù)支持
式
* pppd 程式
* sudo 程式
* pty-redir 程式
目前使用的版本:
* 核心: 2.0.29 ��。請使用穩(wěn)定的核心��,而且�����,必須比 2.0.20 還新�����,因?yàn)?br />
ping'o'death 的錯誤�����。在撰寫本文時,最後一個穩(wěn)定的核心是版本 2.0.30
����,但是它有一些錯誤。如果 �,你想要使用最新版核心所提供,既快又酷的網(wǎng)
路程式碼��,你自己可以www.592jsq.com 金色百貨 http://www.jsbhsc.com| www.modedy.com/嘗試看看����,版本 2.0.30 對我而言,已經(jīng)很好用了�。
* 基本的作業(yè)系統(tǒng):我比較喜歡 Debian 所發(fā)行的版本。你絕對使用不到任何
大型的 軟體套件����,當(dāng)然,也包含 sendmail 在內(nèi)����。你也絕對不能像其它的
UNIX 主機(jī)一樣��,允許 telnet、ftp��、和 'r' 命令����,等功能的使用。
* ipfwadm 程式: 我使用的是 2.3.0�。
* fwtk 程式: 我使用的是 1.3。
* ssh 程式: >= 1.2.20��。較舊的版本�,下層的協(xié)定會有問題。
* pppd 程式: 我測試的是 2.2.0f��,但是我無法確定它是否安全�,這就是為什
麼我會 將它的 setuid 位元拿掉,并透過 sudo 來執(zhí)行它的原因�。
* sudo 程式: 我所知道的最新版本是 1.5.2。
* pty-redir 程式: 這是我寫���。請至
取得?�,F(xiàn)在的
版本是 0.1 ��。如果使用上有任何問題����,請來信告知。
4.3 編譯與安裝
你現(xiàn)在的工作不是編譯就是安裝所搜集到的工具��。 并參閱其(以及
firewall-howto) 詳細(xì)的說明文件?�,F(xiàn)在��,我們已經(jīng)安裝好這些工具了����。
4.4 其它子系統(tǒng)的設(shè)定
設(shè)定防火墻以及其它的項(xiàng)目。你必須在兩臺防火墻主機(jī)之間�����,允許 ssh 資料的流
通�����。這 是指�����,主防火墻會有網(wǎng)路連線到次防火墻的埠 22����。在次防火墻上啟動
sshd,來驗(yàn)證是否 允許你“登入(login)”��。這個步驟尚未測試過�,請告訴我你
的測試結(jié)果。
4.5 設(shè)定 VPN 的使用者帳戶
以你日常使用的工具(例如����,vi、mkdir���、chown���、chmod)在次防火墻上建立一個
使用者帳 戶,你也可以在主防火墻上建立一個使用者帳戶��,但是�����,我認(rèn)為在開機(jī)
階段設(shè)定連線就可以 了�,所以,使用原始的 root 帳戶就已足夠����。有任何人可以
為我們說明一下��,在主防火墻上 使用 root 帳戶���,會有什麼危險性?
4.6 為 master 帳戶��,產(chǎn)生一個 ssh key
你可以使用 ssh-keygen 程式��。如果�,你要www.ieyou.net自動設(shè)置 VPN,你可以設(shè)定一個沒有
密碼的 “私人鑰匙(private key)”���。
4.7 為 slave 帳戶����,設(shè)置自動的 ssh 登入環(huán)境���。
在次防火墻中�����,復(fù)制你剛才產(chǎn)生的“公共鑰匙(public key)”到����,使用者帳戶
slave 中 的 .ssh/authorized_keys 檔案里,并且���,設(shè)定檔案的使用權(quán)限,如下
:
drwx------ 2 slave slave 1024 Apr 7 23:49 ./
drwx------ 4 slave slave 1024 Apr 24 14:05 ../
-rwx------ 1 slave slave 328 Apr 7 03:04 authorized_keys
-rw------- 1 slave slave 660 Apr 14 15:23 known_hosts
-rw------- 1 slave slave 512 Apr 21 10:03 random_seed
其中����,第一行是 ~slave/.ssh,第二行是 ~slave���。
4.8 加強(qiáng) ssh 在 bastion 主機(jī)上的安全性��。
請按照我在 sshd_conf 上的設(shè)定:
PermitRootLogin no
IgnoreRhosts yes
StrictModes yes
QuietMode no
FascistLogging yes
KeepAlive yes
RhostsAuthentication no
RhostsRSAAuthentication no
RSAAuthentication yes
PasswordAuthentication no
PermitEmptyPasswords no
密碼認(rèn)證(PasswordAuthentication)被關(guān)閉了����,所以�,你只有使用授權(quán)過的 key
,才能夠 完成登入的動作���。(當(dāng)然�����,你也已經(jīng)關(guān)閉了�����,telnet 與 'r' 命令)����。
4.9 允許 ppp 的執(zhí)行,和這兩個帳戶的路由��。
當(dāng)你的 master 帳戶是 root 時(以我的例子而言)�,你不必做任何事情。至於
slave 帳戶�,則會在你的 /etc/sudoers 的檔案中出現(xiàn)一行:
Cmnd_Alias VPN=/usr/sbin/pppd,/usr/local/vpn/route
slave ALL=NOPASSWD: VPN
正如你所看到的,我在次防火墻主機(jī)上��,使用了一些命令稿(scripts)���,來設(shè)定
ppp 和路由表�����。
4.10 撰寫命令稿程式
在主防火墻主機(jī)上��,我使用了一個成熟的啟始命令稿:
#! /bin/sh
# 程式架構(gòu) 這個檔案是個建立在 /etc/init.d/ 目錄下的命令稿實(shí)例�。
# 你應(yīng)該在 /etc/init.d 目錄下使用這個命令稿。
#
# 作者 M
