🥇書籍「Linux in Action」 | プロホスター

ハブロ住民の皆さん、こんにちは！この本の中で、デイビッドクリントンは、バックアップおよび復元システムの自動化、Dropbox スタイルの個人ファイルクラウドのセットアップ、独自の MediaWiki サーバーの作成など、12 の実際のプロジェクトについて説明しています。興味深いケーススタディを通じて、仮想化、災害復旧、セキュリティ、バックアップ、DevOps、システムのトラブルシューティングについて学びます。各章は、ベストプラクティスのレビュー、新しい用語の用語集、演習で終わります。

抜粋「10.1. OpenVPN トンネルの作成」

この本では暗号化についてすでに多くのことを説明しました。 SSH と SCP はリモート接続経由で転送されるデータを保護でき (第 3 章)、ファイル暗号化はサーバーに保存されているデータを保護できます (第 8 章)。TLS/SSL 証明書はサイトとクライアントブラウザ間で転送されるデータを保護できます (第 9 章)。。ただし、場合によっては、より広範囲の接続にわたってデータを保護する必要があります。たとえば、チームメンバーの一部が公共ホットスポット経由で Wi-Fi に接続しながら外出先で作業しているとします。このようなアクセスポイントがすべて安全であると想定すべきではありませんが、従業員は会社のリソースに接続する方法を必要としています。そこで VPN が役に立ちます。

適切に設計された VPN トンネルは、安全でないネットワーク上を移動するデータを隠す方法で、リモートクライアントとサーバーの間に直接接続を提供します。だから何？暗号化を使用してこれを行うことができる多くのツールをすでに見てきました。 VPN の真の価値は、トンネルを開くことで、リモートネットワークをすべてローカルであるかのように接続できることです。ある意味、バイパスを使用していることになります。

この拡張ネットワークを使用すると、管理者はどこからでもサーバー上で作業を実行できます。しかし、より重要なことは、複数の場所にリソースを分散している企業は、リソースを必要とするすべてのグループがどこにいてもリソースをすべて表示し、アクセスできるようにできることです (図 10.1)。

トンネル自体は安全を保証するものではありません。ただし、暗号化標準の 2 つをネットワーク構造に含めることができ、これによりセキュリティのレベルが大幅に向上します。オープンソースの OpenVPN パッケージを使用して作成されたトンネルでは、すでに説明したものと同じ TLS/SSL 暗号化が使用されます。 OpenVPN は利用可能な唯一のトンネリングオプションではありませんが、最もよく知られているものの XNUMX つです。これは、IPsec 暗号化を使用する代替のレイヤー XNUMX トンネルプロトコルよりもわずかに高速で安全であると考えられています。

チームの全員が外出中や別の建物で作業しているときに安全に通信できるようにしたいと考えていますか? これを行うには、OpenVPN サーバーを作成して、アプリケーションの共有とサーバーのローカルネットワーク環境へのアクセスを許可する必要があります。これを機能させるには、XNUMX つの仮想マシンまたは XNUMX つのコンテナを実行するだけで済みます。XNUMX つはサーバー/ホストとして機能し、もう XNUMX つはクライアントとして機能します。 VPN の構築は単純なプロセスではないため、全体像を理解するために数分を費やす価値はあるでしょう。

10.1.1. OpenVPN サーバーの構成

始める前に、役立つアドバイスをいくつか提供します。これを自分で行う場合 (そうすることを強くお勧めします)、デスクトップ上で複数のターミナルウィンドウを開いて、それぞれが異なるマシンに接続して作業することになるでしょう。ある時点でウィンドウに間違ったコマンドを入力してしまう危険性があります。これを回避するには、hostname コマンドを使用して、コマンドラインに表示されるマシン名を、現在どこにいるかを明確に示すものに変更します。これを実行したら、新しい設定を有効にするためにサーバーからログアウトし、再度ログインする必要があります。これは次のようになります。

このアプローチに従い、作業する各マシンに適切な名前を付けることで、自分がどこにいるかを簡単に追跡できます。

ホスト名を使用した後、後続のコマンドを実行すると、迷惑な「ホスト OpenVPN サーバーを解決できません」メッセージが表示される場合があります。 /etc/hosts ファイルを適切な新しいホスト名で更新すると、問題が解決されるはずです。

OpenVPN 用にサーバーを準備する

OpenVPN をサーバーにインストールするには、openvpn と easy-rsa (暗号化キー生成プロセスを管理するため) の 2 つのパッケージが必要です。 CentOS ユーザーは、第 2 章で行ったように、必要に応じてまず epel-release リポジトリをインストールする必要があります。サーバーアプリケーションへのアクセスをテストできるようにするために、Apache Web サーバー (Ubuntu では apacheXNUMX、CentOS では httpd) をインストールすることもできます。

サーバーをセットアップしている間、22 (SSH) と 1194 (OpenVPN のデフォルトポート) を除くすべてのポートをブロックするファイアウォールをアクティブにすることをお勧めします。この例は、Ubuntu 上で ufw がどのように動作するかを示していますが、第 9 章の CentOS firewalld プログラムをまだ覚えていると思います。

# ufw enable
# ufw allow 22
# ufw allow 1194

サーバー上のネットワークインターフェイス間の内部ルーティングを有効にするには、/etc/sysctl.conf ファイル内の 4 行 (net.ipv1.ip_forward = XNUMX) のコメントを解除する必要があります。これにより、リモートクライアントは接続後に必要に応じてリダイレクトされるようになります。新しいオプションを機能させるには、sysctl -p を実行します。

# nano /etc/sysctl.conf
# sysctl -p

これでサーバー環境は完全に構成されましたが、準備が整う前にやるべきことがまだ XNUMX つあります。次の手順を完了する必要があります (詳細は次に説明します)。

easy-rsa パッケージで提供されるスクリプトを使用して、サーバー上に公開キー基盤 (PKI) 暗号化キーのセットを作成します。基本的に、OpenVPN サーバーは独自の認証局 (CA) としても機能します。
クライアントに適切なキーを準備する
サーバーのserver.confファイルを構成します。
OpenVPN クライアントをセットアップする
VPNを確認してください

暗号化キーの生成

物事をシンプルにするために、OpenVPN サーバーが実行されているのと同じマシン上に主要なインフラストラクチャをセットアップできます。ただし、セキュリティのベストプラクティスでは、通常、運用展開には別の CA サーバーを使用することが推奨されます。 OpenVPN で使用する暗号化キーリソースを生成および配布するプロセスを図に示します。 10.2.

OpenVPN をインストールすると、/etc/openvpn/ ディレクトリが自動的に作成されますが、その中にはまだ何もありません。 openvpn および easy-rsa パッケージには、構成の基礎として使用できるサンプルテンプレートファイルが付属しています。認証プロセスを開始するには、easy-rsa テンプレートディレクトリを /usr/share/ から /etc/openvpn にコピーし、easy-rsa/ ディレクトリに変更します。

# cp -r /usr/share/easy-rsa/ /etc/openvpn
$ cd /etc/openvpn/easy-rsa

easy-rsa ディレクトリには、かなりの数のスクリプトが含まれるようになります。テーブル内10.1 には、キーの作成に使用するツールがリストされています。

上記の操作には root 権限が必要なので、sudo su を介して root になる必要があります。

最初に操作するファイルは vars という名前で、このファイルには easy-rsa がキーを生成するときに使用する環境変数が含まれています。すでに存在するデフォルト値の代わりに独自の値を使用するには、ファイルを編集する必要があります。ファイルは次のようになります (リスト 10.1)。

リスト10.1。ファイル /etc/openvpn/easy-rsa/vars の主なフラグメント

export KEY_COUNTRY="CA"
export KEY_PROVINCE="ON"
export KEY_CITY="Toronto"
export KEY_ORG="Bootstrap IT"
export KEY_EMAIL="[email protected]"
export KEY_OU="IT"

vars ファイルを実行すると、その値がシェル環境に渡され、そこで新しいキーの内容に含まれます。 sudo コマンド自体が機能しないのはなぜですか? 最初のステップで vars という名前のスクリプトを編集してから適用するためです。 and を適用すると、vars ファイルがその値をシェル環境に渡し、新しいキーの内容に値が含まれることを意味します。

未完了のプロセスを完了するには、必ず新しいシェルを使用してファイルを再実行してください。これが完了すると、別のスクリプト clean-all を実行して /etc/openvpn/easy-rsa/keys/ ディレクトリ内のコンテンツを削除するように求めるプロンプトが表示されます。

当然のことながら、次のステップでは clean-all スクリプトを実行し、続いて pkitool スクリプトを使用してルート証明書を作成する build-ca を実行します。 vars によって提供される ID 設定を確認するように求められます。

# ./clean-all
# ./build-ca
Generating a 2048 bit RSA private key

次に、build-key-server スクリプトが続きます。新しいルート証明書とともに同じ pkitool スクリプトを使用するため、キーペアの作成を確認するための同じ質問が表示されます。キーは渡した引数に基づいて名前が付けられます。このマシン上で複数の VPN を実行している場合を除き、通常は次の例のようにサーバーになります。

# ./build-key-server server
[...]
Certificate is to be certified until Aug 15 23:52:34 2027 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

OpenVPN は、Diffie-Hellman アルゴリズム (build-dh を使用) によって生成されたパラメーターを使用して、新しい接続の認証をネゴシエートします。ここで作成されるファイルは機密である必要はありませんが、現在アクティブな RSA キーの build-dh スクリプトを使用して生成する必要があります。将来的に新しい RSA キーを作成する場合は、Diffie-Hellman ファイルも更新する必要があります。

# ./build-dh

サーバー側のキーは /etc/openvpn/easy-rsa/keys/ ディレクトリに置かれることになりますが、OpenVPN はこれを認識しません。デフォルトでは、OpenVPN は /etc/openvpn/ でキーを検索するため、キーをコピーします。

# cp /etc/openvpn/easy-rsa/keys/server* /etc/openvpn
# cp /etc/openvpn/easy-rsa/keys/dh2048.pem /etc/openvpn
# cp /etc/openvpn/easy-rsa/keys/ca.crt /etc/openvpn

クライアント暗号化キーの準備

すでに見たように、TLS 暗号化では一致するキーのペアが使用されます。XNUMX つはサーバーにインストールされ、もう XNUMX つはリモートクライアントにインストールされます。これは、クライアントキーが必要になることを意味します。私たちの古い友人である pkitool は、まさにこれに必要なものです。この例では、/etc/openvpn/easy-rsa/ ディレクトリでプログラムを実行するときに、それに client 引数を渡して client.crt および client.key というファイルを生成します。

# ./pkitool client

これで、keys/ ディレクトリにまだある元の ca.crt ファイルとともに、XNUMX つのクライアントファイルがクライアントに安全に転送されるはずです。所有権とアクセス権があるため、これはそれほど簡単ではない場合があります。最も簡単な方法は、ソースファイルの内容 (およびその内容のみ) を PC のデスクトップ上で実行されているターミナルに手動でコピーすることです (テキストを選択し、右クリックしてメニューから [コピー] を選択します)。次に、これを、クライアントに接続されている XNUMX 番目の端末で作成したのと同じ名前の新しいファイルに貼り付けます。

しかし、誰でも切り取って貼り付けることができます。切り取り/貼り付け操作が可能な GUI に常にアクセスできるわけではないため、代わりに管理者の立場になって考えてください。ファイルをユーザーのホームディレクトリにコピーし (リモート scp 操作でアクセスできるようにするため)、リモート scp 操作を実行できるように、chown を使用してファイルの所有権を root から通常の非 root ユーザーに変更します。すべてのファイルが現在インストールされており、アクセスできることを確認してください。少し後でそれらをクライアントに移動します。

# cp /etc/openvpn/easy-rsa/keys/client.key /home/ubuntu/
# cp /etc/openvpn/easy-rsa/keys/ca.crt /home/ubuntu/
# cp /etc/openvpn/easy-rsa/keys/client.crt /home/ubuntu/
# chown ubuntu:ubuntu /home/ubuntu/client.key
# chown ubuntu:ubuntu /home/ubuntu/client.crt
# chown ubuntu:ubuntu /home/ubuntu/ca.crt

暗号化キーの完全なセットが準備できたら、VPN の作成方法をサーバーに伝える必要があります。これは、server.conf ファイルを使用して行われます。

キーストロークの数を減らす

タイピングが多すぎるのでしょうか？括弧で展開すると、これら XNUMX つのコマンドを XNUMX つに減らすことができます。これら XNUMX つの例を検討すれば、何が起こっているのか理解できると思います。さらに重要なのは、これらの原則を数十、場合によっては数百の要素を含む操作に適用する方法を理解できるようになります。
# cp /etc/openvpn/easy-rsa/keys/{ca.crt,client.{key,crt}} /home/ubuntu/
# chown ubuntu:ubuntu /home/ubuntu/{ca.crt,client.{key,crt}}

server.conf ファイルのセットアップ

server.conf ファイルがどのようなものであるべきかを知るにはどうすればよいでしょうか? /usr/share/ からコピーした easy-rsa ディレクトリテンプレートを覚えていますか? OpenVPN をインストールすると、/etc/openvpn/ にコピーできる圧縮された構成テンプレートファイルが残ります。テンプレートがアーカイブされているという事実に基づいて、便利なツール zcat を紹介します。

cat コマンドを使用してファイルのテキスト内容を画面に出力することはすでにご存知でしょうが、ファイルが gzip を使用して圧縮されている場合はどうなるでしょうか? いつでもファイルを解凍でき、cat は喜んでそのファイルを出力しますが、必要以上に XNUMX ～ XNUMX ステップ多くなります。ご想像のとおり、zcat コマンドを発行すると、解凍されたテキストを XNUMX ステップでメモリにロードできます。次の例では、テキストを画面に出力する代わりに、server.conf という新しいファイルにリダイレクトします。

# zcat 
  /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz 
  > /etc/openvpn/server.conf
$ cd /etc/openvpn

ファイルに付属する広範で役立つドキュメントは脇に置いて、編集が完了したときにファイルがどのように見えるかを見てみましょう。セミコロン (;) は、OpenVPN に次の行を読み取らない、または実行しないように指示することに注意してください (リスト 10.2)。

これらの設定のいくつかを見てみましょう。

デフォルトでは、OpenVPN はポート 1194 で実行されます。これを変更して、たとえばアクティビティをさらに非表示にしたり、他のアクティブなトンネルとの競合を回避したりすることができます。 1194 ではクライアントとの最小限の調整が必要なため、この方法で行うのが最善です。
OpenVPN は、伝送制御プロトコル (TCP) またはユーザーデータグラムプロトコル (UDP) のいずれかを使用してデータを送信します。 TCP は少し遅いかもしれませんが、信頼性が高く、トンネルの両端で実行されているアプリケーションによって理解される可能性が高くなります。
データコンテンツのみを伝送する、よりシンプルで効率的な IP トンネルを作成する場合は、dev tun を指定できます。一方、複数のネットワークインターフェイス (およびそれらが表すネットワーク) を接続してイーサネットブリッジを作成する必要がある場合は、dev Tap を選択する必要があります。これが何を意味するのか理解できない場合は、tun 引数を使用してください。
次の 2048 行は、サーバー上の XNUMX つの認証ファイルと、前に作成した dhXNUMX オプションファイルの名前を OpenVPN に与えます。
サーバー行は、ログイン時にクライアントに IP アドレスを割り当てるために使用される範囲とサブネットマスクを設定します。
オプションのプッシュパラメーター「route 10.0.3.0 255.255.255.0」を使用すると、リモートクライアントがサーバーの背後にあるプライベートサブネットにアクセスできるようになります。これを機能させるには、プライベートサブネットが OpenVPN サブネット (10.8.0.0) を認識できるようにサーバー自体にネットワークを設定する必要もあります。
ポート共有の localhost 80 行を使用すると、ポート 1194 で受信するクライアントトラフィックを、ポート 80 でリッスンしているローカル Web サーバーにリダイレクトできます。(これは、VPN をテストするために Web サーバーを使用する場合に便利です)。次に、tcp プロトコルが選択された場合。
ユーザー nobody およびグループ nogroup 行は、セミコロン (;) を削除して有効にする必要があります。リモートクライアントを強制的に「nobody」および「nogroup」として実行すると、サーバー上のセッションは確実に特権を持たなくなります。
log は、OpenVPN が開始されるたびに現在のログエントリが古いエントリを上書きすることを指定しますが、log-append は新しいエントリを既存のログファイルに追加します。 openvpn.log ファイル自体は /etc/openvpn/ ディレクトリに書き込まれます。

さらに、OpenVPN サーバーに加えて複数のクライアントが相互に認識できるように、クライアント間の値も構成ファイルに追加されることがよくあります。設定に問題がなければ、OpenVPN サーバーを起動できます。

# systemctl start openvpn

OpenVPN と systemd の関係の性質が変化しているため、サービスを開始するために次の構文が必要になる場合があります: systemctl start openvpn@server。

ip addr を実行してサーバーのネットワークインターフェイスを一覧表示すると、tun0 という新しいインターフェイスへのリンクが出力されるはずです。 OpenVPN は、受信クライアントにサービスを提供するためにこれを作成します。

$ ip addr
[...]
4: tun0: mtu 1500 qdisc [...]
      link/none
      inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
          valid_lft forever preferred_lft forever

すべてが完全に動作し始める前に、サーバーを再起動する必要がある場合があります。次に停止するのはクライアントコンピューターです。

10.1.2. OpenVPN クライアントの構成

伝統的に、トンネルは少なくとも XNUMX つの出口を備えて建設されます (そうでない場合は、洞窟と呼ばれます)。サーバー上で適切に構成された OpenVPN は、片側のトンネルに出入りするトラフィックを送信します。ただし、クライアント側、つまりトンネルの反対側で実行されるソフトウェアも必要になります。

このセクションでは、OpenVPN クライアントとして機能するように、ある種の Linux コンピューターを手動でセットアップすることに焦点を当てます。しかし、これがこの機会を得る唯一の方法ではありません。 OpenVPN は、Windows または macOS を実行しているデスクトップおよびラップトップ、さらに Android および iOS のスマートフォンやタブレットにインストールして使用できるクライアントアプリケーションをサポートしています。詳細については、openvpn.net を参照してください。

OpenVPN パッケージは、サーバーにインストールされているのと同じようにクライアントマシンにインストールする必要がありますが、使用しているキーはすでに存在しているため、ここでは easy-rsa は必要ありません。 client.conf テンプレートファイルを、作成したばかりの /etc/openvpn/ ディレクトリにコピーする必要があります。今回はファイルは圧縮されないため、通常の cp コマンドで問題なく処理できます。

# apt install openvpn
# cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf 
  /etc/openvpn/

client.conf ファイル内の設定のほとんどは一目瞭然です。サーバー上の値と一致する必要があります。次のファイル例からわかるように、一意のパラメータはリモート 192.168.1.23 1194 で、クライアントにサーバーの IP アドレスを伝えます。もう一度、これがサーバーのアドレスであることを確認してください。また、中間者攻撃の可能性を防ぐために、クライアントコンピュータにサーバー証明書の信頼性の検証を強制する必要があります。これを行う 10.3 つの方法は、remote-cert-tls server という行を追加することです (リスト XNUMX)。

これで、/etc/openvpn/ ディレクトリに移動して、サーバーから証明書キーを抽出できるようになります。例のサーバー IP アドレスまたはドメイン名を実際の値に置き換えます。

クライアント上で OpenVPN を実行するまでは、何も面白いことは起こらないでしょう。いくつかの引数を渡す必要があるため、コマンドラインから実行します。 --tls-client 引数は、クライアントとして機能し、TLS 暗号化を介して接続することを OpenVPN に指示し、--config は設定ファイルを指します。

# openvpn --tls-client --config /etc/openvpn/client.conf

コマンド出力を注意深く読んで、正しく接続されていることを確認してください。初めて問題が発生した場合は、サーバーとクライアントの構成ファイル間の設定の不一致、またはネットワーク接続/ファイアウォールの問題が原因である可能性があります。ここではトラブルシューティングのヒントをいくつか紹介します。

クライアント上の OpenVPN 操作の出力を注意深く読んでください。多くの場合、具体的に何ができないのか、そしてなぜできないのかについての貴重なアドバイスが含まれています。
サーバーの /etc/openvpn/ ディレクトリにある openvpn.log ファイルと openvpn-status.log ファイルでエラーメッセージを確認してください。
サーバーとクライアントのシステムログで、OpenVPN 関連のメッセージや時間指定されたメッセージを確認します。 (journalctl -ce は最新のエントリを表示します。)
サーバーとクライアントの間にアクティブなネットワーク接続があることを確認してください (これについては第 14 章で詳しく説明します)。

著者について

デビッド・クリントン - システム管理者、教師、作家。彼は、Linux システム、クラウドコンピューティング (特に AWS)、Docker などのコンテナテクノロジなど、多くの重要な技術分野の管理、執筆、教育資料の作成を行ってきました。彼は『Learn Amazon Web Services in a Month of Lunches』という本を執筆しました (マニング、2017 年)。彼のビデオトレーニングコースの多くは Pluralsight.com で見つけることができ、彼の他の書籍 (Linux 管理とサーバー仮想化に関する) へのリンクは次の場所で入手できます。 bootstrap-it.com.

» この本の詳細については、こちらをご覧ください。出版社のウェブサイト
» 目次
» 抜粋

Khabrozhiteley の場合、クーポン使用で 25% 割引 - Linux
紙版の書籍をお支払いいただくと、電子書籍が電子メールで送信されます。

出所： habr.com

書籍「Linux in Action」