Inzerujte na AbcPráce.cz od 950 Kč

napište » Zprávičky

Apple odstranil ze svého obchodu sociální síť VKontaktě

dnes 14:44 | IT novinky

Apple bez varování odstranil ze svého obchodu sociální síť VKontaktě i další aplikace skupiny VK, jako je VK Music nebo VK Video [Novinky.cz].

Ladislav Hagara | Komentářů: 1

Notion Mail bude 22. září ukončen

dnes 14:22 | IT novinky

V dubnu loňského roku představený poštovní klient Notion Mail bude 22. září ukončen.

Ladislav Hagara | Komentářů: 2

Konference OpenAlt 2026 hledá přednášející

dnes 04:33 | Komunita

Konference OpenAlt 2026 hledá přednášející. Proběhne o víkendu 7. a 8. listopadu na půdě Fakulty informačních technologií VUT v Brně. Témata konference jsou: Otevřený a svobodný software, IoT a Hnutí tvůrců, Vzdělávání, Bezpečnost a soukromí, Otevřená společnost, komunity a data, OpenMobility a další.

Ladislav Hagara | Komentářů: 0

Jalapeño, čip optimalizovaný pro AI od společností OpenAI a Broadcom

dnes 04:22 | IT novinky

Společnosti OpenAI a Broadcom oznámily čip optimalizovaný pro AI pojmenovaný Jalapeño.

Ladislav Hagara | Komentářů: 0

Deno 2.9 s deno desktop

včera 20:22 | Nová verze

Deno (Wikipedie), běhové prostředí (runtime) pro JavaScript, TypeScript a WebAssembly, bylo vydáno v nové verzi 2.9. Hlavní novinkou je deno desktop pro převod Deno projektu na desktopovou aplikaci. Jedná se o alternativu k frameworkům Electron nebo Tauri.

Ladislav Hagara | Komentářů: 2

Datové schránky na datovka.gov.cz

včera 15:44 | IT novinky

Od zítra jsou Datové schránky oficiálně na nové adrese datovka.gov.cz. Adresa mojedatovaschranka.cz zůstává funkční do 27. srpna 2026, následně budou uživatelé automaticky přesměrováni na datovka.gov.cz.

Ladislav Hagara | Komentářů: 3

Emulátor Dolphin 2606

včera 13:44 | Nová verze

Dolphin (Wikipedie), tj. open source multiplatformní emulátor herních konzolí GameCube a Wii od Nintenda, byl vydán ve verzi 2606. S podporou Game Boy Playeru.

Ladislav Hagara | Komentářů: 0

debvulns, alternativa k debsecan

včera 11:11 | Zajímavý software

Vasudeva Kamath představil utilitu debvulns, alternativu k nativní utilitě debsecan, pro výpis zranitelností v Debianu. Navíc má především možnost výstupu ve strukturovaných formátech JSON a CSV. V plánu je exportér pro Prometheus.

Ladislav Hagara | Komentářů: 0

Oficiální český státní eshop s elektronickými dálničními známkami nově na edalnice.gov.cz

24.6. 21:44 | IT novinky

Oficiální český státní eshop s elektronickými dálničními známkami nově najdete na edalnice.gov.cz. Doména gov.cz jasně potvrzuje, že jste na oficiálním státním webu [𝕏].

Ladislav Hagara | Komentářů: 30

fish shell 4.8.0

24.6. 14:22 | Nová verze

Byla vydána nová verze 4.8.0 interaktivního shellu fish (friendly interactive shell, Wikipedie). Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 7

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 30, poslední 3.4. 20:20

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / OpenVPN a znemožnení přístupu

Štítky: AbcLinuxu, bezpečnost, Internet, logování, OpenVPN

Dotaz: OpenVPN a znemožnení přístupu

27.12.2007 13:02 Jarin
OpenVPN a znemožnení přístupu

Přečteno: 2016×

Odpovědět | Admin

Dobrý den, jakým způsobem znemožním klientovi, který má platný certifikát přístup na OpenVPN server? Jde o zaměstnance, který ve firmě skončil, ale stále má platný certifikát? Díky za pomoc.

Nástroje: Začni sledovat (0) ?

Odpovědi

27.12.2007 13:27 Fredy
Rozbalit Rozbalit vše Re: OpenVPN a znemožnení přístupu

Zkuste nejdrive hledat. Napr. tady se toto tema take resilo: http://www.soutez.abclinuxu.cz/forum/show/158144

Fredy

27.12.2007 22:14 Jarin
Rozbalit Rozbalit vše Re: OpenVPN a znemožnení přístupu

Tak jsem na to koukal, ale nejak mi to nepomohlo:( poradte prosim...

27.12.2007 22:34 Jarin
Rozbalit Rozbalit vše Re: OpenVPN a znemožnení přístupu

Postupoval jsem podle http://openvpn.net/howto.html#revoke ale ne a ne se mi vytvorit ten soubor crl.pem ...

debian:/etc/openvpn/easy-rsa# ./revoke-full xxxx
Using configuration from /etc/openvpn/easy-rsa/openssl.cnf
error on line 282 of config file '/etc/openvpn/easy-rsa/openssl.cnf'
12544:error:0E065068:configuration file routines:STR_COPY:variable has no value:conf_def.c:629:line 282
Using configuration from /etc/openvpn/easy-rsa/openssl.cnf
error on line 282 of config file '/etc/openvpn/easy-rsa/openssl.cnf'
12545:error:0E065068:configuration file routines:STR_COPY:variable has no value:conf_def.c:629:line 282
cat: crl.pem: není souborem ani adresářem
xxxx.crt: /C=CZ/ST=Czech Republic/L=HXXX/O=FXXX/CN=xxxx/emailAddress=x@x.cz
error 3 at 0 depth lookup:unable to get certificate CRL

v /etc/openvpn/easy-rsa/openssl.cnf jsem nic nemenil...

27.12.2007 23:20 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: OpenVPN a znemožnení přístupu

podivej se do

. ./vars

a zkontroluj nastaveni

27.12.2007 23:30 pasmen | skóre: 45 | blog: glob | Praha
Rozbalit Rozbalit vše Re: OpenVPN a znemožnení přístupu

Hmm, podle mě je jediné řešení použít tls-verify skript, neboť aby jsi mohl certifikát zneplatnit pomocí revoke, musel by ti ho dotyčný nejdřív dát... Já mám na to následující skript verify-cn:

#!/usr/bin/perl

($blacklist, $depth, $x509) = @ARGV;
if ($depth == 0) {
    if ($x509 =~ /\/CN=([^\/]+)/) {
        $cn = $1;
        open(BLACKLIST, $blacklist);
        while (<BLACKLIST>) {
            chomp($_);
            if ($_ eq $cn) {
                close(BLACKLIST);
                exit 1;
            }
        }
        close(BLACKLIST);
        exit 0;
    }
    exit 1;
}
exit 0;

a v konfiguráku serveru pak mám řádek

tls-verify "./verify-cn /etc/openvpn/blacklist"

Soubor /etc/openvpn/blacklist pak konečně obsahuje seznam CN certifikátů jeden na řádku. Pokud někdo ve firmě končí, zapíšu Common name jeho certifikátu do blacklistu (jako CN dáváme příjmení), a už se nepřipojí...

28.12.2007 00:03 Jarin
Rozbalit Rozbalit vše Re: OpenVPN a znemožnení přístupu

No z toho jsem jelen:(

Jinak ja ten jeho certifikat mam, protoze jsem ho vytvoril... tak proc mi nejde revokovat podle toho navodu?

ve vars mam zmenit nebo najit co?

28.12.2007 14:10 pasmen | skóre: 45 | blog: glob | Praha
Rozbalit Rozbalit vše Re: OpenVPN a znemožnení přístupu

Pokuď ho máš, pak jo. I tak mi to ale přijde méně pružné, právě proto, že ti ho dotyčný musí vydat. Zablokování certifikátu podle daného common name mi přijde méně namáhavé a univerzálnější.

28.12.2007 15:40 Jarin
Rozbalit Rozbalit vše Re: OpenVPN a znemožnení přístupu

Asi mas pravdu, ale zase udrzovat "databazi" tech, kteri uz se nesmi pripojit je, podle me, pri eventuele vetsim nasazeni zase neprehledny.. Pokud si nekdy nedej boze smazu ten blacklist, tak... No, spis je to jen teorie, ale co kdyz...:)

Kazdopadne jsem zkusil ten skript a logovani jakehokoliv klienta se mi zasekne a nepripoji se... :(

I tak diky za rady;)

28.12.2007 16:05 Jarin
Rozbalit Rozbalit vše Re: OpenVPN a znemožnení přístupu

tohle mi po nejake dobe vyskoci u klienta

Fri Dec 28 16:04:27 2007 SIGUSR1[soft,tls-error] received, process restarting

19.4.2008 00:57 stepa | skóre: 7
Rozbalit Rozbalit vše Re: OpenVPN a znemožnení přístupu

Sice je to dele co se tazatel pidi po odpovedi, nicmene jsem na toto vlakno narazil az nyni. Reseni je pomerne jednoduche: je treba vyexportovat par promenych na ktere se odkazuje openssl.cnf , takze napr do ./vars je treba dat:

export KEY_OU="" 

export KEY_CN="" 

export PKCS11_MODULE_PATH=""

export PKCS11_PIN=""

Pote funguje i revoke.

Cemu se divite, kdyz zijete v Bananistanu?

Založit nové vlákno • Nahoru

Tiskni Sdílej: