本文共 12882 字,大约阅读时间需要 42 分钟。
一、架构
1.1现有网络
现有网络架构如图一所示,其中服务器网段为192.168.0.x使用专门线路接入internet,192.168.88.x为网络设备网段,其它都是办公网段使用另外的线路接入internet。
图一、现有网络结构图
1.2 ***架构
在图一所示的网络架构中搭建一台***服务器(192.168.0.x网段),在专门的安全设备上映射该服务器的内网地址(外部***拨入输入外网地址)。远程用户成功拨入后,办公网络的用户可以正常访问已拨入的***客户端。如图二所示。
***服务器配置如下:
1、单网卡:192.168.0.47
2、***客户段:172.16.0.0
3、Office办公网段:192.168.10.x-192.168.17.x
图二、***网络结构图
1.3 ***方案
通过使用CentOS6.3(64bit) +Open***(***服务器)+OpenSSL(CA证书)+MySQL(验证)的方式组建***方案。
二、安装配置linux系统
2.1安装CentOS系统
通过正常方式安装CentOS6.3的64位版本。可以不安装图形界面,字符界面的组件中建议选上基本的开发工具。可通过以下指令查看系统版本,如图三所示。
cat/etc/issuecat /proc/version
图三、linux系统版本
2.2配置系统yum源
完成安装后配置系统的yum源有助于后续软件的安装配置,结合国内实际情况采用163.com的更新源,速度和效率上都有保证。163的开源服务器地址为http://mirrors.163.com,各版本的linux在这里都有收集。
wgethttp://mirrors.163.com/.help/CentOS6-Base-163.repomv CentOS6-Base-163.repo/etc/yum.repos.d/mv/etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.origmv/etc/yum.repos.d/CentOS6-Base-163.repo /etc/yum.reops.d/CentOS-Base.repowgethttp://mirrors.ustc.edu.cn/fedora/epel/6/x86_64/epel-release-6-8.noarch.rpmrpm -ivh epel-release-6-7.noarch.rpm
图四、yum源设置
2.3配置系统时间
系统的时区和时间设置不准确会导致SQL查询和流量控制脚本运行不正常,因些在安装系统后需正确设定系统的时区和时间。输入以下指令设置正确的系统时间。
hwclock --set--date="07/07/06 10:19"hwclock --hctosys
其中第一条语句是设定硬件时钟,第二条语句是设定系统时钟和硬件时钟同步。同时,时区的设定也很重要,如果系统及硬件时钟正确而时区设定不正确的话会导致时间相差几个小时,因些调整好时区也是一个重要的步骤。
tzselect
图五、时区设置
查找系统文件etc/sysconfig/clock并修改为:
ZONE="Asia/Shanghai"UTC=trueARC=false
图六、时区设置
找到系统文件/usr/share/zoneinfo/Asia/Shanghai用这个文件替换当前的/etc/localtime文件
cp/usr/share/zoneinfo/Asia/Shanghai /etc/localtime
图七、时区设置
2.4禁用selinux
selinux 确实提高了系统的安全性,但另一方面也给应用程序增加了很多的不确定性。我在安装配置完zabbix后曾出现过始终无法打开浏览页面无法进入web安装界 面的情况,后来禁用selinux后问题解决。对于selinux的启用与否个人见仁见智可以根据自已的需求决定是否开启。
vi /etc/selinux/configSELINUX=disabledSELINUXTYPE=targeted
图八、selinux设置
三、安装相关组件
3.1安装系统依赖组件
yum -y install gcc gcc-c++ autoconf libjpeg libjpeg-devel libpng libpng-devel freetype freetype-devel libxml2 libxml2-devel zlib zlib-devel glibcglibc-devel glib2 glib2-devel bzip2bzip2-devel ncurses ncurses-devel curl curl-devel e2fsprogs e2fsprogs-devel krb5 krb5-devel libidn libidn-devel opensslopenssl-devel
图九、相关依赖组件安装
3.2安装open***组件
yum install open*** pam_krb5 pam_mysql pam pam-devel
图十、open***组件安装
3.3安装MySQL组件
yum install mysql mysql-devel libgcrypt-devel lzo-mini lzo lzolzo-devel mysql-server mysql-libs
图十一、MySQL组件安装
四、配置证书
Open***可以使用PKI证书体系进行双向的认证操作,也就是在建立***连接的同时,除了服务器端要验证客户端的证书外,客户端也要确认服务器端的证书。
当服务器端及客户端在相互认证时,会利用根证书(RootCA)公钥进行对方证书的验证,然后会再进行一些其它信息的测试,例如,验证对方证书上的common name或是其它类别。
这样的机制有以下好处:
1、服务端只需要知道它自已的凭证及私钥,无需知道个别可能会连进来的客户端的证书及私钥。
2、服务端只接受由同一个根证书(Root CA)所签发的客户端证书。服务端不需要根证书的私钥即可进行验证。所以根证书(RootCA)的私钥,可以安全保存到其它的机器上。
3、如果客户端的私钥有问题的话,可以把它加入失效列表,这样可以在连接时,拒绝***连接。
4.1复制证书模板
图十二、证书配置
4.2生成根证书(Root CA)
先修改证书生成变量文件,保存退出,然后开始清理。
vi/etc/open***/easy-rsa/2.0/varsexport KEY_COUNTRY="CN"#国家export KEY_PROVINCE="GD"#省export KEY_CITY="DongGuan" #城市export KEY_ORG="myj"#组织export KEY_EMAIL="waring_id@126.com"export KEY_EMAIL=waring_id@126.comexport KEY_CN=changemeexport KEY_NAME=changemeexport KEY_OU=changemeexport PKCS11_MODULE_PATH=changemeexport PKCS11_PIN=1234/etc/open***/easy-rsa/2.0/clean-all#清理/etc/open***/easy-rsa/2.0/build-ca#生成根证书
4.3生成服务端(server)客户端(client)证书及DH交换参数
DH密钥交换参数(Diffie Hellman parameters)主要用于加密通道未建立前,在不安全的通道下建立一个密钥,可以用这个密钥在第一次证书交换时加密使用。这个密钥只使用一次,下次要用时会重新生成。
/etc/open***/easy-rsa/2.0/build-key-serverserver#生成服务器证书/etc/open***/easy-rsa/2.0/build-keyclient1#生成客户端证书/etc/open***/easy-rsa/2.0/build-dh#生成DH交换参数
证书生成完毕后会在“/etc/open***/easy-rsa/2.0/keys/”下生成以下文件,如表一所示。
Filename Needed By Purpose Secretca.crt server + all clients Root CA certificate NOca.key key signing machine only Root CA key YESDh1024.pem server only Diffie Hellman parameters NOserver.crt server only Server Certificate NOserver.key server only Server Key YESclient1.crt client1 only Client1 Certificate NOclient1.key client1 only Client1 Key YES
Filename | Needed By | Purpose | Secret |
ca.crt | server + all clients | Root CA certificate | NO |
ca.key | key signing machine only | Root CA key | YES |
Dh1024.pem | server only | Diffie Hellman parameters | NO |
server.crt | server only | Server Certificate | NO |
server.key | server only | Server Key | YES |
client1.crt | client1 only | Client1 Certificate | NO |
client1.key | client1 only | Client1 Key | YES |
表一、证书列表
五、配置数据库
数据库使用MySQL,主要用于存储***客户端拨入的用户名和密码,在***拨入时进行验证操作,MySQL的详细设定可以参考相关文档,这里仅列出必须的指令。
5.1配置启动数据库
service mysqld start#启动数据库mysql_secure_installation#数据库密码重设
5.2新建数据库
mysql -uroot -pCREATE DATABASE open***;GRANT ALL ON open***.* TO'open***'@'localhost' IDENTIFIED BY 'password';
5.3创建用户数据表
CREATE TABLE IF NOT EXISTS`user` (`username` char(32) COLLATEutf8_unicode_ci NOT NULL,`password` char(128) COLLATEutf8_unicode_ci DEFAULT NULL,`active` int(10) NOT NULLDEFAULT '1',`creation` timestamp NOT NULLDEFAULT CURRENT_TIMESTAMP,`name` varchar(32) COLLATEutf8_unicode_ci NOT NULL,`email` char(128) COLLATEutf8_unicode_ci DEFAULT NULL,`note` text COLLATEutf8_unicode_ci,`quota_cycle` int(10) NOT NULLDEFAULT '30',`quota_bytes` bigint(20) NOTNULL DEFAULT '10737418240',`enabled` int(10) NOT NULLDEFAULT '1',PRIMARY KEY (`username`),KEY `idx_active` (`active`),KEY `idx_enabled` (`enabled`)) DEFAULT CHARSET=utf8COLLATE=utf8_unicode_ci;
5.4创建日志数据表
CREATE TABLE IF NOT EXISTS`log` (`username` varchar(32) COLLATEutf8_unicode_ci NOT NULL,`start_time` timestamp NOTNULL DEFAULT CURRENT_TIMESTAMP,`end_time` timestamp NOT NULLDEFAULT '0000-00-00 00:00:00',`trusted_ip` varchar(64)COLLATE utf8_unicode_ci DEFAULT NULL,`trusted_port` int(10) DEFAULTNULL,`protocol` varchar(16) COLLATEutf8_unicode_ci DEFAULT NULL,`remote_ip` varchar(64)COLLATE utf8_unicode_ci DEFAULT NULL,`remote_netmask` varchar(64)COLLATE utf8_unicode_ci DEFAULT NULL,`bytes_received` bigint(20)DEFAULT '0',`bytes_sent` bigint(20)DEFAULT '0',`status` int(10) NOT NULLDEFAULT '1',KEY `idx_username`(`username`),KEY `idx_start_time`(`start_time`),KEY `idx_end_time`(`end_time`)) DEFAULT CHARSET=utf8COLLATE=utf8_unicode_ci;exit;#退出数据库
六、配置pam支持MySQL验证
用户的验证信息(用户名、密码)保存在MySQL数据库中,验证模块则是利用pam功能的新增pam_mysql.so插件来实现。需要注意的是32位和64位操作系统所引用的地址是有区别的。
6.1安装pam.so组件
cd /usr/srcwget http://prdownloads.sourceforge.net/pam-mysql/pam_mysql-0.7RC1.tar.gztar zxvf pam_mysql-0.7RC1.tar.gzcd pam_mysql-0.7RC1vi patch.in--- Makefile.in.chold2008-07-14 10:25:53.000000000 +0200+++ Makefile.in 2008-07-1410:26:06.000000000 +0200@@ -110,7 +110,7 @@CPPFLAGS = @CPPFLAGS@LDFLAGS = @LDFLAGS@LIBS = @LIBS@-pam_mysql_la_LIBADD =+pam_mysql_la_LIBADD = -lpampam_mysql_la_OBJECTS=pam_mysql.loCFLAGS = @CFLAGS@COMPILE = $(CC) $(DEFS) $(INCLUDES)$(AM_CPPFLAGS) $(CPPFLAGS) $(AM_CFLAGS) $(CFLAGS)patch -p0 < patch.in./configuremakemake installcp /usr/lib64/open***/plugin/lib/open***-auth-pam.so/etc/open***/
6.2修改open***让其支持MySQL验证
crypt 表示密码在数据库中加密存储的方式,含义如下:
Ø0 (or “plain”):不加密,明文存储。不推荐使用。
Ø1 (or “Y”):使用crypt(3)函数,相当于MySQL 中的ENCRYPT()函数。
Ø2 (or “mysql”):使用MySQL 的PASSWORD()函数。PAM可能与MySQL 的函数不同,不推荐使用。
Ø3 (or “md5″):使用MD5。
Ø4 (or “sha1″):使用SHA1。
vi /etc/pam.d/open***auth sufficient /lib64/security/pam_mysql.so user=open***passwd=www.myj123.com host=localhostdb=open*** table=user usercolumn=usernamepasswdcolumn=password where=active=1 sqllog=1 crypt=1account required /lib64/security/pam_mysql.so user=open***passwd=www.myj123.com host=localhostdb=open*** table=user usercolumn=usernamepasswdcolumn=password where=active=1 sqllog=1 crypt=1
6.3启动saslauthd
servicesaslauthd start
6.4添加测试用户
mysql -u open***–pUSE open***;INSERTINTO user(username, password) VALUES('test', ENCRYPT('test'));exit; 6.5测试MySQL验证
testsaslauthd -u test -p test-s open***
如果提“0: OK "Success."表示成功。
七、配置open***
7.1配置open***服务端
开始建立Open***的配置文件,Open*** 服务启动时,会扫描/etc/open*** 目录中的.conf 文件,对于每个文件,启动一个daemon。本系统要实现UDP、TCP 登录的同时支持,可以写两份配置文件,如tcp.conf,udp.conf,即启动两个daemon,分别负责TCP和UDP协议。以下以udp为例。
vi /etc/open***/server.confport 1194#使用1194端口proto udp#使用UDP协议devtun#使用tunn方式ca /etc/open***/easy-rsa/2.0/keys/ca.crt#根证书cert /etc/open***/easy-rsa/2.0/keys/server.crt#服务端证书key /etc/open***/easy-rsa/2.0/keys/server.key#服务端keydh /etc/open***/easy-rsa/2.0/keys/dh1024.pem#DH交换密钥server 172.16.0.0 255.255.255.0#***拨入后分配的地址ifconfig-pool-persist ipp.txt#***拨入后IP信息push "route 172.16.0.0 255.255.255.0"push "route 192.168.0.0 255.255.255.0"push "route 192.168.16.0 255.255.255.0"push "redirect-gateway def1 bypass-dhcp"push "dhcp-option DNS 202.96.128.166"push "dhcp-option DNS 202.96.128.86"push "dhcp-option DNS 172.16.0.1"keepalive 20 120#连接时间plugin /etc/open***/open***-auth-pam.so open***#mysql验证方式username-as-common-name#用户名验证comp-lzo#压缩传输max-clients 30user nobodygroup nobodypersist-keypersist-tunstatus/var/log/open***/open***-status.loglog-append /var/log/open***/open***.logverb 3mute 5script-security 2client-connect ./connect.sh#连接时启用的脚本client-disconnect ./disconnect.sh#断开连接时的脚本
7.2配置open***流量控制
open***流量控制的主要作用是在用户连接时,在数据库log 表中新建一条记录,记录用户的IP 地址、端口号、连接时间等信息。在用户断开连接时,更新刚才添加的记录,记下用户的断开连接时间、发送数据量、接收数据量等。然后,对用户的流量进行判断,若超过配额,则将用户锁定(active=0)。
user 表中的quota_cycle 是用户的流量计算周期,quota_bytes 是用户每个周期内最多允许的流量。connect.sh 和disconnect.sh 脚本文件中调用了Open*** 的环境变量。Open*** 在执行脚本时,自动各种设置了环境变量,供脚本使用。
vi /etc/open***/connect.sh#连接脚本#!/bin/bashDB='open***'DBADMIN='open***'DBPASSWD='password'mysql -u$DBADMIN -p$DBPASSWD -e "INSERT INTOlog(username,start_time,trusted_ip,trusted_port,protocol,remote_ip,remote_netmask,status) VALUES('$common_name',now(),'$trusted_ip',$trusted_port,'$proto_1','$ifconfig_pool_remote_ip','$route_netmask_1',1)"$DBvi /etc/open***/disconnect.sh#断开连接时脚本#!/bin/bashDB='open***'DBADMIN='open***'DBPASSWD='password'mysql -u$DBADMIN -p$DBPASSWD -e "UPDATE log SETend_time=now(),bytes_received=$bytes_received,bytes_sent=$bytes_sent,status=0WHERE trusted_ip='$trusted_ip' AND trusted_port=$trusted_port ANDremote_ip='$ifconfig_pool_remote_ip' AND username='$common_name' ANDstatus=1" $DBmysql -u$DBADMIN -p$DBPASSWD -e "UPDATE user SETactive=0 WHERE user.username IN (SELECT username FROM (SELECT log.username ASusername, quota_bytes FROM user, log WHERE log.username='$common_name' ANDlog.username=user.username AND log.status=0 ANDTO_DAYS(NOW())-TO_DAYS(start_time)< =quota_cycle GROUP BY log.usernameHAVING SUM(bytes_received)+SUM(bytes_sent)>=quota_bytes) AS u);" $DBchmod +x /etc/open***/connect.shchmod +x/etc/open***/disconnect.sh 使用cron 每天对用户进行检查以上操作在用户超过流量时自动将用户锁定。每天还应该执行一次检查,把已经恢复流量的用户解锁。可以通过cron实现此功能。
vi /etc/cron.daily/open***#每天定时执行脚本#!/bin/bashDB='open***'DBADMIN='open***'DBPASSWD='password'mysql -u$DBADMIN -p$DBPASSWD -e "UPDATE user SETactive=1" $DBmysql -u$DBADMIN -p$DBPASSWD -e "UPDATE user SETactive=0 WHERE user.username IN (SELECT username FROM (SELECT log.username ASusername, quota_bytes FROM user, log WHERE log.username=user.username ANDlog.status=0 AND TO_DAYS(NOW())-TO_DAYS(start_time)< =quota_cycle GROUP BYlog.username HAVING SUM(bytes_received)+SUM(bytes_sent)>=quota_bytes) ASu);" $DBmysql -u$DBADMIN -p$DBPASSWD -e "UPDATE user SETactive=0 WHERE enabled=0" $DBchmod +x /etc/cron.daily/open***
7.3配置open***客户端(windows)
需要先安装windows下的客户端,客户端分为32位版本和64位两种,下载后正常安装。安装完成后在“C:\Program Files\Open***\config\”下将client1.key、client1.crt和ca.crt放入该文件夹,同时建立以下客户端配置文件如myopen***.o***,详情如下所示。
clientdevtunprotoudpremote 远程IP 1194resolv-retry infinitenobindpersist-keypersist-tun--ca ca.crt--cert client1.crt--key client1.keyauth-user-passns-cert-type serverkeepalive 20 60comp-lzoverb 3mute 20route-method exeroute-delay 2
客户端启动open***后选择连接(connect)后输入用户验证的用户名和密码,拨入成功后如图十二、十三、十四所示。
图十二、open***客户端
图十三、open***客户端
图十四、open***客户端
7.4配置open***客户端(ubuntu)
sudo apt-get open***sudocp/usr/share/doc/open***/examples/sample-config-files/client.conf /etc/open***/sudocp /home/hd123/ca.crt ./sudocp /home/hd123/client1.*./sudo vi/etc/open***/client.confsudoopen*** --config/etc/open***/client.conf#启动客户端
八、启动并测试open***
8.1启动open***
在服务器端启动open***服务。运行以下指令后open***服务器端会启动相应服务,服务启动后可查看配置文件中设定的日志定位存在的问题,启动成功后会在系统中生成一块tun0网卡,如图十五所示。
serviceopen*** start
图十五、MySQL组件安装
8.2启用系统路由转发
vi /etc/sysctl.confnet.ipv4.ip_forward = 1net.ipv4.conf.all.send_redirects = 0net.ipv4.conf.all.accept_redirects = 0sysctl -p
8.3配置防火墙
:INPUT DROP [0:0]:FORWARD DROP [0:0]:OUTPUT DROP [11:874]-A INPUT -m state --stateRELATED,ESTABLISHED -j ACCEPT-A INPUT -p icmp -j ACCEPT-A INPUT -i lo -j ACCEPT-A INPUT -i eth0 -p udp -m udp--dport 1194 -j ACCEPT-A INPUT -itun+ -j ACCEPT-A INPUT -p tcp -m state--state NEW -m tcp --dport 22 -j ACCEPT-A INPUT -p udp -m state--state NEW -m udp --dport 1194 -j ACCEPT-A INPUT -j REJECT--reject-with icmp-host-prohibited-A FORWARD -itun+ -o eth0 -jACCEPT-A FORWARD -i eth0 -o tun+ -jACCEPT-A FORWARD -j REJECT--reject-with icmp-host-prohibited-A OUTPUT -o eth0 -p udp -mudp --sport 1194 -j ACCEPT-A OUTPUT -o tun+ -j ACCEPT-A FORWARD -j REJECT--reject-with icmp-host-prohibited-A OUTPUT -o eth0 -p udp -mudp --sport 1194 -j ACCEPT-A OUTPUT -o tun+ -j ACCEPT-A OUTPUT -o eth0 -p icmp -jACCEPT-A OUTPUT -o eth0 -p tcp -mtcp --sport 22 -j ACCEPTCOMMIT
转载地址:http://zfkmo.baihongyu.com/