From e29615bc06cf1948f837dcb3cd91975beb05ad0b Mon Sep 17 00:00:00 2001 From: =?UTF-8?q?Jos=C3=A9=20Antonio=20Y=C3=A1=C3=B1ez=20Jim=C3=A9nez?= Date: Tue, 31 May 2022 23:30:11 +0000 Subject: [PATCH] docs: update vpn/openvpn/guide --- vpn/openvpn/guide.md | 45 ++++++++++++++++++++++++++++++++++++++++---- 1 file changed, 41 insertions(+), 4 deletions(-) diff --git a/vpn/openvpn/guide.md b/vpn/openvpn/guide.md index e1bd235..65fd34e 100644 --- a/vpn/openvpn/guide.md +++ b/vpn/openvpn/guide.md @@ -2,7 +2,7 @@ title: OpenVPN - Guía de instalación description: Guía de instalación utilizada durante la realización de la práctica published: true -date: 2022-05-31T23:14:59.378Z +date: 2022-05-31T23:30:08.097Z tags: vpn, servidor editor: markdown dateCreated: 2022-05-31T21:04:15.280Z @@ -462,28 +462,65 @@ clear && cowsay -W 76 -f ovpn 'Ahora habilitaremos la directiva `tls-auth`. Como tls-auth ta.key 0 ``` +```bash +clear && cowsay -W 76 -f ovpn 'La directiva `cipher` cifra los paquetes del canal de datos con el algoritmo de cifrado escogido, en este caso `AES-256-CBC`, un modelo de cifrado por bloques de bloques de 256 bits. En todo caso, éste es el nivel de cifrado mínimo exigido por el servidor, si el cliente puede utilizar un esquema de cifrado más potente y moderno (por ejemplo AES-256-GCM, más rápido) éste cambiará de forma dinámica.' +``` + +```bash cipher AES-256-CBC +``` +```bash +clear && cowsay -W 76 -f ovpn 'La directiva `auth` nos permitirá autenticar los datos encriptados enviados y recibidos respectivamente. Utilizaremos un `Hash` seguro para este menester como `SHA512`.' +``` + +```bash auth SHA512 +``` -clear && cowsay -W 76 -f ovpn 'Haremos que el servicio OpenVPN se ejecute con el usuario nobody y gruop nogroup descomentando estos valores, y las opciones de persistencia tratarán de evitar el acceso a ciertos recursos en el reinicio que puedan dejar de ser accesibles debido a una reducción de privilegios' +```bash +clear && cowsay -W 76 -f ovpn 'Haremos que el servicio OpenVPN realice una desescalada de privilegios ejecutándose con el usuario `nobody` y grupo `nogroup` tras iniciarse.' +``` +```bash user nobody group nogroup +``` +```bash +clear && cowsay -W 76 -f ovpn 'Estas opciones de persistencia tratarán de evitar el acceso a ciertos recursos en el reinicio que puedan dejar de ser accesibles debido a una reducción de privilegios' +``` + +```bash persist-key persist-tun +``` -clear && cowsay -W 76 -f ovpn 'Escribimos el estado (un resumen de las conexiones) cada minuto en un fichero, también escribimos un fichero de registro que se mantendrá entre sesiones, se establecera el nivel de detalle que va desde 0 (nada) a 9 (ultra detallado) e informamos a los clientes ante un reinicio del servidor para que puedan reconectar posteriormente' +```bash +clear && cowsay -W 76 -f ovpn 'Escribimos el estado (un resumen de las conexiones) cada minuto en un fichero y también escribimos un fichero de registro que se mantendrá entre sesiones.' +``` +```bash status /var/log/openvpn/openvpn-status.log log-append /var/log/openvpn/openvpn.log +``` +```bash +clear && cowsay -W 76 -f ovpn 'También establecemos el nivel de detalle que va desde 0 (nada) a 9 (ultra detallado), utilizando un valor propicio para producción.' +``` + +```bash verb 3 +``` +```bash +clear && cowsay -W 76 -f ovpn 'Para finalizar nuestro fichero de configuraciób informamos a los clientes ante un reinicio del servidor para que puedan reconectar posteriormente.' +``` + +```bash explicit-exit-notify 1 - +```