CETI/wiki-bastionado
1
0
Fork 0
Code Issues Pull Requests Projects Releases Wiki Activity

docs: update vpn/openvpn/guide

Browse Source
This commit is contained in:
José Antonio Yáñez Jiménez 2022-05-31 23:30:11 +00:00 committed by José Antonio Yáñez Jiménez
parent 8ba7535270
commit e29615bc06
1 changed files with 41 additions and 4 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

45
vpn/openvpn/guide.md
View File

@ -2,7 +2,7 @@
title: OpenVPN - Guía de instalación title: OpenVPN - Guía de instalación
description: Guía de instalación utilizada durante la realización de la práctica description: Guía de instalación utilizada durante la realización de la práctica
published: true published: true
date: 2022-05-31T23:14:59.378Z date: 2022-05-31T23:30:08.097Z
tags: vpn, servidor tags: vpn, servidor
editor: markdown editor: markdown
dateCreated: 2022-05-31T21:04:15.280Z dateCreated: 2022-05-31T21:04:15.280Z
@ -462,28 +462,65 @@ clear && cowsay -W 76 -f ovpn 'Ahora habilitaremos la directiva `tls-auth`. Como
tls-auth ta.key 0 tls-auth ta.key 0
``` ```
```bash
clear && cowsay -W 76 -f ovpn 'La directiva `cipher` cifra los paquetes del canal de datos con el algoritmo de cifrado escogido, en este caso `AES-256-CBC`, un modelo de cifrado por bloques de bloques de 256 bits. En todo caso, éste es el nivel de cifrado mínimo exigido por el servidor, si el cliente puede utilizar un esquema de cifrado más potente y moderno (por ejemplo AES-256-GCM, más rápido) éste cambiará de forma dinámica.'
```
```bash
cipher AES-256-CBC cipher AES-256-CBC
```
```bash
clear && cowsay -W 76 -f ovpn 'La directiva `auth` nos permitirá autenticar los datos encriptados enviados y recibidos respectivamente. Utilizaremos un `Hash` seguro para este menester como `SHA512`.'
```
```bash
auth SHA512 auth SHA512
```
clear && cowsay -W 76 -f ovpn 'Haremos que el servicio OpenVPN se ejecute con el usuario nobody y gruop nogroup descomentando estos valores, y las opciones de persistencia tratarán de evitar el acceso a ciertos recursos en el reinicio que puedan dejar de ser accesibles debido a una reducción de privilegios' ```bash
clear && cowsay -W 76 -f ovpn 'Haremos que el servicio OpenVPN realice una desescalada de privilegios ejecutándose con el usuario `nobody` y grupo `nogroup` tras iniciarse.'
```
```bash
user nobody user nobody
group nogroup group nogroup
```
```bash
clear && cowsay -W 76 -f ovpn 'Estas opciones de persistencia tratarán de evitar el acceso a ciertos recursos en el reinicio que puedan dejar de ser accesibles debido a una reducción de privilegios'
```
```bash
persist-key persist-key
persist-tun persist-tun
```
clear && cowsay -W 76 -f ovpn 'Escribimos el estado (un resumen de las conexiones) cada minuto en un fichero, también escribimos un fichero de registro que se mantendrá entre sesiones, se establecera el nivel de detalle que va desde 0 (nada) a 9 (ultra detallado) e informamos a los clientes ante un reinicio del servidor para que puedan reconectar posteriormente' ```bash
clear && cowsay -W 76 -f ovpn 'Escribimos el estado (un resumen de las conexiones) cada minuto en un fichero y también escribimos un fichero de registro que se mantendrá entre sesiones.'
```
```bash
status /var/log/openvpn/openvpn-status.log status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log log-append /var/log/openvpn/openvpn.log
```
```bash
clear && cowsay -W 76 -f ovpn 'También establecemos el nivel de detalle que va desde 0 (nada) a 9 (ultra detallado), utilizando un valor propicio para producción.'
```
```bash
verb 3 verb 3
```
```bash
clear && cowsay -W 76 -f ovpn 'Para finalizar nuestro fichero de configuraciób informamos a los clientes ante un reinicio del servidor para que puedan reconectar posteriormente.'
```
```bash
explicit-exit-notify 1 explicit-exit-notify 1
```