Forum » Omrežja in internet » OpenVPN client-connect skripta
OpenVPN client-connect skripta
poweroff ::
Na OpenVPN strežniku skušam zagnati skripto, ko se nek (katerikoli) uporabnik poveže na server. V konfiguracijski datoteki imam tole:
Ta skripta naj bi mi npr. poslala mail ali Signal sporočilo, ko se nekdo poveže na server.
Problem je, da ta skripta očitno teče pod userjem nobody. Namreč, v OpenVPN imam nastavljeno, da ko se server uspešno inicializira, se privilegiji dropnejo na nobody (zaradi varnosti):
Ko v tej skripti rečem
...se jasno vidi, da zadeva teče pod userjem nobody. Kako jo poganjati pod drugim uporabnikom?
script-security 2 client-connect /etc/openvpn/notify.sh client-disconnect /etc/openvpn/notify.sh
Ta skripta naj bi mi npr. poslala mail ali Signal sporočilo, ko se nekdo poveže na server.
Problem je, da ta skripta očitno teče pod userjem nobody. Namreč, v OpenVPN imam nastavljeno, da ko se server uspešno inicializira, se privilegiji dropnejo na nobody (zaradi varnosti):
user nobody group nogroup
Ko v tej skripti rečem
echo `whoami` >> /etc/openvpn/signal.log
...se jasno vidi, da zadeva teče pod userjem nobody. Kako jo poganjati pod drugim uporabnikom?
sudo poweroff
jukoz ::
Zdravo,
Uporaba userja "nobody" ni najbolj pametna dandanes - OpenBSD in ostali operacijski sistemi, ki dajo kaj na varnost so uporabo userja "nobody" opustili pred časom in za vsako storitev uporabijo svoj uporabniški račun.
Svetujem, da v skripti notify.sh uporabiš "sudo -u _uporabnik_" pred ukazi, ki to potrebujejo (oz. uporabiš sudo za samo skripto). Seveda je potrebno nastaviti ustrezne pravice v sudoers, da se lahko stvari zaganjanjo brez gesla.
Ali pa poskusi nastaviti skripto suid root (oz. suid želeni uporabnik)
Uporaba userja "nobody" ni najbolj pametna dandanes - OpenBSD in ostali operacijski sistemi, ki dajo kaj na varnost so uporabo userja "nobody" opustili pred časom in za vsako storitev uporabijo svoj uporabniški račun.
Svetujem, da v skripti notify.sh uporabiš "sudo -u _uporabnik_" pred ukazi, ki to potrebujejo (oz. uporabiš sudo za samo skripto). Seveda je potrebno nastaviti ustrezne pravice v sudoers, da se lahko stvari zaganjanjo brez gesla.
Ali pa poskusi nastaviti skripto suid root (oz. suid želeni uporabnik)
poweroff ::
OK, sem naredil novega uporabnika signal. pod tem teče OpenVPN.
Če iz terminala sedaj rečem:
... se sporočilo lepo pošlje.
Če pa to dam v client-connect skripto, pa dobim napako:
Any idea?
OS je Debian.
Če iz terminala sedaj rečem:
sudo -u signal /home/signal/signal-cli/bin/signal-cli --config /home/signal/.config/signal -u +XXX send -m "Connection to VPN established" +YYY >> /etc/openvpn/signal.log 2>&1
... se sporočilo lepo pošlje.
Če pa to dam v client-connect skripto, pa dobim napako:
Error occurred during initialization of VM java.lang.OutOfMemoryError: unable to create new native thread
Any idea?
OS je Debian.
sudo poweroff
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Domači VPN (strani: 1 2 3 )Oddelek: Omrežja in internet | 24806 (10654) | Daniel |
| » | Ubuntu 18.04 LTS - OpenVPN problemiOddelek: Operacijski sistemi | 598 (430) | poweroff |
| » | OpenWRT in OpenVPN (strani: 1 2 )Oddelek: Omrežja in internet | 10359 (8219) | BivšiUser2 |
| » | OpenVPN odjemalec na Mikrotiku?Oddelek: Omrežja in internet | 1755 (1547) | noraguta |
| » | Openvpn (strani: 1 2 )Oddelek: Programska oprema | 14730 (6297) | Blisk |