document/TranslateProject
2
0
Fork 0
mirror of https://github.com/LCTT/TranslateProject.git synced 2025-02-03 23:40:14 +08:00
Code Issues Packages Projects Releases Wiki Activity

校对完毕,译的不错

Browse Source
This commit is contained in:
jasminepeng 2013-11-22 11:29:40 +08:00
parent a0b488d2f3
commit f513ffaea3
1 changed files with 6 additions and 6 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

12
translated/How to Set Up Secure Remote Networking with OpenVPN on Linux, Part 1.md
View File

@ -1,18 +1,18 @@
OpenVPN 安全手册[part 1]
Linux上如何架设 OpenVPN 建立安全的远程网络[part 1]
================================================================================
一直以来我们在互联网上传输信息时都谨慎地为这些信息加密以防内容泄露出去特别是在政府的干预下为网络上每个字节都进行加密已经变得空前重要了。在这种情况下OpenVPN 是保障网络信息安全的首选。今天我们就来学习一下如何架设 OpenVPN使你可以在任何场所都能安全地访问家里的服务器。
VPN 小贴士:很多商业的 VPN 根本不值它们的售价,它们的安全性只比通过 SSL 保护的网站高一点点,原因是它们的安全意识还不够强,认为世上所有人都是值得信任的。而一个真正意义上的 VPN 认为在充满危险的互联网上只存在两个值得信任的终端 —— 即真正要建立连接的那两个。用户不能随便找一台 PC 机就能登录进 VPN因为你的 VPN 如果能被随随便便的一台 PC 登录进来,不管它们建立的连接有多么安全,是一件好事情。所以你必须在你的客户端和服务器端都要好好地配置一下 VPN 服务。
VPN 小贴士:很多商业的 VPN 根本不值它们的售价,它们的安全性只比通过 SSL 保护的网站高一点点,原因是它们信任所有客户端。一个真正意义上的 VPN 用于在非可信网络上连接两个可信的终端。用户不能随便找一台 PC 机就能登录进 VPN因为你的 VPN 如果能被一台受到病毒感染的 PC 登录进来,不管它们建立的连接有多么安全,都不是一件好事情。所以你必须在你的客户端和服务器端都要好好地配置一下 VPN 服务。
### OpenVPN 快速入门 ###
你需要两台不同子网下的计算机,比如一台连着光缆的 PC 和一台连着 Wifi 的 PC或者是 VitualBox 虚拟机上的多台客户机),并且你要知道它们的 IP 地址。这里分别为这两台计算机命名为“Studio”和“Shop”都给它们安上 OpenVPN。OpenVPN 支持大多数 Linux 发行版,所以你只要用你手头的安装包管理软件就行。本文的包管理器是 Debian、Ubuntu 以及它们的衍生版中使用的 apt-get下面安装 OpenVPN
你需要两台不同子网下的计算机,比如同一网段一台使用网线的 PC 和一台使用无线 的 PC或者是 VitualBox 虚拟机上的多台Linux客户机),并且你要知道它们的 IP 地址。这里分别为这两台计算机命名为“Studio”和“Shop”都给它们安上 OpenVPN。OpenVPN 支持大多数 Linux 发行版,所以你只要用你手头的安装包管理软件就行。本文的包管理器是 Debian、Ubuntu 以及它们的衍生版中使用的 apt-get下面安装 OpenVPN
$ sudo apt-get install openvpn openvpn-blacklist
上面的步骤安装了 OpenVPN 服务器和一个用于检查外泄密钥黑名单的程序。请务必安装这个黑名单检查器,因为有一次 Debian 发布了一个[有漏洞的 OpenSSL 软件][1],这个软件里的随机码生成器会产生不可信任的密钥 —— 产生的这些密钥不是真正的随机数它们可以被预测到。这件事发生在2008年当时所有使用了这个软件的人都需要修改他们这个不是秘密的密钥。即使5年过去了我们还是建议使用这个黑名单检查器 —— 这是份廉价的保险
上面的步骤安装了 OpenVPN 服务器和一个用于检查外泄密钥黑名单的程序。请务必安装这个黑名单检查器,因为有一次 Debian 发布了一个[有漏洞的 OpenSSL 软件][1],这个软件里的随机码生成器会产生不可信任的密钥 —— 产生的这些密钥不是真正的随机数它们可以被预测到。这件事发生在2008年当时所有使用了这个软件的人都需要替换掉他们的弱密钥。即使5年过去了我们还是建议使用这个黑名单检查器。
现在让我们试着为两台 PC 机创建一个不加密的通道。首先互 ping 一下确保它们能连通,然后让 OpenVPN 处于关闭状态(别着急,我们会在后面手动启动它):
现在让我们测试下,先为两台 PC 创建一个不加密的通道。首先互 ping 一下确保它们能连通,然后让 OpenVPN 处于关闭状态(我们会在后面手动启动它):
$ ps ax|grep openvpn
@ -50,7 +50,7 @@ VPN 小贴士:很多商业的 VPN 根本不值它们的售价,它们的安
### 加密后的 VPN 隧道 ###
目前为止我们玩得还不赖但是没有使用加密技术一切都毫无意义所以我们需要建立一个简单的静态密钥配置文件。不像公钥基础设施PKI有着根认证中心、可撤消认证等安全措施我们的加密机制没有那么强悍但是对于仅仅想远程到家里的用户来说已经足够了。OpenVPN 有提供创建静态密钥的命令,我们可以建立目录、建密钥文件,并将文件设为只读模式:
目前为止我们玩得还不赖但是没有使用加密技术一切都毫无意义所以我们需要建立一个简单的静态密钥配置文件。不像公钥基础设施PKI有着根认证中心、可撤消认证等安全措施我们的加密机制没有那么强悍但是对于仅仅想远程到家里的用户来说已经足够了。OpenVPN 有提供创建静态密钥的命令,我们可以建立目录存储密钥建密钥,并将文件设为对file owner只读模式:
$ sudo mkdir /etc/openvpn/keys/
$ sudo openvpn --genkey --secret /etc/openvpn/keys/static.key