Open**アクセス権限の制御
ディレクトリ: Openをインストールします××× (http://fengwan.blog.51cto.com/508652/1404435) Openの設定×××MySQLを使って検証(http://fengwan.blog.51cto.com/508652/1786556) は、異なるユーザに対して異なる権限を設定する .
背景:
会社はOpenを使用します×××遠隔アクセスツールとして、統一ユーザー管理が不足し、監査機能が不足している.×××登録後はデフォルトですべてのサーバーの機能とポートにアクセスできます.×××の使用人数を制限したが、結局は治まらない.
提出:
テスト者:オンライン上のすべてのWebサーバ(80)およびテストライブラリ192.168.2.6のMySQLにのみアクセスできます(3306)
開発者:オンライン上のすべてのWebサーバ(80)にアクセスでき、またテストライブラリ192.168.2.6のMySQL(3306)とSVN 192.168.2.10(443ポート)にアクセスできます.
DBA:オンラインの正式ライブラリにしかアクセスできません.192.168.2.10(3306)、テストライブラリ192.168.2.6(3306)
運営者:オンラインのすべてのサービスにアクセスできます.
上記の権限制御に基づいて、一連の解決策.
異なるユーザーに対して異なる権限を設定し、異なるIPセグメントで処理し、その後、iptablesには異なるIPセグメントアクセス権限を設定する.
サブネットワーク計算機による計算:
試験者:172.6.8.0/24
開発者:172.6.9.0/24
DBA:172.6.10/24
運送人:172.6.11.0/204
ここには4つの「段」がありますが、サーバーには大きなネットが含まれています.上から計算したら172.6.8/255.255.252.0が適当です.
どうしてネット計算機を使いますか?原因はOpenです×××のServerアドレスはすべてのクライアントにアクセスできる必要があります.
以下はOpenです×××の設定ファイル
Open×××サーバーのIPは:192.168.254、iptablesのプロファイルは
したがって/usr/local/open***/conf/cdディレクトリの下のファイルの内容は以下の通りになります.
子網 , 有効なホスト , 放送住所 172.1.68.0 , 172.6.8.1 172.6.8.2まで , 172.6.8.3 172.1.68.4 , 172.6.8.5 172.6.8.6まで , 172.6.7 172.6.8 , 172.6.8.9 172.6.8.10まで , 172.6.11 172.6.8.12 , 172.6.8.13 172.16.8.14まで , 172.6.8.15 172.6.16. , 172.6.17 172.6.18まで , 172.6.19 172.6.20 , 172.6.21 172.6.8.22まで , 172.6.23 172.6.8.24 , 172.6.8.25 172.6.26まで , 172.6.27 172.6.28 , 172.6.8.29 172.16.8.30まで , 172.6.31 172.6.32 , 172.6.33 172.6.34まで , 172.6.35 172.6.36 , 172.6.37 172.6.38まで , 172.6.39 172.6.40 , 172.6.41 172.6.42まで , 172.6.43 172.6.44 , 172.6.45 172.6.46まで , 172.6.47 172.6.48 , 172.6.49 172.6.50まで , 172.6.51 172.6.52 , 172.6.53 172.6.54まで , 172.6.55 172.6.56 , 172.6.57 172.6.58まで , 172.6.59 172.6.60 , 172.6.61 172.16.8.62まで , 172.6.63 172.6.64 , 172.6.65 172.6.66まで , 172.6.67 172.6.68 , 172.6.69 172.6.70まで , 172.6.71 172.6.72 , 172.6.73 172.6.74まで , 172.6.75 172.6.76 , 172.6.77 172.6.78まで , 172.6.79 172.6.80 , 172.6.81 172.6.82まで , 172.6.83 172.6.84 , 172.6.85 172.6.86まで , 172.6.87 172.6.88 , 172.6.89 172.6.8.90まで , 172.6.91 172.6.92 , 172.6.93 172.6.94まで , 172.6.95 172.6.96. , 172.6.97 172.6.98まで , 172.6.99 172.6.100 , 172.6.101 172.16.8.102まで , 172.6.103 172.6.104 , 172.6.105 172.6.106まで , 172.6.107 172.6.108 , 172.6.109 172.6.8.110まで , 172.6.111 172.6.112 , 172.6.113 172.6.8.114まで , 172.6.115 172.6.116 , 172.6.117 172.16.8.118まで , 172.6.119 172.6.120 , 172.6.121 172.16.8.122まで , 172.6.123 172.6.8.124 , 172.6.125 172.16.8.126まで , 172.6.127 172.6.128 , 172.6.129 172.16.8.130まで , 172.6.131 172.6.8.132 , 172.6.133 172.6.134まで , 172.6.135 172.6.136 , 172.6.8.137 172.16.8.138まで , 172.6.139 172.6.140 , 172.6.141 172.6.8.142まで , 172.6.143 172.6.144 , 172.6.145 172.6.146まで , 172.6.147 172.6.148 , 172.6.149 172.16.8.150まで , 172.6.151 172.6.152. , 172.6.153 172.16.8.154まで , 172.6.155 172.16.8.156 , 172.6.157 172.6.158まで , 172.6.159 172.6.160 , 172.6.161 172.16.8.162まで , 172.6.163 172.6.164 , 172.6.165 172.6.166まで , 172.6.167 172.6.168 , 172.6.169 172.16.8.170まで , 172.6.171 172.16.8.172 , 172.6.173 172.16.8.174まで , 172.16.8.175 172.6.176 , 172.6.177 172.16.8.178まで , 172.6.179 172.6.180 , 172.6.181 172.6.182まで , 172.6.183 172.6.184 , 172.6.185 172.16.8.186まで , 172.6.187 172.6.188 , 172.6.189 172.16.8.190まで , 172.6.191 172.6.192 , 172.6.193 172.16.8.194まで , 172.6.195 172.1.68.196 , 172.6.197 172.16.8.198まで , 172.6.199 172.6.200 , 172.6.201 172.6.8.202まで , 172.6.203 172.6.8.204 , 172.6.205 172.6.206まで , 172.6.207 172.6.208 , 172.6.209 172.16.8.210まで , 172.6.211 172.6.212 , 172.6.213 172.6.214まで , 172.6.215 172.1.68.216 , 172.6.217 172.16.8.218まで , 172.6.219 172.1.68.220 , 172.16.8.221 172.16.8.222まで , 172.6.223 172.6.224 , 172.6.225 172.16.8.226まで , 172.6.227 172.6.228 , 172.6.229 172.16.8.230まで , 172.6.231 172.6.232 , 172.6.233 172.16.8.234まで , 172.6.235 172.6.236 , 172.6.237 172.6.238まで , 172.6.239 172.6.8.240 , 172.6.241 172.6.242まで , 172.6.243 172.6.8.244 , 172.6.245 172.6.246まで , 172.6.247 172.6.248 , 172.6.249 172.16.8.250まで , 172.6.251 172.6.252 , 172.6.253 172.6.254まで , 172.6.255
テストグループユーザtest 1の場合、ファイル名はtest 1の内容です.
ifconfig-push 172.6.1 172.6.8.2
テストグループユーザtest 2の場合、ファイル名はtest 2の内容です.
ifconfig-push 172.16.8.5 172.16.8.6
開発グループユーザdev 1の場合、ファイル名dev 1の内容は
ifconfig-push 172.6.9.1 172.6.9.2
これをもって類推する.
背景:
会社はOpenを使用します×××遠隔アクセスツールとして、統一ユーザー管理が不足し、監査機能が不足している.×××登録後はデフォルトですべてのサーバーの機能とポートにアクセスできます.×××の使用人数を制限したが、結局は治まらない.
提出:
テスト者:オンライン上のすべてのWebサーバ(80)およびテストライブラリ192.168.2.6のMySQLにのみアクセスできます(3306)
開発者:オンライン上のすべてのWebサーバ(80)にアクセスでき、またテストライブラリ192.168.2.6のMySQL(3306)とSVN 192.168.2.10(443ポート)にアクセスできます.
DBA:オンラインの正式ライブラリにしかアクセスできません.192.168.2.10(3306)、テストライブラリ192.168.2.6(3306)
運営者:オンラインのすべてのサービスにアクセスできます.
上記の権限制御に基づいて、一連の解決策.
異なるユーザーに対して異なる権限を設定し、異なるIPセグメントで処理し、その後、iptablesには異なるIPセグメントアクセス権限を設定する.
サブネットワーク計算機による計算:
試験者:172.6.8.0/24
開発者:172.6.9.0/24
DBA:172.6.10/24
運送人:172.6.11.0/204
ここには4つの「段」がありますが、サーバーには大きなネットが含まれています.上から計算したら172.6.8/255.255.252.0が適当です.
どうしてネット計算機を使いますか?原因はOpenです×××のServerアドレスはすべてのクライアントにアクセスできる必要があります.
以下はOpenです×××の設定ファイル
port 1499
proto udp
dev tun
ca /usr/local/open***/conf/keys/ca.crt
cert /usr/local/open***/conf/keys/server.crt
key /usr/local/open***/conf/keys/server.key # This file should be kept secret
dh /usr/local/open***/conf/keys/dh2048.pem
server 172.16.8.0 255.255.252.0 # #
ifconfig-pool-persist /usr/local/open***/logs/ipp.txt
push "route 192.168.2.0 255.255.255.0"
client-config-dir /usr/local/open***/conf/ccd # IP
push "dhcp-option DNS 114.114.114.114"
push "dhcp-option DNS 8.8.4.4"
client-to-client
keepalive 10 120
comp-lzo
max-clients 100
persist-key
persist-tun
status /usr/local/open***/logs/open***-status.log
log-append /usr/local/open***logs/open***.log
verb 3
script-security 3
username-as-common-name
#plugin /usr/local/open***/lib/open***/plugins/open***-auth-pam.so open***
auth-user-pass-verify /usr/local/open***/conf/scripts/checkpsw.sh via-env
client-cert-not-required
この時はサーバーのファイアウォールの設定を変更します.Open×××サーバーのIPは:192.168.254、iptablesのプロファイルは
# Generated by iptables-save v1.4.7 on Tue May 31 11:37:40 2016
*nat
:PREROUTING ACCEPT [2072:108583]
:POSTROUTING ACCEPT [64:49550]
:OUTPUT ACCEPT [64:49550]
#route for public
-A POSTROUTING -p icmp -s 172.16.8.0/22 -o eth0 -j SNAT --to-source 192.168.2.254
#route for test
-A POSTROUTING -p tcp -s 172.16.8.0/24 -d 192.168.2.0/24 --dport 80 -o eth0 -j SNAT --to-source 192.168.2.254
-A POSTROUTING -p tcp -s 172.16.8.0/24 -d 192.168.2.6/32 --dport 3306 -o eth0 -j SNAT --to-source 192.168.2.254
#route for dev
-A POSTROUTING -p tcp -s 172.16.9.0/24 -d 192.168.2.0/24 --dport 80 -o eth0 -j SNAT --to-source 192.168.2.254
-A POSTROUTING -p tcp -s 172.16.9.0/24 -d 192.168.2.6/32 --dport 3306 -o eth0 -j SNAT --to-source 192.168.2.254
-A POSTROUTING -p tcp -s 172.16.9.0/24 -d 192.168.2.10/32 --dport 443 -o eth0 -j SNAT --to-source 192.168.2.254
#route for DBA
-A POSTROUTING -p tcp -s 172.16.10.0/24 -d 192.168.2.0/24 --dport 3306 -o eth0 -j SNAT --to-source 192.168.2.254
#route for sa
-A POSTROUTING -s 172.16.11.0/24 -d 192.168.2.0/24 -o eth0 -j SNAT --to-source 192.168.2.254
COMMIT
# Completed on Tue May 31 11:37:40 2016
# Generated by iptables-save v1.4.7 on Tue May 31 11:37:40 2016
*filter
:INPUT DROP [4:296]
:FORWARD ACCEPT [1431:2278882]
:OUTPUT ACCEPT [1990:1424162]
-A INPUT -i lo -j ACCEPT
-A INPUT -p udp -m udp --dport 1499 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
COMMIT
open****は255.255.255.255.2.252のサブネットしかサポートしていないので、252サブネットは三つのIPしかありません.一つはクライアントに、一つはサーバーに、一つはブロードキャストアドレスに与えます.したがって/usr/local/open***/conf/cdディレクトリの下のファイルの内容は以下の通りになります.
子網 , 有効なホスト , 放送住所 172.1.68.0 , 172.6.8.1 172.6.8.2まで , 172.6.8.3 172.1.68.4 , 172.6.8.5 172.6.8.6まで , 172.6.7 172.6.8 , 172.6.8.9 172.6.8.10まで , 172.6.11 172.6.8.12 , 172.6.8.13 172.16.8.14まで , 172.6.8.15 172.6.16. , 172.6.17 172.6.18まで , 172.6.19 172.6.20 , 172.6.21 172.6.8.22まで , 172.6.23 172.6.8.24 , 172.6.8.25 172.6.26まで , 172.6.27 172.6.28 , 172.6.8.29 172.16.8.30まで , 172.6.31 172.6.32 , 172.6.33 172.6.34まで , 172.6.35 172.6.36 , 172.6.37 172.6.38まで , 172.6.39 172.6.40 , 172.6.41 172.6.42まで , 172.6.43 172.6.44 , 172.6.45 172.6.46まで , 172.6.47 172.6.48 , 172.6.49 172.6.50まで , 172.6.51 172.6.52 , 172.6.53 172.6.54まで , 172.6.55 172.6.56 , 172.6.57 172.6.58まで , 172.6.59 172.6.60 , 172.6.61 172.16.8.62まで , 172.6.63 172.6.64 , 172.6.65 172.6.66まで , 172.6.67 172.6.68 , 172.6.69 172.6.70まで , 172.6.71 172.6.72 , 172.6.73 172.6.74まで , 172.6.75 172.6.76 , 172.6.77 172.6.78まで , 172.6.79 172.6.80 , 172.6.81 172.6.82まで , 172.6.83 172.6.84 , 172.6.85 172.6.86まで , 172.6.87 172.6.88 , 172.6.89 172.6.8.90まで , 172.6.91 172.6.92 , 172.6.93 172.6.94まで , 172.6.95 172.6.96. , 172.6.97 172.6.98まで , 172.6.99 172.6.100 , 172.6.101 172.16.8.102まで , 172.6.103 172.6.104 , 172.6.105 172.6.106まで , 172.6.107 172.6.108 , 172.6.109 172.6.8.110まで , 172.6.111 172.6.112 , 172.6.113 172.6.8.114まで , 172.6.115 172.6.116 , 172.6.117 172.16.8.118まで , 172.6.119 172.6.120 , 172.6.121 172.16.8.122まで , 172.6.123 172.6.8.124 , 172.6.125 172.16.8.126まで , 172.6.127 172.6.128 , 172.6.129 172.16.8.130まで , 172.6.131 172.6.8.132 , 172.6.133 172.6.134まで , 172.6.135 172.6.136 , 172.6.8.137 172.16.8.138まで , 172.6.139 172.6.140 , 172.6.141 172.6.8.142まで , 172.6.143 172.6.144 , 172.6.145 172.6.146まで , 172.6.147 172.6.148 , 172.6.149 172.16.8.150まで , 172.6.151 172.6.152. , 172.6.153 172.16.8.154まで , 172.6.155 172.16.8.156 , 172.6.157 172.6.158まで , 172.6.159 172.6.160 , 172.6.161 172.16.8.162まで , 172.6.163 172.6.164 , 172.6.165 172.6.166まで , 172.6.167 172.6.168 , 172.6.169 172.16.8.170まで , 172.6.171 172.16.8.172 , 172.6.173 172.16.8.174まで , 172.16.8.175 172.6.176 , 172.6.177 172.16.8.178まで , 172.6.179 172.6.180 , 172.6.181 172.6.182まで , 172.6.183 172.6.184 , 172.6.185 172.16.8.186まで , 172.6.187 172.6.188 , 172.6.189 172.16.8.190まで , 172.6.191 172.6.192 , 172.6.193 172.16.8.194まで , 172.6.195 172.1.68.196 , 172.6.197 172.16.8.198まで , 172.6.199 172.6.200 , 172.6.201 172.6.8.202まで , 172.6.203 172.6.8.204 , 172.6.205 172.6.206まで , 172.6.207 172.6.208 , 172.6.209 172.16.8.210まで , 172.6.211 172.6.212 , 172.6.213 172.6.214まで , 172.6.215 172.1.68.216 , 172.6.217 172.16.8.218まで , 172.6.219 172.1.68.220 , 172.16.8.221 172.16.8.222まで , 172.6.223 172.6.224 , 172.6.225 172.16.8.226まで , 172.6.227 172.6.228 , 172.6.229 172.16.8.230まで , 172.6.231 172.6.232 , 172.6.233 172.16.8.234まで , 172.6.235 172.6.236 , 172.6.237 172.6.238まで , 172.6.239 172.6.8.240 , 172.6.241 172.6.242まで , 172.6.243 172.6.8.244 , 172.6.245 172.6.246まで , 172.6.247 172.6.248 , 172.6.249 172.16.8.250まで , 172.6.251 172.6.252 , 172.6.253 172.6.254まで , 172.6.255
テストグループユーザtest 1の場合、ファイル名はtest 1の内容です.
ifconfig-push 172.6.1 172.6.8.2
テストグループユーザtest 2の場合、ファイル名はtest 2の内容です.
ifconfig-push 172.16.8.5 172.16.8.6
開発グループユーザdev 1の場合、ファイル名dev 1の内容は
ifconfig-push 172.6.9.1 172.6.9.2
これをもって類推する.