Open**アクセス権限の制御


ディレクトリ:
  • Openをインストールします××× (http://fengwan.blog.51cto.com/508652/1404435)
  • Openの設定×××MySQLを使って検証(http://fengwan.blog.51cto.com/508652/1786556)
  • は、異なるユーザに対して異なる権限を設定する
  • .
    背景:
    会社はOpenを使用します×××遠隔アクセスツールとして、統一ユーザー管理が不足し、監査機能が不足している.×××登録後はデフォルトですべてのサーバーの機能とポートにアクセスできます.×××の使用人数を制限したが、結局は治まらない.
    提出:
    テスト者:オンライン上のすべてのWebサーバ(80)およびテストライブラリ192.168.2.6のMySQLにのみアクセスできます(3306)
    開発者:オンライン上のすべてのWebサーバ(80)にアクセスでき、またテストライブラリ192.168.2.6のMySQL(3306)とSVN 192.168.2.10(443ポート)にアクセスできます.
    DBA:オンラインの正式ライブラリにしかアクセスできません.192.168.2.10(3306)、テストライブラリ192.168.2.6(3306)
    運営者:オンラインのすべてのサービスにアクセスできます.
    上記の権限制御に基づいて、一連の解決策.
    異なるユーザーに対して異なる権限を設定し、異なるIPセグメントで処理し、その後、iptablesには異なるIPセグメントアクセス権限を設定する.
    サブネットワーク計算機による計算:
    Open***控制访问权限_第1张图片
    試験者:172.6.8.0/24
    開発者:172.6.9.0/24
    DBA:172.6.10/24
    運送人:172.6.11.0/204
    ここには4つの「段」がありますが、サーバーには大きなネットが含まれています.上から計算したら172.6.8/255.255.252.0が適当です.
    どうしてネット計算機を使いますか?原因はOpenです×××のServerアドレスはすべてのクライアントにアクセスできる必要があります.
    以下はOpenです×××の設定ファイル
    port 1499
    proto udp
    dev tun
    ca /usr/local/open***/conf/keys/ca.crt
    cert /usr/local/open***/conf/keys/server.crt
    key /usr/local/open***/conf/keys/server.key  # This file should be kept secret
    dh /usr/local/open***/conf/keys/dh2048.pem
    server 172.16.8.0 255.255.252.0    #  #                 
    ifconfig-pool-persist /usr/local/open***/logs/ipp.txt
    push "route 192.168.2.0 255.255.255.0"
    client-config-dir /usr/local/open***/conf/ccd  #        IP
    push "dhcp-option DNS 114.114.114.114"
    push "dhcp-option DNS 8.8.4.4"
    client-to-client
    keepalive 10 120
    comp-lzo
    max-clients 100
    persist-key
    persist-tun
    status /usr/local/open***/logs/open***-status.log
    log-append  /usr/local/open***logs/open***.log
    verb 3
    script-security 3
    username-as-common-name
    #plugin /usr/local/open***/lib/open***/plugins/open***-auth-pam.so open***
    auth-user-pass-verify /usr/local/open***/conf/scripts/checkpsw.sh via-env
    client-cert-not-required
    この時はサーバーのファイアウォールの設定を変更します.
    Open×××サーバーのIPは:192.168.254、iptablesのプロファイルは
    # Generated by iptables-save v1.4.7 on Tue May 31 11:37:40 2016
    *nat
    :PREROUTING ACCEPT [2072:108583]
    :POSTROUTING ACCEPT [64:49550]
    :OUTPUT ACCEPT [64:49550]
    #route for public
    -A POSTROUTING -p icmp -s 172.16.8.0/22 -o eth0 -j SNAT --to-source 192.168.2.254
    #route for test
    -A POSTROUTING -p tcp -s 172.16.8.0/24 -d 192.168.2.0/24 --dport 80 -o eth0 -j SNAT --to-source 192.168.2.254
    -A POSTROUTING -p tcp -s 172.16.8.0/24 -d 192.168.2.6/32 --dport 3306 -o eth0 -j SNAT --to-source 192.168.2.254
    #route for dev
    -A POSTROUTING -p tcp -s 172.16.9.0/24 -d 192.168.2.0/24 --dport 80 -o eth0 -j SNAT --to-source 192.168.2.254
    -A POSTROUTING -p tcp -s 172.16.9.0/24 -d 192.168.2.6/32 --dport 3306 -o eth0 -j SNAT --to-source 192.168.2.254
    -A POSTROUTING -p tcp -s 172.16.9.0/24 -d 192.168.2.10/32 --dport 443 -o eth0 -j SNAT --to-source 192.168.2.254
    #route for DBA
    -A POSTROUTING -p tcp -s 172.16.10.0/24 -d 192.168.2.0/24 --dport 3306 -o eth0 -j SNAT --to-source 192.168.2.254
    #route for sa
    -A POSTROUTING -s 172.16.11.0/24 -d 192.168.2.0/24 -o eth0 -j SNAT --to-source 192.168.2.254
    
    COMMIT
    # Completed on Tue May 31 11:37:40 2016
    # Generated by iptables-save v1.4.7 on Tue May 31 11:37:40 2016
    *filter
    :INPUT DROP [4:296]
    :FORWARD ACCEPT [1431:2278882]
    :OUTPUT ACCEPT [1990:1424162]
    -A INPUT -i lo -j ACCEPT
    -A INPUT -p udp -m udp --dport 1499 -j ACCEPT
    -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    -A OUTPUT -o lo -j ACCEPT
    COMMIT
    open****は255.255.255.255.2.252のサブネットしかサポートしていないので、252サブネットは三つのIPしかありません.一つはクライアントに、一つはサーバーに、一つはブロードキャストアドレスに与えます.
    したがって/usr/local/open***/conf/cdディレクトリの下のファイルの内容は以下の通りになります.
    子網             ,   有効なホスト                            ,   放送住所           172.1.68.0   ,   172.6.8.1 172.6.8.2まで     ,   172.6.8.3   172.1.68.4   ,   172.6.8.5 172.6.8.6まで     ,   172.6.7   172.6.8   ,   172.6.8.9 172.6.8.10まで    ,   172.6.11  172.6.8.12  ,   172.6.8.13 172.16.8.14まで   ,   172.6.8.15  172.6.16.  ,   172.6.17 172.6.18まで   ,   172.6.19  172.6.20  ,   172.6.21 172.6.8.22まで   ,   172.6.23  172.6.8.24  ,   172.6.8.25 172.6.26まで   ,   172.6.27  172.6.28  ,   172.6.8.29 172.16.8.30まで   ,   172.6.31  172.6.32  ,   172.6.33 172.6.34まで   ,   172.6.35  172.6.36  ,   172.6.37 172.6.38まで   ,   172.6.39  172.6.40  ,   172.6.41 172.6.42まで   ,   172.6.43  172.6.44  ,   172.6.45 172.6.46まで   ,   172.6.47  172.6.48  ,   172.6.49 172.6.50まで   ,   172.6.51  172.6.52  ,   172.6.53 172.6.54まで   ,   172.6.55  172.6.56  ,   172.6.57 172.6.58まで   ,   172.6.59  172.6.60  ,   172.6.61 172.16.8.62まで   ,   172.6.63  172.6.64  ,   172.6.65 172.6.66まで   ,   172.6.67  172.6.68  ,   172.6.69 172.6.70まで   ,   172.6.71  172.6.72  ,   172.6.73 172.6.74まで   ,   172.6.75  172.6.76  ,   172.6.77 172.6.78まで   ,   172.6.79  172.6.80  ,   172.6.81 172.6.82まで   ,   172.6.83  172.6.84  ,   172.6.85 172.6.86まで   ,   172.6.87  172.6.88  ,   172.6.89 172.6.8.90まで   ,   172.6.91  172.6.92  ,   172.6.93 172.6.94まで   ,   172.6.95  172.6.96.  ,   172.6.97 172.6.98まで   ,   172.6.99  172.6.100 ,   172.6.101 172.16.8.102まで ,   172.6.103 172.6.104 ,   172.6.105 172.6.106まで ,   172.6.107 172.6.108 ,   172.6.109 172.6.8.110まで ,   172.6.111 172.6.112 ,   172.6.113 172.6.8.114まで ,   172.6.115 172.6.116 ,   172.6.117 172.16.8.118まで ,   172.6.119 172.6.120 ,   172.6.121 172.16.8.122まで ,   172.6.123 172.6.8.124 ,   172.6.125 172.16.8.126まで ,   172.6.127 172.6.128 ,   172.6.129 172.16.8.130まで ,   172.6.131 172.6.8.132 ,   172.6.133 172.6.134まで ,   172.6.135 172.6.136 ,   172.6.8.137 172.16.8.138まで ,   172.6.139 172.6.140 ,   172.6.141 172.6.8.142まで ,   172.6.143 172.6.144 ,   172.6.145 172.6.146まで ,   172.6.147 172.6.148 ,   172.6.149 172.16.8.150まで ,   172.6.151 172.6.152. ,   172.6.153 172.16.8.154まで ,   172.6.155 172.16.8.156 ,   172.6.157 172.6.158まで ,   172.6.159 172.6.160 ,   172.6.161 172.16.8.162まで ,   172.6.163 172.6.164 ,   172.6.165 172.6.166まで ,   172.6.167 172.6.168 ,   172.6.169 172.16.8.170まで ,   172.6.171 172.16.8.172 ,   172.6.173 172.16.8.174まで ,   172.16.8.175 172.6.176 ,   172.6.177 172.16.8.178まで ,   172.6.179 172.6.180 ,   172.6.181 172.6.182まで ,   172.6.183 172.6.184 ,   172.6.185 172.16.8.186まで ,   172.6.187 172.6.188 ,   172.6.189 172.16.8.190まで ,   172.6.191 172.6.192 ,   172.6.193 172.16.8.194まで ,   172.6.195 172.1.68.196 ,   172.6.197 172.16.8.198まで ,   172.6.199 172.6.200 ,   172.6.201 172.6.8.202まで ,   172.6.203 172.6.8.204 ,   172.6.205 172.6.206まで ,   172.6.207 172.6.208 ,   172.6.209 172.16.8.210まで ,   172.6.211 172.6.212 ,   172.6.213 172.6.214まで ,   172.6.215 172.1.68.216 ,   172.6.217 172.16.8.218まで ,   172.6.219 172.1.68.220 ,   172.16.8.221 172.16.8.222まで ,   172.6.223 172.6.224 ,   172.6.225 172.16.8.226まで ,   172.6.227 172.6.228 ,   172.6.229 172.16.8.230まで ,   172.6.231 172.6.232 ,   172.6.233 172.16.8.234まで ,   172.6.235 172.6.236 ,   172.6.237 172.6.238まで ,   172.6.239 172.6.8.240 ,   172.6.241 172.6.242まで ,   172.6.243 172.6.8.244 ,   172.6.245 172.6.246まで ,   172.6.247 172.6.248 ,   172.6.249 172.16.8.250まで ,   172.6.251 172.6.252 ,   172.6.253 172.6.254まで ,   172.6.255 
    テストグループユーザtest 1の場合、ファイル名はtest 1の内容です.
    ifconfig-push 172.6.1 172.6.8.2
    テストグループユーザtest 2の場合、ファイル名はtest 2の内容です.
    ifconfig-push 172.16.8.5 172.16.8.6
    開発グループユーザdev 1の場合、ファイル名dev 1の内容は
    ifconfig-push 172.6.9.1 172.6.9.2
    これをもって類推する.