OpenVPN

Riccardo Torrini riccardo a torrini.org
Gio 9 Apr 2009 10:44:37 CEST


On Thu, Apr 09, 2009 at 09:22:38AM +0200, Massimo Lusetti wrote:

> Non che io sappia o abbia usato...

Confermo (ho sbirciato nei sorgenti).


> pero` come al solito hai trovato una situazione interessante...
> come la stai gestendo?

Con uno script a posteriori che analizza il file di log e se
trova queste stro^W stranezze leva il gruppo vpn all'utente
colpevole di aver distribuito il certificato  =8-}


Se dovesse servire (si puo` fare meglio ma funziona):

-----8<-----
grep -E '( VERIFY OK|TLS): ' /var/log/openvpn.log | \
	grep -v hostmaster at esaote.com | awk '

BEGIN {
	squote = sprintf( "%c", 39 );
}

/ VERIFY OK: / {
	split($0, a, "CN="); split(a[2], b, "/");
	key = tolower(b[1] "#" $6);
	auth[key] = key;
	## printf( "++DEBUG: phase_1: key=%s\n", key );
}

/ TLS: / {
	gsub(squote, "", $NF);
	split($NF, c, ".");
	key = tolower(c[2] "_" c[1] "#" $6);
	## printf( "++DEBUG: phase_2: key=%s\n", key );
	if (auth[key] != key) {
		printf( "SECURITY VIOLATION: %s %s %s %s %s / %s -> %s\n",
			$1, $2, $3, $4, $5, auth[key], key );
	}
}

END {
	for (i in auth) {
		## printf( "++DUMP: %s -> %s\n", i, auth[i] );
	}
}

'
-----8<-----


-- 
Riccardo. ( http://www.GUFI.org/~vic/ )


Maggiori informazioni sulla lista Esperti