Fórum Root.cz

Hlavní témata => Distribuce => Téma založeno: Bohun 22. 05. 2018, 13:05:09

Název: OpenVPN na Fedora 28
Přispěvatel: Bohun 22. 05. 2018, 13:05:09
Ahoj, naimportoval jsem si skrze Network Manager v Gnome konfigurák pro OpenVPN. Připojení nefungovalo, a tak jsem začal zkoumat čím to. Z logu jsem zjistil, že SELinux neumožňuje přístup k certifikátům, které mám v /home/user/OpenVPN/... Ok, začal jsem Googlit, jak z toho ven.

Našel jsem x postupů, jak to řešit. A tady začíná má otázka. Jaký je doporučený (správný) postup ve Fedora 28? Všechny návody byly na různých fórech apod. Žádný oficiální zdroj.

Díky
Název: Re:OpenVPN na Fedora 28
Přispěvatel: Stefan 22. 05. 2018, 13:52:29
Pokud vím tak NetworkManager ve Fedoře při importu jasně říká že certifikáty je třeba překopírovat do ~/.cert kde je Selinux očekává.
viz např. https://ask.fedoraproject.org/en/question/31989/there-is-a-conflict-between-selinux-and-openvpn-connection/
Stefan
Název: Re:OpenVPN na Fedora 28
Přispěvatel: Bohun 22. 05. 2018, 14:32:27
Pokud vím tak NetworkManager ve Fedoře při importu jasně říká že certifikáty je třeba překopírovat do ~/.cert kde je Selinux očekává.
viz např. https://ask.fedoraproject.org/en/question/31989/there-is-a-conflict-between-selinux-and-openvpn-connection/
Stefan
Aha, tak to jsem asi někde přehlédl. Podívám se.

Děkuji
Název: Re:OpenVPN na Fedora 28
Přispěvatel: Bohun 22. 05. 2018, 15:11:13
Prošel jsem znovu celý postup přidání OpenVPN skrze GUI Gnome a nikde na mě zmínka o ~/.cert "nevyskočila". Nicméně díky.
Název: Re:OpenVPN na Fedora 28
Přispěvatel: Stefan 23. 05. 2018, 09:22:59
Používám KDE takže Plasma variantu NetworkManageru a ta varuje. Tak jsem myslel že je to obecné.

Stefan
Název: Re:OpenVPN na Fedora 28
Přispěvatel: Jiří Eischmann 24. 05. 2018, 14:51:43
Prošel jsem znovu celý postup přidání OpenVPN skrze GUI Gnome a nikde na mě zmínka o ~/.cert "nevyskočila". Nicméně díky.

Je to UX bug. Upstreamové klikátko nepočítá s tím, že by mohla distribuce omezovat, kde jsou certifikáty uložené. Řeším to se security teamem, tak snad to bude brzy vyřešené ke spokojenosti uživatelů s OpenVPN.
Název: Re:OpenVPN na Fedora 28
Přispěvatel: def 24. 05. 2018, 17:53:35
Je to vazne bug?
v pripade, ze je SELinux vypnuty, tak klikatko bude bez problemu fungovat, ne? v opacnem pripade nesouhlasi kontext/label/ na danem souboru a proto je blokovano.
Název: Re:OpenVPN na Fedora 28
Přispěvatel: def 24. 05. 2018, 17:54:42
Je to vazne bug?
v pripade, ze je SELinux vypnuty, tak klikatko bude bez problemu fungovat, ne? v opacnem pripade nesouhlasi kontext/label/ na danem souboru a proto je blokovano.

tedy si myslim, ze staci zmenit label na svem souboru ve sve soukrome slozce pro OpenVPN a melo by to fungovat
Název: Re:OpenVPN na Fedora 28
Přispěvatel: Lol Phirae 24. 05. 2018, 18:13:49
tedy si myslim, ze staci zmenit label na svem souboru ve sve soukrome slozce pro OpenVPN a melo by to fungovat

Jojo, to bude určitě uživatel studovat, co a jak změnit.
Název: Re:OpenVPN na Fedora 28
Přispěvatel: def 24. 05. 2018, 20:45:34
tedy si myslim, ze staci zmenit label na svem souboru ve sve soukrome slozce pro OpenVPN a melo by to fungovat

Jojo, to bude určitě uživatel studovat, co a jak změnit.

Nu, prijde mi to jako lepsi reseni, nez aby gui rozhodovalo za uzivatele. Stejnym zpusobem funguje httpd/samba a prakticky cokoli - pokud nevytvoris korektni kontext/label/pripade policy/ tak ti SElinux neumozni pouzivat ty soubory (od toho tam je).
Ale me by zajimalo co na to
@JirkaEischmann
zda bug - nebo works as designed :)
Název: Re:OpenVPN na Fedora 28
Přispěvatel: Jiří Eischmann 25. 05. 2018, 17:27:43
Je to UX bug, uživatel by vážně neměl měnit SELinux labely na souborech, aby si mohl nastavit VPN. Ty komponenty jednotlivě fungují tak, jak mají, ale dohromady pro uživatele moc nepracují.