OpenVPN na Fedora 28

Bohun

OpenVPN na Fedora 28
« kdy: 22. 05. 2018, 13:05:09 »
Ahoj, naimportoval jsem si skrze Network Manager v Gnome konfigurák pro OpenVPN. Připojení nefungovalo, a tak jsem začal zkoumat čím to. Z logu jsem zjistil, že SELinux neumožňuje přístup k certifikátům, které mám v /home/user/OpenVPN/... Ok, začal jsem Googlit, jak z toho ven.

Našel jsem x postupů, jak to řešit. A tady začíná má otázka. Jaký je doporučený (správný) postup ve Fedora 28? Všechny návody byly na různých fórech apod. Žádný oficiální zdroj.

Díky


Stefan

Re:OpenVPN na Fedora 28
« Odpověď #1 kdy: 22. 05. 2018, 13:52:29 »
Pokud vím tak NetworkManager ve Fedoře při importu jasně říká že certifikáty je třeba překopírovat do ~/.cert kde je Selinux očekává.
viz např. https://ask.fedoraproject.org/en/question/31989/there-is-a-conflict-between-selinux-and-openvpn-connection/
Stefan

Bohun

Re:OpenVPN na Fedora 28
« Odpověď #2 kdy: 22. 05. 2018, 14:32:27 »
Pokud vím tak NetworkManager ve Fedoře při importu jasně říká že certifikáty je třeba překopírovat do ~/.cert kde je Selinux očekává.
viz např. https://ask.fedoraproject.org/en/question/31989/there-is-a-conflict-between-selinux-and-openvpn-connection/
Stefan
Aha, tak to jsem asi někde přehlédl. Podívám se.

Děkuji

Bohun

Re:OpenVPN na Fedora 28
« Odpověď #3 kdy: 22. 05. 2018, 15:11:13 »
Prošel jsem znovu celý postup přidání OpenVPN skrze GUI Gnome a nikde na mě zmínka o ~/.cert "nevyskočila". Nicméně díky.

Stefan

Re:OpenVPN na Fedora 28
« Odpověď #4 kdy: 23. 05. 2018, 09:22:59 »
Používám KDE takže Plasma variantu NetworkManageru a ta varuje. Tak jsem myslel že je to obecné.

Stefan


Re:OpenVPN na Fedora 28
« Odpověď #5 kdy: 24. 05. 2018, 14:51:43 »
Prošel jsem znovu celý postup přidání OpenVPN skrze GUI Gnome a nikde na mě zmínka o ~/.cert "nevyskočila". Nicméně díky.

Je to UX bug. Upstreamové klikátko nepočítá s tím, že by mohla distribuce omezovat, kde jsou certifikáty uložené. Řeším to se security teamem, tak snad to bude brzy vyřešené ke spokojenosti uživatelů s OpenVPN.

def

Re:OpenVPN na Fedora 28
« Odpověď #6 kdy: 24. 05. 2018, 17:53:35 »
Je to vazne bug?
v pripade, ze je SELinux vypnuty, tak klikatko bude bez problemu fungovat, ne? v opacnem pripade nesouhlasi kontext/label/ na danem souboru a proto je blokovano.

def

Re:OpenVPN na Fedora 28
« Odpověď #7 kdy: 24. 05. 2018, 17:54:42 »
Je to vazne bug?
v pripade, ze je SELinux vypnuty, tak klikatko bude bez problemu fungovat, ne? v opacnem pripade nesouhlasi kontext/label/ na danem souboru a proto je blokovano.

tedy si myslim, ze staci zmenit label na svem souboru ve sve soukrome slozce pro OpenVPN a melo by to fungovat

Lol Phirae

Re:OpenVPN na Fedora 28
« Odpověď #8 kdy: 24. 05. 2018, 18:13:49 »
tedy si myslim, ze staci zmenit label na svem souboru ve sve soukrome slozce pro OpenVPN a melo by to fungovat

Jojo, to bude určitě uživatel studovat, co a jak změnit.

def

Re:OpenVPN na Fedora 28
« Odpověď #9 kdy: 24. 05. 2018, 20:45:34 »
tedy si myslim, ze staci zmenit label na svem souboru ve sve soukrome slozce pro OpenVPN a melo by to fungovat

Jojo, to bude určitě uživatel studovat, co a jak změnit.

Nu, prijde mi to jako lepsi reseni, nez aby gui rozhodovalo za uzivatele. Stejnym zpusobem funguje httpd/samba a prakticky cokoli - pokud nevytvoris korektni kontext/label/pripade policy/ tak ti SElinux neumozni pouzivat ty soubory (od toho tam je).
Ale me by zajimalo co na to
@JirkaEischmann
zda bug - nebo works as designed :)

Re:OpenVPN na Fedora 28
« Odpověď #10 kdy: 25. 05. 2018, 17:27:43 »
Je to UX bug, uživatel by vážně neměl měnit SELinux labely na souborech, aby si mohl nastavit VPN. Ty komponenty jednotlivě fungují tak, jak mají, ale dohromady pro uživatele moc nepracují.