2021年8月

在你安装了 0penVPN 之后,是时候配置它了。

 title=

0penVPN 在两点之间建立一条加密的隧道,阻止第三方访问你的网络流量。通过设置你的 “虚拟专用网络” 服务,你就成为你自己的 “虚拟专用网络” 供应商。许多流行的 “虚拟专用网络” 服务已支持 0penVPN,所以当你可以掌控自己的网络时,为什么还要将你的网络连接绑定到特定的提供商呢?

本系列中的 第一篇 展示了如何安装和配置一台作为你的 0penVPN 服务器的 Linux 计算机。,第二篇 演示了如何安装和配置 0penVPN 服务器软件。这第三篇文章演示了如何在认证成功的情况下启动 0penVPN。

要设置一个 0penVPN 服务器,你必须:

  • 创建一个配置文件。
  • 使用 sysctl 设置net.ipv4.ip_forward = 1 以启用路由。
  • 为所有的配置和认证文件设置适当的所有权,以便使用非 root 账户运行 0penVPN 服务器守护程序。
  • 设置 0penVPN 加载适当的配置文件启动。
  • 配置你的防火墙。

配置文件

你必须在 /etc/openvpn/server/ 中创建一个服务器配置文件。如果你想的话,你可以从头开始,0penVPN 包括了几个配置示例示例文件,可以以此作为开始。看看 /usr/share/doc/openvpn/sample/sample-config-files/ 就知道了。

如果你想手工建立一个配置文件,可以从 server.confroadwarrior-server.conf 开始(视情况而定),并将你的配置文件放在 /etc/openvpn/server 中。这两个文件都有大量的注释,所以请阅读注释并根据你的情况作出决定。

你可以使用我预先建立的服务器和客户端配置文件模板和 sysctl 文件来打开网络路由,从而节省时间和麻烦。这个配置还包括自定义记录连接和断开的情况。它在 0penVPN 服务器的 /etc/openvpn/server/logs 中保存日志。

如果你使用我的模板,你需要使用你的 IP 地址和主机名编辑它们。

要使用我的预建配置模板、脚本和 sysctl 来打开 IP 转发,请下载我的脚本:

$ curl \
  https://www.dgregscott.com/ovpn/OVPNdownloads.sh > \
  OVPNdownloads.sh

阅读该脚本,了解它的工作内容。下面是它的运行概述:

  • 在你的 0penVPN 服务器上创建适当的目录
  • 从我的网站下载服务器和客户端的配置文件模板
  • 下载我的自定义脚本,并以正确的权限把它们放到正确的目录中
  • 下载 99-ipforward.conf 并把它放到 /etc/sysctl.d 中,以便在下次启动时打开 IP 转发功能
  • /etc/openvpn 中的所有内容设置了所有权

当你确定你理解了这个脚本的作用,就使它可执行并运行它:

$ chmod +x OVPNdownloads.sh
$ sudo ./OVPNdownloads.sh

下面是它复制的文件(注意文件的所有权):

$ ls -al -R /etc/openvpn
/etc/openvpn:
total 12
drwxr-xr-x.  4 openvpn openvpn  34 Apr 6 20:35 .
drwxr-xr-x. 139 root  root  8192 Apr 6 20:35 ..
drwxr-xr-x.  2 openvpn openvpn  33 Apr 6 20:35 client
drwxr-xr-x.  4 openvpn openvpn  56 Apr 6 20:35 server

/etc/openvpn/client:
total 4
drwxr-xr-x. 2 openvpn openvpn  33 Apr 6 20:35 .
drwxr-xr-x. 4 openvpn openvpn  34 Apr 6 20:35 ..
-rw-r--r--. 1 openvpn openvpn 1764 Apr 6 20:35 OVPNclient2020.ovpn

/etc/openvpn/server:
total 4
drwxr-xr-x. 4 openvpn openvpn  56 Apr 6 20:35 .
drwxr-xr-x. 4 openvpn openvpn  34 Apr 6 20:35 ..
drwxr-xr-x. 2 openvpn openvpn  59 Apr 6 20:35 ccd
drwxr-xr-x. 2 openvpn openvpn  6 Apr 6 20:35 logs
-rw-r--r--. 1 openvpn openvpn 2588 Apr 6 20:35 OVPNserver2020.conf

/etc/openvpn/server/ccd:
total 8
drwxr-xr-x. 2 openvpn openvpn 59 Apr 6 20:35 .
drwxr-xr-x. 4 openvpn openvpn 56 Apr 6 20:35 ..
-rwxr-xr-x. 1 openvpn openvpn 917 Apr 6 20:35 client-connect.sh
-rwxr-xr-x. 1 openvpn openvpn 990 Apr 6 20:35 client-disconnect.sh

/etc/openvpn/server/logs:
total 0
drwxr-xr-x. 2 openvpn openvpn 6 Apr 6 20:35 .
drwxr-xr-x. 4 openvpn openvpn 56 Apr 6 20:35 ..

下面是 99-ipforward.conf 文件:

# Turn on IP forwarding. OpenVPN servers need to do routing
net.ipv4.ip_forward = 1

编辑 OVPNserver2020.confOVPNclient2020.ovpn 以包括你的 IP 地址。同时,编辑 OVPNserver2020.conf 以包括你先前的服务器证书名称。稍后,你将重新命名和编辑 OVPNclient2020.ovpn 的副本,以便在你的客户电脑上使用。以 ***? 开头的块显示了你要编辑的地方。

文件所有权

如果你使用了我网站上的自动脚本,文件所有权就已经到位了。如果没有,你必须确保你的系统有一个叫 openvpn 的用户,并且是 openvpn 组的成员。你必须将 /etc/openvpn 中的所有内容的所有权设置为该用户和组。如果你不确定该用户和组是否已经存在,这样做也是安全的,因为 useradd 会拒绝创建一个与已经存在的用户同名的用户:

$ sudo useradd openvpn
$ sudo chown -R openvpn.openvpn /etc/openvpn

防火墙

如果你在步骤 1 中启用 firewalld 服务,那么你的服务器的防火墙服务可能默认不允许 “虚拟专用网络” 流量。使用 firewall-cmd 命令,你可以启用 0penVPN 服务,它可以打开必要的端口并按需路由流量:

$ sudo firewall-cmd --add-service openvpn --permanent
$ sudo firewall-cmd --reload

没有必要在 iptables 的迷宫中迷失方向!

启动你的服务器

现在你可以启动 0penVPN 服务器了。为了让它在重启后自动运行,使用 systemctlenable 子命令:

systemctl enable --now [email protected]

最后的步骤

本文的第四篇也是最后一篇文章将演示如何设置客户端,以便远程连接到你的 0penVPN。

本文基于 D.Greg Scott 的博客,经许可后重新使用。


via: https://opensource.com/article/21/7/openvpn-firewall

作者:D. Greg Scott 选题:lujun9972 译者:geekpi 校对:turbokernel

本文由 LCTT 原创编译,Linux中国 荣誉推出

非 UNIX 开源操作系统 Haiku 诞生二十周年

BeOS 操作系统在 2001 年被 Palm 收购后停止开发。随后人们开始讨论创建一个开源的 BeOS 操作系统 OpenBeOS,并在 8 个月后释出了首个版本。2004 年改名为 Haiku。此后 Haiku 项目先后释出了 4 个 RC alpha 版本和 3 个 RC beta 版本,最新的 R1/beta3 是刚刚在 2021 年 7 月 25 日发布的。二十年后的今天 Haiku 仍然是少数可用的非 UNIX 开源操作系统之一。

虽然小众,但仍然很有意义。

Cloudflare 扛下了创纪录的 DDoS 攻击:每秒 1720 万个请求

上个月,Cloudflare 发现了针对金融行业客户的大规模 DDoS 攻击。攻击者利用了由 20000 多台受感染设备组成的僵尸网络,以通过向目标网络发送巨量 HTTP 请求的方式,来耗尽其服务器资源。在本次攻击的高峰,达到了每秒 1720 万次的请求,规模是以往针对公共领域发起的 DDoS 攻击的三倍。攻击持续了数小时,Cloudflare 扛下了超过 3.3 亿的垃圾 HTTP 请求。

这样夸张的攻击记录只能被一次次打破。

2021 年上半年发现了 600 多个工业控制系统漏洞

根据 Claroty 的 ICS 风险和漏洞报告,2021 年上半年发现了 600 多个工业控制系统漏洞,涉及到 76 家供应商,相比去年同期增加了 41%。其中和西门子(146 个)施耐德电气(65 个)是受到影响最大的制造商。在所有的漏洞中,81% 是由非厂商来源发现的。大多数漏洞被评为严重或高度危险,对工业控制系统构成严重威胁。要利用这些漏洞,90% 漏洞不需要专门的知识,74% 的漏洞不需要任何权限,66% 的漏洞不需要用户交互,61% 的漏洞可以从外部远程利用。

工业控制系统的安全风险迫在眉睫。

Zorin 团队宣布发布了全新的 Zorin OS 16,带来了许多急需的更新和改进。 我们在这篇文章中对这个版本进行了总结。

Zorin OS 16 桌面版

开源而赏心悦目的 Linux 发行版 Zorin OS 发布了它的最新稳定的第 16 个版本,这个版本会在 2025 年前提供增强和更新支持。该团队在确保性能不会下降的同时,提供了一些独特和有用的特性。

Zorin OS 使用自有的软件参考,同时也可以使用 Ubuntu 的软件仓库。

让我们看下重要的新特性。

Zorin OS 16 – 新特性

最新的 Zorin OS 16 建立在 Linux 内核 5.11(hwe 栈)的支持上,该版本基于 Ubuntu 20.04 LTS。

这个版本最主要的变化是在 Zorin 中 默认包括了 Flathub 软件仓库。由此,Zorin 应用商店成为了 Linux 发行版中最大的应用程序集合之一。因为它可以支持 Flathub,另外还有早前支持的 Snap 商店、Ubuntu 软件仓库、Zorin 自有仓库,和对 AppImage 的支持。

Zorin 主要因其外观而闻名,在这个版本中,有一系列改进,这是一个简要的总结:

  • 新的图标和色彩方案,默认主题更加精致。
  • 预装了新的设计和壁纸。
  • 锁屏现在可以展示自选壁纸的模糊效果,给你一个更简洁的视觉效果。

任务栏图标启用了活动指示器,以及带有计数的通知气泡。这意味着你可以在任务栏图标中获取信息 App 的未读消息计数等信息。任务栏还有一些基本特性,比如自动隐藏、透明度和移动图标等等。

新的任务栏通知气泡

新版有许多内部提升,细节尚不清楚,但根据团队的意见,所有 Zorin 风格的整体桌面体验比其前身 Zorin 15 有了很大改进。

此版本中引入两个新应用,首次安装后可以用一个 Tour 应用概览 Zorin 桌面,另一个引入的是新的录音应用。

如果你使用笔记本,在应用和工作区间切换变得更加快捷和简便。Zorin OS 16 带来了多点触控手势,开箱即用。现在你可以通过上下滑动 4 个手指,以流畅的 1:1 动作在工作区之间切换。 用 3 个手指在触摸板撮合,可以打开活动概述,看到你工作区中运行的每个应用程序。

Zorin OS 16 现在支持高分辨率显示器的分数缩放。

安装器程序现在包含了 NVIDIA 驱动,可以在首次用临场盘启动时选择,它也支持加密。

详细的更新日志在 这里

Zorin OS 16 最低系统要求

Zorin OS Core、Education 和 Pro

  • CPU – 1 GHz 双核处理器,Intel/AMD 64 位处理器
  • RAM – 2 GB
  • 存储 – 15 GB(Core & Education)或 30 GB(Pro)
  • 显示器 – 800 × 600 分辨率

Zorin OS LITE

  • CPU – 700 MHz 单核,Intel/AMD 64 或 32 位处理器
  • RAM – 512 MB
  • 存储 – 10 GB
  • 显示器 – 640 × 480 分辨率

下载 Zorin OS 16

值得一提的是 Zorin 发布了一个 PRO 版本,售价大约 $39,有类似 Windows 11 风格等额外特性。可是,你仍然可以随时下载免费版本:Zorin OS 16 Core 和 Zorin OS 16 LITE(用于低配电脑)。你可能想看下它们的功能 比较

你可以从以下链接下载最新的 .iso 文件。然后,你可以使用 Etcher 或其他工具来创建临场 USB 启动盘来安装。

从 Zorin 15.x 升级

现在还没有从 Zorin OS 15 升级的路径,不过据该团队称,未来将会有升级到最新版本的简单方法。

结束语

Zorin 的最佳特性之一是它独特的应用生态处理方式。它可能是唯一提供开箱即用体验的 Linux 桌面发行版,可以通过它的软件商店从 Flathub、Snap 商店、AppImage、Ubuntu / 自有软件仓库来搜索和安装应用。你不需要为 Snap 或者 Flatpak 手动配置系统。也就是说,它仍然是一个带有附加项目的 GNOME 修改版。可能有些人不喜欢 Zorin,可能会因为它预装了所有这些功能而感到臃肿。从某种意义上说,它是 Linux 桌面新用户的理想发行版之一,这些用户需要拥有类似 Windows/macOS 系统感觉的现成的 Linux 功能。


via: https://www.debugpoint.com/2021/08/zorin-os-16-release-announcement/

作者:Arindam 选题:lujun9972 译者:zd200572 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

一个关于让 Linux Mint 20.2 与逻辑卷管理器(LVM)一起工作的教程。

 title=

几周前,Linux Mint 的人员发布了他们的开源操作系统的 20.2 版本。Live ISO 中内置的安装程序非常好,只需要点击几下就可以安装操作系统。如果你想定制你的分区,你甚至有一个内置的分区软件。

安装程序重点关注在简单的安装上:定义你的分区并安装到这些分区。对于那些想要更灵活的设置的人来说, 逻辑卷管理器 logical volume manager (LVM)是个不错的选择,你可以通过设置卷组(VG)并在其中定义你的逻辑卷(LV)。

LVM 是一个硬盘管理系统,允许你在多个物理驱动器上创建存储空间。换句话说,你可以把几个小驱动器“拴”在一起,这样你的操作系统就会把它们当作一个驱动器。除此之外,它还有实时调整大小、文件系统快照和更多的优点。这篇文章并不是关于 LVM 的教程(网上已经有很多 这方面不错的信息了)。相反,我的目标是贴合这篇文章的主题,只关注让 Linux Mint 20.2 与 LVM 一起工作。

作为一个桌面操作系统,其安装程序致力于简单化,在 LVM 上安装 Linux Mint 20.2 会略微复杂一些,但不会太复杂。如果你在安装程序中选择了 LVM,你会得到一个由 Linux Mint 开发者定义的设置,而且你在安装时无法控制各个卷。

然而,有一个解决方案:在临场 ISO 中,该方案只需要在终端中使用几个命令来设置 LVM,然后你可以继续使用常规安装程序来完成工作。

我安装了 Linux Mint 20.2 和 XFCE 桌面,但其他 Linux Mint 桌面的过程也类似。

分区驱动器

在 Linux Mint 临场 ISO 中,你可以通过终端和 GUI 工具访问 Linux 命令行工具。如果你需要做任何分区工作,你可以使用命令行 fdiskparted 命令,或者 GUI 应用 gparted。我想让这些操作简单到任何人都能遵循,所以我会在可能的情况下使用 GUI 工具,在必要时使用命令行工具。

首先,为安装创建几个分区。

使用 gparted(从菜单中启动),完成以下工作:

首先,创建一个 512MB 的分区,类型为 FAT32(这是用来确保系统可启动)。512MB 对大多数人来说是富余的,你可以用 256MB 甚至更少,但在今天的大容量磁盘中,即使分配 512MB 也不是什么大问题。

 title=

接下来,在磁盘的其余部分创建一个 lvm2 pv 类型(LVM 2 物理卷)的分区(这是你的 LVM 的位置)。

 title=

现在打开一个终端窗口,并将你的权限提升到 root:

$ sudo -s
# whoami
root

接下来,你必须找到你之前创建的 LVM 成员(那个大分区)。使用下列命令之一:lsblk -fpvspvscan

# pvs
PV      VG Fmt  [...]
/dev/sda2    lvm2 [...]

在我的例子中,该分区位于 /dev/sda2,但你应该用你的输出中得到的内容来替换它。

现在你知道了你的分区有哪些设备,你可以在那里创建一个 LVM 卷组(VG):

# vgcreate vg /dev/sda2

你可以使用 vgsvgscan 看到你创建的卷组的细节。

创建你想在安装时使用的逻辑卷(LV)。为了简单,我分别创建了 root 根分区(/)和 swap 交换分区,但是你可以根据需要创建更多的分区(例如,为 /home 创建一个单独的分区)。

# lvcreate -L 80G -n root vg
# lvcreate -L 16G -n swap vg

我的例子中的分区大小是任意的,是基于我可用的空间。使用对你的硬盘有意义的分区大小。

你可以用 lvslvdisplay 查看逻辑卷。

终端操作到这就结束了。

安装 Linux

现在从桌面上的图标启动安装程序:

  • 进入 “Installation type”,选择 “Something else”。
  • 编辑 512Mb 的分区并将其改为 EFI
  • 编辑根逻辑卷,将其改为 ext4(或一个你选择的文件系统)。选择将其挂载为根目录(/),并选择将其格式化。
  • 编辑 swap 分区并将其设置为交换分区。
  • 继续正常的安装过程。Linux Mint 安装程序会将文件放在正确的位置并为你创建挂载点。

完成了。在你的 Linux Mint 安装中享受 LVM 的强大。

如果你需要调整分区大小或在系统上做任何高级工作,你会感谢选择 LVM。


via: https://opensource.com/article/21/8/install-linux-mint-lvm

作者:Kenneth Aaron 选题:lujun9972 译者:geekpi 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

ImageNet 库包含了一对 NeuralHash 哈希碰撞的真实图像

NeuralHash 是苹果 CSAM 扫描系统使用的感知哈希算法,它通过输入图像返回 96 位的哈希值,如果两个图像有相同的哈希那么这两个图像应该是相同的。然而实际上并非如此,NeuralHash 产生的哈希相同并不意味着图像相同,这就是哈希碰撞。研究人员已经演示了对 NeuralHash 的原像攻击,创造出两个哈希一样但两幅完全不同的图像。该图像是人为制造出来的,那么有没有哈希相同的自然图像?图像数据库 ImageNet 被发现包含了两对 NeuralHash 哈希相同的图像。

哈希碰撞其实并不算稀奇,但是能在原生图像上发现碰撞,说明 NeuralHash 这个算法比较差劲。

Debian 11 比上一个版本性能整体提升 8-10%

根据 Phoronix 进行的测试,Debian 11 能够更好地发挥硬件的性能。Phoronix 共测试 73 项基准测试,注意到从 Debian 10.10 到 Debian 11 的整体改进约为 8 ~ 10%。然而,在某些测试中,提升的幅度更大,性能提升甚至超过了一倍。

我觉得提升幅度这么大,与 Debian 比较保守的升级速度有关。

谷歌安全团队又披露了微软未在 90 天内修复的漏洞

由于微软并没有在限定的 90 天时间内修复漏洞,谷歌的 Project Zero 团队近日披露了存在于 Windows 系统中的权限提升(EoP)漏洞。这个漏洞是因为 Windows 过滤平台(WFP)的默认规则允许可执行文件连接到 AppContainers 中的 TCP 套接字,这导致了 EoP。Project Zero 团队运行机制是这样的:发现漏洞后报告给厂商,并给予 90 天的时间进行修复。如果厂商没有在限期内进行修复,那么团队就会公开披露。自然,根据所需修复的复杂性,团队有时还会以宽限期的形式提供额外的时间。

这不是第一次了,估计微软的工程师也躺倒认锤了。

安装完服务器之后,下一步就是安装和配置 0penVPN。

 title=

0penVPN 在两点之间创建一个加密通道,阻止第三方访问你的网络流量数据。通过设置你的 “虚拟专用网络” 服务,你可以成为你自己的 “虚拟专用网络” 服务商。许多流行的 “虚拟专用网络” 服务都使用 0penVPN,所以当你可以掌控自己的网络时,为什么还要将你的网络连接绑定到特定的提供商呢?

本系列的 第一篇文章 展示了如何安装和配置一台作为你的 0penVPN 服务器的 Linux 计算机。同时也讲述了如何配置你的路由器以便你可以在外部网络连接到你的服务器。

第二篇文章将演示根据 0penVPN wiki 给定的步骤安装一个 0penVPN 服务软件。

安装 0penVPN

首先,使用包管理器安装 0penVPN 和 easy-rsa 应用程序(帮助你在服务器上设置身份验证)。本例使用的是 Fedora Linux,如果你选择了不同的发行版,请选用合适的命令。

$ sudo dnf install openvpn easy-rsa

此操作会创建一些空目录:

  • /etc/openvpn
  • /etc/openvpn/client
  • /etc/openvpn/server

如果这些目录在安装的过程中没有创建,请手动创建它们。

设置身份验证

0penVPN 依赖于 easy-rsa 脚本,并且应该有自己的副本。复制 easy-rsa 脚本和文件:

$ sudo mkdir /etc/openvpn/easy-rsa
$ sudo cp -rai /usr/share/easy-rsa/3/* /etc/openvpn/easy-rsa/

身份验证很重要,0penVPN 非常重视它。身份验证的理论是,如果 Alice 需要访问 Bob 公司内部的私人信息,那么 Bob 确保 Alice 真的是 Alice 就至关重要。同样的,Alice 也必须确保 Bob 是真正的 Bob。我们称之为相互认证。

现有的最佳实践是从三个可能因素中的选择两个检查属性:

  • 你拥有的
  • 你知道的
  • 你是谁

选择有很多。0penVPN 安装使用如下:

  • 证书:客户端和服务端都拥有的东西
  • 证书口令:某人知道的东西

Alice 和 Bob 需要帮助彼此来验证身份。由于他们都相信 Cathy,Cathy 承担了称为 证书颁发机构 certificate authority (CA)的角色。Cathy 证明 Alice 和 Bob 都是他们自己。因为 Alice 和 Bob 都信任 Cathy,现在他们也相互信任了。

但是是什么让 Cathy 相信 Alice 和 Bob 是真的 Alice 和 Bob?Cathy 在社区的声誉取决于如何正确处理这件事,因此如果她希望 Denielle、Evan、Fiona、Greg 和其他人也信任她,她就需要严格测试 Alice 和 Bob 的宣称内容。当 Alice 和 Bob 向 Cathy 证明了他们是真的 Alice 和 Bob 之后,Cathy 将向 Alice 和 Bob 签署证书,让他们彼此和全世界分享。

Alice 和 Bob 如何知道是 Cathy 签署了证书,而不是某个人冒充她签发了证书?他们使用一项叫做公钥加密的技术:

  • 找到一种用一个密钥加密并用另一个密钥解密的加密算法。
  • 将其中一个设为私钥,将另外一个设为公钥。
  • Cathy 与全世界分享她的公钥和她的签名的明文副本。
  • Cathy 用她的私钥加密她的签名,任何人都可以用她分享的公钥解密。
  • 如果 Cathy 的签名解密后与明文副本匹配,Alice 和 Bob 就可以相信 Cathy 确实签署了它。

每次在线购买商品和服务时,使用的就是这种技术。

认证实现

0penVPN 的 文档 建议在单独的系统上或者至少在 0penVPN 服务器的单独目录上设置 CA。该文档还建议分别从服务端和客户端生成各自的证书。因为这是一个简单的演示设置,你可以使用 0penVPN 服务器设置 CA,并将证书和密钥放入服务器上的指定目录中。

从服务端生成证书,并将证书拷贝到各个客户端,避免客户端再次设置。

此实现使用自签名证书。这是因为服务器信任自己,而客户端信任服务器。因此,服务器是签署证书的最佳 CA。

在 0penVPN 服务器上设置 CA:

$ sudo mkdir /etc/openvpn/ca
$ cd /etc/openvpn/ca
$ sudo /etc/openvpn/easy-rsa/easyrsa init-pki
$ sudo /etc/openvpn/easy-rsa/easyrsa build-ca

使用一个易记难猜的密码。

设置服务器密钥对和认证请求:

$ cd /etc/openvpn/server
$ sudo /etc/openvpn/easy-rsa/easyrsa init-pki
$ sudo /etc/openvpn/easy-rsa/easyrsa gen-req OVPNserver2020 nopass

在此例中,OVPNServer2020 是你在本系列第一篇文章中为 0penVPN 服务器设置的主机名。

生成和签署证书

现在你必须向 CA 发送服务器请求并生成和签署服务器证书。

此步骤实质上是将请求文件从 /etc/openvpn/server/pki/reqs/OVPNserver2020.req 复制到 /etc/openvpn/ca/pki/reqs/OVPNserver2020.req 以准备审查和签名:

$ cd /etc/openvpn/ca
$ sudo /etc/openvpn/easy-rsa/easyrsa \
  import-req /etc/openvpn/server/pki/reqs/OVPNserver2020.req OVPNserver2020

审查并签署请求

你已经生成了一个请求,所以现在你必须审查并签署证书:

$ cd /etc/openvpn/ca
$ sudo /etc/openvpn/easy-rsa/easyrsa \
  show-req OVPNserver2020

以服务器身份签署请求:

$ cd /etc/openvpn/ca
$ sudo /etc/openvpn/easy-rsa/easyrsa \
  sign-req server OVPNserver2020

将服务器和 CA 证书的副本放在它们所属的位置,以便配置文件获取它们:

$ sudo cp /etc/openvpn/ca/pki/issued/OVPNserver2020.crt \
  /etc/openvpn/server/pki/
$ sudo cp /etc/openvpn/ca/pki/ca.crt \
  /etc/openvpn/server/pki/

接下来,生成 Diffie-Hellman 参数,以便客户端和服务器可以交换会话密钥:

$ cd /etc/openvpn/server
$ sudo /etc/openvpn/easy-rsa/easyrsa gen-dh

快完成了

本系列的下一篇文章将演示如何配置和启动你刚刚构建的 0penVPN 服务器。

本文的部分内容改编自 D. Greg Scott 的博客,并经许可重新发布。


via: https://opensource.com/article/21/7/openvpn-router

作者:D. Greg Scott 选题:lujun9972 译者:perfiffer 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出