文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

如何在免费 WiFi 中保护隐私(二)

2024-12-14 01:28

关注

安装完服务器之后,下一步就是安装和配置 0penVPN。

0penVPN 在两点之间创建一个加密通道,阻止第三方访问你的网络流量数据。通过设置你的 “虚拟专用网络” 服务,你可以成为你自己的 “虚拟专用网络” 服务商。许多流行的 “虚拟专用网络” 服务都使用 0penVPN,所以当你可以掌控自己的网络时,为什么还要将你的网络连接绑定到特定的提供商呢?

本系列的 第一篇文章 展示了如何安装和配置一台作为你的 0penVPN 服务器的 Linux 计算机。同时也讲述了如何配置你的路由器以便你可以在外部网络连接到你的服务器。

第二篇文章将演示根据 0penVPN wiki 给定的步骤安装一个 0penVPN 服务软件。

安装 0penVPN

首先,使用包管理器安装 0penVPN 和 easy-rsa 应用程序(帮助你在服务器上设置身份验证)。本例使用的是 Fedora Linux,如果你选择了不同的发行版,请选用合适的命令。

  1. $ sudo dnf install openvpn easy-rsa

此操作会创建一些空目录:

如果这些目录在安装的过程中没有创建,请手动创建它们。

设置身份验证

0penVPN 依赖于 easy-rsa 脚本,并且应该有自己的副本。复制 easy-rsa 脚本和文件:

  1. $ sudo mkdir /etc/openvpn/easy-rsa
  2. $ sudo cp -rai /usr/share/easy-rsa/3/* /etc/openvpn/easy-rsa/

身份验证很重要,0penVPN 非常重视它。身份验证的理论是,如果 Alice 需要访问 Bob 公司内部的私人信息,那么 Bob 确保 Alice 真的是 Alice 就至关重要。同样的,Alice 也必须确保 Bob 是真正的 Bob。我们称之为相互认证。

现有的最佳实践是从三个可能因素中的选择两个检查属性:

选择有很多。0penVPN 安装使用如下:

Alice 和 Bob 需要帮助彼此来验证身份。由于他们都相信 Cathy,Cathy 承担了称为 证书颁发机构certificate authority(CA)的角色。Cathy 证明 Alice 和 Bob 都是他们自己。因为 Alice 和 Bob 都信任 Cathy,现在他们也相互信任了。

但是是什么让 Cathy 相信 Alice 和 Bob 是真的 Alice 和 Bob?Cathy 在社区的声誉取决于如何正确处理这件事,因此如果她希望 Denielle、Evan、Fiona、Greg 和其他人也信任她,她就需要严格测试 Alice 和 Bob 的宣称内容。当 Alice 和 Bob 向 Cathy 证明了他们是真的 Alice 和 Bob 之后,Cathy 将向 Alice 和 Bob 签署证书,让他们彼此和全世界分享。

Alice 和 Bob 如何知道是 Cathy 签署了证书,而不是某个人冒充她签发了证书?他们使用一项叫做公钥加密的技术:

每次在线购买商品和服务时,使用的就是这种技术。

认证实现

0penVPN 的 文档 建议在单独的系统上或者至少在 0penVPN 服务器的单独目录上设置 CA。该文档还建议分别从服务端和客户端生成各自的证书。因为这是一个简单的演示设置,你可以使用 0penVPN 服务器设置 CA,并将证书和密钥放入服务器上的指定目录中。

从服务端生成证书,并将证书拷贝到各个客户端,避免客户端再次设置。

此实现使用自签名证书。这是因为服务器信任自己,而客户端信任服务器。因此,服务器是签署证书的最佳 CA。

在 0penVPN 服务器上设置 CA:

  1. $ sudo mkdir /etc/openvpn/ca
  2. $ cd /etc/openvpn/ca
  3. $ sudo /etc/openvpn/easy-rsa/easyrsa init-pki
  4. $ sudo /etc/openvpn/easy-rsa/easyrsa build-ca

使用一个易记难猜的密码。

设置服务器密钥对和认证请求:

  1. $ cd /etc/openvpn/server
  2. $ sudo /etc/openvpn/easy-rsa/easyrsa init-pki
  3. $ sudo /etc/openvpn/easy-rsa/easyrsa gen-req OVPNserver2020 nopass

在此例中,OVPNServer2020 是你在本系列第一篇文章中为 0penVPN 服务器设置的主机名。

生成和签署证书

现在你必须向 CA 发送服务器请求并生成和签署服务器证书。

此步骤实质上是将请求文件从 /etc/openvpn/server/pki/reqs/OVPNserver2020.req 复制到 /etc/openvpn/ca/pki/reqs/OVPNserver2020.req 以准备审查和签名:

  1. $ cd /etc/openvpn/ca
  2. $ sudo /etc/openvpn/easy-rsa/easyrsa \
  3. import-req /etc/openvpn/server/pki/reqs/OVPNserver2020.req OVPNserver2020

审查并签署请求

你已经生成了一个请求,所以现在你必须审查并签署证书:

  1. $ cd /etc/openvpn/ca
  2. $ sudo /etc/openvpn/easy-rsa/easyrsa \
  3. show-req OVPNserver2020

以服务器身份签署请求:

  1. $ cd /etc/openvpn/ca
  2. $ sudo /etc/openvpn/easy-rsa/easyrsa \
  3. sign-req server OVPNserver2020

将服务器和 CA 证书的副本放在它们所属的位置,以便配置文件获取它们:

  1. $ sudo cp /etc/openvpn/ca/pki/issued/OVPNserver2020.crt \
  2. /etc/openvpn/server/pki/
  3. $ sudo cp /etc/openvpn/ca/pki/ca.crt \
  4. /etc/openvpn/server/pki/

接下来,生成 Diffie-Hellman 参数,以便客户端和服务器可以交换会话密钥:

  1. $ cd /etc/openvpn/server
  2. $ sudo /etc/openvpn/easy-rsa/easyrsa gen-dh

快完成了

本系列的下一篇文章将演示如何配置和启动你刚刚构建的 0penVPN 服务器。 

 

来源:Linux中国内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯