2. 程式人生 > >centos6.8+openvpn實現賬戶密碼連接

centos6.8+openvpn實現賬戶密碼連接

阿新 發佈:2017-06-02
說明 文件的 persist exist base span htm sig 更改

#搭建openvpn(編譯安裝)

初始化環境

#update epel mirror
yum install wget -y
cd /etc/yum.repos.d && rm -rf *
wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo 
wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-6.repo


#Yum Packs
echo "install/update gcc make wget vim ntpdate sysstat
 
"
yum install -y gcc gcc-c++ vim ntpdate lsof


#disable selinux
sed -i /SELINUX/s/enforcing/disabled/ /etc/selinux/config
setenforce 0

#alias vim
echo alias vi="vim" >>/etc/profile
source /etc/profile

#modify UseDNS

sed -i #UseDNS yes/UseDNS no/g /etc/ssh/sshd_config


#ntpdate corntab
echo ntpdate ntp1.aliyun.com
 

echo */5 * * * * /usr/sbin/ntpdate ntp1.aliyun.com >> /var/spool/cron/root
chmod 600 /var/spool/cron/root
ntpdate ntp1.aliyun.com
cat  << EOF 
 +--------------------------------------------------------------+
 |                    ===System init over===                    |
 +--------------------------------------------------------------+
 +---------------------------by liuhuihuang---------------------+
EOF
echo 
 
"##########################################################"

創建一個專門存放openvpn軟件的目錄
mkdir -p /home/xianlai/tools/openvpn

通過xftp把lzo-2.06.tar.gz openvpn-2.2.2.tar.gz checkpsw.sh傳到/home/xianlai/tools/openvpn目錄裏

安裝 lzo 軟件,用於後面文件的壓縮
tar zxf lzo-2.06.tar.gz
cd lzo-2.06
./configure && make && make install

通過 yum 安裝 openssl,openssl-devel 兩個軟件,沒有它倆 openvpn 的安裝就會報錯
yum -y install openssl openssl-devel

安裝 openvpn 軟件
tar zxf openvpn-2.2.2.tar.gz
cd openvpn-2.2.2
./configure --with-lzo-headers=/usr/local/include --with-lzo-lib=/usr/local/lib
make
make install

檢查 openvpn 是否安裝成功,並且查看其版本
which openvpn
openvpn --version

備份 var 文件,並且修改模板
cd /home/xianlai/tools/openvpn/openvpn-2.2.2/easy-rsa/2.0
cp vars vars.bak
vim vars
export KEY_COUNTRY="CN"
export KEY_PROVINCE="BJ"
export KEY_CITY="BJ"
export KEY_ORG="XL"
export KEY_EMAIL="[email protected]"
export [email protected]
export KEY_CN=CN
export KEY_NAME=xianlai
export KEY_OU=xianlai
export PKCS11_MODULE_PATH=changeme
export PKCS11_PIN=1234

執行 source 命令使配置文件生效
source vars
./clean-all

創建 CA 證書,一路回車
./build-ca
生成服務器端證書和秘鑰文件,輸入兩次y,一路回車
./build-key-server server
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y

生成客戶端證書和 key 文件(用戶user1)
./build-key user1
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y

生成傳輸進行秘鑰交換時用到的交換秘鑰協議文件
./build-dh

生成一個防止惡意攻擊的文件(效果似乎一般)
openvpn --genkey --secret keys/ta.key

創建 openvpn 目錄,用於存放配置文件
mkdir /etc/openvpn

拷貝2.0目錄下的 keys 目錄,並切換目錄拷貝 server.conf client.conf 文件
cp -ap keys/ /etc/openvpn/
cd /home/xianlai/tools/openvpn/openvpn-2.2.2/sample-config-files/
cp client.conf server.conf /etc/openvpn/

編輯 openvpn 的配置文件,在操作前養成好習慣,先進行備份
cd /etc/openvpn
cp server.conf server.conf.bak

可以通過 grep 命令過濾查看配置文件,並通過一個臨時文件將過濾後的結果再次導入 server.conf
grep -vE "^;|^#|^$" server.conf > tmp.log
cat tmp.log > server.conf

編輯過濾後的 server.conf 文件
vim server.conf
port 1194 #端口可以更改
proto tcp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key # This file should be kept secret
dh /etc/openvpn/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1"
push "route 192.168.**.0 255.255.255.0"
push "dhcp-option DNS *.*.*.*"
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
client-cert-not-required #不使用客戶端證書,使用密碼進行驗證
username-as-common-name #使用認證用戶名,不使用證書
script-security 3 system #允許通過環境變量將密碼傳遞給腳本
auth-user-pass-verify /etc/openvpn/checkpsw.sh via-env #指定路徑,允許登陸的用戶名及密碼

打開路由轉發功能
vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
sysctl -p

拷貝啟動腳本至/etc/init.d目錄
cp /home/xianlai/tools/openvpn/openvpn-2.2.2/sample-scripts/openvpn.init /etc/init.d/openvpn
chmod 700 /etc/init.d/openvpn
chkconfig --add openvpn

修改腳本openvpn
切到148行,把ls *.conf 改為ls server.conf保存即可

#啟動openvpn
/etc/init.d/openvpn start

切到/etc/openvpn目錄下
cd /etc/openvpn
cp /home/xianlai/tools/openvpn/checkpsw.sh .
創建psw-file文件
touch psw-file
添加一個用戶測試,刑如:liuhuiuhang 123456(用戶和密碼寫在一行,需要添加用戶的話往下順延即可)

分別修改一下這兩個文件的權限
chmod +x checkpsw.sh
chmod 400 psw-file

導出 client.conf ca.crt
sz -y client.conf
sz -y keys/ca.crt

創建一個後綴名為 .ovpn 的文件(my.ovpn),內容如下:
client
dev tun
proto tcp
remote 公網IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
comp-lzo
verb 3
auth-user-pass

##特別提示:
#配置防火墻,別忘記保存
iptables -I INPUT -p tcp --dport 1194 -m comment --comment "openvpn" -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j MASQUERADE
service iptables save

##端口映射

本文使用的是端口映射的方式做的,具體命令如下:

#windows客戶端配置
安裝openvpn-2.2.2-install.exe,默認安裝,一直默認,然後新建一個文件夾vpn,把client.conf、ca.crt、my.ovpn放至文件夾vpn中,然後把vpn拷貝至openvpn的安裝目錄中的config目錄中。

#MAC客戶端配置
下載tunnelblick,然後安裝,把vpn文件夾拷貝至MAC電腦中,把my.ovpn放至tunnelblick中即可。具體操作可參考鏈接:http://www.xitongzhijia.net/xtjc/20150414/45176.html

轉載:http://aby028.blog.51cto.com/5371905/1886851

附件:checkpsw.sh如下所示:

#!/bin/sh
###########################################################
# checkpsw.sh (C) 2004 Mathias Sundman <[email protected]>
#
# This script will authenticate OpenVPN users against
# a plain text file. The passfile should simply contain
# one row per user with the username first followed by
# one or more space(s) or tab(s) and then the password.

PASSFILE="/etc/openvpn/psw-file"
LOG_FILE="/var/log/openvpn-password.log"
TIME_STAMP=`date "+%Y-%m-%d %T"`

###########################################################

if [ ! -r "${PASSFILE}" ]; then
  echo "${TIME_STAMP}: Could not open password file \"${PASSFILE}\" for reading." >> ${LOG_FILE}
  exit 1
fi

CORRECT_PASSWORD=`awk !/^;/&&!/^#/&&$1=="${username}"{print $2;exit} ${PASSFILE}`

if [ "${CORRECT_PASSWORD}" = "" ]; then 
  echo "${TIME_STAMP}: User does not exist: username=\"${username}\", password=\"${password}\"." >> ${LOG_FILE}
  exit 1
fi

if [ "${password}" = "${CORRECT_PASSWORD}" ]; then 
  echo "${TIME_STAMP}: Successful authentication: username=\"${username}\"." >> ${LOG_FILE}
  exit 0
fi

echo "${TIME_STAMP}: Incorrect password: username=\"${username}\", password=\"${password}\"." >> ${LOG_FILE}
exit 1

安裝包和win、mac客戶端軟件下載處:鏈接: http://pan.baidu.com/s/1boC59Bh 密碼: 45e7

寫在最後:後期還可以和ldap對接起來,再次說明轉載處,沒有他的辛苦,我也搞不出來:http://aby028.blog.51cto.com/5371905/1886851

centos6.8+openvpn實現賬戶密碼連接

相關推薦

centos6.8+openvpn實現賬戶密碼

說明 文件的 persist exist base span htm sig 更改 #搭建openvpn(編譯安裝) 初始化環境 #update epel mirror yum install wget -y cd /etc/yum.repos.d &&

widows本地-xshell實現遠程linux服務器圖形界面

roo 輸入 browser window color 數據 界面 實現 support 本地環境遠程連接linux圖形界面,常用的實現工具有,VNC、Puty、Xshell等,這裏我們用的xshell manager; Xmanager簡介:Xmanager是一個運行於

安裝Linux CentOS與用Xshell實現遠程

eth0 打開 conf reboot baidu shel boot 遠程連接 html 註意,進入後有一個選擇skip和OK的,選擇skip 網絡問題 vi /etc/sysconfig/network-scripts/ifcfg-e

基於httpd建立私有CA實現https加密

ca https openssl 有關於https是什麽,點擊連接查看百度百科:https://baike.baidu.com/item/https/285356?fr=aladdin 一、準備工作 在開始實驗之前,我們要準備至少兩臺主機還有自身的計算機,一臺作為服務器,另外一臺作為

基於nginx建立CA實現https加密

nginx https openssl 前幾篇博客分別實現了nginx的http訪問和apache的https加密連接,那麽現在就將它們組合在一起,實現基於nginx的https加密連接。一、環境準備 這次我還是準備了兩個虛擬機和一臺真實計算機,其中一臺IP為172.16.128.7

Linux下mysql實現遠程

soft 有一個 blog 安裝mysql 通過 允許 local serve checkbox 首先明白一點並不是mysql禁止遠程連接,而是MYSQL的賬號禁止遠程連接。可能覺得我有點咬文嚼字了,不過我感覺分清這點還是很重要的。默認情況下,所有賬號都是禁止遠程連接的。在

密碼ssh

擁有 con 免密碼 方式 pub gen 安全 tro 評論 昨天繼續弄新的機器給它配置ssh免密碼連接,用ssh-keygen,想要把/root/.ssh/id_rsa.pub的時候,發現scp不能使用了,退而求其次吧,我想著用ssh-copy-id的方式傳過去,結果還

Linux系統下實現遠程MySQL數據庫的方法教程

遠程連接MySQL數據庫的方法教程前言最近在工作中遇到了這個需求,估計搞了一個多小時才把這個遠程連接搞好。一臺本地電腦,一臺雲服務器,都是linux系統。下面來看看詳細的介紹:步驟1、在服務器端開啟遠程訪問首先進入mysql數據庫,然後輸入下面兩個命令:?12grant all privileges on *

設置更改root密碼 mysql mysql常用命令

-bash etc 端口號 所有 eat mysl max 鎖表 bin 一、設置更改root密碼#/etc/init.d/mysqld start#ps aux |grep mysql#mysql -uroot //提示-bash: mysql :

mysql更改root密碼,mysql,常用操作

password charset second exp ria AS 遠程連接 localhost cal MYSQL設置更改root密碼 export PATH=$PATH:/usr/local/mysql/bin/ 把mysql加入環境變量可以直接使用mysql命令

PHP實現URL長轉短接方法總結

inno class data hash nginx服務器 () 屬於 oca str 短鏈接,通俗來說,就是將長的URL 網址,通過程序計算等方式,轉換為簡短的網址字符串。 這樣的話其好處為:1、內容需要;2、用戶友好;3、便於管理。 實現短網址(short URL)

centos6.8實現虛擬主機多站點配置

Apache中配置多主機站點,可以通過兩種方式實現:1、將同一個域名的不同埠對映到不同的站點(虛擬主機)2、將同一個埠對映成不同的域名,不同的域名對映到不同的站點備註:兩種方法可以同時存在,區域網通過ip:埠的配置方法與統一域名不同埠的配置方法一樣我們只需要修改相應的配置檔案

使用 NET 實現 Ajax 長

req 現在 lan 不知道 xmlhttp mut 時有 其中 但是 作者:http://www.cnblogs.com/cathsfz/ Ajax的長連接,或者有些人所說的Comet,就是指以XMLHttpRequest的方式連接服務器,連接後服務器並非即時

spring 加密 Druid 池(二)—— 加密 url,driverClassName,用戶名,密碼

stack urn b- ride style alibaba row com logs why? 連接信息暴露在配置文件中有風險 how? 一、準備加密後連接信息 使用Druid自帶工具類ConfigTools加密連接信息 import com.alibaba.dr

在Windows7中與虛擬機實現遠程桌面

在windows7中與虛擬機實現遠程桌面連接在Windows7中與虛擬機實現遠程桌面連接在win7系統中安裝VMware workstation虛擬機並安裝win7系統,實現在win7宿主機中遠程連接虛擬機右擊宿主機“網絡”,選擇屬性選擇“更改適配器設置”選擇“vmware8”右擊選擇屬性(因為虛擬機是NAT

使用c3p0與DBCP池,造成的MySql 8小時問題解決方式

rda pac 部分 文件中 從數據 mysql配置文件 font pts troy 本文提供了對c3p0與DBCP連接池連接MySql數據庫時。 8小時內無請求自己主動斷開連接的解決方式。首先介紹一下我在項目(c3p0連接池)中遇到的問題,後面還提供了使用DBCP連接

實現數據庫

tinc port 一次 通過 所有 name 不能 註冊 失敗   文件ConnectionParam.java package exam.Util.DButil; public class ConnectionParam { private String d

CentOS6.5 SSH無法

查看 start entos inux 無法連接 stop lin 命令 net 1.確認連接交機機端口的正常,如查更換多幾個端口試 2.確認網絡不存在問題。 3.把selinux iptables服務全部關閉 4.查看本機是否偵聽22端口和是否開啟ssh服務 命令:net

mac 修改mysql 密碼, navicat 失敗原因

amp 權限 ftw replace using 客戶端 target test href 1、cd /usr/local/mysql/bin/?2、sudo su輸入之後會要求輸入你的計算機密碼,輸入的時候是什麽都不顯示的,輸完後回車3、 ./mysqld_safe --

更好的實現js數組,用到的知識apply.

講解 ber array 方便 this var 但是 ken 兩個 最近做的萬達的一個能源管理平臺中用到了數據連接,當時想都沒想直接寫了一個a.concat(b)。今天在掘金看到了一個優化的方案。是這樣:a.push.apply(a,b);其中a,b分別為兩個數組。仔細一