我需要将静态地址分发给一些 openvpn 客户端,我决定通过ccd
.我还想降级 openvpn 守护进程的权限以提高安全性。不幸的是,这两个愿望并不想结合在一起。
openvpn 声称它无法以任何方式访问配置文件:
test1/X.X.X.X:32767 Could not access file '/etc/openvpn/ccd/test1': Permission denied (errno=13)
test1/X.X.X.X:32767 Could not access file '/etc/openvpn/ccd/DEFAULT': Permission denied (errno=13)
当然,在 openvpn 设置中,我输入了:
# It's a good idea to reduce the OpenVPN
# daemon's privileges after initialization.
# You can uncomment this out on
# non-Windows systems.
user nobody
group nogroup
ls -l
的openvpn
:
# ls -l /etc/openvpn
total 16
drw-rw-rw- 2 nobody nogroup 4096 Oct 16 23:51 ccd
drwxr-xr-x 2 root root 4096 Oct 16 21:27 client
drwxr-xr-x 2 root root 4096 Oct 16 21:54 server
-rwxr-xr-x 1 root root 1468 Oct 16 21:27 update-resolv-conf
ls -l
的ccd
:
# ls -l /etc/openvpn/ccd/
total 8
-rw-rw-rw- 1 nobody nogroup 42 Oct 16 23:51 test1
-rw-rw-rw- 1 nobody nogroup 42 Oct 16 23:51 test2
我尝试禁用apparmor
- 它没有帮助。分配:Ubuntu 20.04.5 LTS
尝试使用/tmp
文件夹 - 同样的问题。
是否可以强制 openvpn 以降低的权限与 ccd 一起使用(nobody:nogroup)?如何?