Archのopenvpnおよびsystemdと権限の競合

Archのopenvpnおよびsystemdと権限の競合

私はVPSにopenvpnをインストールしました。

完璧に始めます

sudo openvpn /etc/openvpn/server/server.conf

しかし、

sudo systemctl start openvpn-server@server

実行されません。 systemdと競合します。

丸太:

Options error: --ca fails with '/etc/openvpn/server/ca.crt': Permission denied (errno=13)
Options error: --cert fails with '/etc/openvpn/server/server.crt': Permission denied (errno=13)
Options error: --key fails with '/etc/openvpn/server/server.key': Permission denied (errno=13)
Options error: Please correct these errors.

システム設定:

[Unit]
Description=OpenVPN service for %I
After=syslog.target network-online.target
Wants=network-online.target
Documentation=man:openvpn(8)
Documentation=https://community.openvpn.net/openvpn/wiki/Openvpn24ManPage
Documentation=https://community.openvpn.net/openvpn/wiki/HOWTO

[Service]
Type=notify
PrivateTmp=true
WorkingDirectory=/etc/openvpn/server
ExecStart=/usr/bin/openvpn --status %t/openvpn-server/status-%i.log --status-version 2 --suppress-timestamps --config %i.conf
User=openvpn
Group=network
AmbientCapabilities=CAP_IPC_LOCK CAP_NET_ADMIN CAP_NET_BIND_SERVICE CAP_NET_RAW CAP_SETGID CAP_SETUID CAP_SYS_CHROOT CAP_DAC_OVERRIDE CAP_AUDIT_WRITE
CapabilityBoundingSet=CAP_IPC_LOCK CAP_NET_ADMIN CAP_NET_BIND_SERVICE CAP_NET_RAW CAP_SETGID CAP_SETUID CAP_SYS_CHROOT CAP_DAC_OVERRIDE CAP_AUDIT_WRITE
LimitNPROC=10
DeviceAllow=/dev/null rw
DeviceAllow=/dev/net/tun rw
ProtectSystem=true
ProtectHome=true
KillMode=process
RestartSec=5s
Restart=on-failure

[Install]
WantedBy=multi-user.target

私のサーバーフォルダにはキーと証明書が含まれています。

ls -la
total 36
drwxr-x--- 2 openvpn network 4096 Jan 11 00:24 .
drwxr-xr-x 5 root    root    4096 Jan 11 00:02 ..
-rw------- 1 root    root    1184 Jan 10 23:26 ca.crt
-rw-r--r-- 1 root    root     424 Jan 10 23:29 dh2048.pem
-rw-r--r-- 1 root    root     618 Jan 11 16:07 server.conf
-rw------- 1 root    root    4586 Jan 10 23:28 server.crt
-rw------- 1 root    root    1704 Jan 10 23:27 server.key
-rw------- 1 root    root     636 Jan 10 23:43 ta.key

権限に問題がありますか?

答え1

設定ファイルはに属している必要がありますopenvpn

システムサービス定義は、openvpnuserとgroupでopenvpn実行する必要があることを示しますnetwork。ただし、として実行すると、sudoユーザーとして実行されますroot

すべてのファイルはルートが所有し、ほとんどのファイルはモード0600なので、他の人が読み取ることはできません。openvpnユーザーが読めるようにこの問題を修正する必要があります。

速く走るchown openvpn:network /etc/openvpn/server/*

関連情報