Восстановить затёртый ca.key

0

2

За сервере с работающим openVPN был запущен ./build-ca который затёр ca.key и ca.crt.

Теперь новых клиентов невозможно добавить, а те которые есть будут работать до перезапуска сервера, так как openvpn сохранил у себя в памяти содержимое предыдущего ca.key.

Вопрос: реально ли как-нибудь из памяти работающего процесса openvpn достать содержимое ca.key?

Заменить всем сертификаты это, конечно, вариант, но уж больно это долго.

Ссылка

←	поделитесь опытом запуска mysql в chroot

Установка deb со всеми зависиомостями одной командой?

→

OpenVPN держит файлы сертификатов открытыми? Если да, загляните в ls -l /proc/$(pidof openvpn-server)/fd/

AITap ★★★★★
(17.06.12 15:57:35 MSK)

Ответ на: комментарий от AITap 17.06.12 15:57:35 MSK

Это я первым делом проверил. ca.key он открытым не держит.

LinuxUser ★★★
(17.06.12 16:08:22 MSK) автор топика

Ссылка

сделать core dump всей памяти процесса, потом найти содержимое файла при помощи gdb :)

Harald ★★★★★
(17.06.12 16:18:46 MSK)

Backup?

Deleted
(17.06.12 18:05:09 MSK)

Бэкап, чувак - ТОЛЬКО БЭКАП! :-(

~~no-dashi~~ ★★★★★
(17.06.12 18:31:26 MSK)

Ссылка

Ответ на: комментарий от Harald 17.06.12 16:18:46 MSK

Хорошая идея. Жаль только gdb я совсем чуть-чуть умею пользоваться и debug info для openvpn в Debian нет.
Вообщем сгенерил новые ключи и сертификаты, заодно устаревший e-mail поменял.

LinuxUser ★★★
(17.06.12 22:42:25 MSK) автор топика

Ссылка

Ответ на: комментарий от Deleted 17.06.12 18:05:09 MSK

Ага, теперь буду делать backup-ы с этого сервера :)

LinuxUser ★★★
(17.06.12 22:43:50 MSK) автор топика

Ответ на: комментарий от LinuxUser 17.06.12 22:43:50 MSK

а вот с точки зрения безопасности лучше приватный ключ не бэкапить, чтоб не было потенциальной возможности похитить его из бэкапа

Harald ★★★★★
(17.06.12 22:55:44 MSK)

Ответ на: комментарий от Harald 17.06.12 22:55:44 MSK

Да. Но как показывает практика — важнее чтоб всё работало, а уже потом безопасность.
А бэкапы, кстати, можно делать на шифрованном разделе.

LinuxUser ★★★
(17.06.12 23:52:19 MSK) автор топика

Ответ на: комментарий от LinuxUser 17.06.12 23:52:19 MSK

А бэкапы, кстати, можно делать на шифрованном разделе.

более того, их можно делать в удаленный шифрованный контейнер (сути конечно не меняет)

~~xtraeft~~ ★★☆☆
(18.06.12 00:59:45 MSK)

Ссылка

Ответ на: комментарий от Harald 17.06.12 22:55:44 MSK

Не обязательно бэкапить куда-то. Можно в том же каталоге сделать копию ca.key.bkp_date, те же условия доступа, что и у оригинального файла. Зато помогает если случайно удалил. Достаточно будет просто переименовать файл копии.

Deleted
(18.06.12 08:30:04 MSK)