kill me

relatorio/relatorio.tex

@@ -48,7 +48,6 @@ pois esta contém o \textit{certificate authority} CA.
 % e de uma password temporária (TOTP) de 6 dígitos. O servidor de Apache implementa a mesma autenticação.
 
 \begin{tabular}{l l l}
-
    {\bf Nome} & {\bf Script} & {\bf Rede} \\\toprule
    Road Warrior & VM\_ROAD\_WARRIOR.sh & Rede Externa 193.168.0.0/24 \\
    VPN Gateway & VM\_OPENVPN\_GATEWAY.sh & Router \\
@@ -116,7 +115,7 @@ ou a correr o mesmo comando várias vezes, por isso criamos vários ficheiros .s
 A utilização de ficheiros .sh também vem com outros positivos pois facilita a testagem, e a recriação do cenário rapidamente.
 
 No entanto para os serviços que configuramos, instalar, desativar e dar flush às iptables não foi suficiente, tivemos que criar
-pastas e sincronizar os relógios de todas as VMs visto que elas estarem ligeiramente atrasadas nunca conseguíamos acertar na
+pastas e sincronizar os relógios de todas as VMs visto que elas estarem ligeiramente atrasadas nunca conseguíamos acertar na 
 password do google-authenticator visto que utiliza o tempo local para calcular a sua chave.
 
 \begin{codeblock}[bash]{VM\_CONFIG.sh}
@@ -165,6 +164,7 @@ de IP (NAT).
 
 \begin{codeblock}[bash]{VM\_VPN\_GATEWAY.sh}
 #!/bin/bash
+
 # --- configuracao --- #
 source VM_CONFIG.sh
 yum install -y google-authenticator qrencode ntpsec
@@ -183,13 +183,13 @@ ifconfig $if_dentro $ip_dentro netmask 255.255.255.0
 echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
 sysctl -p /etc/sysctl.conf
 
-iptables -I INPUT 1  -p udp --dport 1194 -j ACCEPT 
-iptables -I FORWARD 1 -i $mega_tunel -o $if_dentro -j ACCEPT 
-iptables -I FORWARD 1 -i $if_dentro -o $mega_tunel -j ACCEPT 
-iptables -I FORWARD 1 -i $mega_tunel -o $if_fora -j ACCEPT 
-iptables -I FORWARD 1 -i $if_fora -m state --state ESTABLISHED,RELATED -j ACCEPT 
-iptables -t nat -A POSTROUTING -s $ip_mega_tunel -o $if_fora -j MASQUERADE 
-iptables-save > /etc/sysconfig/iptables 
+iptables -I INPUT 1  -p udp --dport 1194 -j ACCEPT
+iptables -I FORWARD 1 -i $mega_tunel -o $if_dentro -j ACCEPT
+iptables -I FORWARD 1 -i $if_dentro -o $mega_tunel -j ACCEPT
+iptables -I FORWARD 1 -i $mega_tunel -o $if_fora -j ACCEPT
+iptables -I FORWARD 1 -i $if_fora -m state --state ESTABLISHED,RELATED -j ACCEPT
+iptables -t nat -A POSTROUTING -s $ip_mega_tunel -o $if_fora -j MASQUERADE
+iptables-save > /etc/sysconfig/iptables
 
 # --- vpn server --- #
 vpn_dir="/etc/openvpn/server"
@@ -201,7 +201,12 @@ cp ca/dh2048.pem $vpn_dir
 cp conf/vpn.conf $vpn_dir 
 cp conf/ocsp-verify.sh $vpn_dir
 cp conf/totp /etc/pam.d/
-systemctl enable --now openvpn-server@vpn.service
+
+# --- utilizador --- #
+id -u john &>/dev/null || useradd john
+echo "password" | passwd --stdin john
+
+openvpn --config /etc/openvpn/server/vpn.conf
 \end{codeblock}
 
 \subsection{Configuração do Serviço OpenVPN}
@@ -252,39 +257,18 @@ e verifica o resultado.
 
 \begin{codeblock}{ocsp\_verify.sh}
 #!/bin/bash
-# fonte: https://github.com/OpenVPN/openvpn/blob/master/contrib/OCSP_check/OCSP_check.sh
-
-ocsp_url="http://10.60.0.1:8888"
-issuer="/etc/openvpn/server/ca.crt"
-nonce="-no_nonce"
-verify="/etc/openvpn/server/ca.crt"
-check_depth=0
-
-cur_depth=$1
-common_name=$2
-
-if [ -z "$issuer" ] || [ ! -e "$issuer" ] || [ -z "$verify" ] || [ ! -e "$verify" ] || [ -z "$ocsp_url" ]; then
-  exit 1
-fi
-
-if [ $check_depth -eq -1 ] || [ $cur_depth -eq $check_depth ]; then
-  eval serial="\$tls_serial_${cur_depth}"
-
-  if [ -n "$serial" ]; then
-    status=$(openssl ocsp -issuer "$issuer" "$nonce" -CAfile "$verify" -url "$ocsp_url" -serial "${serial}" 2>&1)
-
-    if [ $? -eq 0 ]; then
-      if echo "$status" | grep -Eq "(error|fail)"; then
-          exit 1
-      fi
-      
-      if echo "$status" | grep -Eq "^${serial}: good" && echo "$status" | grep -Eq "^Response verify OK"; then
-        exit 0
-      fi
+depth=$1
+if [ "$depth" -eq 0 ]; then
+    if [ -n "$tls_serial_0" ]; then
+        # e preciso converter o serial para hexadecimal porque o openssl espera em hex
+        hex_serial=$(printf '%x' "$tls_serial_0")
+        status=$(openssl ocsp -issuer /etc/openvpn/server/ca.crt -serial "0x$hex_serial" -url http://10.60.0.1:8888 -CAfile /etc/openvpn/server/ca.crt 2>/dev/null)
+        if echo "$status" | grep -q "good"; then
+            exit 0 # sucesso
+        fi
+        exit 1 # revogado ou nao encontrado
     fi
-  fi
-  
-  exit 1
+    exit 1
 fi
 \end{codeblock}
 
@@ -294,16 +278,12 @@ Um dos erros que encontramos pelo caminho foi que o OpenSSL OCSP espera que o
 \textit{serial} esteja num formato diferente do que o esperado. Foi necessário
 converter para hexadecimal primeiro.
 
-
 Adicionalmente, devido às restrições de segurança do \textit{systemd},
-foi necessário desativar o \texttt{ProtectHome} no serviço do OpenVPN
+tentamos desativar o \texttt{ProtectHome} no serviço do OpenVPN
 para que o plugin PAM consiga ler os ficheiros de segredo do Google Authenticator
-localizados nas diretorias \textit{home} dos utilizadores.
-
-\begin{codeblock}{override.conf}
-[Service]
-ProtectHome=false
-\end{codeblock}
+localizados nas diretorias \textit{home} dos utilizadores. Mas isto não 
+foi suficiente, por isso acabamos por correr os serviços pela linha
+de comandoos.
 
 \subsection{Configurar o utilizador com TOTP}
 
@@ -326,30 +306,39 @@ google-authenticator
 
 \subsection{Configuração da Máquina}
 Para a configuração da Máquina, configuramos o edereço, o default gateway e adicionamos apache aos Hosts:
-\begin{codeblock}{VM_ROAD_WARRIOR.sh}
+
+\begin{codeblock}{VM\_ROAD\_WARRIOR.sh}
+#!/bin/bash
+
+# --- configuracao --- #
+source VM_CONFIG.sh
 ifconfig enp0s8 193.136.212.10 netmask 255.255.255.0
 route add default gw 193.136.212.1 
 
 if ! grep -q "apache" /etc/hosts; then
     echo "10.60.0.1 apache" >> /etc/hosts
 fi
-\end{codeblock}
-Esta configuração foi necessaria, porque sem edereço a VM não conseguia-se identificar na rede. Sem o default gateway
-os edereços desconhecidos seriam enviados para a porta da internet, e adicionamos apache aos Hosts para que fosse igual
-ao domain para não haver erros.
-%(I dunno about this Apache part??) Also sinto que ainda precisa de mais um bocado.
-Também foram movidos os certificados e chaves necessarias para as pastas do serviço openvpn, para que o Road Warrior
-consiga comunicar e ser validado pela gateway.
-\begin{codeblock}{VM_ROAD_WARRIOR.sh}
+
+# --- vpn client --- #
 vpn_dir="/etc/openvpn/client/"
 cp ca/ta.key $vpn_dir 
 cp ca/ca.crt $vpn_dir 
 cp ca/user.key $vpn_dir 
 cp ca/user.crt $vpn_dir 
 cp conf/client.conf $vpn_dir 
+
 openvpn --config "${vpn_dir}/client.conf"
 \end{codeblock}
 
+
+% Esta configuração foi necessaria, porque sem edereço a VM não conseguia-se identificar na rede. Sem o default gateway
+% os edereços desconhecidos seriam enviados para a porta da internet, e adicionamos apache aos Hosts para que fosse igual
+% ao domain para não haver erros.
+%(I dunno about this Apache part??) Also sinto que ainda precisa de mais um bocado.
+Também foram movidos os certificados e chaves necessarias para as pastas do serviço openvpn, para que o Road Warrior
+consiga comunicar e ser validado pela gateway.
+
+
 \subsection{Configuração do Cliente OpenVPN}
 
 O cliente encontra-se na rede externa (\texttt{193.136.212.10}) e liga-se à VPN
@@ -391,6 +380,61 @@ podemos autenticar; e com OCSP mas com certificado revogado, a autenticação fa
 
 \section{Servidor Apache e OCSP}
 
+\begin{codeblock}{VM\_OPENSSL\_APACHE.sh}
+#!/bin/bash
+
+# configuracao
+source VM_CONFIG.sh
+
+sudo yum install -y epel-release
+sudo yum install -y openssl httpd mod_ssl mod_authnz_pam google-authenticator 
+sudo yum install -y mod_session
+
+# utilizador
+id -u john &>/dev/null || useradd john
+echo "password" | passwd --stdin john
+
+if_dentro="enp0s8"
+ip_dentro="10.60.0.1"
+ifconfig $if_dentro $ip_dentro netmask 255.255.255.0
+
+# route de volta para comunicar com o warrior
+route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.60.0.3
+
+cp conf/openssl.cnf /etc/pki/tls/
+
+# copiar ca para esta VM
+cp ca/index.txt $CA_DIR
+cp ca/ca.crt $CA_DIR
+cp ca/ca.key $CA_DIR
+cp ca/serial $CA_DIR
+cp ca/dh2048.pem $CA_DIR
+
+# correr oscp
+killall openssl 2>/dev/null
+openssl ocsp -index $CA_DIR/index.txt -port 8888 -rsigner $CA_DIR/ca.crt -rkey $CA_DIR/ca.key -CA $CA_DIR/ca.crt -text &
+
+# apache
+mkdir -p /etc/httpd/ssl
+cp ca/ca.crt /etc/httpd/ssl/
+cp ca/apache.crt /etc/httpd/ssl/
+cp ca/apache.key /etc/httpd/ssl/
+cp conf/ssl.conf /etc/httpd/conf.d/ssl.conf
+cp conf/httpd.conf /etc/httpd/conf/httpd.conf
+cp conf/httpd-totp /etc/pam.d/httpd-totp
+
+# sim, e preciso fazer isto para carregar servicos
+echo "LoadModule session_module modules/mod_session.so" > /etc/httpd/conf.modules.d/01-session.conf
+echo "LoadModule session_cookie_module modules/mod_session_cookie.so" >> /etc/httpd/conf.modules.d/01-session.conf
+echo "LoadModule auth_form_module modules/mod_auth_form.so" > /etc/httpd/conf.modules.d/01-auth_form.conf
+
+# mega paginas webs
+cp -r www/* /var/www/html/
+chown -R apache:apache /var/www/html/
+
+httpd -X
+\end{codeblock}
+
 \subsection{Configuração da Máquina}
 
 asd
@@ -414,7 +458,7 @@ da autoridade de certificação.
 \begin{enumerate}
     \item Estabelecer a ligação VPN e verificar a conectividade à rede interna.
     \item No diretório da autoridade de certificação (máquina \textit{host}), revogar o certificado do utilizador:
-    \begin{codeblock}[bash]{revoke.sh}
+\begin{codeblock}[bash]{revoke.sh}
 openssl ca -revoke user.crt -config cheese.cfg -keyfile ca.key -cert ca.crt
 \end{codeblock}
     \item Atualizar o ficheiro \texttt{index.txt} no servidor OCSP e reiniciar o serviço para carregar o novo estado de revogação.