深入了解fwknop:安全访问的利器
1. fwknop基础配置
fwknop是一款强大的安全工具,在使用过程中有多个重要的配置项。
- REQUIRE_SOURCE_ADDRESS:设置为
Y,表示需要源地址,fwknop客户端命令行中使用-s参数在SPA数据包中放置通配符IP地址将不被接受。 - EMAIL_ADDRESSES:fwknop服务器在多种情况下会发送邮件警报,如接受SPA数据包并授予服务访问权限、移除访问权限以及阻止重放攻击等。支持多个电子邮件地址,以逗号分隔,例如:
root@localhost, mbr@cipherdyne.org。 - GPG_DEFAULT_HOME_DIR:该变量指定用于数字签名验证和SPA数据包解密的GnuPG密钥所在目录的路径。默认使用root主目录下的
.gnupg目录,即:GPG_DEFAULT_HOME_DIR /root/.gnupg; - ENABLE_TCP_SERVER:控制fwknop是否将TCP服务器绑定到端口以接受SPA数据包数据。如果要通过仅使用TCP进行数据传输的Tor网络路由SPA数据包,则必须启用此功能。默认情况下此功能是禁用的,即:
ENABLE_TCP_SERVER N;
