Файлы журнала идут, пробел после logrotate поворачивает их
MITM не невозможен, просто требуется намного больше усилия. Из-за процесса проверки целостности Keith и Nik указали, необходимо будет имитировать не только целевой домен example.com, но также и .com и. (после того как это подписывается). Что означает, что простое отравление кэша больше не будет работать, необходимо полностью ниспровергать весь поток сопоставителя цели.
Это работает как SSL большим количеством способов. Корневой домен имеет записи подписывающего лица делегации, которые используются, чтобы проверить, что дочерний домен (.com в этом случае) сопоставитель является действительно корректным сопоставителем. Это повторяется для каждого дочернего домена, пока Вы не добираетесь до имени хоста. Фактические работы процесса проверки наоборот, в нем повышается дерево, пока это не добирается до неподписанного уровня и проверяет оттуда. Взломщики DNS должны будут фальсифицировать все дерево сопоставителя до корня со знаком (быть этим .com или.) для следования. Поэтому получение подписанного корня DNS является таким грандиозным предприятием.
Многие из как DNSSEC улучшает безопасность, путем создания его намного тяжелее, чтобы подать неправильные данные в кэши сопоставителя и улучшить сопротивление тому, чтобы играть в игры с процессом транзакции DNS между клиентами и законными сопоставителями. Полностью поставленный под угрозу сервер DNS все еще возвратит неправильные данные, даже если бы это будет использовать DNSSEC и встроенную перезапись прокси, запросы DNS на проводе должны были бы фальсифицировать каждый запрос DNS не только намеченные, но и это - более трудная проблема для решения в целом; а также тяжелее войти в место во-первых.
OpenVPN, вероятно, все еще пишет в СТАРЫЙ файл журнала (файл (inode), что он открылся для обратной записи, когда он запустил).
Logrotate должен уведомить демона OpenVPN, что его файл журнала был перевернут так, OpenVPN может открыть новый файл журнала (Это обычно делается через сигнал, но остановка/перезапуск целого демона имеет тот же эффект. Проверьте страницу справочника OpenVPN и Ваш "постповорачивать" сценарий).
Кроме того, можно настроить OpenVPN для использования системного журнала с тех пор logrotate должен уведомлять syslogd когда это прокручивает Ваши файлы журнала (или все Ваши файлы журнала были бы пробелом).
Делает Ваш /etc/logrotate.d/openvpn (или подобный файл), имеют a postrotate действие, которое отправляет SIGHUP? Это должно сказать демону, что файл журнала был повернут.
Попробуйте добавить параметр "copytruncate" в конфигурацию вашего logrotate для Openvpn. Этот вариант, вероятно, решит эту проблему.