সম্ভব? ওপেনভিপিএন সার্ভারের শংসাপত্র এবং পাসওয়ার্ড-ভিত্তিক লগইন উভয়ের প্রয়োজন (টমেটো রাউটার ফার্মওয়্যারের মাধ্যমে)

8

ওপেনভিপিএন সার্ভার চালানোর জন্য আমি আমার আসুস এন 66 ইউ রাউটারে শিবির বিল্ডিং টমেটো (64 কে এনভিআরএএম সংস্করণ) ব্যবহার করছি।

আমি আগ্রহী যে কোনও ব্যবহারকারীর অ্যাক্সেসের অনুমতি দেওয়ার আগে এই ওপেনভিপিএন সার্ভারটি একটি শংসাপত্র এবং একটি ব্যবহারকারীর নাম / পাসওয়ার্ড উভয়ই প্রয়োজন হয় কিনা সেটআপ করা সম্ভব ।

আমি লক্ষ্য করেছি শংসাপত্রের বিশদটি পূরণ করার সময় একটি "চ্যালেঞ্জ পাসওয়ার্ড" এন্ট্রি রয়েছে, তবে প্রত্যেকে এটিকে ফাঁকা ছেড়ে "বা অন্যথায়" বলে; কেন আমি জানিনা এবং আমি এর ব্যাখ্যা খুঁজে পাচ্ছি না। উপরন্তু, আমি Google'd এই সমস্যা একটি গুচ্ছ করেছি এবং খেয়াল অনুক্রমে VPN খুলুন একটি পিএএম মডিউল সম্পর্কে অনুমোদন মাধ্যমে ব্যবহারকারীর নাম / পাসওয়ার্ড কথা বলা আছে, কিন্তু যে হাজির একটি হয় / অথবা বিকল্প হতে; অন্য কথায়, আমি ব্যবহারকারীর নাম / পাসওয়ার্ড বা শংসাপত্রের মাধ্যমে প্রমাণীকরণকে বাধ্য করতে পারি । আমি উভয় প্রয়োজন।

এটা কি সম্ভব? যদি তাই হয়, কিভাবে?

authentication  openvpn  tomato 
এরিক
সূত্র

উত্তর:

4

আপনি যে ওপেনভিপিএন বৈশিষ্ট্যটি সন্ধান করছেন এটি সার্ভারটি ক্লায়েন্টদের তাদের শংসাপত্র এবং শংসাপত্র উভয়ের ভিত্তিতে প্রমাণীকরণের অনুমতি দেবে auth-user-pass-verify। এই বৈশিষ্ট্যটি প্রমাণীকরণ সম্পাদন করে এমন কোনও স্ক্রিপ্টে দূরবর্তী ব্যবহারকারীর দ্বারা সরবরাহ করা ব্যবহারকারীর নাম / পাসওয়ার্ডটি সার্ভারকে অনুমতি দেয়। সেই মুহুর্তে আপনি যা চান তার বিরুদ্ধে শংসাপত্রগুলি যাচাই করতে পারেন - প্যাম, রেডিয়াস, এলডিএপি, ধোঁয়া সংকেত ইত্যাদি anything

আমি "টমেটো" ফার্মওয়্যারগুলি সম্পর্কে কিছুই জানি না তাই আমি এখানে আপনাকে ধাপে ধাপে দেওয়ার চেষ্টাও করছি না। আমি কিছু দ্রুত অনুসন্ধান করেছি এবং আমি সন্দেহ করি যে আপনি একটি auth-user-pass-verifyরেফারেন্স অন্তর্ভুক্ত করতে ওপেনভিপিএন "কাস্টম কনফিগারেশন" বিকল্পটি ব্যবহার করতে পারেন । প্রমাণীকরণ সম্পাদন করতে আপনার একটি স্ক্রিপ্ট দরকার।

কিছু অনুসন্ধান করুন এবং আমি সন্দেহ করি যে আপনি "টমেটো" -র নির্দিষ্ট রেফারেন্স পাবেন।

ইভান অ্যান্ডারসন
সূত্র
2

চ্যালেঞ্জ পাসওয়ার্ড একটি পাসফ্রেজ যা কীটির ডিক্রিপশন অনুমোদনের জন্য ব্যবহৃত হয়। এটিই কেবলমাত্র আপনি "পাসওয়ার্ড" এবং কীটি করতে পারেন।

আপনি সত্যিই কেবল পাসওয়ার্ড বা কী দ্বারা যাচাই করতে পারবেন , দুটোই নয়। যদি আপনার উভয় পদ্ধতি সক্ষম থাকে তবে এটি প্রথমে কী প্রমাণীকরণের চেষ্টা করবে এবং যদি এটি ব্যর্থ হয় তবে এটি পাসওয়ার্ড প্রমাণীকরণে ফিরে যাবে।

কীতে কোনও পাসফ্রেজ না থাকা যদি কেউ কী ধরে রাখেন তবে আপনার পরিচয় নকল করা সহজ করে তোলে।

আমি কেন ইন্টারভিউজদের জানায় যে কীগুলিতে আপনার পাসফ্রেজ ব্যবহার করা উচিত নয় এবং এটি আসলে কোনও সমস্যা কিনা তা দেখুন a

tacotuesday
সূত্র
ইয়া আমি উত্তর দিতে সমস্যা হচ্ছে। আশা করি অন্য কেউ আমাদের সে বিষয়ে আলোকিত করতে পারে; এটি একটি পাল্টা পরামর্শ মত মনে হচ্ছে।
এরিক
ইতিমধ্যে, একটি শংসাপত্রের প্রয়োজনীয়তা + কেবলমাত্র একটি ব্যবহারকারীর নাম / পাসওয়ার্ড কম্বোর সাথে প্রয়োজনীয়তার তুলনা করার কোনও মাপের উপায় কি? আমি ক্রম করা আরও বেশি মাত্রার অর্ডার ধরে নিচ্ছি, তবে এটি আমার পরিস্থিতিগত জ্ঞানের উপর ভিত্তি করে একটি অনুমান মাত্র।
এরিক
এটি একটি পুরানো উত্তর তবে ... এটি চ্যালেঞ্জের পাসওয়ার্ড এবং কী তা নয়। উপরে বর্ণিত হিসাবে আপনি কীটি সুরক্ষিত করতে একটি পাসফ্রেজ ব্যবহার করতে পারেন, তবে চ্যালেঞ্জের পাসওয়ার্ডটি কোনও সম্পর্কযুক্ত নয়। এটি প্রত্যয়ন বা কী-তে কোনওভাবে সংরক্ষণ করা হয় না, তবে সিএ-এর সাথে রাখা হয় কীটি প্রত্যাহার করতে বা কোনও প্রতিস্থাপন জারি করতে সিএ ব্যবহার করার সময় এটি ব্যবহার করার উদ্দেশ্য।
জ্যাক বি
2

লেখক-ব্যবহারকারী-পাস-যাচাই করাই সঠিক জিনিস। এছাড়াও আপনি বাধ্য করতে পারেন প্রবন্ধ-ব্যবহারকারীর ব্যবহারকারীর নামটি সার্টিফাইড সিএন হতে হবে আপনি ওপেনভিপিএনকে একবারে প্রতিটি সার্টিফিকেটে কেবল একটি সংযোগ তৈরি করতে বাধ্য করতে পারেন।

এইভাবে একটি "নকল" সিটিটিসি সিএন এবং ডান পাসের সাথে তুলনা করে সঠিক ব্যবহারকারী থাকতে হবে এবং তাকে এমন সময়ে লগইন করতে হবে আসল মালিক দোস্ত

এছাড়াও আপনি কোনও আইডিএস সম্পর্কে ভাবতে পারেন, কোনটি বেছে নেওয়ার উপর নির্ভর করে আপনি এটিকে সংকীর্ণ করতে পারেন যেমন অনুমোদিত বহিরাগত আইপি ব্যাপ্তি, লগনের সময় ইত্যাদি।

যে কোনও উন্মুক্ত শংসাপত্র অবিলম্বে বাতিল করা উচিত। সাইনিং সার্ভারটি ইউএসবি দ্বারা ট্রান্সফার কী - নেট থেকে বন্ধ হওয়া উচিত - তারপরে আপনার কাছে আসল শক্ত সুরক্ষিত অ্যাক্সেস রয়েছে।

এবং না আপনার কোনও পাসওয়ার্ড পাসওয়ার্ড করা উচিত নয়।

  1. ব্রুটফোর্স থেকে সহজ।
  2. আপনি কোনও ব্যবহারকারীকে লক করতে পারবেন না (সার্টি পাসটি কেবল অফলাইনে রয়েছে)।
  3. লোকেরা আপনার পাসওয়ার্ডগুলি সর্বদা আপনাকে প্রত্যাহার করতে এবং সার্টিফিকেট তৈরির জন্য পুনরায় বাধ্য করতে বাধ্য করে - সেখানে প্রচুর শংসাপত্র রাখার বড় ঝুঁকি যেখানে আপনি হয়ত মাঝেমাঝে প্রত্যাহারটি ভুলে যান।

তবে আপনি যদি সত্যিই চান তবে আপনি একই সময়ে লেখক-ব্যবহারকারী এবং সার্টিফিকেট পাসওয়ার্ড ব্যবহার করতে পারেন তবে কোনও ফলব্যাক বা কিছু থাকবে না।

প্রথম ওপেনভিপিএন একটি সংযোগ স্থাপনের জন্য প্রাইভেট কীটি ডিক্রিপ্ট করার জন্য শংসাপত্রের পাসওয়ার্ড ব্যবহার করবে - তারপরে লেখক-ব্যবহারকারী সার্ভারসিডলি কিক্স করে - যদি শংসাপত্রগুলি ভুল হয়ে যায়।

তবে যদি কোনও আক্রমণকারী নিয়মিত শংসাপত্রগুলি পান তবে আপনি ইতিমধ্যে সমস্যায় পড়েছেন এবং সম্ভাবনা বেশি থাকলে তিনিও শংসাপত্রটির পাসওয়ার্ড পেয়েছেন।

সুতরাং আমি এখানে আসল উপকারিতা দেখছি না কেবলমাত্র অনেকগুলি ডাউনসাইড এবং আরও সুরক্ষার একটি ভুল অনুভূতি।

যাই হোক
সূত্র
0

আমি এই টিউটোরিয়ালটি অনুসরণ করেছি (আমার আসুস এন 66 ইউ-তে টমেটো ইউএসবি শিব্বির 1.28 সহ): http://www.dd-wrt.com/wiki/index.php/OpenVPN এটি আপনাকে অনেক সাহায্য করতে পারে।

AndyZ
সূত্র
2
অ্যান্ডিজেড - এসএফ-তে আপনাকে স্বাগতম, তবে আমরা এখানে উত্তরগুলি চাই কেবলমাত্র একটি লিঙ্কের (যা বয়সের সাথে পচে যেতে পারে) এর চেয়ে বেশি পদার্থ ধারণ করতে চাই। আপনি যে পদ্ধতিটি অনুসরণ করেছেন সেগুলির গুরুত্বপূর্ণ বিটগুলি পাশাপাশি নিবন্ধের লিঙ্কটি ধারণ করতে যদি আপনি এই উত্তরটি পুনরুদ্ধার করতে পারেন তবে এটি সত্যিই ভাল উত্তর হতে পারে।
ম্যাডহ্যাটার
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.