Gibt es eine Möglichkeit, mit OpenVPN oder einer anderen Open-Source-VPN-Software eine fortlaufende Liste von Passwörtern zu führen?

Question

Ich habe ein OpenVPN-Setup verwendet, das eine Benutzername/Passwort-Phase zur Authentifizierung des tatsächlichen Benutzers hatte, und dies wurde per Backend gegen PAM ausgeführt. Leider habe ich die Konfigurationsdateien dieser Installation nicht, aber alles, was per Backend gegen PAM ausgeführt wird, kann jedes PAM-Modul nutzen, und PAM-Module bieten alle Arten von einmaliger Unterstützung – und besser.

Für einfache Einmalpasswörter,dieser Kerlschreibt über die Verwendung von OPIE unter PAM, wobei OPIE (wie S/KEY) eine der alten OTP-Lösungen (One-Time-Password) von früher ist (um etwas abzuschweifen: Ich kann mich daran erinnern, dass ich 1995 für den Weg zu einer Konferenz ein Blatt mit 20 OPIE-Passwörtern ausgedruckt habe, und ich bin sicher, dass andere sich noch früher daran erinnern werden). Es mag alt sein, aber es ist immer noch solide, und mittlerweile gibt es eine beliebige Anzahl von OPIE-Softwaregeneratoren, die Sie verwenden können, wenn Sie das Stück Papier nicht mit sich herumtragen möchten. Der obige Artikel bezieht sich auf eine iPhone-App, aber ich bin sicher, dass es noch andere gibt.

Aber warum hier aufhören? Sobald Sie PAM in die Authentifizierungs-Engine integriert haben, können Sie ganz schön barock werden – und zunehmend sicherer.

Dieser Kerlverfügt über ein PAM-Modul, das per SMS ein Token sendet, das eingegeben werden muss, sodass Sie Ihr GSM-Telefon im Rahmen einer Zwei-Faktor-Lösung verwenden können.

Ich selbst habe einen Yubikey verwendet, ein kleiner OTP-Generator mit USB-Schnittstelle und PAM, sodass Sie bei Bedarf bis zu einer dedizierten Hardwarelösung gehen könnten (der gesamte Code steht unter GPL). Ich verwende es, um den SSH- und Sudo-Zugriff zu steuern, aber da dies über PAM erfolgt, könnte es problemlos in die OpenVPN-Benutzerauthentifizierungsphase integriert werden.

Hoffentlich verdeutlicht das, dass dies theoretisch durchaus möglich ist, und gibt Ihnen einige Ideen. Es tut mir leid, dass ich keine funktionierende OpenVPN+PAM-Konfiguration zum Anhängen habe, aberdieser Artikel von openvpn.netscheint es ziemlich ausführlich abzudecken.

Answer 1

Ich habe ein OpenVPN-Setup verwendet, das eine Benutzername/Passwort-Phase zur Authentifizierung des tatsächlichen Benutzers hatte, und dies wurde per Backend gegen PAM ausgeführt. Leider habe ich die Konfigurationsdateien dieser Installation nicht, aber alles, was per Backend gegen PAM ausgeführt wird, kann jedes PAM-Modul nutzen, und PAM-Module bieten alle Arten von einmaliger Unterstützung – und besser.

Für einfache Einmalpasswörter,dieser Kerlschreibt über die Verwendung von OPIE unter PAM, wobei OPIE (wie S/KEY) eine der alten OTP-Lösungen (One-Time-Password) von früher ist (um etwas abzuschweifen: Ich kann mich daran erinnern, dass ich 1995 für den Weg zu einer Konferenz ein Blatt mit 20 OPIE-Passwörtern ausgedruckt habe, und ich bin sicher, dass andere sich noch früher daran erinnern werden). Es mag alt sein, aber es ist immer noch solide, und mittlerweile gibt es eine beliebige Anzahl von OPIE-Softwaregeneratoren, die Sie verwenden können, wenn Sie das Stück Papier nicht mit sich herumtragen möchten. Der obige Artikel bezieht sich auf eine iPhone-App, aber ich bin sicher, dass es noch andere gibt.

Aber warum hier aufhören? Sobald Sie PAM in die Authentifizierungs-Engine integriert haben, können Sie ganz schön barock werden – und zunehmend sicherer.

Dieser Kerlverfügt über ein PAM-Modul, das per SMS ein Token sendet, das eingegeben werden muss, sodass Sie Ihr GSM-Telefon im Rahmen einer Zwei-Faktor-Lösung verwenden können.

Ich selbst habe einen Yubikey verwendet, ein kleiner OTP-Generator mit USB-Schnittstelle und PAM, sodass Sie bei Bedarf bis zu einer dedizierten Hardwarelösung gehen könnten (der gesamte Code steht unter GPL). Ich verwende es, um den SSH- und Sudo-Zugriff zu steuern, aber da dies über PAM erfolgt, könnte es problemlos in die OpenVPN-Benutzerauthentifizierungsphase integriert werden.

Hoffentlich verdeutlicht das, dass dies theoretisch durchaus möglich ist, und gibt Ihnen einige Ideen. Es tut mir leid, dass ich keine funktionierende OpenVPN+PAM-Konfiguration zum Anhängen habe, aberdieser Artikel von openvpn.netscheint es ziemlich ausführlich abzudecken.

Gibt es eine Möglichkeit, mit OpenVPN oder einer anderen Open-Source-VPN-Software eine fortlaufende Liste von Passwörtern zu führen?

Antwort1

verwandte Informationen