이는 누군가 키 로거를 설치했을 수 있는 인터넷 카페에서 VPN을 사용하는 사람에게 유용할 수 있습니다. 이렇게 하면 비밀번호를 기록해 두더라도 다음번에는 비밀번호가 작동하지 않습니다.
답변1
실제 사용자를 인증하기 위해 사용자 이름/비밀번호 단계가 있는 OpenVPN 설정을 사용했으며 PAM에 대해 이를 백엔드했습니다. 안타깝게도 해당 설치의 구성 파일은 없지만 PAM에 대한 백엔드라면 모든 PAM 모듈을 활용할 수 있으며 PAM 모듈은 모든 종류의 일회성 지원을 제공합니다.
간단한 일회용 비밀번호의 경우,이 친구PAM에서 OPIE를 사용하는 방법에 대해 글을 씁니다. OPIE는 (S/KEY와 같은) 옛날 OTP(일회성 비밀번호) 솔루션 중 하나였습니다. 1995년 컨퍼런스에 대해 기억하고 있으며 다른 사람들도 이에 대해 더 일찍 기억할 것이라고 확신합니다.) 오래됐지만 여전히 견고하며 종이 조각을 가지고 다니는 것이 싫다면 사용할 수 있는 OPIE 소프트웨어 생성기가 얼마든지 있습니다. 위의 기사에서는 iPhone 앱을 언급하고 있지만 다른 앱도 있을 것이라고 확신합니다.
그런데 왜 거기서 멈춰야 할까요? 인증 엔진에 PAM을 연결하면 매우 바로크적이고 보안이 더욱 강화될 수 있습니다.
이 챕터SMS를 통해 입력해야 하는 토큰을 보내는 PAM 모듈이 있으므로 GSM 전화를 2단계 솔루션의 일부로 사용할 수 있습니다.
나 자신은 Yubikey를 사용했습니다, PAM이 포함된 작은 USB 인터페이스 OTP 생성기이므로 원하는 경우 전용 하드웨어 솔루션까지 갈 수 있습니다(모든 코드는 GPL입니다). 나는 이를 ssh 및 sudo 액세스를 제어하는 데 사용하지만 PAM을 통해 수행되기 때문에 OpenVPN 사용자 인증 단계에 쉽게 연결할 수 있습니다.
이것이 이론적으로 확실히 가능하다는 점을 명확히 하고 몇 가지 아이디어를 제공할 수 있기를 바랍니다. 추가할 OpenVPN+PAM 구성이 작동하지 않아서 죄송합니다. 하지만openvpn.net의 이 기사좀 자세하게 다루는 것 같습니다.