টেলিগ্রাম বট সহ OpenVPN-এ দ্বি-ফ্যাক্টর প্রমাণীকরণ

নিবন্ধটি একটি টেলিগ্রাম বট দিয়ে দ্বি-ফ্যাক্টর প্রমাণীকরণ সক্ষম করতে একটি OpenVPN সার্ভার সেট আপ করার বর্ণনা করে যা সংযোগ করার সময় একটি নিশ্চিতকরণ অনুরোধ পাঠাবে।

OpenVPN হল একটি সুপরিচিত, বিনামূল্যের, ওপেন সোর্স VPN সার্ভার যা অভ্যন্তরীণ সাংগঠনিক সংস্থানগুলিতে নিরাপদ কর্মচারী অ্যাক্সেসের ব্যবস্থা করতে ব্যাপকভাবে ব্যবহৃত হয়।

একটি VPN সার্ভারের সাথে সংযোগের জন্য প্রমাণীকরণ হিসাবে, একটি কী এবং ব্যবহারকারীর লগইন/পাসওয়ার্ডের সংমিশ্রণ সাধারণত ব্যবহৃত হয়। একই সময়ে, ক্লায়েন্টে সংরক্ষিত পাসওয়ার্ড পুরো সেটটিকে একটি একক ফ্যাক্টরে পরিণত করে যা সঠিক স্তরের নিরাপত্তা প্রদান করে না। একজন আক্রমণকারী, ক্লায়েন্ট কম্পিউটারে অ্যাক্সেস লাভ করে, ভিপিএন সার্ভারেও অ্যাক্সেস লাভ করে। উইন্ডোজ চালিত মেশিন থেকে সংযোগের জন্য এটি বিশেষভাবে সত্য।

দ্বিতীয় ফ্যাক্টরটি ব্যবহার করে অননুমোদিত অ্যাক্সেসের ঝুঁকি 99% হ্রাস করে এবং ব্যবহারকারীদের জন্য সংযোগ প্রক্রিয়াটিকে মোটেই জটিল করে না।

আমাকে এখনই একটি রিজার্ভেশন করতে দিন: বাস্তবায়নের জন্য আপনাকে একটি তৃতীয় পক্ষের প্রমাণীকরণ সার্ভার multifactor.ru সংযোগ করতে হবে, যেখানে আপনি আপনার প্রয়োজনের জন্য একটি বিনামূল্যের ট্যারিফ ব্যবহার করতে পারেন।

কিভাবে এটি কাজ করে

1. OpenVPN প্রমাণীকরণের জন্য openvpn-plugin-auth-pam প্লাগইন ব্যবহার করে
2. প্লাগইনটি সার্ভারে ব্যবহারকারীর পাসওয়ার্ড চেক করে এবং মাল্টিফ্যাক্টর সার্ভিসে RADIUS প্রোটোকলের মাধ্যমে দ্বিতীয় ফ্যাক্টরের অনুরোধ করে
3. মাল্টিফ্যাক্টর টেলিগ্রাম বটের মাধ্যমে ব্যবহারকারীকে অ্যাক্সেস নিশ্চিত করে একটি বার্তা পাঠায়
4. ব্যবহারকারী টেলিগ্রাম চ্যাটে অ্যাক্সেসের অনুরোধ নিশ্চিত করে এবং ভিপিএন-এর সাথে সংযোগ করে

একটি OpenVPN সার্ভার ইনস্টল করা হচ্ছে

ওপেনভিপিএন ইনস্টল এবং কনফিগার করার প্রক্রিয়া বর্ণনা করে ইন্টারনেটে অনেক নিবন্ধ রয়েছে, তাই আমরা সেগুলি নকল করব না। আপনার যদি সাহায্যের প্রয়োজন হয়, নিবন্ধের শেষে টিউটোরিয়ালের কয়েকটি লিঙ্ক রয়েছে।

মাল্টিফ্যাক্টর সেট আপ করা হচ্ছে

যাও মাল্টিফ্যাক্টর কন্ট্রোল সিস্টেম, "সম্পদ" বিভাগে যান এবং একটি নতুন VPN তৈরি করুন৷
একবার তৈরি হয়ে গেলে, আপনার কাছে দুটি বিকল্প উপলব্ধ থাকবে: NAS-আইডেন্টিফায়ার и শেয়ার গোপনীয়তা, তাদের পরবর্তী কনফিগারেশনের জন্য প্রয়োজন হবে।

"গ্রুপ" বিভাগে, "সমস্ত ব্যবহারকারী" গ্রুপ সেটিংসে যান এবং "সমস্ত সংস্থান" পতাকাটি সরিয়ে দিন যাতে শুধুমাত্র একটি নির্দিষ্ট গোষ্ঠীর ব্যবহারকারীরা VPN সার্ভারের সাথে সংযোগ করতে পারে।

একটি নতুন গ্রুপ "ভিপিএন ব্যবহারকারী" তৈরি করুন, টেলিগ্রাম ব্যতীত সমস্ত প্রমাণীকরণ পদ্ধতি অক্ষম করুন এবং নির্দেশ করুন যে ব্যবহারকারীদের তৈরি ভিপিএন সংস্থানগুলিতে অ্যাক্সেস রয়েছে৷

"ব্যবহারকারী" বিভাগে, এমন ব্যবহারকারীদের তৈরি করুন যাদের ভিপিএন অ্যাক্সেস থাকবে, তাদের "ভিপিএন ব্যবহারকারী" গোষ্ঠীতে যুক্ত করুন এবং প্রমাণীকরণের দ্বিতীয় ফ্যাক্টরটি কনফিগার করার জন্য তাদের একটি লিঙ্ক পাঠান। ব্যবহারকারীর লগইন অবশ্যই VPN সার্ভারের লগইন এর সাথে মিলবে।

একটি OpenVPN সার্ভার সেট আপ করা হচ্ছে

ফাইলটি খুলুন /etc/openvpn/server.conf এবং PAM মডিউল ব্যবহার করে প্রমাণীকরণের জন্য একটি প্লাগইন যোগ করুন

plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so openvpn

প্লাগইনটি ডিরেক্টরিতে অবস্থিত হতে পারে /usr/lib/openvpn/plugins/ বা /usr/lib64/openvpn/plugins/ আপনার সিস্টেমের উপর নির্ভর করে।

পরবর্তীতে আপনাকে pam_radius_auth মডিউলটি ইনস্টল করতে হবে

$ sudo yum install pam_radius

সম্পাদনার জন্য ফাইলটি খুলুন /etc/pam_radius.conf এবং Multifactor এর RADIUS সার্ভারের ঠিকানা উল্লেখ করুন

radius.multifactor.ru   shared_secret   40

যেখানে:

• radius.multifactor.ru — সার্ভার ঠিকানা
• shared_secret - সংশ্লিষ্ট VPN সেটিংস প্যারামিটার থেকে অনুলিপি
• 40 সেকেন্ড - একটি বড় মার্জিন সহ একটি অনুরোধের জন্য অপেক্ষা করার সময়সীমা

অবশিষ্ট সার্ভারগুলি অবশ্যই মুছে ফেলতে হবে বা মন্তব্য করতে হবে (শুরুতে একটি সেমিকোলন রাখুন)

এর পরে, পরিষেবা-টাইপ openvpn এর জন্য একটি ফাইল তৈরি করুন

$ sudo vi /etc/pam.d/openvpn

এবং এটি লিখুন

auth    required pam_radius_auth.so skip_passwd client_id=[NAS-IDentifier]
auth    substack     password-auth
account substack     password-auth

প্রথম লাইনটি প্যারামিটারের সাথে PAM মডিউল pam_radius_auth কে সংযুক্ত করে:

• skip_passwd - RADIUS Multifactor সার্ভারে ব্যবহারকারীর পাসওয়ার্ড ট্রান্সমিশন অক্ষম করে (তার এটি জানার প্রয়োজন নেই)।
• client_id — VPN রিসোর্স সেটিংস থেকে সংশ্লিষ্ট প্যারামিটার দিয়ে [NAS-Identifier] প্রতিস্থাপন করুন।
  সমস্ত সম্ভাব্য পরামিতি বর্ণনা করা হয় মডিউল জন্য ডকুমেন্টেশন.

দ্বিতীয় এবং তৃতীয় লাইনে একটি দ্বিতীয় প্রমাণীকরণ ফ্যাক্টর সহ আপনার সার্ভারে লগইন, পাসওয়ার্ড এবং ব্যবহারকারীর অধিকারগুলির সিস্টেম যাচাইকরণ অন্তর্ভুক্ত।

OpenVPN রিস্টার্ট করুন

$ sudo systemctl restart openvpn@server

ক্লায়েন্ট সেটআপ

ক্লায়েন্ট কনফিগারেশন ফাইলে ব্যবহারকারীর লগইন এবং পাসওয়ার্ডের জন্য একটি অনুরোধ অন্তর্ভুক্ত করুন

auth-user-pass

পরিদর্শন

OpenVPN ক্লায়েন্ট চালু করুন, সার্ভারের সাথে সংযোগ করুন, আপনার ব্যবহারকারীর নাম এবং পাসওয়ার্ড লিখুন। টেলিগ্রাম বট দুটি বোতাম সহ একটি অ্যাক্সেস অনুরোধ পাবে

একটি বোতাম অ্যাক্সেসের অনুমতি দেয়, দ্বিতীয়টি এটিকে ব্লক করে।

এখন আপনি নিরাপদে ক্লায়েন্টে আপনার পাসওয়ার্ড সংরক্ষণ করতে পারেন; দ্বিতীয় ফ্যাক্টরটি নির্ভরযোগ্যভাবে আপনার OpenVPN সার্ভারকে অননুমোদিত অ্যাক্সেস থেকে রক্ষা করবে।

যদি কিছু কাজ না করে

পর্যায়ক্রমে পরীক্ষা করুন যে আপনি কিছু মিস করেননি:

• একটি পাসওয়ার্ড সেট সহ ওপেনভিপিএন সহ সার্ভারে একজন ব্যবহারকারী রয়েছে
• সার্ভারের UDP পোর্ট 1812 এর মাধ্যমে radius.multifactor.ru ঠিকানায় অ্যাক্সেস রয়েছে
• NAS-আইডেন্টিফায়ার এবং শেয়ারড সিক্রেট প্যারামিটার সঠিকভাবে উল্লেখ করা হয়েছে
• একই লগইন সহ একটি ব্যবহারকারী মাল্টিফ্যাক্টর সিস্টেমে তৈরি করা হয়েছে এবং VPN ব্যবহারকারী গ্রুপে অ্যাক্সেস দেওয়া হয়েছে
• ব্যবহারকারী টেলিগ্রামের মাধ্যমে প্রমাণীকরণ পদ্ধতি কনফিগার করেছেন

আপনি আগে OpenVPN সেট আপ না করে থাকলে, পড়ুন বিস্তারিত নিবন্ধ.

নির্দেশাবলী CentOS 7-এ উদাহরণ সহ তৈরি করা হয়েছে।

উত্স: www.habr.com